Micitt señala ‘desastre’ en ciberseguridad de instituciones públicas
›83% sin personal especializado y un 50% tiene sistemas obsoletos
Resultados iniciales del diagnóstico de ciberseguridad en 226 instituciones públicas llevaron a calificar la situación como un “desastre”. Esa fue la palabra que utilizó el jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Carlos Enrique Alvarado Briceño, para describir los hallazgos.
Según los resultados, 188 instituciones no cuentan con personal especializado en ciberseguridad que administre los sistemas, 99 no han implementado el doble factor de autenticación en sus servidores y un 50% del total de entidades tienen sistemas operativos obsoletos, ya que no pueden actualizar su software.
También se detectó que un 41,6% de las entidades no realizan auditorías de seguridad en sus servidores, un 38% no hacen pruebas de restauración de copias de seguridad realizadas y 51 instituciones no tienen del todo políticas definida para concretar copias de seguridad. Además, 37 carecen de configuraciones para evitar ataques SQL injection, como el que le ocurrió a la Caja Costarricense de Seguro Social (CCSS).
El diagnóstico reveló que incluso hay varios ministerios y municipalidades que tienen sistemas desarrollados por terceros, pero que no contemplan aspectos de seguridad y algunas ni siquiera realizan copias de seguridad de los sistemas que tienen alojados. De hecho, de dichos sistemas administrados por terceros, el 28,8% “no cuentan con un registro de la actividad que realizan los administradores”.
“Hay 38 instituciones que no han implementado sistemas de protección y seguridad DNS. 104 (46%) de las instituciones no poseen sistemas de protección EDR. 42,9% (97) de las instituciones no cuentan con servicios innecesarios activos como SSH, FTP, telnet. 32,3% (73) de las instituciones no han configurado un límite de accesos concurrentes para evitar ataques de denegación de servicios DDoS”, concluye el documento.
Información sensible.
Ante consulta de La Nación, el jerarca del Micitt justificó que revelaron estos datos hasta un mes después de obtenerlos (30 de mayo), por considerar que se trata de información muy sensible, la cual, primero debía ser analizada por la Administración.
Precisamente por eso, no van a dar a conocer aún la totalidad de hallazgos obtenidos con el monitoreo. “No queremos comprometer la seguridad del país”, dijo.
Cuando se le consultó sobre la dimensión del problema, Alvarado afirmó que incluso es peor que los propios ataques cibernéticos. “¿Es la emergencia nacional la afectación a una u otra institución o es la vulnerabilidad que existe en Costa Rica en materia de ciberseguridad? Para este servidor la respuesta es la segunda porque aunque hay instituciones afectadas, la verdadera emergencia nacional es esto”, manifestó.
Aunque los medios de comunicación solicitaron al Micitt una fecha para conocer la totalidad de resultados del mapeo a instituciones, la cartera dijo que por ahora la información “está siendo analizada y procesada por profesionales del Micitt y será un insumo para las medidas de protección que se están estableciendo en el Plan de Emergencia, así como en recomendaciones específicas que se realizarán a cada institución”.
Desde abril anterior, cuando iniciaron las acciones de hackers contra entidades públicas, La Nación reveló que el plan contra ataques cibernéticos del país se había quedado en papel y que el tema no se había tratado como parte vital de la seguridad nacional.
Para Micitt, el problema es grave y urgente de resolver, pero alegó que los recursos son insuficientes.
El ministro agregó que para atender las necesidades del país en esta área, sin descuidar los demás asuntos relacionados con Ciencia, Innovación, Tecnología y Telecomunicaciones, el Micitt necesita duplicar su presupuesto de $10 millones a $20 millones.
Mencionó que como aún no existe esa posibilidad, se realizó una alianza con el Consejo Nacional de Rectores (Conare) para que preste recurso humano y atender temas urgentes de ciberseguridad.