Ciberataques: Cuando las comunidades buscan defensas
Stormshield Cybersecurity, Governance, Cyberangriffe
Algunos expertos cibernéticos creen que el ciberataque a la ciudad de Baltimore (Estados Unidos) en mayo de 2019 fue un hecho destacado en las ciberamenazas contra municipios. Los elevados rescates y sumas de recuperación, la cobertura mediática o incluso el número de ordenadores el número de ordenadores afectados: el caso sí que había dejado una impresión. Y parece haber tenido un efecto dominó desde entonces ha habido más y más ejemplos a escala mundial.
Ciberataques y comunidades: una amenaza a escala internacional
Según einer Studie von 2020, el 44% de los ataques de ransomware tuvieron como objetivo municipios. Ataques de ransomware cada vez más complejos para las víctimas. En septiembre de 2020, los ciberdelincuentes expusieron 20 gigabytes de datos robados de la metrópolis francesa de Aix-Provence-Marsella en línea. En ellos había nombres de funcionarios y sus números de personal, así como dos archivos con 23.000 direcciones de correo electrónico vinculadas a nombres. Una filtración de de datos sensibles que puso de manifiesto una nueva forma de intimidación. intimidación, en la que se amenaza con filtrar datos para pagar un rescate. para forzar el pago de un rescate.
Y la amenaza es global. En julio de 2021, la administración del distrito de Anhalt-Bitterfeld, en Alemania, tuvo que cerrar tras un Cyberangriff ihre Faxgeräte aus dem Schrank holen. En Italia, toda la región del Lacio se vio afectada en agosto cuando un ransomware paralizó el centro de datos regional, provocando, entre otras cosas, la la plataforma de reservas para la vacunación Covid dejara de estar disponible. no estuviera disponible. En Estados Unidos hay innumerables ejemplos. En septiembre de 2021, el titular del Washington Post titulaba lo siguiente Ransomware bringt Chaos über amerikanische Städte. Desde der Polizei in Washington a las escuelas del condado de Fairfax, la tendencia parece haberse puesto de moda se ha puesto de moda y está llegando incluso a los centros penitenciarios. Así, en enero de 2022, ein Gefängnis in New Mexico sufrió un ciberataque que inutilizó cámaras y puertas automáticas.
"Hay una explosión de ataques de ransomware", confirma Vincent Nicaise, responsable de asociaciones y del ecosistema industrial en Stormshield. Esta aún más cuando algunas agencias gubernamentales están atacando tanto las tradicionales infraestructuras de TI tradicionales como las más sensibles de OT, como como muestra el ejemplo del ciberataque en Nuevo México, donde asociaciones municipales y otros ayuntamientos no son precisamente conocidos por su no son precisamente conocidos por su abundante liquidez. Entonces, ¿por qué deberían ser el objetivo? ¿Ser el objetivo? Para Philippe Loudenot, miembro del CESIN, responsable de ciberseguridad del consejo regional de Pays de la Loire y antiguo responsable de seguridad de los sistemas de información (FSSI) de los Ministerios de Asuntos Sociales, se trata sobre todo de ataques ataques oportunistas. Sin embargo, al suponer una amenaza directa para el al buen funcionamiento de los servicios públicos, los ciberataques que afectan a las administraciones locales merecen atención.
Los servicios públicos se ven afectados por los ciberataques
La ciberseguridad de los gobiernos locales es tan importante porque un ciberataque contra un municipio puede tener varios efectos, cada vez devastadores cada vez. Philippe Loudenot distingue cinco de ellas.
La amenaza a la continuidad del servicio público, que es típica de las administraciones. Los municipios dependen de sus sistemas informáticos para gestionar un amplio abanico de tareas, desde el comedor escolar hasta la comedor escolar hasta la red de transportes y los servicios sociales. Sin acceso a los datos, estas tareas se verán interrumpidas o gravemente perjudicadas.
Además, una fuga, robo o pérdida de datos personales debe tenerse en cuenta, ya que los ayuntamientos tienen acceso a datos sensibles de sus ciudadanos. datos sensibles de los ciudadanos. Por ejemplo, en mayo de 2021, unos ciberdelincuentes difundieron los datos de 1.000 empleados del Gran Annecy en Francia, incluidos los resultados de sus pruebas Covid y sus datos de contacto personales. datos de contacto, cinco meses después de un ataque al sistema informático de la sistema informático del municipio. En agosto de 2021, fue el sitio web francés de solicitudes de visado que sufrió un ataque de este tipo.
La pérdida de activos de datos es otro riesgo típico de los municipios. Además de los datos relativos a sus ciudadanos, "las autoridades locales disponen de un gran activo de datos", sabe Philippe Loudenot, como los datos de estado civil, sociales, financieros, fiscales, etc. datos fiscales, etc. Si estos datos se destruyen o su integridad integridad, la autoridad local corre el riesgo de perder parte de su historia. de su historia.
El impacto en la imagen de la autoridad local es también una consecuencia importante. Un ciberataque, cuando llega a conocimiento de los ciudadanos, puede tener puede tener un impacto negativo en la confianza de los ciudadanos en el municipio y sus servicios. municipio y sus servicios. Esto es aún más cierto en tiempos de elecciones locales ...
Por último, el riesgo legal también debe tenerse en cuenta. En caso de conducta indebida demostrada en la protección de datos personales, el municipio se ve amenazado con sanciones por parte por parte de las autoridades estatales, pero también acciones legales por parte de los propios ciudadanos. mismos.
La cartera o la vida pública
A nivel de distribución de amenazas y laut einem Bericht von Clusif aus dem Jahr 2020, una asociación francesa que se ocupa de la seguridad informática, el 30 30% de los municipios declararon haber sido víctimas de ransomware. Una cifra que debe debe contemplarse con distancia, ya que los ciberataques suelen volar bajo el radar. vuelan bajo el radar: más de la mitad de los municipios encuestados afirman no haberlo denunciado. En 2021, el periódico LeMagIt eine Zählung der französischen Städte durch, die von Ransomware betroffen waren.. Hay unos 60 en total, entre ellos Mitry-Mory, Chalon-sur-Saône, el Est Lyonnais, Douai, Villepinte, Erstein, Istres o Annecy. Annecy. La ANSSI menciona in einem speziellen Leitfaden zum Thema, todos los municipios y organismos intermunicipales se ven afectados.
Las peticiones de rescate pueden ser muy diferentes pero también hay que tener en cuenta los costes indirectos asociados a un ataque. costes asociados a un ataque.
Philippe Loudenot, delegado de ciberseguridad en el Consejo Regional de los Países del Loira, antiguo funcionario de la seguridad de los sistemas de información (FSSI) en el Ministerio de Sanidad y en el en los servicios del Primer Ministro
En cuanto al importe de los rescates, según la ANSSI ascienden a el rescate medio en Estados Unidos es de 836.000 dólares, en Francia es de 130.000 euros. "Los rescatesexigidos pueden variar mucho, pero también hay que tener en cuenta los costes indirectos ", señala Philippe Loudenot. Porque pagar un rescate no es la única pérdida que puede atribuirse a un ciberataque. En Francia, la ciudad de Chalon-sur-Saône y el área metropolitana de Chalon gastaron gastaron 550.000 euros en restaurar sus sistemas informáticos tras un ciber tras un ciberataque en febrero de 2021. El sitio ayuntamiento no da detalles sobre el pago de rescates ni el importe total total invertido en la limpieza -es decir, la restauración de los datos y la puesta de nuevo en funcionamiento del sistema. En concreto esto supuso introducir nuevos procedimientos y contrataciones para reforzar los equipos y contrataciones para reforzar los equipos responsables de la infraestructura de red, los proyectos técnicos y sistemas de seguridad. Philippe Loudenot también menciona los costes de los salarios pagados a los empleados a jornada reducida pagados a los empleados con jornada reducida, así como los costes de la comunicación que es necesaria para mantener debidamente informados a los ciudadanos. Por último pueden contemplarse sanciones si se detectan errores en la protección de datos personales,"aunque la autoridad francesa de protección de datos (CNIL) siga más bien una lógica de acompañamiento ".
Vectores de riesgo y superficie de ataque para las colectividades
Una lógica de acompañamiento, necesaria a todos los niveles, ya que la la superficie de ataque de las autoridades locales es tan grande debido a varias vulnerabilidades. vulnerabilidades es tan grande. Entre los orígenes de esta vulnerabilidad cabe citar una cierta falta de presupuestos asignados a las cuestiones de ciberseguridad. asignados: Die meisten französischen Gebietskörperschaften geben weniger als 10 % ihres Budgets für Cybersicherheit aus. Esto está en línea con la tasa recomendada por la ANSSI.
Una primera consecuencia directa: las fuentes de las infecciones están a menudo vinculadas al factor humano. Esto no es algo revolucionario, ya que Los empleados de la Administración están regularmente expuestos al phishing. Y los esfuerzos pedagógicos para distinguir entre concienciación sobre higiene digital higiene digital y educación en ciberseguridad, son aún demasiado poco baja.
La restricción presupuestaria abre otra puerta potencial a los ciberdelincuentes a través de estaciones de trabajo anticuadas que ejecutan sistemas operativos obsoletos y a menudo atrasados con las actualizaciones. atrasados con las actualizaciones. Y el campo que hay que cubrir y proteger está en constante expansión: los gobiernos locales han equipado a sus empleados con teléfonos inteligentes, tabletas y ordenadores portátiles. Todos ellos son pasarelas adicionales con estas flotas de dispositivos conectados en red, cuyas contraseñas son a menudo inseguras, a veces colgadas en las oficinas y rara vez las cambian los empleados de la Administración.
Otra vulnerabilidad son las redes informáticas (y operativas) que gestionan los ayuntamientos. Esto se debe a que los sistemas suelen tener una estructura plana, carecen de segmentación de red y son, por tanto, vulnerables a los ataques laterales. Un ciberataque a un departamento del municipio puede por tanto, "gracias" a su conexión en red, infectar también a los demás infectar a los demás departamentos. Y una vez implantado el malware puede permanecer latente durante un tiempo antes de ser activado por los ciberdelincuentes en el momento más oportuno. ciberdelincuentes en el momento más oportuno, como ocurrió con el sitio Gloucester en el Reino Unido, que se vio afectado en enero de 2022.
Otro punto débil son los ataques malintencionados desde dentro, según Philippe Loudenot, que habla de"curiosidad malsana que lleva a un funcionario a acceder a información confidencial información", o incluso un antiguo funcionario descontento cuyo acceso a los cuyo acceso a los sistemas informáticos no fue revocado.
Ciberseguridad en los municipios: soluciones a largo plazo
Entonces,¿las autoridades amenazadas desde dentro y desde fuera están condenadas a sufrir oleadas incesantes de ataques? Incluso si se requiere un cierto esfuerzo administrativo para adaptarse y flexibilidad necesaria para protegerse mejor contra los riesgos cibernéticos, hay pueden impedir la adaptación y la flexibilidad necesarias para protegerse mejor contra los ciberriesgos, existen soluciones. En Francia, los ciberataques a municipios entran en el ámbito de la ANSSI y el departamento de ciberdelincuencia de la Gendarmerie Nationale. de la Gendarmería Nacional. En el caso del ransomware, las recomendaciones de estas instituciones siguen siendo clásicas, afirma Philippe Loudenot: "no pagarel no pagar el rescate, para no animar a futuros ciberdelincuentes a alentar a futuros ciberdelincuentes, presentar una denuncia y transmitir la información".
Pero el adagio "más vale prevenir que curar" también se aplica en este caso. Por lo tanto, lo más importante es que los ayuntamientos cambien su cambien su enfoque general de la ciberseguridad. ¿El objetivo? Lograr una protección a largo plazo, que se logrará mediante una serie de medidas que hay que lograr.
La más evidente es la concienciación. "Hay que poner al díaa todo el mundo sobre los gestos básicos de higiene digital", explica Philippe Loudenot. Establezca contraseñas robustas, cámbielas con regularidad, no las deje en notas adhesivas sobre su escritorio, cuidado con los enlaces recibidos... Simples reflejos que pero que aún hay que interiorizar, admite Philippe Loudenot. "Todavía estamos muy lejos de eso", lamenta. El discurso está truncado, porque se habla sobre todo de amenazas y las comunidades no se sienten afectadas. Tenemos que hablar del Tenemos que hablar del impacto. Afecta a todos cuando saben que no podrán garantizar la continuidad de su servicio público. garantía. "Para el experto, se trata de cambiar de perspectiva: No es cuestión de 'si' sino de 'cuándo' un municipio será atacado. ¿Qué ponemos en marcha? ¿Qué formas alternativas detrabajar existen?". Un retraso en la concienciación que Vincent Nicaise también señala. Recuerda que, en el marco del programa France Relance, el Estado francés puede sufragar hasta el 100% del coste de un diagnóstico en un municipio, para que éste pueda hacer balance de su nivel y sus necesidades. Y para ir aún más lejos, el gobierno ha publicado numerosos praktische Leitfäden en torno a la cuestión de la ciberseguridad en los servicios públicos.
El discurso está truncado porque se trata principalmente de amenazas y las comunidades no se sienten. Tenemos que hablar del impacto. Afecta a todos cuando que no podrán garantizar la continuidad de su servicio público. de su servicio público.
Philippe Loudenot, responsable de ciberseguridad del Consejo Regional de Pays de la Loire, antiguo funcionario de seguridad de los sistemas de información (FSSI) en el Ministerio de Sanidad y en los servicios del Primer Ministro
Paralelamente a la sensibilización, los municipios también deben poner en marcha soluciones de protección adecuadas. Soluciones de punto final para proteger los puestos de trabajo, cortafuegos para proteger las redes, soluciones de cifrado para garantizar la integridad de los datos. herramientas son muchas y variadas. Pero inevitablemente con algún coste. En Francia, la ANSSI es consciente de estos retos desde hace varios años y ya había propuesto un importante presupuesto de apoyo a los municipios que asciende a 60 millones de euros en 2021 y 2022. En principios de 2022, los primeros beneficiarios del programa "France Relance" llegarán al final del itinerario de ciberseguridad (en la parte de auditoría) y tendrán acceso al plan de cofinanciación (hasta el 70 %, en el marco del programa). Así pues, 2022 debería ser (¿por fin?) el año de los sistemas seguros. de los sistemas seguros.
Otro planteamiento eficaz es crear un sistema de reserva. El municipio francés de Chalon-sur-Saône está dando un buen ejemplo. Gracias a las copias de seguridad automáticas del primer día, el municipio pudo volver a poner en funcionamiento sus sistemas sin pérdida de datos. sus sistemas de nuevo en funcionamiento sin pérdida de datos tras el ataque sufrido en febrero de 2021. Un sistema eficaz que"debería implantarse sistemáticamente", recomienda Philippe Loudenot,"pero está lejos de ser el caso".
Por parte francesa, también se hace hincapié en la creación de una red de interlocutores locales. Esta red se basará en ponentes de ciberseguridad, para estar al día de las últimas vulnerabilidades y alertas. vulnerabilidades y alertas emitidas por la ANSSI y el CERT-FR (Centre gouvernemental de (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informáticos). La creación de un CSIRT regional (Computer Security Incident Response Team) está en marcha, paralelamente al paralelo al anuncio de la creación de una red de CISR territoriales de CISR territoriales anunciada en el FIC 2021. Por último también es importante mencionar que la asociación cybermalveillance.gouv.fr ha lanzado una etiqueta Cyber Responsible City label para reconocer a las ciudades comprometidas con un plan de acción para luchar contra los ciberataques.
Todas estas iniciativas significan que"hoy en día, los representantes electos están tomando conciencia de que la ciberseguridad de sus autoridades locales no es una cuestión baladí", afirma Philippe Loudenot. Y eso es bueno, porque queda mucho por hacer.
Blog original escrito por
Stéphane Prevost
Director de Marketing de Producto y autor en Stormshield
Zugehörige Produkte