Carreteras anunciaría la próxima semana el restablecimiento del AutoExpreso
Gobierno reconoce insatisfacción con operador del cobro de peajes en el manejo del ciberataque.
Nota de archivo: esta historia fue publicada hace más de 2 años.
PUBLICIDAD
El Servicio de Innovación y Tecnología del Gobierno (PRITS, por sus siglas en inglés) reconoció hoy que la empresa Professional Account Management (PAM, en inglés) que opera el AutoExpreso “no estaba preparada” y que el ataque cibernético pudo haber tenido repercusiones mayores.
Mientras, el director ejecutivo de la Autoridad de Carreteras y Transportación (ATC), Edwin González dijo que la próxima semana la agencia anunciará la restauración del cobro de peajes que está inoperante desde el pasado 16 de abril por un ciberataque que sufrió la empresa que opera con un contrato desde el 2019.
“Prontamente”, dijo González al preguntársele en una vista pública ante la Comisión de Gobierno de la Cámara de Representantes cuándo la ciudadanía estaría viendo el sistema en funciones.
“Ya se están haciendo las pruebas para asegurarnos de que el sistema esté funcionando correctamente. No quiero dar una fecha, porque este es un proceso interactivo, pero ya esperamos en la próxima semana poder anunciar algo, anunciar la restauración del servicio”, sostuvo el funcionario. “El secuestro de la información ya eso se resolvió, el análisis forense continúa, pero tenemos un resguardo. Se está trabajando con el ‘back up’, básicamente está cerrado el original y se está trabajando con el ‘back up’”, describió.
Reconoció, sin embargo, que “siempre” hay espacio para mejorar y dijo que la respuesta de PAM pudo haber sido más rápida.
“Hemos estado encima de ellos fiscalizando fuertemente para que suban el sistema lo antes posible. No estamos satisfechos con todo el tiempo que ha tomado. Esas cosas se están mejorando para que se integren las salvaguardas necesarias. Estaremos monitoreando a través de todo el proceso para que puedan robustecer el sistema y esto sea una cosa que no vuelva a suceder”, indicó.
A preguntas del presidente de la comisión legislativa, Jesús Manuel Ortiz González, el director ejecutivo de la ACT dijo que hasta ahora no ha habido ninguna pérdida para la agencia.
“Los peajes se siguen marcando. Básicamente, son un millón de transacciones al día. Hasta el momento, son unos 20 millones de transacciones que se están registrando. Vamos a ser lo más cuidadosos posible. No se van a dar multas”, indicó González. Agregó que honrarán las cantidades que los usuarios tenían recargadas en sus cuentas al ocurrir el ataque cibernético.
“Hemos sido transparentes, le hemos estado comunicando constantemente a la ciudadanía la evolución del sistema”, reclamó el funcionario. Reconoció que si la empresa hubiera notificado el ataque el sábado, se lo hubieran anunciado ese mismo día al ciudadanía, pero no fue hasta el lunes que se lo informaron a la ACT de manera oficial.
“Eso nos hubiera permitido notificar rápidamente en ese momento a la ciudadanía de lo que estaba sucediendo”, sostuvo.
González dijo que, como parte contratante, la ACT “está en constante monitoreo del desempeño de la compañía”. No obstante, indicó que el análisis forense del incidente lo está haciendo una compañía que contrató PAM y que el PRITS participa en la investigación.
Indicó, asimismo, que el contrato de PAM, por $145.1 millones, está vigente y se continúa monitoreando mes a mes.
“Estamos sacando una solicitud de propuesta para un nuevo operador, hasta tanto tengamos ese nuevo operador, que haga su transición, no podemos cambiar el sistema porque nos quedamos sin operador. Se va a hacer una solicitud de propuesta, no podemos hablar en detalle de la licitación, pero la solicitud de propuesta se va a estar sacando ahora en mayo”, agregó el jefe de la ACT.
Dijo que le han informado los detalles del impacto fiscal del ataque cibernético a la Junta de Supervisión Fiscal.
El principal oficial de Seguridad Cibernética del Gobierno, Ngai Oliveras, dijo por su parte, que actualmente el PRITS tiene bajo su sistema de monitoreo de seguridad unas 40 agencias, pero la ley que creó la agencia no cobija a los contratistas.
“No tenemos visibilidad sobre los privados, no tenemos injerencia en los privados, sí tienen que tener unos controles y certificaciones y emitir reportes periódicos a la oficina. Entiendo que no, que no estaban preparados (PAM) para el incidente”, dijo Oliveras a preguntas del representante novoprogresista Georgie Navarro Suárez.
“Cuando decimos que no estamos satisfechos es que siempre hay áreas de mejoras y entendemos que siempre hay formas de velar cómo se mejoran los incidentes desde el día cero. En el proceso de notificar, las primeras 48 horas son críticas y si no se manejan correctamente, se puede perder información crítica para la investigación y en ese sentido es que nosotros entramos”, abundó el experto en informática.
“(El ciberataque al AutoExpreso) pudo haber tenido repercusiones mayores”, dijo la directora ejecutiva interina del PRITS, Nannette Martínez Ortiz, quien abogó por un mayor presupuesto para la oficina de seguridad y más garras en la ley de la agencia.
Oliveras precisó que para ciberseguridad necesitan un presupuesto anual recurrente de unos $17 millones para las contrataciones de las herramientas que se utilizan, así el reclutamiento de más personal. Dijo que en el área de ciberseguridad actualmente cuentan con un presupuesto de $10 millones y con solo tres empleados. El PRITS, en total, recibe una partida de $69 millones.
Anticipa legislación sobre ciberseguridad
El representante Ortiz González dijo que esta no sería la única vista pública en torno a los ciberataques en el gobierno y los sistemas de seguridad de informática.
“Vamos a continuar trabajando este tema”, dijo el legislador.
“Desde la pasada sesión hemos estado estudiando el tema de ciberseguridad y la falta de un marco regulatorio sobre este asunto. Durante esta primera vista pública, trascendió que aunque PRITS ha dado pasos para comenzar a construir política pública de seguridad en los sistemas de información del gobierno, necesita más herramientas de ley para asegurar el cumplimiento de las agencias públicas y las empresas privadas que manejan información del Gobierno como lo son los datos del AutoExpreso y LUMA, por mencionar algunos”, expresó el legislador, luego de cuestionar la intervención o rol de PRITS en el problema de seguridad experimentado en el AutoExpreso.
“Actualmente, PRITS no tiene visibilidad del manejo de sistemas de información de muchas agencias. Es importante que ante la vulnerabilidad de los sistemas y la cantidad de datos del Gobierno a las que empresas tienen acceso, se construya un marco legal que permita visibilidad, acceso y fiscalización de la forma y manera que estas empresas utilizan el sistema de información del gobierno y los datos que custodia el mismo. Por lo tanto, nuestro foco está en crear un marco legal dinámico y efectivo en Puerto Rico”, añadió el presidente de la Comisión de Gobierno.
El PRITS informó que, en febrero de 2021 se formalizó y estableció la Oficina de Seguridad Cibernética del Gobierno de PR y la contratación del Principal Oficial de Seguridad Cibernética y en octubre pasado desarrollaron la Política para Seguridad Cibernética que entró en vigor en abril pasado.
“Actualmente, bajo la Política para Seguridad Cibernética que entró en vigor en abril, PRITS ha comenzado a trabajar el plan de ciberseguridad del gobierno, pero solo cuentan con tres empleados enfocados en dicha labor. Esta Política de Seguridad Cibernética sin duda es un buen inicio, pero requiere recursos y fuerza de ley”, expresó.
“Mi interés es que salga legislación en conjunto que podamos trabajar con el Ejecutivo un marco legal que nos de las herramientas para luchar contra una modalidad que no va a desaparecer, al contrario, va a incrementar”, agregó Ortiz González.