Comisión de alto nivel de ciberseguridad estuvo inactiva en plena emergencia, detectó Contraloría


En mayo, cuando apenas comenzaba labores, el actual gobierno creó la Sala de Análisis de Situación Nacional (SASN), una fuerza de acción oficial de alto nivel para atender la emergencia nacional provocada por los ciberataques contra instituciones del sector público.

Aquel grupo debía establecer y atender las debilidades en esa materia de muchas instituciones estatales. Sin embargo, permanecieron inactivos en plena crisis y sin coordinación oportuna, según descubrió la Contraloría General de la República (CGR).

Así lo consignó el órgano contralor en la Auditoría de carácter especial acerca de la gobernanza de la ciberseguridad en el sector público divulgada este martes.

Para enfrentar los ciberataques registrados a partir de abril de 2022, el presidente Rodrigo Chaves declaró emergencia nacional, para lo cual emitió el decreto ejecutivo 43542-MP-MICTT, en el cual se otorgó a la Presidencia de la República, a la Comisión Nacional de Emergencias (CNE) y al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) la responsabilidad de planear, dirigir, controlar y coordinar los procesos necesarios para la contención y solución del problema.

Fue así como la CNE y Micitt obtuvieron informes de daños, pérdidas y compromisos por parte de las instituciones afectadas, aprobaron un Plan General de la Emergencia y llegaron la (SASN) como el mecanismo oficial de coordinación de las operaciones de emergencia. De hecho, hoy la SASN está activa.

La SASN la integran la Caja Costarricense de Seguro Social (CCSS), la CNE, Dirección de Inteligencia y Seguridad Nacional (DIS), el Ministerio de Hacienda, el Instituto Costarricense de Electricidad (ICE), el Micitt, el Organismo de investigación Judicial ( OIJ) y el Ministerio Público.

Sin embargo, la CGR descubrió que no existe coordinación oportuna en el seno de la SASN para responder de forma ágil en la atención de los problemas de ciberseguridad aun y cuando su origen se dio en el contexto de una emergencia nacional decretada y que seguía en desarrollo .

Además, la Sala permaneció inactiva del 1.° de julio al 31 de agosto de este año, y para los meses siguientes, la frecuencia en las sesiones de trabajo realizaciones decayeron y no han presentado una periodicidad, a pesar de que en ese lapso se identificaron ataques en el Ministerio de Salud y en la Municipalidad de Belén, cita el ente contralor.

Según la CGR, hubo incluso descontento por parte de otras instituciones representadas en la SASN ante la ausencia de participación de la CNE en esa fuerza de trabajo “y la falta de claridad en los procesos para la atención de esta emergencia”.

copiado!

Cumplidos seis meses de la declaración de la emergencia nacional, la CGR también descubrió que el llamado Centro de Respuesta de Incidentes de Seguridad Informática (CSIRTRC), a cargo del Micitt, carece de capacidad suficiente instalada en términos de recursos humanos especializados y tecnológicos para la detección oportuna de incidentes de ciberseguridad.

Los sistemas informáticos públicos y privados de Costa Rica fueron blancos de 513 millones de intentos de ciberataques durante la primera mitad del 2022, según datos divulgados en agosto por la empresa estadounidense Fortinet; dedicado al desarrollo y venta de softwaredispositivos y servicios de ciberseguridad.

Según ese informe, los piratas informáticos que atacaron los sistemas informáticos de la CCSS dispusieron de semanas, incluso meses, según dijo el ahora expresidente ejecutivo de esa institución, Álvaro Ramos. Así lo reconoció en junio cuando informó de que los efectos del ciberataque ocurridos fueron profundos: de 30 servidores se pasó a 800 (53% del total) y llegaron a elevarse a 9.000 los terminales de usuarios (computadoras) afectados en esa entidad: 22 % de todas las que tiene la Caja.

Estas incursiones están asociadas al grupo internacional de piratas informáticos Conti que extrajo información sensible de instituciones públicas y detectaron al Gobierno que solo devolvería los datos si se les pagaba $10 millones que las autoridades se negaron a cancelar.



Source link