El Servicio de Policía de Irlanda del Norte (PSNI) y An Garda Síochána de Irlanda están investigando una serie de violaciones de datos en varias organizaciones benéficas que trabajan con personas vulnerables, incluidas víctimas de abuso sexual infantil, después de que sus datos se vieran comprometidos en un ataque cibernético a un proveedor de TI.
El proveedor, Evide, con sede en Derry-Londonderry, es una empresa de servicios de gestión de datos que se especializa en organizaciones del tercer sector. Su plataforma Impact Tracker es utilizada por organizaciones benéficas en Irlanda y el Reino Unido para administrar los datos y los resultados de la campaña.
Se entiende que fue atacado por un operador de ransomware aún no revelado en marzo de 2023. Según RTÉ, sus atacantes exigieron un rescate, pero Evide no pagó.
En un comunicado, Evide dijo: “Recientemente nos enteramos de un incidente cuando se detectó tráfico inusual en nuestra red. Tan pronto como nos dimos cuenta de que un tercero había accedido a nuestros sistemas, nos comunicamos de inmediato con PSNI y contratamos los servicios de especialistas en seguridad cibernética para ayudarnos a contener el problema, respaldar los esfuerzos de recuperación y realizar una investigación exhaustiva.
“Hemos proporcionado notificaciones a todas las partes interesadas y clientes relevantes y también notificamos a las autoridades pertinentes, incluido el Servicio de Policía de Irlanda del Norte, que notificó a An Garda Síochána. El incidente ahora también está sujeto a una investigación criminal”.
Dos de las organizaciones benéficas que se sabe que han sido afectadas son One in Four, con sede en Dublín, que trabaja con adultos sobrevivientes de abuso sexual infantil, y Orchardville, con sede en Belfast, que apoya a adultos con autismo y problemas de aprendizaje.
One in Four dijo que se enteró de la violación el 5 de abril cuando se le notificó en el curso de la investigación de Evide.
“Ahora sabemos que se ha accedido a la información personal de las personas que han utilizado nuestro servicio”, dijo la organización en un comunicado.
“Hemos comenzado a comunicarnos directamente con clientes individuales para informarles sobre el incidente y abordar cualquier inquietud que puedan tener. Hemos adoptado este enfoque para permitirnos brindar el apoyo adecuado a los clientes que pueden encontrar este incidente angustioso. Nuestra prioridad en todo momento es el bienestar y bienestar de nuestros clientes.”
En declaraciones a RTÉ, la directora ejecutiva de la organización benéfica, Maeve Lewis, dijo que no estaba segura de qué datos habían sido robados, pero que probablemente incluían información personal.
Mientras tanto, Orchardville dijo que también estaba trabajando para establecer qué datos se habían visto comprometidos y advirtió a los usuarios del servicio que estén alertas a los contactos sospechosos.
“Es censurable, pero los ataques como este contra algunos de los más vulnerables son populares entre ciertos delincuentes cibernéticos”, dijo Brian Higgins, especialista en seguridad de Comparitech.
“La reacción instintiva de las organizaciones de víctimas siempre será hacer todo lo posible para proteger a aquellos a quienes están encargados de ayudar y esto a menudo se puede explotar como una motivación para pagar un rescate rápidamente en lugar de arriesgarse a sufrir más daños.
“Parece que Evide, sus clientes afectados y PSNI tienen en acción un plan integral de respuesta a incidentes y están haciendo todo lo posible para acabar con este despreciable ataque de la manera recomendada.
“Su estrategia de comunicación es muy clara y cualquier persona que piense que puede verse afectada o conozca a alguien que sea cliente de alguna de las organizaciones de víctimas enumeradas debe seguir los consejos emitidos por PSNI y reportar cualquier mensaje no solicitado sobre el ataque. Nunca participes ni respondas. Solo reportar y borrar”, agregó.
Riesgo para las organizaciones benéficas
Las organizaciones benéficas se consideran especialmente expuestas a incidentes de seguridad cibernética de este tipo por dos razones principales.
La primera se debe a la gran cantidad de datos personales inmensamente valiosos que poseen. Por su naturaleza, dichos datos con frecuencia caen bajo el término general de datos de categoría especial bajo el RGPD del Reino Unido y la Unión Europea (UE), que incluye información sobre antecedentes étnicos y raciales, opiniones políticas, creencias filosóficas y religiosas, afiliación sindical, datos genéticos. , datos biométricos, datos de salud y datos sobre la vida sexual, la orientación sexual y la identidad de género de una persona.
La segunda razón es que las organizaciones benéficas suelen ser organizaciones pequeñas y con recursos insuficientes que pueden ser reacias a gastar sus fondos limitados en controles de seguridad cibernética apropiados, a menudo dependen de políticas de traiga su propio dispositivo y tienen una gran cantidad de trabajadores ocasionales y voluntarios que pueden carecer de conocimientos y formación cibernéticos básicos.
Escribiendo en Computer Weekly en febrero de 2023, Rob Shapland, un hacker ético y jefe de innovación cibernética en Falanx Cyber, y Adam Monks, director ejecutivo del especialista en el tercer sector MSP Smartdesc, establecieron tres pasos que las organizaciones benéficas pueden tomar para ayudar a mitigar el riesgo de ser víctima de un ciberataque. Estos son:
- Subcontratar e invertir en un servicio de director de seguridad de la información virtual (vCISO);
- Considerar invertir en servicios administrados de detección y respuesta (MDR);
- Y utilizar pruebas de penetración de terceros y servicios de piratería ética si es posible.
“Las organizaciones benéficas están en el radar de los ciberdelincuentes, incluso las grandes y conocidas organizaciones benéficas son vulnerables. El impacto de un ataque a gran escala puede ser devastador, en particular el tiempo de inactividad y el daño a la marca y la confianza de los seguidores”, escribieron.
“La inversión de tiempo y dinero en la estrategia y los servicios de seguridad cibernética correctos, de parte de especialistas que entienden los desafíos del sector, siempre superará el largo camino hacia la recuperación de un ataque exitoso, que daña la reputación”.
Paquete de soporte popular
Mientras tanto, en enero de este año, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido lanzó un paquete de medidas de apoyo para organizaciones benéficas que trabajan con grupos vulnerables, incluidos niños, sobrevivientes de violencia doméstica y refugiados.
Entregado junto con el consorcio de seguridad cibernética IASME, las organizaciones benéficas que solicitaron con éxito el esquema Funded Cyber Essentials recibirán 20 horas de soporte gratuito de un asesor acreditado de Cyber Essentials para ayudarlos a implementar los cinco pilares centrales: firewalls, configuraciones seguras, controles de acceso, malware y actualizaciones de software, que abren la certificación Cyber Essentials Plus de NCSC.
La oferta resultó tan popular que desde entonces el NCSC y el IASME han tenido que cerrar las solicitudes.