Después de que la infraestructura digital del Invima saliera del aire el 6 de febrero por un ataque informático, el país mantiene muchas preguntas sobre la situación del abastecimiento de insumos, alimentos y medicinas. Julio César Aldana, director de la entidad aceptó que el Invima fue víctima de un secuestro de su información (ransomware), un incidente del que sabemos poco y todavía menos por parte de las fuentes oficiales.
Hace casi tres semanas no funciona la página web del Invima, sin acceso a sus sistemas de información no es posible tramitar los registros sanitarios para insumos, alimentos y medicamentos, lo que impacta en los derechos de las personas, entorpece el mercado y genera multimillonarias pérdidas a la economía.
Aunque era un secreto a voces desde el 6 de febrero, 10 días después el Invima afirmaba que no había fallas en sus servicios y apenas el 18 de ese mes el director rompió el silencio para reconocer en medios que algo estaba pasando, lo minimizó y hasta la fecha tampoco ha dicho mucho más. Mientras tanto, el ataque al Invima está dejando un déficit semanal de $15.000 millones, solo en el puerto de Buenaventura.
A estas alturas es claro que el Invima fue víctima de un ransomware, un software extorsivo introducido en su infraestructura que cifró la información almacenada allí y así se la secuestraron. La extorsión consiste en que los atacantes cobran un rescate por las llaves para recuperar la información. Es frecuente que cobren también por no divulgar la información que copiaron y tienen en su poder.
Algo así pasó en el DANE también. Pero como tenían copias de respaldo restablecieron la información, la infraestructura y los servicios en unos días. Eso sí, no sabemos cómo manejaron el riesgo de la información personal filtrada. Para cuando se publica esta columna, los problemas del Invima siguen y según la ministra de comercio, la recuperación tomará mínimo 45 días más, lo cual deja mucho que pensar.
Ya les había hablado del ransomware cuando escribí en julio pasado sobre lo que sucedió a la Universidad del Bosque. Les conté cómo esto pasa hasta en las mejores familias, pues por esos días, en Estados Unidos, millones de personas no tuvieron acceso a gasolina por cuenta de uno de estos ataques a una de las distribuidoras -Colonial Oil-, la empresa pagó el rescate y el FBI persiguió el dinero recuperando una parte.
Les dije entonces que “como sucede con las acciones de secuestro físicas, la posición de las autoridades es no pagar rescates. Pero esto solo es efectivo si las autoridades pueden evitar la acción o aclararla y sancionarla”, la pelea es tan desigual que, como Colonial, muchas organizaciones pagan. Incluso parece que en casos similares la policía lo ha hecho, porque -les dije- “es más barato pagar que recuperar la información o arriesgarse al costo reputacional de que sea divulgada en internet”.
Como mínimo el creciente riesgo de ransomware debe cambiar la cultura del secretismo como respuesta. Las personas responsables de la respuesta deberían aplicar todos los lineamientos internacionales, entre ellos cultivar los beneficios de dar información y de aplicar principios de transparencia para aprender colectivamente de lo que sucede y evitar que se repita. Si cualquier sistema informático es susceptible de vulnerabilidades y nadie puede garantizar la seguridad, se puede tener un buen plan de prevención -tener copia en físico como el DANE, por ejemplo-. Pero, ante un incidente, sufrir en secreto no ayuda. Además, estos ataques también impactan a las personas y las empresas cuyos datos están en la información secuestrada. Estas personas y organizaciones tienen que saber lo que sucedió para entender cómo pueden protegerse.
El secretismo del Invima muestra que no aprendimos nada. La información oficial ha brillado por su ausencia, prima la negación y no hay intenciones de usar el principio de transparencia. Han sido los gremios afectados los que han hablado del tema. El silencio habla de la vergüenza que guía la respuesta con lógicas más cercanas al manejo de crisis para proteger la reputación, que a la gestión del riesgo de seguridad digital para construir confianza y proteger a las personas. Algo de secreto puede ser necesario, manejo de crisis también, pero sin balance estamos en el peor de los mundos.
Un consuelo sería decir que precisamente en estos días el Ministerio TIC está regulando la política de confianza y seguridad digital del Conpes de 2020, pero no. El análisis de afán que hicimos en Karisma -porque como ha sido costumbre del gobierno el tiempo que dan es corto-, precisamente concluye que el decreto tendrá una aproximación anticuada, vaga e insuficiente para dar respuesta a estos temas.
El decreto menciona superficialmente los derechos humanos, pero, sobre todo, tiene un enfoque estático militar en el que prima el inventario de infraestructuras críticas y se le dan amplios poderes al Ministerio de Defensa para identificar y supervisar a los operadores -empresas privadas-. Las menciones a conceptos más actuales como servicios esenciales y gestión del riesgo son vagas y ambiguas. Así se confunde regular la política de seguridad digital con la de seguridad nacional en la materia, que también se necesita, pero no es lo mismo. Algo positivo es que la entidad coordinadora operativa -ColCERT- pasa a MinTic.
En todo caso, como está el decreto iría en contravía de los lineamientos de la OCDE, que, desde 2015 promueve que estas políticas nacionales enfrenten los riesgos de seguridad digital a partir de un marco respetuoso de los derechos humanos y usando una metodología dinámica empresarial de gestión del riesgo que identifique las actividades críticas con mecanismos de respuesta de coordinación e incluya a todas las partes interesadas. La OCDE busca enfrentar riesgos actuales tan dinámicos como el ransomware, en actividades críticas o servicios esenciales, exactamente algo como lo que le pasó al Invima.
Pensé estar preparada para comentar un decreto como este, para exigir ir más allá de las recomendaciones de la OCDE, que, enfocadas en el desarrollo económico de un país, deben trabajar más en poner en el centro a las personas y sus derechos. Pediríamos más transparencia y protección a los y las investigadoras que desvelan vulnerabilidades; también mejores mecanismos de coordinación. Sin embargo, con esa visión, terminamos pidiendo que, al menos, miren las recomendaciones de la OCDE.
Al final no importa lo que digan las leyes, los decretos o el Conpes: para responder como toca al incidente en el Invima, bastaba con seguir los estándares internacionales de respuesta a incidentes, como los que acabo de mencionar. Estos estándares son sobre todo para mitigar efectos del ataque y alertar a los afectados, no para evitarlos. Por eso, mientras la cultura de seguridad digital de las autoridades siga siendo el secreto, nada va a cambiar.
Después de que la infraestructura digital del Invima saliera del aire el 6 de febrero por un ataque informático, el país mantiene muchas preguntas sobre la situación del abastecimiento de insumos, alimentos y medicinas. Julio César Aldana, director de la entidad aceptó que el Invima fue víctima de un secuestro de su información (ransomware), un incidente del que sabemos poco y todavía menos por parte de las fuentes oficiales.
Hace casi tres semanas no funciona la página web del Invima, sin acceso a sus sistemas de información no es posible tramitar los registros sanitarios para insumos, alimentos y medicamentos, lo que impacta en los derechos de las personas, entorpece el mercado y genera multimillonarias pérdidas a la economía.
Aunque era un secreto a voces desde el 6 de febrero, 10 días después el Invima afirmaba que no había fallas en sus servicios y apenas el 18 de ese mes el director rompió el silencio para reconocer en medios que algo estaba pasando, lo minimizó y hasta la fecha tampoco ha dicho mucho más. Mientras tanto, el ataque al Invima está dejando un déficit semanal de $15.000 millones, solo en el puerto de Buenaventura.
A estas alturas es claro que el Invima fue víctima de un ransomware, un software extorsivo introducido en su infraestructura que cifró la información almacenada allí y así se la secuestraron. La extorsión consiste en que los atacantes cobran un rescate por las llaves para recuperar la información. Es frecuente que cobren también por no divulgar la información que copiaron y tienen en su poder.
Algo así pasó en el DANE también. Pero como tenían copias de respaldo restablecieron la información, la infraestructura y los servicios en unos días. Eso sí, no sabemos cómo manejaron el riesgo de la información personal filtrada. Para cuando se publica esta columna, los problemas del Invima siguen y según la ministra de comercio, la recuperación tomará mínimo 45 días más, lo cual deja mucho que pensar.
Ya les había hablado del ransomware cuando escribí en julio pasado sobre lo que sucedió a la Universidad del Bosque. Les conté cómo esto pasa hasta en las mejores familias, pues por esos días, en Estados Unidos, millones de personas no tuvieron acceso a gasolina por cuenta de uno de estos ataques a una de las distribuidoras -Colonial Oil-, la empresa pagó el rescate y el FBI persiguió el dinero recuperando una parte.
Les dije entonces que “como sucede con las acciones de secuestro físicas, la posición de las autoridades es no pagar rescates. Pero esto solo es efectivo si las autoridades pueden evitar la acción o aclararla y sancionarla”, la pelea es tan desigual que, como Colonial, muchas organizaciones pagan. Incluso parece que en casos similares la policía lo ha hecho, porque -les dije- “es más barato pagar que recuperar la información o arriesgarse al costo reputacional de que sea divulgada en internet”.
Como mínimo el creciente riesgo de ransomware debe cambiar la cultura del secretismo como respuesta. Las personas responsables de la respuesta deberían aplicar todos los lineamientos internacionales, entre ellos cultivar los beneficios de dar información y de aplicar principios de transparencia para aprender colectivamente de lo que sucede y evitar que se repita. Si cualquier sistema informático es susceptible de vulnerabilidades y nadie puede garantizar la seguridad, se puede tener un buen plan de prevención -tener copia en físico como el DANE, por ejemplo-. Pero, ante un incidente, sufrir en secreto no ayuda. Además, estos ataques también impactan a las personas y las empresas cuyos datos están en la información secuestrada. Estas personas y organizaciones tienen que saber lo que sucedió para entender cómo pueden protegerse.
El secretismo del Invima muestra que no aprendimos nada. La información oficial ha brillado por su ausencia, prima la negación y no hay intenciones de usar el principio de transparencia. Han sido los gremios afectados los que han hablado del tema. El silencio habla de la vergüenza que guía la respuesta con lógicas más cercanas al manejo de crisis para proteger la reputación, que a la gestión del riesgo de seguridad digital para construir confianza y proteger a las personas. Algo de secreto puede ser necesario, manejo de crisis también, pero sin balance estamos en el peor de los mundos.
Un consuelo sería decir que precisamente en estos días el Ministerio TIC está regulando la política de confianza y seguridad digital del Conpes de 2020, pero no. El análisis de afán que hicimos en Karisma -porque como ha sido costumbre del gobierno el tiempo que dan es corto-, precisamente concluye que el decreto tendrá una aproximación anticuada, vaga e insuficiente para dar respuesta a estos temas.
El decreto menciona superficialmente los derechos humanos, pero, sobre todo, tiene un enfoque estático militar en el que prima el inventario de infraestructuras críticas y se le dan amplios poderes al Ministerio de Defensa para identificar y supervisar a los operadores -empresas privadas-. Las menciones a conceptos más actuales como servicios esenciales y gestión del riesgo son vagas y ambiguas. Así se confunde regular la política de seguridad digital con la de seguridad nacional en la materia, que también se necesita, pero no es lo mismo. Algo positivo es que la entidad coordinadora operativa -ColCERT- pasa a MinTic.
En todo caso, como está el decreto iría en contravía de los lineamientos de la OCDE, que, desde 2015 promueve que estas políticas nacionales enfrenten los riesgos de seguridad digital a partir de un marco respetuoso de los derechos humanos y usando una metodología dinámica empresarial de gestión del riesgo que identifique las actividades críticas con mecanismos de respuesta de coordinación e incluya a todas las partes interesadas. La OCDE busca enfrentar riesgos actuales tan dinámicos como el ransomware, en actividades críticas o servicios esenciales, exactamente algo como lo que le pasó al Invima.
Pensé estar preparada para comentar un decreto como este, para exigir ir más allá de las recomendaciones de la OCDE, que, enfocadas en el desarrollo económico de un país, deben trabajar más en poner en el centro a las personas y sus derechos. Pediríamos más transparencia y protección a los y las investigadoras que desvelan vulnerabilidades; también mejores mecanismos de coordinación. Sin embargo, con esa visión, terminamos pidiendo que, al menos, miren las recomendaciones de la OCDE.
Al final no importa lo que digan las leyes, los decretos o el Conpes: para responder como toca al incidente en el Invima, bastaba con seguir los estándares internacionales de respuesta a incidentes, como los que acabo de mencionar. Estos estándares son sobre todo para mitigar efectos del ataque y alertar a los afectados, no para evitarlos. Por eso, mientras la cultura de seguridad digital de las autoridades siga siendo el secreto, nada va a cambiar.