Agencias no han notificado ciberataque al Ombudsman en aparente violación a la ley

A 17 días del ataque de ransomware que comprometió los sistemas de al menos tres agencias públicas supuestamente a través de su contratista Truenorth, ninguna ha notificado formalmente a la Procuraduría Especializada de Sistemas de Seguridad de Bancos de Información de Gobierno (PESSBIG), adscrita a la Oficina del Ombudsman, en aparente violación a la ley y los reglamentos vigentes.

Así lo confirmó en entrevista exclusiva con INDIARIO la procuradora especializada Nilsa Vázquez Vélez, quien aseguró que, pese a que públicamente se ha indicado que las agencias no fueron afectadas, su oficina no ha recibido la certificación oficial requerida.

“Nosotros lo que le pedimos es esa notificación y que nos diga si fueron afectados y aunque en prensa se ha dicho que no fueron afectados, lo cierto es que no hemos recibido una certificación formal”, indicó vía telefónica, tras serle referida la petición hecha por este medio a través del Ombudsman de Puerto Rico, Edwin García Feliciano.

La funcionaria reveló que su oficina tuvo conocimiento del incidente a través de reportes periodísticos, no mediante los canales oficiales establecidos por ley.

“Yo me enteré por la prensa de la sitaucon que había acontecido con las tres agencias. La ley 111 de 2004l5 segun enmedada es donde se establece la responsabilidad del Ombudsman. Años despues nos hacen a nosotros los custodios y establecen la necesidad de informar a la ciudadania sobre su data comprometida”.

Vázquez Vélez explicó que la Procuraduría cursó requerimientos formales de información, los cuales no han sido contestados al cierre de esta edición.

“Nosotros le cursamos un requerimiento de informacion y ellos no han contestado”, enfatizó la procuradora especializada, quien añadió que el manejo inicial del incidente estuvo en manos del Puerto Rico Innovation and Technology Service (Prits).

“Prits fue que trabajó el caso e hicieron la conferencia de prensa a traves del licenciado Domenech. Como no recibimos la info, nosotros le hicimos el requerimiento”.

La procuradora recordó que existe un acuerdo colaborativo precisamente para evitar duplicidad de esfuerzos y asegurar un flujo ágil de información entre las agencias, Prits y el Ombudsman. No obstante, reconoció que su oficina ha tenido que reiterar la existencia de este trato a múltiples funcionarios de informática.

“Se nos ha hecho un poco cuesta ariba y repetitivo tener que estar a cada uno de los CISOs (Chief Information Security Officers o Director de Seguridad de la Información) hablándole del acuerdo colaborativo, pero aunque sabemos que el nuevo directivo (Poincaré Díaz) tiene conocimiento, siempre estamos enfatizando en que la información se nos tiene que dar”.

¿Deber legal de notificación ignorado?

Según explicó, PRITS custodia un sistema de notificación que automáticamente remite copia al Ombudsman cuando una agencia reporta un "data breach". Sin embargo, aclaró que eso no exime a los jefes de agencia de su deber legal de informar a la dependencia quien, a su vez, cuenta con diferentes mecanismo para comunicarle a la ciudadanía del incidente de ciberseguridad, indistintamente de que el ataque haya ocurrido de forma directa a la dependencia pública o a través de un contratista independiente, como es el caso de Truenorth.

“Todas las agencias se supone que tengan un Oficial de Informática. Cuando hay un "data breach", ese OPI es la encargada de informarle a PRITS a través de su sistema. Si utiliza ese sistema automáticamente la notificación entra al Ombudsman”.

Aun así, subrayó que ese paso no ocurrió en este caso, por lo que la Procuraduría hizo acercamientos directos que no han rendido frutos al momento.

“Inmediatamente y personalmenre hicimos acercamiento a ASES, el Departamento de Educación y el Fondo del Seguro del Estado”, sostuvo.

La procuradora fue enfática en que su rol no es técnico, sino de protección de derechos ciudadanos, dado a que la división que dirige no es experta en cibereguridad, pero le correponde enviar la notificacion a los ciudadanos sobre sus datos que pudieran estar comprometidos.

Vázquez Vélez anunció además que su oficina mantiene una investigación especial en curso sobre el cumplimiento de los protocolos de ciberseguridad en todas las agencias, al amparo de la Ley 97, que otorga al Ombudsman la facultad de manejar las notificaciones de data breach de forma expedita.

“Una tercera parte o menos no está en cumplimiento”, reveló la funcionaria.

Indicó que, aunque las agencias podrían estar esperando un informe forense sobre el ataque ransomware, eso no suspende su deber de notificar los pormenores del data breach, cuántos ciudadanos fueron afectados y otros detalles que le permitan determinar qué tipo de notificación enviará a las personas afectadas”.

La procuradora especial ecordó que tanto la Ley 40 como el Reglamento 22 del Ombudsman establecen términos estrictos sobre cuándo informar que fueron atacados, lo cual debe ocurrir con celeridad.

“La Ley 40 dice que tienen que notificarle a PRITS de 24 horas a 3 días y el Reglamento 22 de Odbusman establece el mismo término”, puntualizó, al tiempo que adelantó que el procurador se comunicará con cada jefe de la agencia para recordarle el proceso.

La funcionaria expresó preocupación ante la posibilidad de que el ataque haya comprometido información altamente sensible, como datos médicos protegidos bajo ley Hipaa, datos financieros, de menores de edad o cualquier otra información identificable.

En el caso del Fondo del Seguro del Estado, indicó que tuvo conocimiento de que esa corporación pública envió una carta a sus beneficiarios alertando sobre el incidente. Además, brindaron instrucciones sobre como cambiar sus credenciales de acceso.

INDIARIO aún no ha recibido el documento que DACO alega envió Truenorth el pasado 4 de diciembre, con detalles sobre el ataque de ransomware.