Piedra clave
Las investigaciones sobre el ciberataque sufrido por la empresa Xplain han puesto de manifiesto errores por parte de la policía federal y de las aduanas, así como de la propia empresa informática. Por este motivo, el Consejo Federal ha adoptado hoy varias contramedidas.
Según nota de hoy del Comisionado Federal de Información y Protección de Datos (FDPIC), datos personales de la Oficina Federal de Policía (fedpol) y de la Oficina Federal de Aduanas y Seguridad Fronteriza (UDSC) han sido transferidos a la empresa Xplain sin la necesaria medidas de protección de datos.
Además, estos últimos los conservaron en contravención de las normas de protección de datos y, en parte, también de los contratos estipulados.
La situación inicial
Tras el ataque a Xplain en mayo de 2023, se publicaron en la darknet numerosos datos personales de la Administración Federal, incluidos datos personales dignos de protección. Estos datos se almacenaron en un servidor Xplain.
De ahí la apertura de tres investigaciones que revelaron que ni Fedpol ni la UDSC habían acordado claramente si estaba permitido y, en caso afirmativo, en qué condiciones, almacenar datos personales en el servidor Xplain como parte de las actividades de apoyo proporcionadas por esta última empresa. . Por tanto, los datos de las oficinas federales se han acumulado en el servidor Xplain. La FDPIC también concluyó que la cantidad de datos personales transmitidos como parte de este proceso era desproporcionada.
Deficiencias por parte de Xplain
Por su parte, Xplain, que no tenía posibilidad de acceder a las bases de datos de Fedpol y de la UDSC, debería haber sabido que las funciones de soporte, que ella misma programaba, también podían contener datos personales y que estos últimos serían tratados en su servidor.
Para estos tratamientos, Xplain no ha adoptado medidas adecuadas para garantizar la seguridad de los datos y la protección de la información según las buenas prácticas (best Practice). Por tanto, Xplain violó dos principios de protección de datos: el de destino previsto y el de proporcionalidad. Además, aunque los contratos incluían esporádicamente obligaciones de eliminación, la empresa retuvo esta información en violación de los contratos.
Contramedidas gubernamentales
Paralelamente al trabajo de “Data Mister” y sobre la base de una investigación administrativa interna, el Consejo Federal ha tomado hoy medidas para evitar futuras filtraciones de información entre los proveedores de aplicaciones informáticas antes de finales de año.
En particular, será necesario reforzar la gestión de la seguridad, entre otras cosas mediante la introducción de normas adicionales para la colaboración con los proveedores. Debe apoyarse la capacidad de controlar y realizar controles. También se debe desarrollar un plan de formación específico de las funciones para formar y concienciar a los colaboradores sobre los requisitos de seguridad vigentes. Finalmente, se creará una visión general de los medios de comunicación disponibles para las autoridades federales.
Para mejorar aún más la seguridad de los datos de la Confederación, el Ejecutivo ha encargado al Departamento Federal de Defensa, Protección Civil y Deportes (DDPS) que revise la protección básica de las TIC de la Confederación antes de finales de 2024 y proponga posibles ajustes. Dentro del mismo plazo, la Oficina Federal de Ciberseguridad (FOCS) deberá indicar cómo se realiza en la práctica la coordinación entre la Confederación, los Cantones y los proveedores en la gestión de los ciberataques y qué criterios se utilizan para evaluar su alcance.
Estas medidas se suman, recuerda la nota, a la ley sobre seguridad de la información que entró en vigor a principios de año y tiene como objetivo mejorar la seguridad de forma sistemática y duradera. En particular, las unidades administrativas también deben establecer y operar un sistema de gestión de la seguridad de la información a más tardar a finales de 2026.
Este sistema permite a la dirección llevar a cabo todos los procesos de seguridad, como el inventario de información y recursos informáticos, evaluaciones de riesgos, seguridad en colaboración con terceros, formación, gestión de incidencias o planificación de auditorías.
cp, ats
