Informáticos del MOPT reclaman que no los tomaron en cuenta para licitación de servidores

(CRHoy.com).-Personal de tecnología del Ministerio de Obras Públicas y Transportes (MOPT) reclamó que el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) no los tomó en cuenta en el diagnóstico de la plataforma tecnológica hackeada durante un ciberataque ocurrido en enero pasado.

"Tal y como se indica en el oficio con fecha 17 de marzo, específicamente el punto 14 de dicho documento, somos claros al indicar que los cuestionamientos del Micitt no fueron puestos al conocimiento de la Dirección de Informática, para analizarlos y hacer el descargo correspondiente, en tiempo y forma. En este sentido, nos cuestionamos la razón por la cual, las objeciones al cartel, por parte del Micitt, no se hicieron del conocimiento al personal técnico del MOPT", señaló la cartera de obras públicas y transportes en un oficio acerca de la declaración desierta del proceso por 755 millones de colones con el que se pretendía restaurar los servidores hackeados.

"Importante señalar que, ningún funcionario del Micitt, participó en el diagnóstico de la plataforma tecnológica del Ministerio y/o realizó consultas al personal técnico del MOPT y/o solicitó información sobre el proceso que nos ocupa. Sin haber tenido una participación activa en el proceso y sin conocer las necesidades del Ministerio o las capacidades técnicas del personal de la Dirección de Informática del MOPT, se pretende desacreditar el trabajo de todos los profesionales que participaron durante la etapa de diagnóstico; quienes, además, fuimos acompañados por profesionales, especialistas de la empresa privada y personal destacado por su experiencia en estos temas, que nos apoyaron desde otras instituciones", agregaron en el documento DI-2023-031 (DS) emitido por la Dirección de Informática del MOPT.

Consultado al respecto, la cartera de Ciencia y Tecnología respondió que "tal como se indica en el informe elaborado por Micitt se realizó un análisis técnico con respecto al documento Adquisición de Servicios de Ingeniería Especializada para Restauración y Resiliencia de la Plataforma Tecnológica del  MOPT ante ciberataque. Los criterios incluidos en el informe son resultado de un análisis técnico del documento; y el proceso de coordinación se realizó a nivel de jerarcas".

Más señalamientos

Esta es una lista de otros señalamientos realizados por funcionarios técnicos del MOPT tras la declaratoria desierta de la licitación 2023PX-000043-0006500001 con la que pretendía restaurar los servidores hackeados.

• Cabe destacar, que en el oficio MICITT-DGDCFD-DRII-INF-018-2023, suscrito por el señor Edgar Mora Reyes y firmado digitalmente el 8 de marzo 2023 a las 4:00:02 pm., se emiten criterios, que consideramos, por su abordaje, que se basan únicamente en apreciaciones personales producto de una lectura simple del cartel y nos deja claro, que no se tomaron en cuenta, todas las discusiones virtuales y presenciales que se sostuvo, de manera formal, entre el MOPT, Micitt, CNE, el fabricante de los equipos afectados (DELL/EMC), Hacienda, proveedores de soluciones de seguridad, entre otros, para discutir el tema de la restauración y resiliencia de la plataforma tecnológica del MOPT. Tampoco se revisó toda la documentación relacionada con este tema; la cual, siempre ha estado a disposición de los
  involucrados.
• Aclarar, que no es por desconocimiento técnico de labores ordinarias que se incluyeron las tareas consideradas como "básicas" por el Micitt. La realidad es que se decidió, enfocar el proyecto como "llave en mano", porque esto libra a la Administración de una serie de posibles conflictos relacionados con la intervención del personal del MOPT y por la falta de herramientas especializadas para la limpieza del hardware y software de los equipos comprometidos y los respaldos de información. Además, esto permitiría que las actividades realizadas por los diferentes actores se realizaran en forma correcta, controlada y verificada, por parte del personal del Ministerio, quienes también deben enfocarse en otras tareas que son indispensables, permitiendo culminar con éxito el proceso de recuperación y resiliencia de la plataforma tecnológica.
• El devolver una solución hiperconvergente a valores de fábrica con visto bueno del fabricante, no es una labor sencilla, pues conlleva tiempo y debe ser desarrollada por personal certificado para este tipo de labores, personal con el cual, desafortunadamente el MOPT no cuenta. También, debe considerarse que estas soluciones, donde convergen hardware (procesamiento, telecomunicaciones, almacenamiento) y software, para poder operar, vienen pre configuradas de fábrica, por lo que, normalmente, no se requiere de realizar esa tarea más que una única vez; de ahí que, en la mayoría de las instituciones que utilizan este u otro tipo similar de solución, lo normal es que el personal no sea especialista.
• Desde un inicio se explicó que, los equipos afectados, contaban aún con garantía de fábrica. Por lo que se estimó que, si un tercero no certificado por el fabricante, interviene los mismos, se corre el riesgo de perder dicha garantía.
• En la historia del Ministerio, el evento del pasado 17 de enero de 2023, es el primer ciberataque que recibimos, con el agravante que fue un ataque de ransomware, lo que quiere decir que las afectaciones abarcan hardware y software.
• Respecto a los argumentos basados en COBIT, el MOPT no tiene implementado ese marco, puramente dicho, aunque por la normativa que nos aplica, debemos conocerlo y atender en lo posible lo que corresponde, con la salvedad de que tampoco se tiene personal capacitado en dicha norma; además, en nuestro documento de descargo, no nos referimos a este tema, en razón de que, en la Resolución de la CNE, a la que respondimos, no se menciona.
• Respecto al marco COBIT, acuerpamos lo expuesto por personal de la CNE, en el Oficio CNE-UGPR-OF-0396-2023, en el que se es claro al indicar: "Sobre la mención del marco de gestión de TI (COBIT), se debe mencionar que no es un marco de gestión de seguridad de la información ni ciberseguridad, sino una guía de gestión de las tecnologías de información para realizar gobierno de TI. Por tanto, la evaluación del incumplimiento sobre los objetivos de control, como se señala BAI08 y BAI10, pueden ser evaluadas para comprobar su correcta ejecución o incumplimiento posteriormente en la gestión de TI, pero no son parte de un proceso de recuperación ante una afectación por un ciberataque que tiene la infraestructura tecnológica de la entidad detenida".
• Respecto al tema de la garantía, el cuestionamiento de la CNE, en el oficio CNE-UGPR-OF-0396-2023, no es hacia al personal del MOPT, sino a la posición del Micitt, por el desconocimiento de lo que cubre la garantía de los equipos. Cabe destacar que, los términos de la garantía, no cubren restablecer el equipo a sus valores de fábrica y sus configuraciones, por un ataque de ransomware.
• En relación con la posición de la señora Paola Bogantes Zamora, Ministra del Micitt, la cual, respetamos pero no la compartimos, dado que desde nuestro punto de vista como Dirección de informática, hemos sido claros y así lo indicamos en el descargo, que si se desea suprimir este punto, no existe objeción al respecto de nuestra parte, pero se advierte, que las labores contratadas van más allá, de la instalación del Sistema Operativo Windows y sus actualizaciones, pues involucra otro tipo de software y configuraciones particulares, lo cual denota, no solo el desconocimiento de la plataforma tecnológica del Ministerio, sino que además, de todo lo actuado desde el 17 de enero a la fecha. Por otro lado, sin importar quien haga la instalación del software y sus actualizaciones, como es de suponer, la integridad de la infraestructura tecnológica, deberá ser revisada por el proveedor del servicio.
• Por otro lado, en relación con las actividades que señala la ministra del Micitt, señala que las puede hacer cualquier funcionario con especialidad en informática, la cual respetamos, pero no compartimos, aclaramos que la posición del ente técnico del MOPT, se basa en los objetivos esperados del proceso de contratación objetado y en las buenas prácticas en seguridad de información. Cabe destacar que esta posición también es avalada por la CNE en el oficio CNE-UGPR-OF-0396-2023.
• Consideramos oportuno consultar al Micitt, ente técnico en materia de ciberseguridad de Costa Rica, el ¿por qué, si estas labores son consideradas tan sencillas, a nivel mundial, muchas empresas, aun siendo grandes y poderosas organizaciones, pagan por este tipo de servicios? ¿Por qué otras instituciones públicas en Costa Rica, han adquirido este tipo de servicios y no se les ha cuestionado?, ¿cuál es el fundamento del cuestionamiento exclusivo para el MOPT?
• Finalmente, aclaramos que la CNE, no cuestiona al personal de la Dirección de Informática del MOPT, en virtud de que en el oficio CNE-UGPR-OF-0396-2023 concluye: "Las observaciones se basan en las especificaciones técnicas de la contratación y no sobre el fin y alcance de dicho proceso de contratación a través del SICOP. Por tanto, desde el punto de vista técnico no encuentro criterio suficiente para desestimar el proceso".