Ciudades, ayuntamientos, departamentos, regiones... Las organizaciones al servicio de los ciudadanos, independientemente de su tamaño, son objetivos potenciales deciberataques. Al atacar a las colectividades, el Estado se convierte implícitamente en el blanco de los hackers.
De hecho, en 2019, la ANSSI registró 92 incidentes de ciberseguridad contra municipios y mancomunidades. En plena expansión, 2020 fue un año récord en términos deciberataques dirigidos a las colectividades.Aunque la mayoría de las organizaciones, por razones legales, rara vez revelan el impacto financiero, es fácil evaluar los costes que generan estos ciberataques.
Parte visible: los costes más conocidos
El caso del ransomware
Según la ANSSI, los costes y daños causados por el ransomware pueden incluir:
Pérdidas económicas como la extorsión de dinero. Por ejemplo, una comunidad fue víctima de un criptovirus que cifró miles de datos. ¿El importe del rescate? ¡Más de 150 000 euros!
Las investigaciones informáticas y los daños causados al parque informático, así como la restauración del servicio informático. Por ejemplo, la ciudad de Houilles (Yvelines), cuyo ciberataque en enero de 2021 le costó 350 000 euros del presupuesto municipal (fuente:actu.fr).
Una pérdida de explotación o la perturbación, o incluso la interrupción de la actividad durante unos días o varias semanas, pueden impedir la prestación de los servicios administrativos habituales de un ayuntamiento.
Cabe señalar que los estudios revelan que, por término medio, una organización tarda unos 196 días en detectar un incidente de seguridad, independientemente de su sector de actividad. (fuente ANSSI: Ponemon Institute: 2018 Cost of a Data Breach Study).
El daño a la imagen y, en consecuencia, la pérdida de confianza en el municipio víctima, en la mancomunidad o en los representantes electos.
Ciertas pérdidas de datos y/o la vulneración de la integridad de datos sensibles o clasificados acarrean costes considerables. Recordemos que una colectividad almacena en sus sistemas de información datos sobre el estado civil, la identidad o la identificación.
Por ejemplo, en 2020, seis meses después de piratear una comunidad francesa, los hackers difundieron 40 GB de datos de la ciudad, incluida una base de datos con 23 000 direcciones de correo electrónico, los nombres y números de identificación de los agentes y todo tipo de datos privados.
Por último, añadamos los perjuicios humanos que afectan tanto a los empleados como a los usuarios: por ejemplo, el impacto en los salarios de los empleados si la aplicación en cuestión forma parte del sistema de información afectado.
Cabe destacar, además, las posibles víctimas colaterales en caso de que el ransomware se despliegue en redes interconectadas.
Y eso es solo la punta del iceberg.
Parte sumergida: ¿cuáles son los costes menos visibles?
Entre ellos, se pueden incluir los costes relacionados con:
la pérdida de productividad relacionada con el uso de papel y lápiz. Pero también el tiempo perdido como consecuencia de la pérdida de información;
Sobre todo, es fundamental recordar los costes relacionados con las sanciones administrativas:
La comunidad es responsable del tratamiento de los datos personales. Debe garantizar que ha hecho todo lo posible para prevenir un ciberataque:
- A nivel técnico (antivirus, antispam, etc.)
- A nivel organizativo (formación, información, etc.)
En caso de ciberataque, si se determina que la comunidad es responsable de una infracción, la CNIL puede imponer las siguientes sanciones:
- amonestación a la comuna;
- orden de cumplimiento del RGPD, incluso en forma de multa coercitiva;
- sanción económica de hasta 20 millones de euros, en función de la gravedad de la infracción y las circunstancias en que se haya producido.
Hacia una verdadera estrategia financiera: invertir en ciberseguridad
La conclusión es clara: el impacto financiero causado por un ciberataque es mayor que el gasto relacionado con la protección de los sistemas de información.
«Como recientemente Évreux, Bayona, La Rochelle, Angers, Houilles... La cuestión ya no es saber «si» las colectividades serán objeto de ciberataques, sino «cuándo»». (fuente:cybermalveillance.gouv.fr).
Es urgente protegerse: ¡este dinero no debe beneficiar a los hackers!
Anticipación y prevención: estas son las dos palabras clave que permiten a las organizaciones protegerse de los ciberataques y reforzar su ciberseguridad. La formación de sus usuarios permite proteger a su organización de los riesgos (y costes) asociados a un ciberataque.
Ahora es urgente invertir en soluciones técnicas y organizativas.
