Existen “lagunas importantes” en la forma en que el gobierno federal responde al creciente número de ciberataques peligrosos, revela un nuevo informe del auditor general federal.
El informe, presentado en la Cámara de los Comunes el martes por la mañana, encontró coordinación entre las agencias encargadas de proteger los sistemas y operaciones de TI del gobierno federal. Los tiempos de ataque activo son insuficientes y no todos los departamentos utilizan las protecciones recomendadas.
En al menos un caso, estos retrasos “permitieron al atacante un acceso prolongado a información personal”.
“Las brechas en las defensas de ciberseguridad socavan la capacidad de los gobiernos para proteger información crítica y gestionar los riesgos de ciberseguridad”, dice el informe.
La auditoría encontró que las tres agencias responsables de la defensa cibernética (la Secretaría de la Junta del Tesoro de Canadá, el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSE) y Servicios Compartidos de Canadá) tienen las herramientas para proteger y defender las redes y sistemas gubernamentales de los ataques cibernéticos.
Sin embargo, la Auditora General Karen Hogan dijo que no todos los departamentos, agencias y corporaciones de la Corona estaban utilizando los servicios de seguridad cibernética que se ofrecen, señalando brechas en la coordinación y el intercambio de información durante los ataques.
La auditoría reveló que las fortalezas cibernéticas del gobierno están constantemente bajo ataque.
Desde abril de 2023 hasta marzo de 2024, los sensores de CSE bloquearon casi 2,4 billones de eventos sospechosos de ciberseguridad, que van desde simples escaneos de red hasta sofisticados ataques cibernéticos, según la auditoría. Shared Services Canada bloqueó casi 6,6 billones de eventos sospechosos de ciberseguridad desde el 4 de octubre de 2020 hasta el 43 de septiembre.
También tuvo grandes éxitos.
Por ejemplo, en 2014, una infracción del Consejo Nacional de Investigación de Canadá provocó daños a la propiedad intelectual, lo que le costó al gobierno unos 100 millones de dólares para solucionarlo y dio lugar a un proyecto de un año de duración para reconstruir la red de la institución, según encontró la auditoría.
En enero de 2024, Global Affairs Canada sufrió un ciberataque de un mes de duración que comprometió su red y resultó en el robo de información personal. Unas semanas más tarde, el Centro de Análisis de Informes y Transacciones Financieras de Canadá (FINTRAC) tuvo que desconectar algunos de sus sistemas corporativos durante el ataque, según el informe.
No todos los departamentos utilizan pantallas cibernéticas: Ag
A pesar del creciente número de ataques sofisticados, el informe identificó un uso inconsistente de herramientas cibernéticas.
CSE utiliza sensores de Cybersecurity Defense para detectar y mitigar eventos de ciberseguridad, mientras que Shared Services Canada, conocido como su “Enterprise Internet Service”, proporciona conexiones seguras para que los usuarios del gobierno federal accedan a Internet y para que los canadienses accedan a sitios web gubernamentales.
De las 204 agencias federales, 85, incluidos departamentos en su mayoría grandes, deben utilizar ambos programas. Aunque 85 han implementado sensores CSE, el 26 por ciento de las empresas no utilizan servicios de Internet.
Las 119 agencias federales restantes no están sujetas a la misma política y no están obligadas a utilizar los servicios de ciberseguridad de CSE y Shared Services, pero se les recomienda encarecidamente que lo hagan.
Aunque la mayoría implementó los sensores del CSE, la mayoría no utilizó la conexión segura del servicio compartido.
“El uso inconsistente de estos servicios de ciberseguridad ha impactado la conciencia del gobierno sobre los eventos de ciberseguridad en todo el servicio público federal y su capacidad para proteger sus redes y sistemas de ataques cibernéticos y actores de amenazas que buscan interrumpir las operaciones gubernamentales”, dice el informe.
Los auditores escucharon a empresas que no utilizan los servicios y sugirieron mejorar el mantenimiento. Y las corporaciones de la Corona sugirieron que el uso de estos servicios de ciberseguridad podría considerarse una amenaza a la libertad.
Tanto en 2022 como en 2023, el Comité de Parlamentarios de Inteligencia y Seguridad Nacional (NSICOP), uno de los organismos de control independientes del país. encontré la razón Las políticas destinadas a proteger los sistemas gubernamentales no se aplican de manera uniforme en toda la familia federal, lo que deja a todo el sistema en riesgo.
En un informe NSICOP Este es el argumentoAPS hace que las agencias gubernamentales que poseen grandes cantidades de datos sobre canadienses y empresas sean vulnerables a piratas informáticos patrocinados por el estado de países como China y Rusia.
La coordinación durante el ataque fue “inadecuada”
La auditoría de Hogan encontró fallas en la forma en que Ottawa monitoreaba las violaciones de seguridad, lo que plantea la posibilidad de que los ciberatacantes puedan robar información personal o confidencial.
La coordinación entre las tres principales agencias cibernéticas fue “inadecuada” durante los ciberataques activos, según el informe.
“En un reciente gran ataque a un departamento federal, la lenta coordinación y el limitado intercambio de información retrasaron la respuesta del gobierno siete días, durante los cuales el atacante pudo acceder a la información personal de los empleados del gobierno”, dijo.
En respuesta al ataque, CSE tenía una necesidad urgente de acceder a información crítica y confidencial de Shared Services Canada para evaluar la importancia y el origen del ciberataque en curso, según el informe.
“Sin embargo, debido a procedimientos y protocolos incompletos para compartir esa información, tomó siete días solicitar y transmitir la información, lo que retrasó la respuesta al ciberataque”, dijo.
En múltiples ocasiones durante el ciberataque, la agencia federal atacada tuvo dificultades para comunicarse con los expertos en la materia de Shared Services Canada para obtener asistencia técnica de emergencia, según el informe.
La auditoría recomendó que los tres departamentos principales reevaluaran sus prácticas de gestión de incidentes de ciberseguridad, lo cual acordaron hacer.
La auditoría también encontró que Shared Services Canada y CSE no tienen un inventario completo y actualizado de dispositivos de TI gubernamentales, como computadoras portátiles y teléfonos inteligentes, por parte de las agencias federales a las que prestan servicios.
El informe señala que Shared Services Canada comenzó a trabajar para cerrar la brecha en 2017, pero el proyecto aún no está completo y ahora se espera que continúe hasta al menos 2027.
Dijo que Shared Services Canada no puede monitorear todos los eventos sospechosos de seguridad cibernética que ocurren en las redes, sistemas y dispositivos gubernamentales bajo la responsabilidad del departamento.
También descubrió que las agencias federales a las que presta servicios no proporcionaron a CSE un inventario central completo de todos los dispositivos terminales de TI.
“Los inventarios incompletos dificultan que los departamentos y agencias obtengan una comprensión completa de los activos de TI que las agencias federales están utilizando y sus vulnerabilidades subyacentes que podrían explotarse en un ataque cibernético”, dijo.
El CSE ha advertido en repetidas ocasiones que CHINA es la amenaza cibernética más sofisticada y activa para Canadá. En su último informe anual, también dijo que Canadá enfrenta amenazas cibernéticas de Rusia, Irán, Corea del Norte e India.
