El informe de un auditor sobre un ataque cibernético “devastador” que le costó al Consejo de Hackney millones de libras ha sido discutido a puerta cerrada por los políticos.
Los piratas informáticos atacaron el ayuntamiento con el ransomware Pysa, o Mespinoza, en octubre de 2020 y, en enero siguiente, los ciberdelincuentes publicaron documentos en la dark web, que supuestamente incluían datos personales del personal del ayuntamiento y los residentes.
El consejo dijo que los datos no se podían encontrar a través de los motores de búsqueda y que la mayoría de los datos personales o confidenciales no se vieron afectados.
El hackeo le ha costado al concejo millones en términos de recuperación y pérdida de ingresos, y lo golpeó duro en medio de una pandemia.
Afectó a una variedad de servicios, incluido el sistema de beneficios que impactó las evaluaciones de beneficios para miles de residentes, así como las búsquedas de propiedad de la tierra, que afectaron a los cazadores y vendedores de casas.
Los concejales del comité de auditoría del ayuntamiento de Hackney examinaron el informe del equipo de TI en auditores Mazars en privado, en una reunión del ayuntamiento el 5 de enero.
La oficial de monitoreo del consejo, Dawn Carter-McDonald, dijo que el público no podía escuchar sobre el contenido del informe ni leerlo. Citó una exención bajo la legislación del gobierno local debido a “información relacionada con cualquier acción tomada o por tomar en relación con la prevención, investigación o enjuiciamiento de delitos”.
El concejal Nick Sharman, quien preside el comité, dijo: “Este es uno de los ataques más devastadores que hemos recibido. Ha tenido un efecto dañino tanto en las operaciones del consejo como en los residentes, y ciertamente queremos compartir la mayor cantidad de información posible”.
Dijo que tomó el consejo del oficial de monitoreo y que podría haber “posibles implicaciones de criminalidad”.
Sharman dijo que era “sensible” a los argumentos para hacer públicos los contenidos y que vería qué información se podría divulgar.
Los servicios municipales siguen recuperándose
Más de un año después, los servicios de ingresos y beneficios ahora están lidiando con retrasos, pero la atención social no tiene “el conjunto completo de funciones” que necesita para operar el departamento normalmente.
En un informe no confidencial, el director de finanzas del grupo del consejo, Ian Williams, dijo: “Después del trabajo realizado por el equipo de auditoría de TI de Mazars, en respuesta al ataque cibernético en el consejo, Mazars ha concluido que están satisfechos de que, en todos los aspectos significativos, , el consejo había puesto en marcha los arreglos adecuados para asegurar la economía, la eficiencia y la eficacia en el uso de los recursos para el año que finalizó el 31 de marzo de 2020”.
El consejo dijo que todavía está trabajando para recuperar los datos perdidos durante el ataque de ransomware. Dijo que los servicios de TI más críticos eran:
- Mosaico (atención social)
- Academia (beneficios e ingresos)
- M3 (Planificación y gastos de suelo)
- La entrega de herramientas digitales modernas para reemplazar un sistema heredado en la vivienda
Se necesita más trabajo para recuperar los sistemas
Un informe público dijo: “En todos los casos se han logrado avances, pero debido a la naturaleza grave y compleja del ataque, aún se necesita más trabajo para recuperar completamente los servicios”.
En algunos, como el procesamiento de ingresos y beneficios, el trabajo de recuperación del sistema ha progresado lo suficiente como para que los equipos de servicio ahora puedan comenzar a abordar los retrasos que se han acumulado como resultado del ataque.
En otros servicios, por ejemplo, atención social, los equipos de servicio tienen acceso a datos básicos que se han recuperado pero que aún no tienen acceso al conjunto completo de funciones necesarias para operar con normalidad.
“Hay algunos conjuntos de datos en los que el trabajo de recuperación aún está sujeto a investigación técnica, por lo que los plazos para la recuperación aún no están claros”, dijo el informe.
Un informe del director de finanzas del grupo del consejo, Ian Williams, dijo: “Cuando se descubrió el ataque en octubre de 2020, se llevó a cabo un trabajo inmediato para aislar los sistemas y la red alojados internamente del consejo, y para notificar a los líderes nacionales de seguridad cibernética. ”
Sin embargo, dijo que persisten los riesgos de que el trabajo de recuperación pueda introducir nuevas vulnerabilidades o reintroducir vulnerabilidades que existían en el momento del ataque. El trabajo de recuperación también podría conducir a la retención de elementos del ataque que podrían reutilizarse en el futuro, según el informe.
Quedan más riesgos relacionados con los datos robados y publicados en la dark web en enero de 2021.
Esfuerzos para reducir los altos riesgos de ataques cibernéticos
El consejo califica el riesgo corporativo del ataque cibernético como rojo y lo marca como 15, frente a un objetivo de 10 en su registro de riesgos. También dijo que el riesgo para la seguridad de la información, incluida la “caída” del ataque cibernético, se situó en 20 frente a un objetivo de nueve.
Los únicos riesgos más altos son una recesión económica y el impacto de la financiación para el apoyo a las necesidades educativas especiales, que tiene una calificación de 25.
Un informe de gestión de riesgos corporativos dijo que numerosos eventos externos están teniendo un impacto considerable en los objetivos del consejo, en particular la pandemia de coronavirus y el ataque cibernético de octubre de 2020.
“Áreas como las finanzas (con recortes presupuestarios y especialmente los desafíos actuales como el volátil mercado de la energía y los rápidos aumentos en el costo de vida) ya eran problemáticas antes de la pandemia, y ahora se han intensificado, y el ataque cibernético ha afectado severamente la operación efectiva de algunos servicios”, dice el informe.
Los piratas cibernéticos atacaron el consejo de Gloucestershire en diciembre de 2021. Los servicios afectados incluyeron ingresos, beneficios y planificación.
Los ayuntamientos de Salisbury, Copeland e Islington sufrieron ataques cibernéticos durante el feriado bancario de agosto de 2017. Los piratas informáticos pidieron sin éxito un rescate de bitcoin a cambio de datos.
Una encuesta realizada por Big Brother Watch encontró que 114 consejos tuvieron al menos una brecha en el sistema informático entre 2013 y 2017, y 25 de ellos sufrieron una pérdida o una brecha de datos.