Desde el 18 de abril de 2022, varios sistemas operados por las instituciones gubernamentales de Costa Rica fueron atacados con un ataque de ransomware. Los hackers se dirigieron a La Caja Costarricense de Seguro Social (CCSS), el Ministerio de Hacienda y el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), La Junta Administrativa del Servicio Eléctrico de Cartago (Jasec) para extraer vulnerabilidades del sistema de explotación de datos confidenciales y ahora amenazan con atacar a las grandes empresas de Costa Rica. Ha trascendido que un grupo denominado “Conti” sería el responsable del ataque.
Los ataques que han ocurrido durante los últimos días mostraron que un incidente cibernético importante, si no se contiene adecuadamente, podría interrumpir seriamente los sistemas operativos, incluida la infraestructura crítica, lo que lleva a implicaciones más amplias.
La tecnología, la innovación, la competencia y la pandemia impulsan la revolución digital. Sin embargo, no es un secreto que algunos actores maliciosos buscan servicios y sistemas vulnerables que pueden usarse para obtener acceso a redes internas y extraer datos. La evaluación de que un ciberataque importante representa una amenaza es axiomática: no es una cuestión de si, sino de cuándo. La transformación digital sin precedentes exacerba este riesgo de ciberseguridad, por eso la ciberseguridad es más importante que nunca y el gobierno tiene que estar listo para moverse rápidamente en esa dirección. La ciberseguridad es el proceso o los métodos para proteger las redes, los dispositivos o los datos conectados a Internet de los ataques.
La transformación digital sin precedentes exacerba este riesgo de ciberseguridad, por eso la ciberseguridad es más importante que nunca y el gobierno tiene que estar listo para moverse rápidamente en esa dirección.
Para coordinar el trabajo en la materia de seguridad informática, prevenir y responder ante los incidentes de seguridad cibernética e informática que afecten a las instituciones gubernamentales el 21 de abril del 2022 se emitió la Directriz N° 133- MP-MICITT. Obliga a todos los organismos gubernamentales a informar al Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) de Costa Rica sobre los incidentes que ocurran en sus instituciones que afecten la confidencialidad, disponibilidad e integridad de servicios disponibles al público. Además, se ordena a todas las agencias cambiar contraseñas, deshabilitar servicios y puertos de red no necesarios y monitorear la infraestructura de red. Se establece el coordinador de la ciberseguridad nacional que se refiere a ciberseguridad y seguridad de la información, sin embargo no queda claro como contener la amenaza, cuales medidas de ciberseguridad proactivas y correctivas serán necesarias, quién es responsable de proteger los sistemas y datos, y especialmente cuando la información se comparte entre instituciones.
La directriz contiene medidas muy básicas que ya deberían estar implementadas hace mucho tiempo, pero no aborda el problema principal: adoptar un enfoque más integral basado en el riesgo para proteger los datos y los sistemas, lo que reduce la probabilidad de que ocurran ataques cibernéticos y minimiza el impacto en la organización cuando ocurren incidentes.
Debe quedar claro que la ciberseguridad es una actividad continua basada en:
El enfoque de gestión de riesgos integrado en toda la organización que ayuda a garantizar que la tecnología, los sistemas y la información estén protegidos de la manera más adecuada. Análisis de tecnologías emergentes y su impacto en la seguridad, riesgos de ciberseguridad existentes y emergentes.
Creación de una cultura de seguridad cibernética positiva e incorporación de la cultura de integridad con el compromiso y la capacitación continuos. Las personas siempre deben estar en el centro de cualquier estrategia de seguridad cibernética. Desarrollo, implementación y controles de implementación de políticas relacionadas con la ciberseguridad y la seguridad de la información.
Gestión de Acceso. Es necesario proteger el acceso a los datos, sistemas y servicios. Una buena gestión de la identidad y el acceso dificultará que los atacantes finjan que son legítimos, al mismo tiempo que mantendrá lo más simple posible para que los usuarios legítimos accedan a lo que necesitan.
Seguridad de datos. Asegurarse de que los datos estén protegidos contra el acceso, la modificación o la eliminación no autorizados, lo que implica garantizar que los datos estén protegidos en reposo, en uso, en tránsito y al final de su vida útil. Controles robustos de autenticación y autorización de usuarios. Colaboración con proveedores y asociados. En caso de que los datos estén fuera del control institucional directo, es importante considerar las protecciones así como las garantías de terceros. Asegurarse de que las interfaces que permiten el acceso a datos confidenciales estén bien definidas y expongan solo la funcionalidad necesaria para reducir la oportunidad de que un atacante abuse de ellos. Las medidas de seguridad esenciales y relevantes deben incluir el mantenimiento de copias de seguridad fuera de línea, aisladas y actualizadas de todos los datos importantes para poder restaurar datos y sistemas importantes rápidamente.
Monitoreo de seguridad y capacidad del sistema para detectar incidentes. El monitoreo de seguridad para accesos de registro a datos, consultas inusuales, comportamiento inusual del sistema, intentos de exportación masiva de datos y acceso administrativo ayuda a detectar posibles compromisos y eventos que podrían considerarse un incidente de seguridad.
Revisión y seguimiento continuo. Un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión, control y gobierno de riesgos.
Arquitectura y configuración sanas de sistemas que garantizan que la seguridad cibernética robusta esté integrada en los sistemas y servicios desde el principio, y que esos sistemas y servicios puedan mantenerse y actualizarse para adaptarse de manera efectiva a las amenazas y riesgos emergentes.
Evaluación de sistemas, mantenimiento y gestión de vulnerabilidades. Un grupo de supervisión debe realizar una revisión periódica para garantizar que todos los sistemas funcionen correctamente y cumplan sus objetivos. El nuevo sistema debe ser monitoreado continuamente y auditado periódicamente para asegurarse de que se corrijan los errores. El proceso de gestión de vulnerabilidades mantiene los sistemas protegidos a lo largo de su ciclo de vida.
Gestión de incidentes de ciberseguridad. Los incidentes pueden tener un gran impacto en una organización en términos de costos, productividad y reputación. Sin embargo, una buena gestión de incidentes reducirá el impacto cuando sucedan. Ser capaz de detectar y responder rápidamente a los incidentes ayudará a prevenir daños mayores, reduciendo el impacto financiero y operativo. En realidad el plan bien elaborado y practicado ayuda a tomar decisiones correctas y fortalece la comunicación en toda la organización bajo la presión de un incidente real. Es muy importante aprender de los incidentes, ya que identifica brechas y problemas con la capacidad de respuesta y la aplicación exitosa de lo aprendido después de un incidente para estar mejor preparado para futuros incidentes.
Desarrollo e implementación de políticas y prácticas de seguridad de datos, ciberseguridad y políticas relacionadas con la seguridad de la información, consideraciones de control. Las políticas relacionadas con la seguridad de la información generalmente tienen tres categorías: política de seguridad de toda la organización, una política de seguridad específica del problema y una política de seguridad específica del sistema. Las políticas cubren las responsabilidades de seguridad, detallan la estructura de la seguridad de la información, el uso adecuado de la tecnología como el correo electrónico, Internet, dispositivos portátiles, almacenamiento en la nube, los procedimientos utilizados para la configuración y el mantenimiento de los sistemas.
Proteger las instituciones y los sistemas gubernamentales es una tarea importante y requiere recursos y capacidad para implementar soluciones técnicas, pero el problema principal también es un problema de acción colectiva: cómo organizar mejor la protección del sistema en todas las instituciones gubernamentales. Con el rápido cambio, el enfoque integral y la acción dedicada de las instituciones gubernamentales son necesarios porque los costos económicos potenciales de tales eventos pueden ser inmensos y el daño a la confianza pública significativo.
Nikolajs Sulima es especialista en blockchain y activos digitales; Otto Mora es gerente de tecnologías blockchain en EY Centro América.