La Comisión de Gobierno de la Cámara de Representantes celebrará, esta semana entrante o la próxima, una vista ejecutiva en la que funcionarios y expertos en ciberseguridad ofrecerán, a puerta cerrada, información adicional sobre la red informática del gobierno de Puerto Rico.

Además, el presidente de la comisión, el representante popular Jesús Manuel Ortiz González, indicó que, tras la celebración de dos vistas públicas en las que líderes de agencias y personal especializado en seguridad informática pintaron un panorama de suma gravedad, acelerará el proceso de estudio y radicación de un proyecto para ser discutido lo antes posible.

“Voy a programar una vista ejecutiva porque hay información gubernamental sobre seguridad en los sistemas que, por supuesto, no voy a mencionar ni discutir públicamente para no poner en riesgo las redes del gobierno, pero quiero conocer unos detalles que, para mí, son importantes. Tampoco descarto celebrar vistas públicas adicionales, de ser necesarias”, resaltó Ortiz González a El Nuevo Día.

La meta de la Comisión de Gobierno es estudiar, redactar, discutir y presentar ante la Legislatura la primera ley de ciberseguridad de Puerto Rico que establezca un marco legal para proteger las redes informáticas del gobierno, proporcionarle poderes al Servicio de Innovación y Tecnología (PRITS, en inglés) para hacer valer sus políticas y establecer mecanismos que obliguen, tanto a agencias y dependencias del gobierno como a contratistas y empresas privadas, a reportar ciberataques y a asumir responsabilidad por la pérdida de datos personales de la ciudadanía.

“Para la vista ejecutiva vamos a citar a PRITS y a la Oficina del Comisionado de Instituciones Financieras (OCIF), principalmente, aunque también analizaríamos si citamos a otras de las agencias que participaron en las vistas públicas. Lo que quiero es tener un panorama más detallado de las redes del gobierno. Estos funcionarios están dispuestos a revelar esos detalles, pero no en un foro público para no revelar aspectos operacionales y otros datos que personas inescrupulosas le puedan sacar provecho”, añadió el representante popular.

Dicha vista ejecutiva podría revelar otros mecanismos a incluir en el proyecto de ley que fortalezca la política pública de seguridad informática del gobierno, en especial luego de dos ataques de alto perfil mediante ransomware al Senado (en enero) y al sistema de pago y recarga de AutoExpreso (en abril) que es administrado por el contratista privado Professional Account Management (PAM).

“Queda mucho por hacer”

Durante la primera vista pública, celebrada el 5 de mayo, funcionarios de la Autoridad de Carreteras y Transportación (ACT), agencia con quien PAM firmó el contrato para administrar los sistemas de pago y recargos de AutoExpreso, y PRITS coincidieron en que PAM incurrió en fallas no solo por ser víctimas del ciberataque que mantiene los sistemas inoperantes a casi un mes de perpetrarse la intrusión, sino que tampoco fue lo suficientemente diligente en cuanto a informar al gobierno sobre el ataque.

Del mismo modo, la directora interina de PRITS, Nannette Martínez Ortiz, reconoció que la dependencia necesita $7 millones adicionales en su presupuesto, al igual que cambios en el estado de derecho actual para tener visibilidad (poder monitorear en tiempo real) las redes de operadores privados que dan servicios al gobierno.

Y en la segunda vista, llevada a cabo el 12 de mayo, expertos en ciberseguridad recalcaron que la ciberseguridad de las redes en Puerto Rico se encuentran “en una situación crítica” y que la infraestructura informática está “exponencialmente” vulnerable a más ciberataques a futuro.

De paso, el director de la empresa NYC Cyber Law Group, Paul McCulloch, recomendó al gobierno estatal a adoptar el marco regulatorio del Instituto Nacional de Estándares y Tecnología (NIST, en inglés), al igual que implementar herramientas para compartir información y alertar sobre incidentes de ciberseguridad. PRITS resaltó, en una entrevista anterior con El Nuevo Día, que ya cuenta con un sistema de alerta y de radicación de incidentes.

“Hay una opinión generalizada (tras la celebración de las dos vistas públicas) de que es necesario establecer un marco legal que establezca parámetros para atender la ciberseguridad en la isla. Creo que, además del asunto de los sistemas del gobierno, los deponentes coincidieron en que el proyecto también incluya políticas de divulgación más efectivas, tanto para el gobierno como para empresas privadas que tienen contratos o que trabajen estrechamente con el gobierno y que manejan datos personales y/o financieros de la ciudadanía”, resaltó Ortiz González.

Un panorama preocupante

“De las vistas, además, se retrata un panorama preocupante en términos de lo que tenemos hoy, de lo que podemos ejecutar. Tenemos a PRITS tratando de implementar una política de ciberseguridad pero que no tiene las garras para ellos poder ejecutarlas de manera más ágil. Aunque es una reglamentación de su agencia, no tiene fuerza de ley. Ellos están dando unos pasos, pero ciertamente queda mucho por hacer. Nos preocupa muchísimo que la política de seguridad que ha tenido Puerto Rico no se ha podido adelantar”, añadió.

De las ponencias ofrecidas por Martínez Ortiz y N’gai Oliveras Arroyo, Principal Oficial de Seguridad Informática (CISO, en inglés) del gobierno, la Comisión entendió que PRITS, en estos momentos, no cuenta con el presupuesto, recursos ni personal necesarios para ejecutar sus políticas y funciones. “El propio Oliveras (Arroyo) me indicó, a una pregunta que le hice, que ‘estamos en pañales’”, indicó Ortiz González.

“Yo creo que toda compañía privada que tenga un contrato con el gobierno para dar servicios, como PAM o LUMA Energy, que manejan datos personales de la ciudadanía, el gobierno tiene que asegurarse de que estas empresas tengan la obligación de responder por incidentes de ciberseguridad. Tiene que asumir una responsabilidad. Para mí es inaceptable, como dijo la directora interina de PRITS (Martínez Ortiz), de que no tienen visibilidad en los sistemas de PAM ni en LUMA, redes públicas, del gobierno, que estas empresas están administrando”, subrayó Ortiz González.

El presidente de la Comisión de Gobierno de la Cámara dijo que atajaría dicha problemática de dos maneras: obligar a contratistas y empresas con contratos gubernamentales a asumir responsabilidad por incidentes y establecer normas claras sobre la divulgación de intrusiones; y otorgar visibilidad de sus sistemas a PRITS y tener comunicación con las agencias pertinentes en cuanto a incidentes de ciberseguridad.

“Mi parecer es que es una responsabilidad inherente del gobierno asegurar eso, ya sea a través de leyes o mediante parámetros claros incluídos en los contratos. Si son empresas privadas sin contratos con el gobierno, pero que manejan servicios que afectan a la ciudadanía, entiendo que sí podemos legislar requerimientos básicos sobre seguridad y requisitos de divulgación de incidentes”, puntualizó.

Ortiz González dijo que la meta de la comisión es poder trabajar el proyecto, lo antes posible, para discutirlo y presentarlo en la próxima sesión legislativa, pautada para agosto.

“La meta es trabajar esto lo más temprano posible en la próxima sesión sabiendo la urgencia y la importancia que tiene. Hay que moverse lo más rápido que se pueda hacer, obviamente siendo responsable y tratando de que el producto final lleve a un andamiaje legal que sea efectivo. La innovación en este campo es constante, así que tampoco puede ser una ley que nos restrinja. Tiene que ser una ley que establezca parámetros básicos, pero que permita flexibilidad conociendo que estos sistemas cambian rápido y que tenemos que mantenernos al día ante esa realidad”, enfatizó Ortiz González.