En la audiencia pública, PRTIS confirmó que, hasta el 1 de febrero de 2021, la agencia no contaba con una oficina de Seguridad Cibernética
Con miras a desarrollar una legislación que crearía un andamiaje de ciberseguridad en los sistemas y redes del gobierno de Puerto Rico, la Comisión de Gobierno de la Cámara de Representantes celebró hoy, jueves, la primera de dos vistas públicas que estarán realizando sobre este tema.
La Comisión presidida por el representante Jesús Manuel Ortiz González presentó la Resolución de la Cámara 197 con la meta de poder discutir y llevar a votación un proyecto de ley enfocado en ciberseguridad que le otorgue garras al Servicio de Innovación y Tecnología de Puerto Rico (PRITS) para implementar sus políticas con el fin de proteger las redes del Gobierno.
‘’Este es un tema que desde la sesión pasada habíamos adelantado que lo íbamos a trabajar. La seguridad cibernética es fundamental para que un país que aspira a tener un gobierno ágil y con la mayor cantidad de servicios digitales posibles, pueda ejecutarlo con un sistema robusto que garantice el funcionamiento de cada cometido y proceso’’, expresó abriendo los trabajos Ortiz González.
Uno de los propósitos principales de la Comisión durante la audiencia pública fue identificar cuál es la situación actual del gobierno, en cuanto a la ciberseguridad, tras los recientes ataques cibernéticos como lo fue a la red del Senado y ahora al contratista privado Professional Account Management (PAM), empresa responsable de los sistemas de pago y recarga de tarjetas de AutoExpreso que utilizan los vehículos en Puerto Rico para transitar por los peajes para poder otorgarle a PRITS y al gobierno un andamiaje legal y con fuerza de ley.
A la vista pública compareció la directora interina de PRITS, Nannette Martínez Ortiz, quien estuvo acompañada por el Principal Oficial de Seguridad Informática (CISO, en inglés) del Gobierno de Puerto Rico, N’gai Oliveras Arroyo.
También estuvo Juan Carlos Blanco Urrutia, director ejecutivo de la Oficina de Gerencia y Presupuesto (OGP) y su director asociado del área de política pública, Roberto Rivera Báez; y la comisionada de la Oficina del Comisionado de Instituciones Financieras, Natalia Zequeira Díaz. De igual forma, asistió la directora ejecutiva de la Directoría de Servicios al Conductor (DISCO), Mary Fuster Romero; por el director de la Oficina de de Tecnologías de Información del DTOP, Tomás Anzalota; y por el ayudante especial del director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), Marco García Gallina.
De acuerdo con información que ha trascendido por los medios de comunicación del país, Puerto Rico fue objeto, en el 2021, de sobre 900 millones de intentos de ciberataques.
Exige garras PRITS para lidiar con ataques cibernéticos
Asimismo, según expuso la Directora Interina de PRITS, no fue hasta el 1 de febrero de 2021 que se formalizó la oficina de Seguridad Cibernética del Gobierno de Puerto Rico con la contratación del Principal Oficial de Seguridad Cibernética (CISO), Oliveras Arroyo.
Martínez Ortiz comentó que el principal objetivo de esa oficina es proveer servicios centralizados de ciberseguridad para todo el Gobierno mediante acuerdos de colaboración con agencias federales y proveedores externos de servicios.
El principal oficial de Seguridad Informática, Oliveras Arroyo, detalló que cuentan con estadística actualizada de los ataques recibidos a agencias del gobierno desde enero del 2022.
‘’Los ataques ascienden a cientos de miles anualmente. Pero también debemos entender que esto puede traducirse a intentos de ataques desde un correo electrónico hasta como el que ocurrió ahora con el de AutoExpreso. Actualmente, todos los días se encuentran escaneando la red de gobierno publica’’.
A raíz del ataque cibernético que sufrió la plataforma de AutoExpreso, distintos usuarios en las redes sociales recomendaron el cambio de contraseñas tras rumores de que la información pudiera estar siendo difundida en lo que se conoce como el ‘’dark web’’. Ante ese panorama, Oliveras Arroyo indicó que ‘’estamos enterados de la información que ha estado trascendiendo pero hasta el momento, en base a la información que tenemos no hay indicios que las cuentas de los usuarios se hayan comprometido. No hay evidencia de eso hasta el día de hoy’’.
‘’Aun así, nuestro equipo hizo una búsqueda en el ‘’dark web’’ y el resultado fue que si hay cuentas relacionadas a AutoExpreso en esos portales pero no son relacionadas al ataque cibernético de PAM y que llevan años ahí’’, agregó el Principal Oficial de Seguridad Cibernética.
Por su parte, Martínez Ortiz, abundó que apoya la iniciativa del legislador Ortiz González sobre crear una legislación que le brinde un andamiaje de ciberseguridad y que le de garras a los sistemas. ‘’Sería lo ideal mientras no restrinja y sea un marco demasiado rígido. Que sea una legislación dinámica y no se convierta en una obsoleta’’.
De igual forma, la Directora Interina de PRITS detalló que se encuentran preocupados por la vulnerabilidad en sus sistema que aún no conocen de las diferentes agencias del Gobierno. “Hay mucha infraestructura en las entidades gubernamentales que necesitan mejoras ya que muchas de ellas no cuentan con los recursos necesarios para lidiar contra esos ataques cibernéticos. Por eso, estamos dedicando los esfuerzos para proteger a las agencias que trabajan directamente con los datos de los ciudadanos’’.
El presupuesto de PRITS para este año fiscal es de $10.5 millones con una nómina de 47 empleados y tres dedicados a trabajar los asuntos relacionados a la ciberseguridad.
ACT confirma que no cobrarán multas a usuarios de AutoExpreso
De otra parte, García Gallina de la ACT informó que el ataque con ransomware -nota de secuestro en el cual los atacantes encriptan los datos en un sistema a cambio de un pedido- que sufrió AutoExpreso ya se resolvió. ‘’Ahora básicamente lo que estamos haciendo es levantar el sistema y operar con lo que sería el ‘’backup’’. El Gobierno no pagará de ninguna forma a estos atacantes para liberar el sistema’’.
A preguntas del Presidente de la Comisión sobre si existe una póliza de seguro para protegerse de ataques cibernéticos, tanto a OGP y PRITS no les consta que exista una. No obstante, ACT aseguró que la compañía privada PAM cuenta con el seguro.
García Gallina confirmó que diariamente AutoExpreso procesa millones de transacciones. Desde que ocurrió el ataque cibernético, han transcurrido 20 días. ‘’Todas están registradas y el sistema está leyéndolas diariamente’’.
Sobre cómo van a proceder para el cobro a los usuarios por el uso de los peajes al restablecerse el sistema, el funcionario detalló que se encuentran ‘’trabajando para anunciarlo a la ciudadanía teniendo como precaución de ser lo más cuidadoso posible para que tengan el menor impacto’’.
ACT aseguró que los usuarios no tendrán que pagar multas y expresaron su apoyo a la iniciativa del Presidente de la Comisión sobre la creación de la legislación que crearía un andamiaje de ciberseguridad en los sistemas y redes del gobierno.
OGP reclama atención a ataques de ciberseguridad
De otro lado, Blanco Urrutia, director ejecutivo de la OGP, dijo que actualmente no existe una línea en el presupuesto del Gobierno dirigido a la ciberseguridad. El funcionario informó que el monto asignado a las oficinas de tecnologías de la agencia asciende a $2.2 millones.
‘’Actualmente, estamos expuestos nosotros y todo el Gobierno a ataques cibernéticos diariamente y es por eso la importancia que todas las ramas gubernamentales dediquen sus esfuerzos a mejorar y prestarle atención a la infraestructura tecnológica’’, detalló Blanco Urrutia.
Finalmente, Ortiz González dijo que ‘’la razón de esta vista es que Puerto Rico necesita un marco de seguridad que pueda darle garras a agencias como PRITS para tener un Gobierno con sistemas seguros en momentos donde el país necesita estabilidad’’.