Todo chef sabe que cuando se trata de carne, tiene que confiar en proveedores de confianza para no servir productos en mal estado. No es diferente con el software. El gobierno federal aún no ha reconocido esto.
Las precauciones de seguridad de Xplain eran inadecuadas, pero nadie se dio cuenta a nivel federal.
La seguridad en el mundo digital no comienza en la puerta de entrada de uno, sino mucho más adelante. Actualmente, la administración federal se está dando cuenta de esto de una manera dolorosa. En la web oscura, los ciberdelincuentes tienen datos federales confidenciales y posiblemente secretos publicados. Sin embargo, estos no fueron robados al propio gobierno federal, sino al proveedor del software.
El caso es una vergüenza para la administración federal La fuga de datos revela flagrantes deficiencias de seguridad en los proyectos de TI. Porque independientemente de si los datos secretos se publicaron realmente en Internet y cuántos: los servidores de la empresa responsable Xplain aparentemente contenían datos que no deberían haber estado allí. Y los sistemas de TI de Xplain fueron insuficientemente protegido según los expertos federales.
Es aterrador que Xplain a veces no cumpla con los estándares mínimos de seguridad de TI. La empresa de software de Interlaken no solo desarrolla soluciones de TI para el gobierno federal en el área de seguridad sensible, sino también para numerosos cantones. Pero al parecer ninguno de los responsables del proyecto se percató de estas carencias.
¿No ha preguntado ningún director federal de proyectos de TI?
El caso deja al observador perdido: ¿cómo es posible que las precauciones de seguridad inadecuadas hayan pasado desapercibidas durante años? ¿Los directores de proyectos de TI federales no han hecho ninguna especificación para la seguridad de TI? ¿La administración al menos no hizo preguntas sobre la protección de datos confidenciales?
Xplain participa en proyectos de TI sensibles. Los clientes de Xplain incluyen la Oficina Federal de Policía, la Oficina Federal de Armamentos y las fuerzas policiales cantonales. Es asombroso que los responsables del proyecto no abordaran los temas de seguridad con el énfasis necesario. Un descuido o negligencia no puede explicar este defecto. Debía de haber un gran desconocimiento de las normas elementales de seguridad entre los responsables de la administración.
El hecho de que la seguridad de TI abarque toda la cadena de suministro de software ciertamente ya no es un hallazgo nuevo en 2023. La idea detrás de esto es generalmente comprensible: cada chef en un restaurante sabe que tiene que confiar en proveedores confiables para su carne. Si la cadena de frío en la entrega se rompe en un solo lugar, corre el riesgo de servir a sus invitados carne podrida. Es similar con el software.
El gobierno federal aprendió en 2018 que los ataques cibernéticos a los proveedores pueden ser problemáticos. En ese momento, la empresa francesa de TI Atos fue víctima de un presunto ciberataque ruso con el malware «Olympic Destroyer». Como Atos también proporcionaba servicios de TI para la administración federal, la gente de Berna se puso nerviosa y pidió información. Porque de repente existía la posibilidad de ser indirectamente afectado por el ataque.
El gobierno federal debería saberlo: los proveedores de servicios de TI externos son parte de su propio ecosistema. Su propia seguridad informática es tan buena como la de los proveedores. Debido a que este hallazgo no es nuevo, las deficiencias de Xplain y la ignorancia del gobierno federal son aún más asombrosas.
No se trata de contratos, se trata de cultura de seguridad
El Consejo Federal ahora quiere aclarar si los contratos deben ajustarse para que el gobierno federal pueda exigir ciertos estándares mínimos de seguridad de sus proveedores. Pero ver las cláusulas contractuales que faltan como la razón de las deficiencias no es suficiente.
La seguridad de TI debe ser una consideración central al comprar desde el principio. Como cliente importante, el gobierno federal sin duda está en condiciones de hacer llegar sus requisitos al proveedor. Por lo tanto, el caso Xplain no plantea principalmente cuestiones sobre leyes y contratos. Se trata de la cultura de seguridad general cuando se trata de datos confidenciales y la importancia de la seguridad de TI.
El delegado federal de seguridad cibernética, Florian Schütz, comenzó su trabajo en el verano de 2019 y creó el Centro Nacional de Seguridad Cibernética Federal (NCSC). Es aterrador que cuatro años después estas deficiencias elementales sigan siendo evidentes en la administración federal. Muestran que la seguridad de la información no se puede decretar desde arriba. Debe estar anclado como una cultura en la administración federal, y aún queda un largo camino por recorrer.