Los exjefes del Ayuntamiento de Copeland culpan a un ataque de ransomware de 2017 por el hecho de que la autoridad no presentó cuentas auditadas para sus últimos cuatro años de actividad.
Como parte de la reforma del gobierno local, Copeland se incorporó a la autoridad conjunta de Cumberland el 1 de abril de 2023.
Los auditores de Grant Thornton ahora también han criticado a Copeland por su respuesta al ataque de ransomware, que según los exjefes del consejo está detrás de sus problemas contables, destacando una aparente incapacidad para demostrar cómo se han gastado los fondos asignados y por la falta de medidas adecuadas de seguridad cibernética. .
Un informe de auditoría elaborado por Grant Thornton y presentado recientemente a los concejales destacó que Copeland había contratado personal de TI no especializado para supervisar la recuperación del ataque de 2017, que también afectó a otros ayuntamientos y a docenas de fideicomisos del NHS en Inglaterra.
“El Consejo encargó a contratistas externos que ayudaran en la recuperación del ciberataque”, concluyó. “Sin embargo, estos contratistas eran en gran medida personal general de TI y no especialistas externos en recuperación de incidentes cibernéticos. Luego, el consejo reconstruyó sus sistemas informáticos críticos en equipos al final de su vida útil”.
También descubrió que Copeland no sabía qué equipo tenía o si aún contaba con soporte al final del siguiente año financiero, y agregó que no entendía los riesgos que enfrentaba debido a las “debilidades presentes en su entorno de control de TI”.
El informe concluyó que la dirección del consejo “debería garantizar que cualquier dirección de capital futura sea rastreada, informada y monitoreada adecuadamente para demostrar que se está garantizando la relación calidad-precio, dadas las fallas en la producción de pruebas que respalden la dirección de capital de £ 1,8 millones utilizada para cubrir los costos de los ataques cibernéticos en 2018 y 2019”.
Ataques de ransomware
El Ayuntamiento de Copeland se vio afectado por una ola de ataques de ransomware WannaCry en mayo de 2017 que causó estragos en varios proveedores de servicios públicos del Reino Unido durante un fin de semana festivo.
Tras el ataque WannaCry, Copeland presentó una serie de solicitudes para pedir prestados millones de reservas de capital para pagar los costos de funcionamiento diarios.
Un ex concejal que también trabajó en Sellafield se hizo eco de algunos de estos comentarios cuando le dijo a Computer Weekly el año pasado que era consciente de que no se habían considerado las posibles vulnerabilidades de seguridad cibernética en relación con Sellafield antes del ataque.
A pesar de haberle dicho a la BBC que el ciberataque había sido contenido en 2018, una fuente del consejo le dijo a Computer Weekly que los jefes de Copeland admitieron posteriormente que “todavía no saben quién lo hizo y qué [information] se perdió” durante el ataque de 2017.
La posesión única por parte de Copeland y Cumberland de datos operativos para el sitio nuclear más grande de Europa, que emplea a alrededor de 11.000 personas en sus instalaciones a lo largo de la costa de Cumbria, lo convierte en un objetivo particularmente vulnerable para los ataques cibernéticos, según una fuente del consejo. Estos datos pueden incluir el movimiento del inventario nuclear, la gestión de residuos, la información de planificación y los servicios proporcionados a Sellafield por los contratistas.
Sellafield y sus organismos reguladores, sin embargo, dicen que no tienen motivos para creer que alguna información confidencial se haya visto comprometida en el ataque de ransomware de 2017.
Mar de rojo
Las repercusiones financieras del ataque de ransomware han sido de gran alcance, según exjefes del consejo que culpan de la evolución de la crisis de cuentas de Copeland al incidente de 2017.
En los libros de Copeland se ha identificado una “discrepancia” de al menos 8 millones de libras esterlinas, lo que representa más de la mitad del presupuesto de un año entero en el consejo municipal recientemente disuelto. Se entiende que las consecuencias del incidente contribuyeron a un déficit de casi 30 millones de libras esterlinas en la recién creada autoridad de Cumberland.
Los auditores de Grant Thornton destriparon a los funcionarios del consejo sobre el estado de las finanzas de Copeland en una reunión de marzo, describiéndolos como “un mar de rojo” e indicios de fallas a largo plazo.
“En mi larga carrera como auditor en el gobierno local, nunca había visto un conjunto de cuentas tan malas como estas”, dijo uno de los auditores principales de la empresa a las cifras del consejo. “He estado haciendo este trabajo durante mucho tiempo y esta es una de las peores series de informes de auditoría que hemos encontrado. Todo lo que razonablemente podríamos esperar que se hiciera no ha sucedido en Copeland durante un largo período de tiempo. Copeland estuvo significativamente por debajo de lo esperado”.
El informe de auditoría más reciente que Grant Thornton produjo para el consejo también destacó la falta de responsabilidad dentro del consejo sobre los costos derivados del ciberataque y la respuesta posterior. El informe señaló la rotación de personal y el mantenimiento deficiente de registros como razones para esto.
Encontró que “la gerencia no pudo explicar completamente la composición de los costos relacionados con el ciberespacio y la pérdida de ingresos para respaldar la directiva de capitalización de octubre de 2018 debido a que los registros no estaban disponibles y la transición del personal provocada por el paso del tiempo. Por lo tanto, no es posible concluir que los gastos incurridos generaron valor para los residentes de Copeland durante 2018/19”.
Cumberland ahora se enfrenta a recomendaciones legales (una medida descrita como “increíblemente rara” por los auditores) si no presenta las cuentas pendientes de Copeland correspondientes a cuatro años antes del 30 de septiembre de 2024.
control de salud de TI
Quedan preguntas importantes sobre la idoneidad de los sistemas de defensa cibernética y la gobernanza general de TI de la autoridad local de Cumbria.
El inspector nuclear jefe del Reino Unido pedido “liderazgo fuerte y consistente” sobre seguridad cibernética en la industria nuclear en la conferencia anual de la Oficina de Regulación Nuclear en octubre.
Sin embargo, una serie de informes de Computer Weekly, Detective privado y El guardián han planteado preguntas sobre las vulnerabilidades del régimen de seguridad cibernética de Sellafield y las prácticas de los empleados tanto dentro como fuera del sitio. Una fuente del consejo describió recientemente a Copeland y Cumberland como un “talón de Aquiles” para los piratas informáticos y las amenazas cibernéticas.
Cumberland dijo a Computer Weekly que había desarrollado un “plan de emergencia provisional”, pero no proporcionó más detalles del documento ni una copia del mismo.
Un portavoz del consejo argumentó que hacerlo o “proporcionar más detalles sobre los sistemas de TI podría poner en riesgo la seguridad de los sistemas”.
El portavoz dijo que el Consejo de Cumberland es consciente de que no existía un plan de recuperación de desastres para el antiguo Copeland. Tras el extenso trabajo realizado para lograr el cumplimiento de la Red de Servicios Públicos (PSN), un estándar de seguridad cibernética del gobierno, en Copeland, el equipo de Cumberland ha desarrollado un plan de recuperación provisional. “Esto garantiza que existan planes para todas las redes heredadas”, dijo.
Russell Price, presidente del Foro de Continuidad, criticó el año pasado la respuesta de los medios de Copeland al incidente de 2017. Pero, dijo, Copeland y Cumberland enfrentan desafíos de seguridad cibernética a los que se enfrentan muchos organismos del sector público del Reino Unido.
El portavoz de Cumberland dijo a Computer Weekly que las medidas adoptadas para abordar la seguridad cibernética desde que se creó la autoridad combinada en abril de 2023 habían sido “extensas”.
“Cumberland ha realizado una cantidad significativa de trabajo para garantizar que el entorno de control de TIC de Copeland cumpla con los requisitos de la acreditación de redes de servicios públicos”, dijo el portavoz.
“Este trabajo sólo podría comenzar a partir del 1 de abril de 2023, cuando se creó el Consejo de Cumberland. Una cantidad significativa de la antigua arquitectura de TIC de Copeland ahora está basada en la nube”, continuaron.
“Se encargó y llevó a cabo una extensa verificación del estado de las TIC, y se llevó a cabo un trabajo más extenso para abordar las acciones correctivas para obtener la certificación PSN para la red Copeland heredada”.
Riesgo estratégico
El portavoz del ayuntamiento también dijo que la autoridad local había “registrado un riesgo estratégico” de ciberataques debido al actual clima geopolítico.
Estados Unidos ha advertido que China está aumentando el uso de ciberataques dirigidos a infraestructuras energéticas y de servicios públicos clave en Occidente.
Sin embargo, un exjefe del Centro Nacional de Seguridad Cibernética dijo recientemente a Computer Weekly que el Reino Unido corre el riesgo de malinterpretar las amenazas cibernéticas planteadas por China y otros actores estatales potencialmente hostiles.
“La mayor parte de la infraestructura de Copeland ha sido reemplazada, modernizada e implementada de acuerdo con las mejores prácticas”, dijo el portavoz. “Esto incluye la red central, los firewalls, la VPN y las instalaciones del centro de datos.
“El Consejo de Cumberland ha registrado un riesgo estratégico en relación con los ciberataques, debido al actual entorno de riesgo geopolítico”, continuaron. “El equipo está actualmente armonizando sus registros de riesgo operativo y trabajará con el Gerente de Riesgos del Consejo para producir un registro de riesgo operativo que se ajuste al Marco de Gestión de Riesgos del Consejo”.
Se ha contactado a Sellafield para hacer comentarios.