¿Las advertencias omitidas y las fallas de seguridad informática detalladas en el análisis legislativo final del ataque de ransomware del condado de Suffolk de 2022 dejarán a la administración actual preparada para frustrar ataques futuros?
Un informe de un comité selecto de la Legislatura del condado de Suffolk publicado la semana pasada describe una evaluación de amenazas que se remonta a 2017 y una larga lista de señales de alerta que podrían llevar al condado a reforzar sus sistemas para frustrar la intrusión. Detalla muchas oportunidades.
El puesto de director de seguridad de la información del condado ha permanecido vacante desde que el anterior director de seguridad de la información fue despedido en enero, y el condado de Suffolk aún no tiene un seguro de ciberseguridad. También ha habido un retraso en la presentación del informe anual de evaluación de riesgos al consejo del condado, que debía presentarse antes del 1 de septiembre. El informe dice que la falta de una respuesta a los ciberataques y un plan de recuperación está obstaculizando la recuperación del condado.
“Está claro que todavía tienen mucho trabajo por hacer”, dijo en una entrevista el viernes Richard Donahue, ex fiscal general interino de Estados Unidos que se desempeña como asesor especial del comité del Congreso. “Necesitan un jefe de seguridad de la información, un funcionario del condado con esta responsabilidad. Creo que pueden hacerlo mejor y definitivamente contratar más”.
Lo que necesitas saber
El informe legislativo final sobre el ataque de ransomware de 2022 en el condado de Suffolk pone un nuevo enfoque en los preparativos de la administración actual para frustrar futuros ataques. El informe describe una larga lista de evaluaciones de amenazas y señales de alerta que se remontan a 2017, y detalla numerosas oportunidades que el condado podría utilizar para reforzar sus sistemas y frustrar las intrusiones. El administrador del condado, Ed Romaine, dijo que el condado está contratando a un director de seguridad de la información y espera que esa persona esté en el puesto a mediados de octubre.
El comisionado republicano del condado, Ed Romaine, que sucedió al demócrata Steve Bellone en enero, dijo que se han logrado avances y que es probable que haya más.
Romaine dijo el viernes que el condado está contratando a un director de seguridad de la información y espera asumir el puesto a mediados de octubre. El condado también está en el proceso de trabajar con Dell para contratar un “CISO virtual” para respaldar esta función con seguridad informática de alta tecnología, duplicar su actual personal de seguridad informática y cubrir otros puestos de personal de TI. está llenando los vacíos.
“Estamos luchando por superar las deficiencias del pasado”, afirmó.
Además, Romaine dijo que el condado está planeando que un proveedor externo realice pruebas de penetración según lo requerido para el informe de evaluación de riesgos que debe presentarse a la Legislatura según la ley del condado, y tendrá los resultados de esa prueba en el informe en noviembre. dijo que planea compilarlo.
Romaine dijo que estos pasos ayudarán al condado a obtener un seguro de ciberseguridad, que espera que esté vigente para fin de año. “Hemos hecho todo lo necesario para obtener un seguro cibernético y estamos bastante seguros de que el condado podrá obtener un seguro para fin de año”, dijo.
Romaine añadió: “Nos tomamos en serio el informe que emitió la comisión. Creemos que muchos de los fracasos de la administración anterior fueron fracasos de acción o de liderazgo. Lo entendemos. No quiero sufrir de hábitos”.
Bellone dijo en un comunicado que el informe corrobora los propios hallazgos forenses del condado y hace recomendaciones de seguridad “consistentes” con las propuestas por su administración.
Una de las principales conclusiones del informe es que la falta de una respuesta a los ciberataques y un plan de recuperación está obstaculizando la capacidad del condado para recuperarse rápidamente. Donoghue dijo que el condado aún no tiene tal plan, basándose en un “apéndice” de un plan de respuesta de emergencia más amplio creado en los últimos meses de la administración anterior.
“Esto es más como un plan para tener un plan”, dijo Donoghue sobre el contenido del expediente. “Esto significa que si algo como esto sucediera, ¿qué harías ahora? ¿Cuántos servidores hay? ¿Dónde están ubicados? ¿Qué datos hay? ¿Cuál debería ser la prioridad para la recuperación? Estas son cosas muy específicas que están incluidas. en el plan de recuperación. No están incluidos en el plan.
Romaine dijo que el condado no tiene intención de depender del “apéndice” dejado por la administración Bellone. Dijo que su administración ya cuenta con “la mayoría de los elementos” de un plan de respuesta y recuperación. Se espera que el plan se formalice y se entregue a los jefes de departamento de todo el gobierno del condado antes del 1 de noviembre.
En testimonio ante el comité, un ex funcionario del condado cuestionó las afirmaciones de que la falta de dicho plan obstaculizaba la respuesta del condado.
En un testimonio ante la comisión en junio, la exdiputada del condado Lisa Black cuestionó la idea de que los planes de respuesta y recuperación sean una parte “fundamental y esencial” de un programa de defensa cibernética. “Creo que esta es otra herramienta que puedes tener en tu caja de herramientas, pero creo que depende de cuánta información adicional tengas ya en tu caja de herramientas”, dijo en su testimonio grabado.
En sus informes al Congreso, Donoghue enfatizó constantemente que el hecho de que el condado no tuviera un plan de respuesta y recuperación fue un fracaso importante.
Los expertos dicen que la necesidad de un plan de recuperación es tan urgente ahora como lo era hace dos años.
“En 2022, es inaceptable que una organización de este tamaño y complejidad no cuente con un plan de este tipo y no realice ejercicios teóricos regulares con su equipo de TI”, dice Entrepreneurship del New York Institute of Technology, dijo Michael Nizich, director de Emprendimiento. el Centro de Innovación.
Como informó Newsday por primera vez en agosto, un informe legislativo encontró que todo el sistema del condado tenía un nivel de vulnerabilidad de alerta roja seis meses antes de la infracción. El FBI también advirtió al condado en el verano de 2022 que el ataque estaba en curso, pero no reconoció la amenaza ni tomó medidas para neutralizarla.
“Me sorprende que este ataque no haya ocurrido antes, dados todos los informes que decían: 'Aquí está el problema, arréglalo'”, dijo el viernes Anthony Piccirillo (R-Holtsville). Dijo que actualmente está trabajando en una resolución que requeriría que los condados compartan información de alto riesgo, como la información que recibieron del FBI antes del ataque, con los legisladores y desarrollen acciones coordinadas.
La última de una serie de advertencias que se hicieron públicas la semana pasada es una evaluación no reportada anteriormente realizada por Microsoft en 2017, poco después de que Suffolk nombrara a Scott Masteron como Director de Tecnología de la Información. La alerta encontró “numerosas deficiencias” y “riesgos significativos de compromiso” en el directorio activo de Suffolk. Active Directory es la parte central de una red que administra la lista de usuarios autorizados y puertas de enlace de acceso.
El informe de Microsoft afirma que cada uno de los problemas descubiertos “representa un riesgo significativo, pero en conjunto estos riesgos indican que un atacante podría utilizar múltiples métodos para comprometer el directorio y obtener acceso a todos los recursos dentro del entorno de TI del condado de Suffolk”. “.
El informe legislativo señala que la evaluación de 2017 “proporcionó solo una visión limitada de la postura de seguridad cibernética del condado de Suffolk” y que “algunas de las medidas correctivas establecidas en la evaluación de Microsoft se han implementado desde entonces. Pero esa no fue toda la historia”. llevó a los líderes (de redes informáticas) a reconocer que el condado tenía importantes deficiencias de ciberseguridad que necesitaban remediación”.
En su informe, Donoghue dijo que el ataque “no fue el resultado de un solo punto de falla”, sino más bien “sistemas fragmentados y en algunos casos obsoletos, personal, planificación, capacitación y ataques en curso inadecuados. Esto se debió a una combinación”. de atención insuficiente a las señales de advertencia.
Donoghue dijo el viernes que el descubrimiento de la evaluación de 2017 fue una de las razones por las que la publicación del informe se retrasó un mes este verano.
La comisión dijo en su informe que los diversos equipos de tecnología informática del condado trabajan “en estrecha colaboración”, que el condado contrata a un director de seguridad de la información con experiencia y que esa persona presta servicios “en todo el condado”. Hizo siete recomendaciones, incluida la creación de un comité transversal. equipo de recuperación y respuesta a incidentes cibernéticos del condado con una planificación de respuesta y recuperación muy necesaria.
Las recomendaciones también incluyeron que el condado compre un seguro contra infracciones cibernéticas.
Los funcionarios del condado de Suffolk reconocieron en 2023 que la red descentralizada del condado carecía de componentes de seguridad clave esenciales para obtener un seguro cibernético. El mes pasado, el condado respondió a la solicitud de la Ley de Libertad de Información de Newsday diciendo que “no había presentado ningún reclamo de seguro de ciberseguridad” durante al menos 12 años antes del ataque.
Newsday informa que las estimaciones internas del condado sitúan el costo del equipo, la reparación y la investigación relacionados con el ciberataque en más de 25 millones de dólares. Bellone dijo el mes pasado que la cifra era mucho menor, de sólo 5,8 millones de dólares, principalmente para costos forenses y de recuperación.
El costo de reemplazar equipos o software nuevo es una “inversión en tecnología a largo plazo” que se necesita “independientemente del incidente cibernético específico”, y es “inexacto” contar ese total como el costo de un ataque cibernético, dijo.
Dejando a un lado los costos, Donoghue dijo que espera que el condado siga las advertencias de la comisión.
“Espero que aprendan estas lecciones y utilicen este informe para hacer lo que sea necesario para evitar que algo como esto vuelva a suceder”, afirmó.
sandra pedi
Mark Harrington ha sido reportero de Newsday desde 1999, cubriendo energía, bodegas, asuntos indios, pesca y más.
https://www.newsday.com/long-island/suffolk/suffolk-cyberattack-romaine-bellone-donoghue-yp2ci6kt
