Un consejo afectado por un ataque cibernético podría verse obligado a responder preguntas sobre la capacitación en TI y seguridad que brindó al personal cuando se vieron obligados a trabajar desde casa debido a la pandemia.
Los ciberdelincuentes atacaron Hackney Council en octubre de 2020, con Pysa, o Mespinoza, ransomware paralizando algunos de sus servicios en línea.
Cuatro meses después, los datos de los empleados y residentes fueron supuestamente publicados en la web oscura por piratas informáticos que afirmaron que provenían del ataque a los sistemas de TI del consejo de Londres.
El consejo dijo que el ataque afectó “un conjunto limitado de datos, no se ha publicado en un foro público ampliamente disponible y no está disponible a través de motores de búsqueda en Internet”.
La Agencia Nacional del Crimen todavía está investigando el ataque, al igual que el Centro Nacional de Seguridad Cibernética.
Datos perdidos
El ataque le ha costado al consejo millones de libras y aún le faltan datos en muchos servicios.
Dijo que los servicios más críticos eran Mosaic para la atención social, Academy para sus beneficios e ingresos, y M3 para la planificación y los cargos por la tierra y la entrega de herramientas digitales modernas en la vivienda.
Otras autoridades locales han sido atacadas por piratas informáticos. El Ayuntamiento de Gloucester se convirtió en la última víctima cuando fue atacado por segunda vez en diciembre, cuando los piratas informáticos atacaron los servicios, incluidos los ingresos, los beneficios y la planificación.
Los ayuntamientos de Salisbury, Copeland e Islington también se vieron afectados por ataques cibernéticos durante el feriado bancario de agosto de 2017, cuando los piratas pidieron sin éxito un rescate de bitcoin a cambio de datos.
El ataque a Hackney afectó los datos de beneficios. Algunas personas no pudieron realizar búsquedas de propiedades, lo que afectó algunas ventas de casas en el distrito del este de Londres.
Comisionado de información para tomar medidas
El consejo ahora enfrenta la acción del comisionado de información después de negarse a decir si brindó capacitación en seguridad al personal del consejo cuando se les pidió que trabajaran desde casa durante la pandemia.
El activista liberal demócrata Darren Martin presentó una solicitud de libertad de información para preguntarle al consejo qué capacitación en seguridad de TI se brindó al personal en los dos años previos al ataque cibernético.
“Si resulta que el ataque que ha dejado paralizados nuestros servicios vitales en el distrito desde 2020 se originó a partir de una estafa de phishing o a través de alguien que trabaja desde casa, y que podría haberse evitado con capacitación y seguridad adicionales, entonces el alcalde de Hackney y la administración laborista debe asumir toda la responsabilidad por eso”, dijo Martin.
Sin las protecciones de seguridad que brindan los sistemas de oficina, como firewalls y direcciones IP en listas negras, el personal que trabaja desde casa podría haber sido vulnerable a correos electrónicos de phishing y ataques cibernéticos, agregó el activista.
Martin dijo que quería que Hackney Council explicara si ofrecía capacitación adicional ya que más personal trabajaba desde casa debido a la pandemia.
“Hice una simple pregunta sobre si se brindó capacitación importante a los empleados que acceden a los sistemas del ayuntamiento desde sus hogares, y si divulgar esa información afecta la investigación policial, entonces es el deber del ayuntamiento de Hackney explicar adecuadamente por qué”, dijo.
“Si bien es completamente comprensible que parte de la información no se pueda divulgar debido a la naturaleza continua del ataque cibernético y la investigación policial, el Consejo de Hackney no puede usar esto como una excusa para obstruir cada solicitud de transparencia”.
El consejo dijo que no tenía que responder a la solicitud de libertad de información de Martin debido a las exenciones relacionadas con la revelación de información sobre la prevención o detección de delitos.
Servicios en la nube
Hackney Council dijo que había “invertido mucho en tecnología moderna y servicios basados en la nube, por delante de muchos otros consejos”. Dijo que no era complaciente antes del ataque y continúa invirtiendo en seguridad cibernética.
La autoridad dijo que se había “alejado de los servidores y PC anticuados a sistemas basados en la nube”.
Los sistemas más antiguos del consejo se vieron afectados por un “ataque criminal complejo y sofisticado a los servicios públicos”, agregó. “El ataque a Hackney fue parte de un rápido aumento de amenazas cibernéticas graves a nivel mundial, que impactó en una gran cantidad de organizaciones de alto perfil”.
El consejo dijo que “continuaba haciendo todo lo posible para proteger nuestros sistemas y datos, y también para apoyar la resiliencia cibernética en todo el sector del gobierno local más amplio compartiendo nuestro aprendizaje”.
Riesgo de desacato
Martin apeló contra la acción del consejo y luego llevó su queja a la Oficina del Comisionado de Información (ICO), que envió al consejo una orden de información pidiéndole que proporcione más detalles sobre por qué había rechazado la solicitud.
Los organismos públicos tienen que responder a una orden de información dentro de los 30 días o corren el riesgo de estar en desacato al tribunal.
Los correos electrónicos de seguimiento del ICO se encontraron con mensajes de fuera de la oficina y el consejo no respondió a las llamadas telefónicas del organismo de control de datos. La cuestión ha sido remitida ahora al departamento jurídico del ICO.
Hackney Council dijo que está hablando con la ICO para llevar a cabo sus responsabilidades con respecto a la solicitud de FoI de Martin.
La carta del auditor anual de su auditor Mazars, discutida por el consejo este año, decía: “El trabajo realizado por nuestros especialistas cibernéticos y de auditoría de TI ha confirmado que el consejo tenía los arreglos apropiados para prevenir o reducir la probabilidad de una violación de la seguridad cibernética. ”
El consejo dijo que estaba siguiendo las mejoras recomendadas por Mazars en un informe sobre el ataque cibernético que se discutió a puerta cerrada en una reunión el mes pasado.
La autoridad dijo que está comprometida a ser lo más transparente posible sobre el ataque.
“Desafortunadamente, tenemos que ser cautelosos con la información que compartimos”, dijo un portavoz. “La investigación criminal sobre el ataque está en curso y los grupos criminales sofisticados continúan apuntando a todas las organizaciones. Incluso la información que puede parecer de bajo riesgo puede ayudar a los delincuentes a causar más daño al consejo y a nuestros residentes”.