Disparidad en los sistemas operativos del Gobierno
Expertos en ciberseguridad aseguran que le urge a las agencias gubernamentales ser más agresivas en sus tácticas contra ciberataques.
Nota de archivo: esta historia fue publicada hace más de 2 años.
PUBLICIDAD
Para el experto en ciberseguridad Vicente De Hoyos, el ataque al sistema operador Professional Account Management (PAM), que maneja el sistema de AutoExpreso, fue algo que se pudo evitar. Es la disparidad y la falta de cohesión del Gobierno lo que podría explicar la alta vulnerabilidad de los sistemas, especuló.
“Cada uno (de los departamentos) está aparte. Entonces, el de allá no sabe lo que está pasando acá. (Eso) afecta al Gobierno mucho”, analizó. “A mí lo que me extraña (es que) con todo el dinero que se malgasta aquí en el Gobierno seguimos siendo víctimas. ¿Por qué?”, cuestionó.
En el caso del ciberataque a PAM, De Hoyo recalcó que, “se supone que debe haber alguien que esté haciendo la gobernanza sobre este operador”, exigiendo reportes mensuales de posibles ataques, lo que minimizaría la vulnerabilidad de los sistemas.
“El Gobierno contrata estas compañías, pero tiene que asegurarse que hagan el trabajo por el que se les contrató”, resaltó.
Asimismo, señaló que estos terceros deben adoptar prácticas de copia de seguridad de información, o “backup”, más agresivas, precisamente por poseer información sensitiva.
“(Deben) tener una seguridad mejor en ‘place’. La estrategia tiene que ser más agresiva de parte del Gobierno y no está pasando”, aseveró.
Los sistemas operativos del gobierno aún no cumplen en su totalidad con las políticas establecidas por la Orden Administrativa 2021-001 emitida por la Oficina de Puerto Rico Innovation and Technology Service (PRITS), a pesar de que se cumplió un año de su vigencia, coincidieron la directora ejecutiva interina de la agencia, Nannette Martínez, y el principal oficial de ciberseguridad del Gobierno de Puerto Rico, Ngai Oliveras.
“El Gobierno como tal estableció las políticas, que no existían, que dan unas directrices claras a las agencias y a los terceros que dan servicio a las agencias al Gobierno de Puerto Rico. Eso establece unos controles y las mejores prácticas que PRITS estableció para el Gobierno. Eso se implementó. Estamos en proceso ahora de ‘enforce’ (implementar) esa política a nivel de agencia”, aseguró Oliveras a Primera Hora.
“Estamos haciendo unos avalúos de madurez de ciberseguridad en cada agencia y ahí entonces sabemos cómo está esa agencia a nivel de ciberseguridad para clasificarlos a ese nivel y establecer un plan de mitigación para subirlo al próximo nivel”, agregó.
Ambos funcionarios acordaron también la falta de sinergia entre las agencias gubernamentales para proteger los sistemas de manera óptima. Resaltaron la necesidad de que todos esos sistemas “estén en servidores y máquinas del Gobierno”. Indican que solo de ese modo, “podemos tener algún tipo de visibilidad y asegurarnos que los controles de seguridad están implementados”, indicó Martínez.
“Mientras dejemos todo en manos de terceros se demora más el proceso de que nos avisen, de remediación, y limita lo que podemos brindar”, confesó Martínez.
“Con eso no vamos a estar completamente protegidos, pero nos pone en una mejor posición”, atestiguó Oliveras.
De acuerdo a Oliveras y Martínez, la falta de personal y de fondos recurrentes es un escollo mayúsculo que impide que se monitoreen todos los sistemas de una manera más eficaz.
La Junta de Supervisión Fiscal (JSF) asignó unos $11 millones a la agencia, fondos que no son fijos.
“Nosotros estamos en proceso de llevar ese mensaje, que Puerto Rico necesita un fondo recurrente significativo para ciberseguridad”, reiteró Oliveras al señalar que son cientos de agencias de Gobierno, cientos de miles de dispositivos y cientos de cuentas gubernamentales que se deben velar 24/7 los 365 días”.
“A mí me extraña que PRITS diga que no tiene chavos”, insistió por su lado De Hoyos.
PRITS ha solicitado cerca de $10 millones de fondos federales y la colaboración de Multi-State Information Sharing and Analysis Center (MS-ISAC), un esfuerzo voluntario y colaborativo designado por el Departamento de Seguridad Nacional de los Estados Unidos, para que, más allá de los servicios gratuitos que recibe, pueda establecer una colaboración con el fin de aumentar a un 50% el nivel de seguridad de los sistemas de Gobierno y filtrar los miles de alertas que se reciben.
“Ese tipo de solución lo que va a prevenir es que si ocurre un ‘ransomware’, automáticamente ese sistema va a encapsular esa máquina y no va a dejar que se riegue por el ‘network’, por la red del Gobierno. Vamos a ser más proactivos”, proyectó Oliveras. “Con (MS-ISAC) minimizamos ese riesgo, porque ellos tienen el personal, tiene los recursos, ellos tienen los investigadores forenses, ellos tienen ese monitoreo 24/7 365 días. Ellos van a estar haciendo ese trabajo difícil, que es el filtrado de las alertas, y nos van a avisar exactamente cuándo es una alerta genuina y nos quitan ese ‘burden’, ese peso de encima de estar constantemente mirando tantas alertas, porque son miles y miles que recibimos diariamente”, detalló.
El contrato de PAM está vigente desde el 2018. Edwin González Montalvo, director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), explicó a este diario que la compañía fue contratada, “para la transición hacia un operador nuevo, que es el compromiso que tenemos en esta administración de traer un sistema nuevo, robusto y confiable”.
La cantidad de dinero que el Gobierno ha incurrido en contratar a PAM fluctúa entre $17 millones a $20 millones al año, según González Montalvo, ya que se hacen “casi un millón de transacciones al día”. Este monto, sin embargo, no es costeado completamente por el gobierno, ya que Metropistas también sufraga fondos para la contratación de PAM.