Cinco funcionarios IT del gobierno albano se enfrentan a una posible pena de 7 años de cárcel por no actualizar el antivirus en ordenadores del gobierno.
No es la primera vez que se escucha que altos cargos del gobierno pierdan su trabajo tras brechas de seguridad importantes. Por ejemplo, cuando se vulneró la oficina de recursos humanos de Estados Unidos en 2015, la directora Katherine Archuleta y la CIO (Chief Information Officeer) Donna Seymour acabaron dimitiendo.
Pero el hecho de que unos empleados que no permitieran deliberadamente el acceso a los atacantes sean acusados de cualquier tipo de crimen por negligencia es otro tema completamente distinto.
Es exáctamente esto lo que ocurrió a finales de noviembre, cuando unos fiscales de Albania solicitaron el arresto domiciliario para 5 funcionarios IT del gobierno albanés por no actualizar el antivirus de una serie de ordenadores gubernamentales. Los funcionarios han sido acusados de «abuso de poder«, que puede conllevar hasta 7 años de prisión, según Associated Press. Esto suscita una pregunta importante: ¿Pueden las penas de prisión a causa de errores incentivar buenas prácticas de seguridad, o espantaría a la gente que quiera introducirse en el sector en primer lugar?
En julio, Albania fue víctima de un ciberataque que tiró varias de las páginas y servicios oficiales del gobierno. La Agencia Nacional para la Sociedad de la Información, conocida como AKSHI, anunció que se tuvo que forzar el apagado de varios sistemas gubernamentales hasta que el ataque fue «neutralizado». El gobierno estadounidense, Microsoft y la NATO apoyaron los esfuerzos de Albania para investigar y remediar el ataque en los consecuentes meses.
Como resultado de dicha investigación, tanto el gobierno de Albania como el de EEUU culparon a Irán. En Septiembre, el gobierno Albano cortó varias relaciones diplomáticas con Irán a raiz del ataque y echó a la embajada del país, mientras que EEUU publicó un comunicado atribuyendo el ataque a Irán y apoyando las decisiones de Albania.
Aparentemente la atribución publica del ataque por parte de Albania parecía marcar el final de las acciones respecto al ataque, sobre todo teniendo en cuenta que pocos gobiernos toman más acciones después de acusar tan imperativamente al gobierno de otro país de un ciberataque.
Pero entonces fue cuando tuvieron lugar los arrestos.
«Si estos empleados hubieran reaccionado en concordancia a [guías legales]… solicitando información y actualizando los antivirus a su última versión, el virus que infectó los sistemas de administración en primer lugar hubieran sido detectados y hubiera sido posible su neutralización.»
Delcaraciones del fiscal.
Según un reporte del Departamento de Justicia y el de Seguridad Nacional, los atacantes consiguieron el acceso a los sistemas Albanos a través de una vulnerabilidad en Microsoft SharePoint reportada en 2019. Dicha vulnerabilidad fue parcheada ese mismo año, bastante antes del comienzo del ataque, aproximadamente por mayo de 2021. Dado que los parches que solucionaban esta vulnerabilidad fueron emitidos más de dos años previos al ataque, tiene sentido que el gobierno Albano sienta que hubo un grave error al no descargar las actualizaciones que pudieron haber evitado el ataque.
Pero de todas formas eso no quita el hecho de que las condenas hacia los funcionarios hayan sido inusuales para este tipo de casos.
Por una parte, se pueden ver como un triunfo hacia el tomarse enserio la ciberseguridad, motivando que los empleados pongan más atención a lo que hacen. Después de todo, la gente seguramente se tomaría las actualizaciones más enserio si no hacerlo puediera suponer una pena de cárcel.
Pero desde otro punto de vista, pueden parecer unas medidas exageradas que podrían traducirse en un menor número de gente queriéndo empezar en el sector de la ciberseguridad.
Más información:
Deja una respuesta