₡13 mil millones le costará al Estado rehabilitar y reconstruir sistemas tras ciberataque

Un total de más de ₡13.418.907.369 le costará al Estado costarricense rehabilitar y reconstruir los sistemas de siete instituciones tras el ciberataque producido por Conti desde abril de este año.

Así lo menciona el Plan General de la Emergencia por Ciberataque, publicado este miércoles 24 de agosto en La Gaceta.

Se trata de los ministerios de Hacienda, de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), de Trabajo y Seguridad Social (MTSS). Así como de la Caja Costarricense de Seguro Social (CCSS), Instituto Meteorológico Nacional (IMN), Junta Administrativa del Servicio Eléctrico Municipal de Cartago (Jasec) y la Sede Interuniversitaria de Alajuela (SIUA).

El objetivo del plan --menciona–, es desarrollar acciones, obras y servicios necesarios para contener, solucionar y prevenir nuevos ataques en contra de los Sistemas de Información del Estado Costarricense, en específico de las instituciones que recibieron el ataque cibernético.

La atención de la emergencia será atendida con fondos propios de las instituciones así como con recursos del Fondo Nacional de Emergencias (FNE). En detalle, estás son las instituciones que se encuentran en fase de rehabilitación y reconstrucción de sistemas:

Fase de Rehabilitación.

• Caja Costarricense del Seguro Social (CCSS). Utilizará recursos propios por ₡10.000.000.000.
• Ministerio de Hacienda. Con recursos del Fondo Nacional de Emergencias utiliza ₡917.500 y con fondos propios ₡1.123.625.974.

Fase de Reconstrucción.

• Ministerio de Hacienda. En esta fase la institución recurrirá a ₡1.049.388.494 del Fondo Nacional de Emergencias para rehabilitar sus sistemas.
• Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT). Requerirá ₡641.475.400 al Fondo Nacional de Emergencias para atender su situación.
• Ministerio de Trabajo y Seguridad Social (MTSS). Estima la utilización de ₡345.000.000 del Fondo Nacional de Emergencias.
• Instituto Meteorológico Nacional (IMN). Con recursos del Fondo Nacional de Emergencias, prevé rehabilitar sus sistemas haciendo uso de ₡66.000.000.
• Junta Administrativa del Servicio Eléctrico Municipal de Cartago (Jasec). La entidad de la provincia requerirá del Fondo Nacional de Emergencias unos ₡130.000.000 y con recursos propios atenderá su situación con ₡34.000.000.
• Sede Interuniversitaria de Alajuela (SIUA). La institución menciona en el plan que necesita del Fondo Nacional de Emergencias poco más de ₡28.500.000.

Según la CNE el Plan Nacional de Emergencia fue elaborado a partir de la información aportada por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), --como rector en la materia-- y por las instituciones que han sido afectadas hasta la fecha.

El documento menciona además, otras acciones como la respuesta ante los hechos, la activación institucional y la orientación para ejecutar las fases de reconstrucción.

Deficiencias en protección de sistemas

Precisamente, el 27 de junio anterior el ministro de la cartera del ramo, Carlos Enrique Alvarado, anunció una alianza con el Consejo Nacional de Rectores (Conare) y universidades públicas para abordar la situación actual del país por los ataques cibernéticos en entidades estatales.

Lea: Para atender emergencia por ciberseguridad, MICITT acude a universidades públicas

En esa oportunidad dio a conocer una serie de hallazgos en 226 instituciones que cuentan con deficiencia en sus sistemas:

• 188 instituciones NO cuentan con personal especializado en Ciberseguridad que administren los sistemas.
• 28 instituciones tienen sistemas desarrollados por terceros, pero NO contemplan aspectos de seguridad.
• 41 instituciones NO realizan copias de seguridad de los sistemas que tienen alojados por un tercero.
• De los sistemas que se encuentran administrados por terceros el 28.8% (65 instituciones) no cuentan con un registro de la actividad que realizan los administradores en sus sistemas.
• Existen 38 instituciones que no han implementado sistemas de protección y seguridad DNS.
• 104 (46%) instituciones no poseen sistemas de protección EDR.
• 43.8%, 99 instituciones NO han implementado doble factor de autenticación en sus sistemas.
• 38.9%, 88 instituciones tienen sistemas operativos fuera de soporte, sin embargo, ese número es mayor ya que muchas indicaron que solo tenían unos pocos equipos, por lo que el porcentaje aumenta a casi un 50%.
• 94 (41.6%) instituciones NO han realizado auditorías de seguridad en sus servidores.
• 51 instituciones NO tienen políticas definidas para las copias de seguridad.
• 38.1% (86) instituciones NO realizan pruebas de restauración de copias de seguridad realizadas.
• 16.4% (37) instituciones NO tiene configurado el sitio para evitar ataques de tipo SQL injection.
• 42.9% (97) instituciones NO cuentan con servicios innecesarios activos como SSH, FTP, telnet.
• 32.3% (73) instituciones NO han configurado un límite de accesos concurrentes para evitar ataques de denegación de servicios DDoS.