La Oficina del Comisionado de Información (ICO) ha reprendido enérgicamente al distrito londinense de Hackney por una serie de fallos que provocaron un devastador ataque de ransomware en octubre de 2020.
La banda de ransomware Pysa cifró un total de aproximadamente 440.000 archivos que afectaron a 280.000 residentes de Hackney en el este de Londres, después de que explotaron servidores y sistemas antiguos locales para acceder a la infraestructura de TI del Ayuntamiento.
La investigación de la ICO encontró ejemplos de una clara falta de políticas de seguridad adecuadas en el Hackney Council. Entre otras cosas, el regulador dijo que no había garantizado que se aplicaran activamente los procedimientos adecuados de gestión de parches a todos los dispositivos, y tampoco había cambiado una contraseña insegura en una cuenta de usuario inactiva que estaba conectada a los servidores del Consejo, que fue explotada por el ciberdelincuente. criminales.
Entre los servicios gravemente afectados se encuentran las operaciones de servicios de vivienda de Hackey, ya que los inquilinos no pudieron realizar pagos, reparar registros, aprobar solicitudes de vivienda o solicitar beneficios de vivienda o su plan de reducción de impuestos municipales. Los residentes del municipio tampoco pudieron realizar pagos en línea de impuestos municipales y tasas comerciales durante un tiempo.
Los ciberdelincuentes atacaron cuando el Reino Unido se tambaleaba al borde de un importante aumento de Covid-19 que hundió al país nuevamente en una serie de bloqueos y canceló efectivamente la Navidad. Es muy probable que esto haya aumentado el impacto final sobre los residentes. Los servicios normales no se restablecieron por completo hasta 2022.
“Este fue un error claro y evitable del distrito londinense de Hackney, que resultó en una pérdida masiva de datos y tuvo un impacto gravemente perjudicial para muchos residentes. En el peor de los casos, esto ha significado que parte de la información más profundamente personal posible haya terminado en manos de los atacantes. Los sistemas en los que confía la gente estuvieron fuera de línea durante muchos meses. Esto es totalmente inaceptable y no debería haber sucedido”, afirmó el comisionado adjunto de la ICO, Stephen Bonner.
“Si bien siempre pueden existir actores nefastos, el consejo no implementó de manera efectiva medidas suficientes que podrían haber protegido mejor sus sistemas y datos de los ataques cibernéticos. Cualquier persona responsable de proteger los datos personales no debería cometer errores simples como tener cuentas inactivas donde el nombre de usuario y la contraseña son los mismos. Una y otra vez vemos violaciones que no habrían ocurrido si se hubieran evitado tales errores”.
“Este fue un ataque deplorable por parte de ciberdelincuentes sofisticados y organizados, que se produjo en un momento en que estábamos respondiendo a la primera ola de la pandemia de Covid”, dijo la alcaldesa de Hackney, Caroline Woodley.
“Lamentamos profundamente el impacto que este ataque criminal sin sentido tuvo en los residentes y las empresas de Hackney, y agradezco al personal del consejo que continuó ayudando a nuestras comunidades a pesar de los desafíos, y a nuestros residentes por su paciencia mientras los servicios se vieron afectados”.
Datos de categoría especial
Durante el curso de su investigación, la ICO dijo que encontró que la información cifrada incluía información sobre datos de categorías protegidas según el RGPD del Reino Unido, incluida información sobre antecedentes raciales y étnicos, creencias religiosas, orientación sexual, datos de salud, datos económicos, datos sobre delitos penales, y nombres y direcciones.
Posteriormente, la pandilla Pysa filtró algunos de los datos del Ayuntamiento, incluida información de identificación personal (PII), incluidos datos de pasaporte, escaneos de documentos de auditoría de arrendamiento, datos del personal e información de seguridad de la comunidad. La ICO dijo que se extrajeron un total de 9.605 registros y que representaban un riesgo significativo de daño a 230 personas.
“Si queremos que la gente confíe en las autoridades locales, deben confiar en que las autoridades locales cuidarán sus datos adecuadamente. Los residentes de Hackney han aprendido por las malas las consecuencias de estos errores; los ayuntamientos de todo el país deberían actuar ahora para garantizar que esos errores son responsables no corren la misma suerte”, afirmó Bonner.
Acción rápida y completa
A su juicio, la ICO dijo que el Consejo de Hackney había acertado en algunas cosas: tomó “medidas rápidas e integrales” para mitigar el ataque tan pronto como quedó claro lo que estaba sucediendo, dijo Bonner, y se comprometió positivamente con organismos como el Consejo Nacional. Cyber Security Center (NCSC), la Agencia Nacional contra el Crimen (NCA) y la Policía Metropolitana de Londres.
La ICO también elogió al Consejo de Hackney por interactuar eficazmente con los residentes y mantener informados en todo momento a aquellos considerados en riesgo significativo.
También reconoció que el Consejo había sido hasta cierto punto consciente de las vulnerabilidades principales que condujeron al ataque de ransomware y había estado en camino de mejorar sus políticas de gestión de parches con un nuevo sistema. La ICO elogió además las estructuras generales de gobernanza, las políticas, los planes de mejora, la capacitación y el desarrollo del personal del Consejo tras el ataque y la introducción de una nueva política de seguridad de confianza cero.
Al emitir su amonestación, en lugar de una multa, el ICO también destacó el impacto que Covid-19 había tenido en los recursos de las autoridades locales en el momento del ataque.
“Hay un aprendizaje vital de esto tanto para Hackney como para los ayuntamientos de todo el país”, dijo Bonner. “los sistemas deben actualizarse; debe tomar medidas preventivas para reducir el riesgo y el impacto potencial del error humano y debe asegurarse de que los datos que se le confían estén protegidos”.
El Consejo de Hackney cuestiona las conclusiones
Sin embargo, a raíz del fallo de la ICO, tanto Woodley como Hackney Council respondieron, diciendo que cuestionaban varias de las conclusiones del regulador. Dijeron que sostuvieron que el Ayuntamiento no había violado sus obligaciones de seguridad y acusaron al ICO de malinterpretar los hechos y aplicar mal la ley, además de caracterizar erróneamente y exagerar el riesgo para los datos de los residentes.
Un portavoz del Consejo dijo: “Sin embargo, no creemos que sea de interés para nuestros residentes utilizar nuestros recursos limitados para impugnar la decisión de la ICO. En cambio, continuaremos trabajando estrechamente con el Centro Nacional de Seguridad Cibernética, el gobierno central y colegas de los gobiernos locales y el sector público en general para desempeñar nuestro papel en la defensa de los servicios públicos contra las amenazas cada vez mayores de ataques cibernéticos y ayudar a garantizar la seguridad y bienestar de nuestros residentes.
“Los sistemas de TI modernos son extremadamente complejos y las amenazas cibernéticas siguen aumentando. Desde 2020, organizaciones de todos los tamaños en los sectores público y privado han sido víctimas de delincuentes que implementan modos de ciberataque cada vez más complejos y sofisticados. Para hacer frente a esta amenaza que cambia rápidamente, hemos estado invirtiendo y reconstruyendo nuestros sistemas para acelerar aún más la ejecución de nuestra estrategia de utilizar los sistemas más modernos y seguros posibles”.