Las filtraciones de datos de la Comisión Electoral y la fuerza policial resaltan importantes agujeros de seguridad en el sector público británico: ¿cómo los solucionamos?

Las graves violaciones de datos en la Comisión Electoral y en múltiples fuerzas policiales del Reino Unido han puesto de relieve que las organizaciones del sector público no son inmunes a la amenaza que representan los ciberdelincuentes.

En agosto, la Comisión Electoral confirmado fue víctima de “un ciberataque complejo” que comprometió la información personal de 40 millones de ciudadanos británicos. La violación, que ocurrió por primera vez en agosto de 2021, no se descubrió hasta octubre de 2023 y los piratas informáticos recuperaron copias de referencia del registro electoral. Esto significó que tenían acceso a los nombres y direcciones de millones de votantes del Reino Unido.

La Comisión admitió que “no existían protecciones suficientes para prevenir este ciberataque”, y ahora está aparente que la agencia gubernamental no pasó una prueba Cyber ​​Essentials diseñada para mejorar las defensas cibernéticas de las organizaciones antes de que se produjera el ataque. A la luz de la gravedad del ataque de agosto de 2021, la organización afirma haber comenzado a trabajar para “mejorar la seguridad, la resiliencia y la confiabilidad” de sus sistemas de TI.

En otras partes del sector público del Reino Unido, varias fuerzas policiales británicas han experimentado recientemente importantes violaciones de datos. En agosto, la Policía Metropolitana de Londres alertada decenas de miles de su personal a una violación de datos causada por “acceso no autorizado al sistema de TI de un proveedor de Met”.

El proveedor de TI en cuestión tenía en sus archivos información como nombres, rangos, fotografías, niveles de investigación y números de pago de los agentes de policía y el personal de la Met. Sin embargo, la Met dijo que el ataque no resultó en la filtración de datos personales como nombres, direcciones e información financiera. Otras fuerzas policiales británicas que han sufrido filtraciones de datos recientes son la Policía del Gran Manchester y el Servicio de Policía de Irlanda del Norte.

Estas violaciones de datos han demostrado que los datos personales no están necesariamente seguros en manos de las agencias gubernamentales y que deben hacer más para mejorar sus capacidades de ciberseguridad. Pero, ¿qué marcos de ciberseguridad y mejores prácticas pueden implementar para garantizar que estos incidentes nunca vuelvan a ocurrir?

Lecciones críticas que se deben aprender

Una de las mayores lecciones de estas violaciones es que incluso las bases de datos altamente seguras son vulnerables a las violaciones y siguen siendo objetivos lucrativos para los ciberdelincuentes. Revisar y limitar privilegios de acceso acceder a bases de datos que contienen grandes volúmenes de datos personales es un excelente primer paso, pero no es lo único que las organizaciones deberían considerar.

Dado que el panorama de las amenazas cibernéticas evoluciona a una velocidad sin precedentes, las organizaciones deben ir un paso por delante de los ciberdelincuentes anticipando las vulnerabilidades de seguridad y los métodos de piratería que pueden aprovechar en sus ataques. La única forma de hacerlo es realizando auditorías periódicas de ciberseguridad y manteniéndose actualizado con las últimas amenazas a la ciberseguridad.

También es vital comprender que las filtraciones de datos causan algo más que pérdidas financieras. Dado el papel crucial que desempeñan la Comisión Electoral, las fuerzas policiales y otras agencias gubernamentales en la vida pública, no pueden darse el lujo de perder la confianza de los ciudadanos. Pero desafortunadamente, el daño a la reputación y la erosión de la confianza pública son grandes riesgos de Ataques ciberneticos impactando a las instituciones públicas. Además, estas organizaciones suelen sentir toda la fuerza de los organismos reguladores, lo que socava significativamente su esencial trabajo público.

David Sancho, investigador senior de amenazas de la firma de ciberseguridad Trend Micro, describió las filtraciones de datos del censo electoral y de las fuerzas policiales como “buenos ejemplos de casos en los que las organizaciones no se toman en serio la seguridad de los datos que protegen”.

Sancho advirtió a las organizaciones que no descuiden la seguridad de los datos "porque los atacantes están dispuestos a atacar en cualquier momento". Dijo que no importa su tamaño, todas las empresas y organizaciones están "sujetas a ciberataques".

Y añadió: "En mi experiencia, algunos dan menor prioridad al gasto en seguridad con un razonamiento como "no nos sucederá a nosotros, no merecemos el tiempo de un ciberatacante". Esto no debería suceder y todas las empresas deberían estar preparadas para intentos como estos”.

Mejorar las bases de la ciberseguridad

Ya sean pérdidas financieras, daños a la reputación o repercusiones regulatorias, muchos de estos riesgos pueden evitarse cuando las organizaciones toman en serio la amenaza del cibercrimen. Pero las acciones hablan más que las palabras: las organizaciones no deberían simplemente prometer mejorar sus seguridad cibernética postura en una declaración pública después de una violación grave, pero toman medidas concretas y cualitativas para fortalecer sus bases de ciberseguridad.

Dado que el error humano desempeña un papel tan importante en las filtraciones de datos, las organizaciones deben hacer más para educar a su personal sobre cómo detectar y mitigar los riesgos de ciberseguridad. A medida que el panorama del riesgo cibernético continúa, una sola presentación de PowerPoint para marcar una casilla no será suficiente. Tanto las organizaciones del sector público como el privado deben implementar periódicamente formación y sensibilización del personal campañas. Organizaciones como el Centro Nacional contra Delitos Empresariales ofrecen Formación gratuita en ciberseguridad para empleados., por lo que la conciencia cibernética no tiene por qué afectar los presupuestos de las empresas.

Otro paso básico pero esencial para mejorar las bases de la ciberseguridad de una organización es actualizar periódicamente el software y los sistemas para corregir las vulnerabilidades de seguridad. La migración desde sistemas operativos obsoletos como Windows 7 y 8 también evitará agujeros de seguridad en el software. Implementar autenticación de múltiples factores También disminuirá la probabilidad de que partes malintencionadas obtengan acceso no autorizado a los sistemas de TI de una organización.

La implementación de un marco industrial reconocido internacionalmente como el Marco de Ciberseguridad del Instituto Nacional de Estándares o la ISO 27001 aumentará la ciberresiliencia organizacional. Estos marcos ayudan a las organizaciones con áreas como gestión de activos, controles de acceso, gestión de vulnerabilidades, respuesta a incidentes, seguridad de terceros y mejora continua.

Luke Dash, director ejecutivo de ISMS.online, dijo que dichos marcos ayudarán a las organizaciones a “mejorar significativamente la resiliencia contra los ataques”. A la luz de las violaciones de datos del censo electoral y de la fuerza policial, insta a los gobiernos a hacer obligatoria la implementación de marcos de ciberseguridad en las agencias gubernamentales (especialmente si contienen datos confidenciales) junto con auditorías y certificación de marcos.

Integrando estos aprendizajes y marcos

Implementar un marco de seguridad cibernética y mejorar la resiliencia cibernética será completamente nuevo para muchas organizaciones. Entonces, ¿qué pueden hacer para lograr estos objetivos con éxito?

Dash dice que las organizaciones no deben ver la ciberseguridad como una "idea de último momento". La clave para resistencia cibernética es “enfoque dedicado, recursos y un compromiso continuo. Continuó: “La implementación de un marco sólido puede ayudar a fortalecer las defensas antes de que ocurra una infracción. El público merece una seguridad de primer nivel para sus datos, y estos marcos proporcionan un modelo. Aún queda trabajo por hacer, pero el camino a seguir está claro”.

Aumentar la visibilidad de las redes de una organización también les ayudará a proteger datos sensibles, según Sancho. Recomendó: “Eso se logra con software que analiza el comportamiento de la red y puede señalar anomalías dispares como un esfuerzo concertado de piratería. Tener esta visibilidad mejorada puede permitir que un defensor comprenda que está bajo ataque antes de que se produzca el daño”.

Independientemente de la industria o el tamaño, todas las organizaciones que procesan y almacenan información confidencial también deben tomar medidas para comprender leyes de privacidad de datos como el Reglamento General de Protección de Datos.

Kevin Modiri, abogado del bufete de abogados Nelsons, dijo: “La Legislación General de Protección de Datos (GDPR) entró en vigor en 2018 y regula cómo podemos usar, procesar y almacenar datos personales, incluida cualquier información sobre una persona viva identificable. La legislación se aplica a todas las organizaciones, incluidas aquellas que suministran bienes y servicios”.

Puntos clave

Las filtraciones de datos del censo electoral y de las fuerzas policiales fueron incidentes desafortunados que afectaron a millones de personas, pero lo que está claro es que han presentado lecciones valiosas para las organizaciones que manejan información confidencial.

Quizás la lección más importante es que todas las organizaciones deben evaluar sus capacidades de ciberseguridad y tomar medidas continuas para proteger los datos confidenciales. Esperar a que se produzcan violaciones no es una opción con tanto en juego, incluidas pérdidas financieras, daños a la reputación y medidas regulatorias.

Las medidas efectivas para prevenir las fugas de datos incluyen la implementación de marcos internacionales de ciberseguridad y la entrega de capacitación regular y consistente en ciberseguridad para todos dentro de la organización.