Ministerio de Hacienda respondió a Contraloría sobre medidas tomadas ante ciberataque del año anterior.
La Contraloría General de la República emitió un informe sobre las afectaciones sufridas por el Ministerio de Hacienda, 10 meses después del ciberataque a sus plataformas.
El objetivo del mismo fue determinar si actualmente el ministerio ha logrado recuperar sus sistemas, así como sus estrategias de implementación de mecanismos de seguridad para evitar afectaciones en el futuro.
Según explicó la gerente de Fiscalización para el Desarrollo de las Finanzas Públicas, Julissa Sáenz, el ministerio no cumplió con su propósito de restablecimiento de sus sistemas en el tiempo esperado.
“La CGR emitió un reporte sobre la recuperación de los sistemas de información en el Ministerio de Hacienda ante el ciberataque. En el reporte se determina que los sistemas críticos evaluados se restablecieron en un periodo entre 56 y 204 días después de su salida de operación, siendo que la administración había definido como punto para retomar operaciones entre medio día a dos días”, manifestó Sáenz.
Además, la funcionaria de la Contraloría agregó que se hizo un trabajo escaso para documentar las labores de recuperación de los sistemas, lo que afectaría la prevención de futuros ataques por parte del ministerio.
“A ocho meses del ciberataque, a pesar de que ya se habilitaron los servicios críticos, no se ha restablecido el 100% de la infraestructura, como servidores y bases de datos de los sistemas evaluados. Además, la documentación de las labores de recuperación fue escasa, lo que implica que el conocimiento obtenido a partir de la resolución, no podría ser utilizado para reducir la posibilidad o impacto de ataques futuros”, agregó la funcionaria.
Según el reporte de la entidad contralora, el Ministerio de Hacienda no logró recuperar 25.000 expedientes de cobro digitalizados, así como otros 18.000 asignados a los fiscales que representan un monto de más de 340 mil millones de colones.
Sobre este señalamiento, el ministerio emitió un comunicado donde aseguró que esto no representa una pérdida de estos fondos.
La institución indicó que se han realizado esfuerzos para protegerse de un eventual ciberataque, entre los que se destaca servicios de monitoreo 24 horas, controles a nivel de protección y micro segmentaciones en la red.
Sobre estas medidas, el abogado y experto en ciberseguridad, José Medrano, explicó que la capacitación a los funcionarios es importante, principalmente para que comprendan la forma en la que operan los delincuentes informáticos.
“Para aspirar a una protección adecuada, es muy importante que las instituciones avancen en la creación de una cultura de privacidad y de ciberseguridad. Para esto, deben crear programas de capacitación constante, que no solo estén alineados con las estrategias de luchas contra la ciberdelincuencia en las organizaciones, sino que a su vez se alimenten de la información actualizada de las formas en las que están operando los ciberdelincuentes”, mencionó el especialista.
Además, Medrano señaló que es necesario implementar medidas jurídicas para evitar que este tipo de situaciones se repitan en el futuro.
“Se debe crear normativa que venga a fortalecer la ciberseguridad desde la perspectiva jurídica. Si una buena práctica no es obligatoria, es letra muerta y, por ende, no nos vamos a encontrar con sistemas debidamente protegidos aunque cuenten con medidas de seguridad lógicas y físicas que sean adecuadas. Entonces, la creación de una cultura es la solución, pero es un proceso interminable donde no se puede terminar simplemente con cumplimiento de buenas prácticas en un momento histórico específico, porque esto requiere un esfuerzo constante”, agregó el abogado.
Finalmente, el analista financiero, Daniel Suchar explicó que la situación puede perjudicar al ministerio de cara a cobrarle a personas que sí realizaron sus pagos o, por el contrario, no poder hacerlo con actuales deudores.
“Hay que recordar que hay muchas personas que pueden alegar que pagaron y que hoy salen como deudores de Tributación, lo que puede acarrear un juicio innecesario de las personas. Otras de las cosas que pueden pasar son las personas que no pagaron y que hoy salen bien libradas de todo esto”, apuntó Suchar.
