Contraloría: “No existió coordinación ágil tras la emergencia por ciberataques”
No se efectúa una coordinación oportuna en el seno de la SASN
(CRHoy.com).- En seis meses, la Sala de Análisis de Situación Nacional (SASN) ante los ciberataques que afectaron a distintas instituciones públicas se reunieron 11 veces, siendo junio el mes con más citas, con un total de cinco y octubre como el mes donde no se celebró ninguna, pese a que el gobierno declaró emergencia nacional ante los embates de los ciberdelincuentes.
Ese fue uno de los análisis realizados por la Contraloría General de la República (CGR), la cual cuestionó la coordinación de las instituciones responsables de atender estos ataques, la Comisión Nacional de Emergencias (CNE) y el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).
"Al respecto, se determinó que no se efectúa una coordinación oportuna en el seno de la SASN para responder de forma ágil en la atención de la emergencia nacional de ciberseguridad, de conformidad con los principios de estado de necesidad y urgencia, coordinación e integralidad del proceso de gestión", determinó en su informe Carolina Retana Valverde, Gerente de Área de Fiscalización para el Desarrollo Sostenible de la Contraloría.
La SASN está conformada por las siguientes instituciones: CCSS, CNE, Dirección de Inteligencia y Seguridad Nacional (DIS), ICE, MICITT-CSIRT-CR, OIJ, Ministerio Público y el Ministerio de Hacienda.
El 18 de abril del 2022 se registraron los primeros ataques a instituciones públicas: Caja Costarricense de Seguro Social (CCSS), el Ministerio de Hacienda, la Junta Administrativa del Servicio Eléctrico de Cartago (JASEC) y el propio MICITT.
El gobierno, como respuesta a dicha situación, emitió un decreto de emergencia nacional, el 8 de mayo del 2022, Decreto Ejecutivo 43542-MP-MICITT. Precisamente, el periodo de estudio de la Contraloría abarcó de esa fecha hasta el 31 de octubre del 2022.
La Ley Nacional de Emergencias y Prevención de Riesgos determina que bajo dicha declaratoria, el Estado debe tomar acciones inmediatas; sin embargo, el informe de la Contraloría evidencia otra cosa.
"En ese sentido, es preciso indicar que esta Sala (SASN) se mantuvo inactiva desde el 01 de julio hasta el 31 de agosto del año en curso, y para los meses siguientes, la frecuencia en las sesiones de trabajo efectuadas han disminuido y no han presentado una periodicidad, aun cuando en ese lapso se identificaron ataques de ciberseguridad en el Ministerio de Salud y en la Municipalidad de Belén", indicó Retana Valverde.
El 19 de setiembre del 2022, la Dirección de Gobernanza del MICITT, emitió el oficio MICITT-DGD-OF-217-2022, donde le indicó al ministro de dicha institución, Carlos Alvarado Briceño, la preocupación por la situación de la ciberseguridad y el descontento por la ausencia de participación de la CNE y la falta de claridad en los procesos para la atención de dicha emergencia.
La Gerente de Área de Fiscalización para el Desarrollo Sostenible reiteró que el principio de estado de necesidad y urgencia, obligan a tomar acciones inmediatas con el fin de salvar bienes y atender las necesidades de los afectados.
"El artículo 2 del Decreto Ejecutivo 43542 establece que todas las acciones, obras y servicios necesarios comprendidos en esta emergencia tienen el propósito de contener, solucionar y prevenir nuevos ataques en contra de los Sistemas de Información del Estado Costarricense. Precisamente, a tal efecto, se designó a la Presidencia de la República, la CNE y el MICITT las facultades de planear, direccionar, controlar y coordinar los procesos necesarios para lograr la contención y solución del ciberataque, lo cual necesariamente debe derivar de un proceso articulado entre estas instituciones"; explicó Retana Valverde.
En un comunicado de octubre pasado, el MICITT informó que invertiría un total de $3.7 millones en la compra de equipos y contratación de personal para hacerle frente a los ciberataques. "Esta inversión permitirá al MICITT contar con el personal necesario para atender las 24 horas incidentes de ciberseguridad", manifestaron.
Sin embargo, en su informe, la Contraloría estableció que pese a que el 6 de octubre del 2022 la Junta Directiva de la CNE, autorizó la contratación de 8 profesionales de informática, ellos no tienen evidencia al cierre del informe, de dichas contrataciones.
En junio pasado, el MICITT emitió un estudio donde determinó que 188 de 226 instituciones no contaban con personal especializado en ciberseguridad.
Paula Brenes, Directora de Gobernanza Digital del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), indico que desde hace casi dos semanas ya cuentan con personal contratado para atender los ataques de los "hackers" en las instituciones públicas.
Brenes dijo que desde el 16 de noviembre cuentan con 12 personas trabajando para una atención en horario 24/7, las cuales cuenta con herramientas adicionales para el monitoreo y no solo una herramienta, como señala el informe.
"El informe omite, también, que en alianza con la Unión Europea y la OEA se realizó un estudio de vulnerabilidades y riesgos a más de 17 entidades de servicios críticos. Sobre la Sala de Análisis de Situación se aclara que se reúne cada 15 días, los días miércoles y aborda temas de continuidad, en el proceso de la atención de emergencia y los procesos de compra de la Comisión Nacional de Emergencias", indicó Brenes.
La Directora de Gobernanza explicó que era importante destacar que han cumplido con el proceso legal correspondiente de contratación administrativa, entre ellos, los planes de inversión solicitados por la CNE y sus procesos.
"El informe omite que hemos impartido en tres meses más de 15 talleres técnicos especializados con expertos técnicos internacionales, a más de mil personas de diferentes instituciones públicas. No menciona que en tres meses se han realizado el análisis de dominios a más de 23 instituciones, reportando las vulnerabilidades de cada una", comento.
Brenes dijo que con las herramientas instaladas se han atendido alrededor de 700 mil alertas a 177 instituciones, desde mayo a la fecha. "El informe no menciona, que en este periodo se actualizaron y publicaron las normas técnicas para la gestión y control de las TICs en el sector público. Que son lineamientos de acatamiento obligatorio en el sector y que utiliza el marco CSC18 del SAMS", dijo.
Audio Paula Brenes, Directora de Gobernanza Digital del MICITT