Un presunto ataque de ransomware que impidió que la empresa de procesamiento de nóminas Giant Group pagara salarios a miles de contratistas en todo el Reino Unido ha dado lugar a nuevos pedidos para que las empresas paraguas sean reguladas por ley.
Giant Group se vio obligado a suspender “de forma proactiva” todas sus operaciones a partir del miércoles 22 de septiembre de 2021 tras el descubrimiento de “actividad sospechosa” en su red que se atribuyó a un “ciberataque sofisticado”, según un comunicado publicado por la empresa cinco días después. .
A raíz del ataque, la empresa cerró toda su red de TI, dejando inaccesibles sus sistemas de correo electrónico y teléfono y frustrando a los contratistas porque no tenían forma de ponerse en contacto con la empresa para perseguir los pagos de salarios que vencen el viernes 24 de septiembre.
En el momento de redactar este informe, la compañía estaba volviendo a poner sus sistemas en línea y, en un comunicado con fecha del 29 de septiembre, dijo que estaba en camino de pagar las hojas de horas y las facturas pendientes para hoy (viernes 1 de octubre).
La compañía afirmó que logró procesar 8,000 pagos de salarios a medida que se desarrollaba el incidente, pero no está claro, según el tamaño y la escala de los intereses comerciales de Giant Group, cuántos contratistas se vieron afectados por las consecuencias del incidente.
La presentación de cuentas más reciente de Giant Group ante Companies House, que abarca los 12 meses hasta el 31 de mayo de 2020, dijo que la firma tuvo una facturación de £ 218 millones y 5.683 contratistas en sus libros que dependen de Giant para procesar las facturas que reciben de los clientes.
Algunas de estas personas pueden trabajar directamente con Giant o contratarse a través de agencias de contratación o clientes finales que subcontratan sus responsabilidades de nómina a la empresa.
Número creciente de contratistas generales
Desde la implementación de las reformas de evasión fiscal IR35 en el sector privado en abril de 2021, la evidencia anecdótica sugiere que ha habido un marcado aumento en el número de contratistas que trabajan a través de empresas paraguas.
Esto se debe a que la contratación de contratistas que trabajan a través de empresas paraguas significa que la organización de usuarios finales no tiene que determinar el estado fiscal de esas personas, que es una responsabilidad que las reformas les imponen.
Los contratistas que trabajan a través de paraguas, como Giant Group, se consideran empleados de esas empresas, por lo que las reglas IR35 ya no se aplican a los compromisos que realizan para los clientes finales.
En el período previo a las reformas, Computer Weekly publicó numerosos informes sobre empresas del sector privado que introdujeron prohibiciones de contratación que prohibían el uso de contratistas de sociedades limitadas, al tiempo que favorecían a las personas que prestaban sus servicios a través de empresas paraguas.
Dado que las reformas entraron en vigor en abril de 2021, y el conjunto de cuentas más reciente de Giant Group solo tiene en cuenta sus actividades comerciales hasta mayo de 2020, existe la posibilidad de que muchos más contratistas se hayan unido a sus filas durante el período intermedio.
Como se mencionó anteriormente, también se confía en Giant Group en una capacidad detrás de escena para ejecutar la nómina de otras organizaciones, incluido el mercado independiente YunoJuno, para fines de cumplimiento de IR35.
El sitio web de Giant Group también enumera a las empresas de contratación Hays, Alexander Mann y Adecco como clientes de referencia, entre otras.
James Poyser, fundador del portal de comentarios independientes anónimos OffPayroll.org.uk, dijo que su sitio web ha recibido informes de contratistas contratados a través de agencias que no tenían idea de que se les pagaba a través de Giant hasta que ocurrió el incidente.
“Hay muchas personas afectadas directamente que han seleccionado a Giant como su empresa paraguas, pero también hay personas que no sabían que Giant estaba involucrado en la cadena de suministro que tienen. [with their clients] hasta que no les pagaron ”, dijo Poyser a Computer Weekly.
“Sospecho que YunoJuno no son las únicas personas para las que Giant paga la nómina porque ciertamente hacen la nómina de la agencia de contratación, donde el contratista que trabaja a través de la agencia tampoco sabrá que son parte de Giant. Los gigantes son una gran empresa y tienen zarcillos en todas partes “.
Computer Weekly se puso en contacto con YunoJuno para comentar sobre esta historia, pero no había recibido una respuesta al momento de la publicación.
Poyser agregó: “Se puede ver cuán grandes son los gigantes por su cifra de ventas [£218m]. Casi 500 millones de libras de salarios al año pasan por esa empresa. Entonces, para que la gente ni siquiera reciba un pago por una semana, es una cantidad asombrosa de dinero que se ha retenido por esto “.
Fallo de comunicación
Una de las quejas recurrentes entre los contratistas arruinados por el incidente es lo difícil que ha sido hablar con alguien directamente en la firma sobre los salarios faltantes o retrasados, pero también buscar garantías sobre si el ciberataque ha puesto en riesgo sus datos personales. .
“Probablemente todos hemos estado en el extremo agudo de una violación de datos en algún lugar, y tiende a recibir un correo electrónico de disculpas bastante rápido: ‘Esto es lo que sucedió, y aquí están los datos que se han revelado, y esto es lo que recomendamos lo que hace para protegerse ”, dijo Poyser.
“Los contratistas no han sabido lo que deberían estar haciendo, y una mayor comunicación en ese frente de Giant habría sido útil, para que la gente sepa lo que deberían hacer para salvaguardar sus datos personales”.
Un contratista, que habló con Computer Weekly bajo condición de anonimato, dijo que Giant les paga mensualmente y que averiguará en los próximos días si su ciclo de pago se ha visto interrumpido por el incidente. Mientras tanto, la preocupación por la seguridad de sus datos es lo más importante.
“Realmente me preocupa”, dijo el contratista. “Tienen archivados mi pasaporte, licencia de conducir, detalles de cuenta bancaria, porque esa es toda la información que necesita entregarles como su empleador. Es un tesoro absoluto de información para un pirata informático “.
En un comunicado, distribuido a la prensa el 27 de septiembre, Giant Group reconoció lo frustrante que había sido la falta de comunicación para los contratistas y los clientes de la empresa, pero dijo que era necesario desconectar todas sus operaciones, incluidos sus sistemas de correo electrónico y teléfono, para garantizar que “la integridad de la investigación no se vea comprometida”.
La declaración confirmó que la empresa había contratado al bufete de abogados Crowell & Moring para reunir a un grupo de “expertos en Estados Unidos, Reino Unido y Bruselas” para investigar el incidente.
La compañía también ha mencionado repetidamente en sus declaraciones públicas sobre el incidente que sus bases de datos están encriptadas. También ha publicado una página de preguntas frecuentes en su sitio web y ha publicado la siguiente respuesta en relación con una consulta sobre si los datos de algún contratista se han visto comprometidos: “Para darle tranquilidad, todos sus datos se guardan en arreglos de Pure Storage, que se cifran automáticamente “.
Computer Weekly también recibió una confirmación separada de la Oficina del Comisionado de Información de que Giant informó al organismo de control de protección de datos del incidente, mientras que la Agencia Nacional del Crimen dijo en un comunicado que estaba “trabajando con socios para comprender mejor los impactos” del ataque. .
¿Fue ransomware?
Sigue habiendo dudas sobre la naturaleza exacta del “ciberataque sofisticado” que afectó a los sistemas de Giant Group, lo que dio lugar a especulaciones de que la empresa ha sido víctima de una banda de ransomware.
Computer Weekly se puso en contacto con Giant Group para pedir aclaraciones sobre la naturaleza del ataque y le dijeron que toda la información que puede proporcionar en este momento es de dominio público.
Sin embargo, una declaración emitida por el CEO de la Asociación de Servicios de Freelancer y Contratista (FCSA) parece confirmar que fue un ataque de ransomware del que Giant Group fue víctima.
La FCSA es un organismo de membresía que proporciona acreditación para las empresas paraguas que desean demostrar su compromiso de operar de manera compatible. Giant Group es una empresa paraguas acreditada por la FCSA y uno de los miembros fundadores de la Asociación. El director de ventas de Giant Group, Daniel Haslam, también es miembro de la junta de FCSA.
“Estamos en contacto con Giant para asegurarnos de que podemos abordar este problema rápidamente, y aunque Giant ha sido víctima de un ciberataque criminal de ransomware, estoy seguro de que su única prioridad es asegurarse de que los contratistas reciban el dinero que se les debe”. dijo el CEO de FCSA, Phil Pluck, en un comunicado compartido con ContractorUK.com.
Aunque Giant Group aún tiene que confirmar o negar directamente que se trataba de un ataque de ransomware, hay varias señales que sugieren que esta puede haber sido la causa principal.
“La velocidad de la interrupción y la naturaleza prolongada de la recuperación tienen todas las características de una”, dijo Paul Watts, distinguido analista del Information Security Forum.
Los ataques de ransomware son cada vez más frecuentes, dijo Watts, por lo que es “imperativo que la resistencia empresarial esté en el corazón de la estrategia empresarial” debido al efecto paralizante que estos ataques pueden tener en las operaciones comerciales.
Como informó anteriormente Computer Weekly, una queja recurrente de los contratistas afectados por el ataque de Giant Group es que la empresa ha tardado tanto en volver a estar en funcionamiento.
Watts agregó: “En un mundo digitalmente dependiente, los ataques de ransomware presentan un escenario de interrupción inminente que la mayoría de las empresas deberían planificar. Como demuestra el ciberataque contra Giant Group, su impacto puede trascender su definición tradicional de tecnología de la información.
“En algunos casos, las tecnologías operativas pueden desconectarse o pueden necesitar desconectarse para limitar un daño mayor. Esto puede impulsar a una organización de completamente operativa a un abismo analógico inoperable en minutos.
“Los ataques cibernéticos pueden ocurrir de manera rápida y decisiva, en cuestión de minutos, como parece haber sido el caso de Giant Group. Para gestionar eficazmente un ataque de este tipo, la clave es planificar, planificar, ensayar, ensayar y planificar un poco más, para que las organizaciones estén en la mejor posición para defender, responder, recuperarse y sobrevivir “.
¿Qué se puede aprender del incidente?
Crawford Temple, director ejecutivo de Professional Passport, una empresa que proporciona servicios de evaluación de cumplimiento a empresas paraguas, dijo que, ransomware o no, el incidente todavía tiene “implicaciones preocupantes” para todas las empresas paraguas.
“Levanta el listón para que todos y cada uno de los proveedores examinen sus sistemas y trabajen para garantizar que existan sistemas sólidos para proteger sus datos y los de toda la cadena de suministro”, dijo.
“Los desafíos para los proveedores y sus medidas de seguridad se han incrementado con tantos trabajadores que ahora trabajan de forma remota, lo que ha proporcionado puntos de acceso adicionales a los piratas informáticos. Esta es probablemente una de las principales razones por las que parece haber un aumento de los informes de ransomware circulando en este momento “.
La noticia del incidente cibernético de Giant Group también coincidió con informes de problemas técnicos que afectaron a otra empresa paraguas, conocida como Unified Payroll, que ha llevado a otro tramo de contratistas que no reciben el pago de lo que se les debe.
En un comunicado en el sitio web de Unified Payroll, sus problemas se atribuyen a un “problema de seguridad” con la cuenta bancaria de la empresa, que se remonta al 16 y 17 de septiembre. En el momento de redactar este informe, la empresa dijo que seguía sin poder pagar a sus contratistas y les informó que no aceptaría más hojas de tiempo “hasta que el problema se haya resuelto por completo”.
El comunicado agregó: “Nuestros directores están trabajando muy de cerca con nuestros banqueros para resolver este problema de manera oportuna. No se nos han dado plazos claros “.
Computer Weekly entiende que los dos incidentes en Giant Group y Unified Payroll son aislados y no están relacionados, pero Temple dijo que ambos incidentes deberían obligar al sector de empresas paraguas a reevaluar sus procesos y protocolos de seguridad de TI.
Dijo que por esta razón, Professional Passport había “iniciado una revisión de las medidas de seguridad que nuestros proveedores y socios de la cadena de suministro tienen implementadas y trabajarán con ellos para desarrollar estándares apropiados”.
Como otro organismo preocupado por garantizar el cumplimiento y las buenas prácticas en el sector paraguas, Computer Weekly preguntó a la FCSA si tenía políticas para orientar a sus miembros sobre cómo lidiar con los ataques de ransomware, y si se esperaba que sus miembros realizaran pruebas de penetración de forma rutinaria en sus sistemas. La Asociación no respondió directamente a estas preguntas.
Fortalecimiento de los argumentos a favor de la regulación legal
Si bien se espera que el ataque de Giant Group pueda llevar a otras empresas paraguas a reevaluar su propia postura de seguridad, las partes interesadas del mercado contratante esperan que el incidente pueda llevar al gobierno del Reino Unido a acelerar el despliegue de la regulación legal para las empresas paraguas.
Ha habido algunos avances en este frente, con el gobierno del Reino Unido estableciendo planes para crear un organismo de ejecución único (SEB) a su debido tiempo que se encargará de …