A semana pasada o Concello de Carballo sufriu un importante ciberataque do que aínda se está recuperando. Unha realidade sobre a que xa nos ten falado Domingo Guerra, o noso especialista en Economía Municipal que, como auditor de Sistemas de Información, está traballando desde o Consello de Contas en temas de ciberseguridade nas deputacións de Ourense e Lugo.

En relación a este ataque, nos recoñece que “se trata dun bo exemplo que evidencia a necesidade de preservar a seguridade de información a través duns controis básicos de seguridade informática”.

Ademais destas auditorías, participa en xornadas para divulgar o contido dos traballos que realiza o Consello de Contas, como a conferencia de fai uns días na Escola Galega de Administración Pública (EGAP).

- Que che parece o ciberataque sufrido polo Concello de Carballo a semana pasada? Non son unha entelequia, son realidade xa a día de hoxe,…

Lamentablemente, Ubaldo, estanse a producir ataques cibernéticos a todo tipo de organizacións (grandes, pequenas, públicas e privadas) e con demasiada frecuencia. É tremendo, pero esa é a triste realidade. De feito, xa ves como os concellos son susceptibles de sufrir ciberataques, e non é cuestión de preguntarse se ocorrerá noutra entidade local, senón de cando e de se, para entón, estarase preparado para responder adecuadamente. Porque o caso do Concello de Carballo non é unha excepción e visibiliza perfectamente a necesidade de implementar controis que reduzan, que mitiguen, este tipo de ataques. Con todo, os piratas informáticos seguirán tentando romper as barreiras de seguridade para subtraer datos, danar os sistemas e/ou bloquear a xestión administrativa, tanto en empresas públicas como en privadas.

- Quen pode ter intereses en paralizar un Concello como o de Carballo? Alguén de aquí ou é algunha man negra doutra parte do mundo que non sabe nin onde fai dano? 

Pode ser calquera, desde delincuentes informáticos individuais (hackers) a organizacións criminais, non o sabemos. O que si está claro é que os ciberdelincuentes coñecen perfectamente a institución obxectivo, é dicir, coñecen a entidade que queren atacar. Ademais, tamén está claro que pretenden apropiarse de información sensible, valiosa, ou bloquear os equipos e sistemas para poder extorsionar.

Segundo informa QPC, no caso do Concello de Carballo, os piratas informáticos utilizaron ransomware por medio do que, utilizando un código maligno, conseguen secuestrar os equipos e sistemas que infecta deixandoos bloqueados. Este tipo de ciberincidente é moi frecuente na actualidade e o que se persegue é cobrar un rescate.

- Parece que as copias de seguridade están seguras, que xa se foron restablecendo servizos… Que consecuencias pode ter un ataque así para unha administración local? 

Un dos controis básicos de ciberseguridade que revisamos nos traballos de auditoría que estamos facendo é o de copias de seguridade de datos e sistemas (denominado CBCS 7). Porque, unha das consecuencias de non ter copia de seguridade actualizada (e convenientemente protexida) é o tempo de resposta en restaurala, para que o funcionamento dos servizos sexa o máis inmediato posible. É dicir, este control está pensado para casos, como este, onde si todos os controis preventivos fallan e un ciberataque traspasa todas as liñas de defensa e ten éxito, o último recurso que ten a entidade atacada consiste en non pagar e restaurar os seus sistemas o antes posible. O certo é que este tipo e ataques é demoledor e as consecuencias, como podemos observar, tamén. A consecuencia máis inmediata é que se paraliza a prestación de servizos básicos á cidadanía, de tal forma que o tempo en recuperar a normalidade administrativa dependerá da maneira na que se preservaron as copias de seguridade e o tempo que se tarde en restaurar os sistemas grazas á información contida nelas.

- Que liñas estratéxicas son básicas na loita contra os ciberataques aos concellos. 

En España dispoñemos do denominado Esquema Nacional de Seguridade (ENS) que ten por obxecto establecer a política de seguridade na utilización de medios electrónicos. Está constituído por uns principios básicos e requisitos mínimos que garantan a seguridade da información tratada. É certo que existen outros modelos de salvagarda dos sistemas de información como a metodoloxía utilizada pola prestixiosa asociación de auditoría e control dos sistemas de información (ISACA), ou os estándares ISO como a norma 27032, etcétera. Pero en definitiva, conteñen procedementos para mitigar os efectos dos ataques maliciosos, similares ao noso ENS que, por certo, é obrigatorio en España para todos os entes públicos e persegue asegurar a confidencialidade, integridade, dispoñibilidade, autenticidade e trazabilidade dos datos, informacións e servizos, xestionados polas diferentes administracións públicas, no exercicio das súas respectivas competencias.

Desde o Consello de Contas, en sintonía coa Asociación de Órganos de Control Externo, a estratexia metodolóxica que seguimos consiste en revisar oito controis esenciais de ciberseguridade que están aliñados co ENS, porque coa súa implementación conséguese reducir riscos de forma significativa.

- Estás realizando auditorías actualmente nas Deputacións de Ourense e Lugo, e dando charlas por aí adiante. Seguirás nesta liña de traballo, non? 

A idea do meu xefe, Simón Rego, conselleiro da área de corporacións locais do Consello de Contas de Galicia, é divulgar, informar, explicar, en definitiva, o contido do traballo que estamos efectuando, tanto nesta materia como nas demais actuacións. No caso da ciberseguridade, estamos convencidos de que un dos obxectivos prioritarios que deben asumir os órganos de control externo consiste en realizar traballos sobre seguridade informática e, nesa mesma liña, dar a coñecer o contido e os resultados destes traballos. Por tanto, continuaremos coas charlas e con este tipo de fiscalizacións nas outras dúas deputacións, e cando se rematen os traballos na Deputación de Lugo, porque na de Ourense xa están case finalizados, tamén comentaremos os resultados sobre o nivel de madurez existente nelas.
Para o ano próximo, temos previsto, e aprobado xa, facer revisións de controis de ciberseguridade nos concellos máis grandes de Galicia. E respecto ás charlas estarán abertas a todo tipo de público, non só para técnicos, funcionarios e responsables da gobernanza, senón para toda persoa interesada en xeral.

- Pero para este traballo supoñemos que te tes que estar formando constantemente. Unha persoa coma nós, que non é nativo dixital, ademais, ten máis complicado meterse na cabeza dun hacker, non?

Que razón tes! A verdade é que todo isto da intelixencia artificial, o blockchain, o ChatGPT, etcétera, supón un cambio de paradigma para os que non somos nativos dixitais. Pero, non nos queda máis remedio que adaptarnos aos novos tempos, como lles pasou ás anteriores xeracións coa irrupción das novas tecnoloxías. Pero niso estamos, e xa sabes, porque o temos publicado aquí (07/11/2017), que levo tempo traballando nestas cuestións e que xa me queixaba, fai 6 anos, de que as nosas entidades municipais non tiñan implementado o ENS.

E, aproveito isto para o que comentas dos hackers, onde tamén tes toda a razón do mundo. Verás, teño a sorte de coñecer a un hacker bo, é dicir a un hacker ético (chámase Bernardo), que me contaba recientemente o cabreo que tiña porque lle chamaron dunha empresa que lle secuestraran os datos. Pois ben, o cabreo do meu amigo, do hacker bo, era porque nesa empresa carecíase dos máis elementais programas antivirus.

Por todo iso é polo que dentro do marco das actuacións de fiscalización que establece o artigo 33 do Regulamento de Réxime Interior do Consello de Contas temos que comprobar a eficacia dos sistemas de control interno das entidades fiscalizadas, efectuando revisións dos sistemas informáticos que lle dan soporte, coa finalidade de verificar a seguridade informática, o grao de confianza e a integridade dos datos. Casi nada! Pero bueno, niso estamos...

NOVAS RELACIONADAS

• 29-04-23: Os delincuentes informáticos utilizaron un virus ramsomware para o ciberataque ao Concello de Carballo
• 27-04-23: O Concello de Carballo recupera, paseniño, a normalidade tralo ciberataque.
• 26-04.23: Un ciberataque paraliza a actividade municipal no Concello de Carballo.
• Domingo Guerra (maio 2022): A ciberseguridade.