Tras el ataque de los hackers de Conti, la contención inicial y la paulatina recuperación, el Ministerio de Hacienda se abocó a adoptar y fortalecer las acciones a nivel de proceso, tecnologías y personal para evitar nuevos incidentes.
“Los compañeros de TI venían de un momento de mucha presión y con jornadas de 18 y 20 horas todos los días”, explicó José Willy Cortés, director de Tecnologías de Información y Comunicación (TIC) de Hacienda. “El equipo venía cansado, pero con mucha disposición a trabajar. Cuando se restablecieron los sistemas críticos (Tica, ATV, Integra), se realizó una propuesta de cronograma y priorización con las direcciones que todavía tenían sistemas afectados”.
Debido al ciberataque la entidad invirtió ¢2.760 millones, que comprenden las acciones de restablecimiento y fortalecimiento de sistemas (¢1.124 millones), 79.500 horas del personal a cargo de estas labores desde mediados de abril hasta la primera semana de diciembre de 2022 (¢464 millones) y la activación del contrato con GBM por ¢123 millones, entre otros.
El rubro incluye el aporte de la Comisión Nacional de Emergencias (CNE) de ¢1.049 millones a partir del decreto que elevaba la situación a esa categoría.
LEA MÁS: Marzo de 2022: ¿En qué etapa está el proyecto de Hacienda Digital?
En el segundo semestre del 2022 el equipo de TI a cargo de la emergencia fue disminuyendo para incorporarse a sus antiguas labores y conforme se restablecieron los servicios, lo que se logra en diciembre de ese año. Para llegar a ese punto, desde junio anterior, se establecieron las prioridades y un cronograma junto a las diferentes direcciones del Ministerio.
No fue inflexible. Las diferentes direcciones entraron a un proceso de negociación de prioridades. Queda pendiente la actualización de datos de servicios en Tica (información de comercio exterior) e Integra (salarios de funcionarios públicos).
1. Parches
Los 59 sistemas del Ministerio fueron puestos a revisión y reforzamiento de su seguridad para evitar nuevas contingencias. Lo primero fue evaluar si era factible utilizarlos.
Tres de los sistemas obsoletos quedaron descartados, pues no fue posible actualizarlos. Por ejemplo, el programa informático de la base de datos de conocimiento que se utiliza para atender las preguntas frecuentes y autoasistencia de los contribuyentes en el área tributaria. “Era una plataforma bastante obsoleta”, dijo Jeffrey Taylor Bermúdez, subdirector de TICs de Hacienda.
En el caso de ocho sistemas, pese a su obsolescencia, se instaló una capa de seguridad (lo que denominan “enmascararlos”) para ponerlos a disposición en los servicios. Nada de eso fue sin costos.
Junto con el trabajo tecnológico, que incluye herramientas de doble autenticación y detección de comportamientos anormales a toda hora y todos los días, se debió fortalecer las acciones de ciberseguridad a nivel de procesos y de preparación del personal.
Por ejemplo, se estableció la prohibición de uso de llaves maya o USB (en su lugar, se impulsan otras herramientas para compartir o transferir archivos cuando es necesario) y se pasó a la revisión de perfiles (para determinar a cuáles aplicaciones e información tiene acceso cada funcionario) y de formación (boletines, jornadas de conferencias y campañas de seguimiento).
Asimismo, cuando los fabricantes de software revelan una nueva vulnerabilidad se analiza el nivel de exposición y el impacto..
Con estas medidas el score de seguridad del Ministerio pasó de ser de 49,5 puntos a más de 80,2 de un total 100 .
“Había muchas vulnerabilidades”, explica Cortés. “Esto nos indica que el esfuerzo que se ha realizado nos permite tener una postura mejor, pero que tenemos que seguir trabajando para tener una seguridad razonable”.
2. Presupuesto y especialistas
La emergencia todavía no tiene impacto en el presupuesto de ciberseguridad del Ministerio de Hacienda.
Cortés respondió que el rubro establecido para el 2023 es similar al del año anterior (básicamente para el servicio del SOC), pero que para el 2024 se plantea incrementar en más del doble a partir de la identificación de lo que urge implementar. Justificado está.
En cuanto al equipo de especialistas en ciberseguridad se fortaleció la capacitación pero no se realizaron nuevas contrataciones, tanto por presupuesto como porque la normativa y los mecanismos regulatorios no permiten incorporar este tipo de recursos.
Cortés indicó que, al menos, el contrato con GBM permite tener acceso a especialistas de alto nivel en la materia y a prepararse ante amenazas identificadas que están expandiéndose a nivel global.
Queda pendiente revisar si la nueva subcategoría creada por la Dirección del Servicio Civil para especialistas en ciberseguridad resuelve las restricciones tanto en el procedimiento como salariales para contratar talento.
Las acciones realizadas hasta el momento se financian con los recursos y la tecnología disponible, así como con el apoyo de los aportes realizados por el CNE. La apuesta es mejorar la ciberseguridad del Ministerio con el proyecto de Hacienda Digital.
3. Hacienda Digital
La iniciativa plantea la disponibilidad de tres grandes plataformas o Commercial Off-The-Shelf (COTs): financiero, aduanero y tributario.
Los COTs son sistemas que ya se utilizan en otros países, están “listos para utilizar” e incluyen las mejores prácticas internacionales en la materia, que se parametrizan o se adaptan a nivel local (tanto a necesidades como regulaciones internas).
Se contemplan, además de la utilización de servicios en la nube, la incorporación de sistemas de protección, recuperación de desastres y sistemas de contingencia.
“Si en los sistemas actuales existen vulnerabilidades, la nueva tecnología vendría a tapar baches”, dijo Christian Barquero, director de Hacienda Digital. “En los términos de referencia se establece que se realizarán pruebas de vulnerabilidades antes de salir a producción y de penetración. Es muy riguroso. Ya antes se venía preparando así y con la experiencia del 2022 nos da más fuerza en ciberseguridad”.
El proyecto se encuentra en la etapa de contratación de los proveedores, proceso que debe pasar por los revisiones y autorizaciones tanto del Banco Mundial como de la Contraloría General de la República.
En el 2022 se recibieron las ofertas de las compañías interesadas, se realizaron las evaluaciones económica y técnica. En diciembre anterior se realizaron las pruebas de concepto de los sistemas o plataformas ofrecidas.
El Ministerio ya envió los informes correspondientes al Banco Mundial y las firmas están presentando sus objeciones y observaciones al mismo. Barquero estima que la adjudicación de los COTs se realizará en el cuarto trimestre del 2023.
Los proveedores seleccionados posteriormente realizan las adaptaciones e instalaciones y se liberan módulos de cada plataforma durante los siguientes tres años, con la idea de completar todo el proyecto para el 2026. De esta forma, se saldría de la urgencia.
Como lo demuestran las experiencias de hackeos en otras economías y regiones, incluyendo la reciente revelación de informes y archivos relacionados con la guerra de Ucrania, ni la mejor ni la más avanzada tecnología podrá evitar incidentes.
Solamente queda la misión de reducir los riesgos mediante la combinación de lo mejor en tecnologías, procesos y hábitos de los usuarios, la conciencia de los peligros y la permanente actualización de las estrategias, medidas de monitoreo, inspección constante y la tecnología adecuada tanto a nivel técnico como de las autoridades.