El gobierno federal está luchando contra una grave pérdida de datos. Incluso los registros de interrogatorios o las órdenes de aprehensión de la policía federal criminal podrían verse afectados. El gobierno federal ve deficiencias en la empresa de TI Xplain.
La Policía Federal Criminal se ve afectada por la fuga de datos con su sistema de investigación.
El malestar en la administración federal es grande. Información sensible de la Oficina Federal de Policía (Fedpol) se pudo encontrar entre los datos que el grupo criminal Play publicó en la dark web a mediados de junio. En el peor de los casos, según la administración federal, incluso se hicieron públicas las órdenes de arresto o los registros de interrogatorio. El análisis de los datos aún se está ejecutando, a toda velocidad.
El motivo de la enorme fuga de datos es un ciberataque que, sin embargo, no fue víctima del propio gobierno federal, sino de una empresa proveedora: la empresa Xplain de Interlaken. Entre otras cosas, desarrolla soluciones de software para las autoridades de seguridad federales y cantonales.
A fines de mayo, la empresa Xplain informó al gobierno federal que había sido víctima de un ataque del grupo de ransomware Play, en el que los chantajistas robaron datos. Debido a que la empresa no respondió a la demanda de rescate de Play, el 14 de junio, el grupo criminal publicó alrededor de 400 gigabytes de datos en la web oscura, una parte anónima de Internet.
Los datos publicados también incluyen información sobre el software Orma, que Xplain desarrolló para Fedpol. Esto incluye, por ejemplo, la documentación detallada de la arquitectura del sistema, como ya ha demostrado la investigación de la NZZ. Pero la pérdida de datos puede ir más allá.
El gobierno federal habla de «datos operativos», lo que suena inofensivo. Específicamente, los registros de interrogatorios o las órdenes de arresto de Fedpol podrían verse afectados, por ejemplo. Porque el sistema Orma es utilizado por la Policía Criminal Federal para la gestión de expedientes. Y hay una gran cantidad de datos sobre Orma en la dark web.
Fedpol no es de ninguna manera la única agencia federal afectada por la fuga de datos. También hay información sobre Darknet de la oficina de adquisiciones del ejército (Armasuisse), la policía militar o la Oficina Federal de Aduanas y Protección Fronteriza. Se dice que un total de alrededor de 40 clientes de Xplain se verán afectados por el lanzamiento.
No se cumplieron los estándares mínimos de seguridad informática
La publicación de los datos en la web oscura muestra la importancia de las cadenas de suministro de software. Esto significa la confiabilidad y seguridad de los proveedores y proveedores de servicios de TI. En este caso específico, la seguridad informática en Xplain obviamente no era la mejor. A mediados de junio, los expertos federales llegaron a la conclusión de que los sistemas informáticos de Xplain no estaban adecuadamente protegidos en vista de los datos confidenciales. En algunos casos, Xplain ni siquiera cumplía con los estándares mínimos de seguridad informática.
Aparentemente, aún no se ha aclarado por completo cómo los ciberdelincuentes pudieron penetrar en el sistema de TI de Xplain. Como sabe la NZZ, la atención se centra en dos posibilidades: que los atacantes ingresaron a la red de TI a través del acceso de un proveedor o que se explotó una vulnerabilidad en un servidor.
Probablemente se ignoraron los requisitos de seguridad interna
El gobierno federal ahora está reaccionando al problema de los proveedores de TI. El Consejo Federal decidió esta semana que se deben revisar los contratos con los proveedores de servicios de TI. En el futuro, se definirán los requisitos en el proceso de adquisición sobre cómo se deben proteger los sistemas de TI de las empresas proveedoras. Los ataques a través de la cadena de suministro de software han ganado importancia en los últimos años.
El Consejo Federal también inició los preparativos para una investigación administrativa el miércoles. Esto se suma a los procedimientos de la Oficina del Fiscal General y el Comisionado Federal de Protección de Datos. Esto involucra la pregunta de cómo los datos operativos del gobierno federal llegaron a los servidores de Xplain en primer lugar y si los requisitos de seguridad interna posiblemente fueron ignorados.
Se habla dentro de la administración federal de que ciertos conjuntos de datos pueden haber sido enviados a Xplain para su prueba. Y que estos no fueran borrados posteriormente. Xplain puede haber obtenido acceso a datos operativos, como registros relacionados con mensajes de error. Estos errores, que incluso pueden ser relevantes en el derecho penal como una violación del secreto oficial, no deberían volver a ocurrir en el futuro.