Es la complacencia organizacional, en lugar de las acciones específicas de los ciberdelincuentes y otros actores de amenazas, lo que representa la mayor fuente de riesgo para las empresas británicas, advirtió el comisionado de información John Edwards.
Hablando mientras la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) multó a la empresa de construcción Interserve con £ 4,4 millones por un incidente de ransomware en 2020 en el que se robaron los datos de 113,000 empleados, Edwards dijo que las empresas se exponen a ataques al ignorar medidas cruciales como parches y capacitación del personal.
Interserve fue atacado por ciberdelincuentes no especificados a principios de 2020. El incidente se notificó a la ICO y su investigación posterior descubrió que la infracción se originó a través de un correo electrónico de phishing que no fue puesto en cuarentena ni bloqueado por los sistemas de seguridad de la víctima.
Los ciberdelincuentes pudieron encriptar y robar los datos personales de los empleados de Interserve, incluidos los datos de contacto, los números de seguro nacional, los datos bancarios, así como información sobre antecedentes étnicos o religiosos, salud y discapacidades y orientación sexual, después de que el destinatario del phishing – trabajando desde casa durante el primer confinamiento por Covid-19 en el Reino Unido – se lo reenvió a un colega que lo abrió y descargó su contenido, otorgando a la pandilla acceso al patrimonio de TI de Interserve.
El ICO dijo que debido a que los empleados estaban accediendo a los sistemas de Interserve a través de un método de túnel dividido, la persona que hizo clic en el enlace del correo electrónico no pasó por el sistema de puerta de enlace de Internet Bluecoat de la compañía, que tendría acceso restringido. También se descubrió que uno de los dos empleados no había recibido capacitación en seguridad.
En el transcurso del ataque, se comprometieron 283 sistemas y 16 cuentas, y se desinstaló la solución antivirus de la empresa.
El error humano se agravó aún más en este caso cuando la solución antivirus de Interserve puso en cuarentena el malware y alertó a su equipo de seguridad, que no investigó adecuadamente la actividad, creyendo que el incidente estaba contenido. Si hubiera mirado más de cerca, el incidente probablemente se habría resuelto en poco tiempo, ya que Interserve habría descubierto que su atacante había logrado la persistencia y, de hecho, estaba en proceso de desactivar el antivirus.
“El mayor riesgo cibernético que enfrentan las empresas no proviene de los piratas informáticos fuera de su empresa, sino de la complacencia dentro de su empresa. Si su empresa no monitorea regularmente la actividad sospechosa en sus sistemas y no responde a las advertencias, o no actualiza el software y no brinda capacitación al personal, puede esperar una multa similar de mi oficina”, dijo Edwards.
“Nunca es aceptable dejar la puerta abierta a los atacantes cibernéticos, especialmente cuando se trata de la información más confidencial de las personas. Esta violación de datos tenía el potencial de causar un daño real al personal de Interserve, ya que los dejaba vulnerables a la posibilidad de robo de identidad y fraude financiero”.
La investigación de ICO encontró que Interserve no hizo un seguimiento de las alertas de seguridad, usó sistemas y protocolos de software obsoletos y no había implementado la capacitación adecuada del personal ni realizado suficientes evaluaciones de riesgos cibernéticos. Dictaminó que Interserve violó la ley de protección de datos al “no implementar las medidas técnicas y organizativas apropiadas para evitar el acceso no autorizado a la información de las personas”.
Cabe señalar que después de tener dificultades financieras, Interserve entró en administración y debía más de 100 millones de libras esterlinas un año antes del incidente, antes de ser “rescatada” en un acuerdo de preenvasado y algunas de sus unidades comerciales se vendieron.
Como tal, Computer Weekly entiende que la multa, que puede apelarse pero debe pagarse antes del 21 de noviembre de 2022, se impondrá a la empresa sucesora Interserve Group Ltd, que ahora es la organización matriz.
El autodenominado enfoque “robusto pero justo” del ICO para imponer multas continúa aplicándose a las empresas en administración, y la organización está facultada para ofrecer opciones como planes de pago si los deudores experimentan dificultades financieras genuinas. En el caso de que puedan o no paguen, el organismo está facultado para ejercer las acciones formales de recuperación que pueden dar lugar a la insolvencia. En los casos en que los directores puedan tratar de evitar el pago mediante la insolvencia, también pueden ejercer sus derechos legales como lo haría cualquier otro acreedor.
“Los ataques cibernéticos son una preocupación mundial, y las empresas de todo el mundo deben tomar medidas para protegerse contra la autocomplacencia”, continuó Edwards.
“El ICO y el NCSC [National Cyber Security Centre] ya trabajamos juntos para ofrecer asesoramiento y apoyo a las empresas, y esta semana me reuniré con reguladores de todo el mundo para trabajar en una orientación cibernética internacional consistente para que los datos de las personas estén protegidos donde sea que se encuentre una empresa”.
A finales de esta semana, Edwards asistirá a la 44elAsamblea Global de Privacidad en Turquía, que convocará a más de 120 organismos de protección de datos y privacidad de todo el mundo. En el evento, presentará una resolución que pide una colaboración internacional más profunda al servicio de la resiliencia cibernética.