Compañía que maneja el sistema de AutoExpreso no ha entregado protocolo de ciberseguridad
Ante el ataque cibernético el pasado mes de abril.
El ataque cibernético al sistema de recarga de AutoExpreso del pasado mes de abril parece ser un problema no resuelto aún, ya que Puerto Rico Innovation & Technology Services (PRITS) aseguró en una vista pública ante la Comisión de Transportación de la Cámara de Representantes, que Professional Account Management (PAM), encargada de manejar el sistema, no ha entregado un protocolo de ciberseguridad.
“Los hackers al entrar al sistema tienen acceso a la información. La investigación la está realizando la compañía de ciberseguridad que contrata el contratista privado PAM”, explicó el principal oficial de Seguridad Cibernética (CISO), N’gai Oliveras Arroyo de PRITS.
Asimismo, detalló que en la investigación preliminar la compañía que contrató PAM aseguró que “la información no fue trastocada y extraída”. Además, aclaró que el sistema volverá a comenzar con un backup (información recopilada hasta el día que sucedió el ataque).
En cuanto al tema de ciberseguridad, la directora ejecutiva de PRITS, Nannette Martínez Ortiz aseguró que han estado trabajado en una política pública desde principios de año para exigir que todo contratista tenga un protocolo de manejo de incidentes y planes de continuidad de servicio que consideren la implementación de todos los controles y medidas necesarias para asegurar la integridad, disponibilidad y confidencialidad de los datos que reciben y almacenan los sistemas del Gobierno de Puerto Rico.
“Se supone que PAM le entregue el protocolo al personal de tecnología de la Autoridad de Carretera y Transportación (ACT)”, dijo Martínez Ortiz, quien a su vez, señaló que PAM no se ha puesto en cumplimiento con la política pública de PRITS.
De igual manera, el director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), Edwin González Montalvo, dijo que no han recibido ningún protocolo por parte de PAM.
“De este incidente, se están revisando todos los protocolos dentro de la ACT e indicamos que la compañía PAM nos dijo que el backup se hace a diario”, comentó el ingeniero.
González Montalvo indicó que el sistema del operador privado que maneja AutoExpreso sí ha logrado restablecer el sistema, y se encuentra actualmente realizando pruebas al mismo y procesando las transacciones recolectadas por los sistemas de las plazas de peaje desde el comienzo del incidente.
Información de los consumidores de AutoExpreso
En cuanto a si la información de los consumidores ha sido afectadas o comprometidas, el ingeniero señaló que hay que esperar que la investigación termine.
“Según lo que nos ha indicado PAM, no hay evidencia alguna. Hay que responsablemente esperar que termine la investigación”, expresó el ingeniero.
De igual manera indicó que la ACT le ha dado prioridad a robustecer el sistema de AutoExpreso. El ingeniero anunció que la ACT lanzó un Request for Proposal (RFP) para la modernización del sistema de Roadside System para estos fines.
“Al momento la ACT se encuentra evaluando las propuestas recibidas y espera adjudicar la subasta durante verano de 2022. Además, hay que aclarar que PAM entró en el 2018 y su contrato es mes a mes”, dijo el director ejecutivo de la ACT.
“Hay mucho espacio para mejorar y lo que buscamos es el mejor beneficio y valor para el pueblo de Puerto Rico. La compañía que provea el mejor valor para el pueblo puertorriqueño será la que gane el proceso”, sostuvo González Montalvo.
Por su parte, el presidente de PAM, Tim Wendler, garantizó que el backup del sistema se hace a diario.
“Actualmente, no tenemos evidencia de que ninguna información de los usuarios fue filtrada”, aseguró.
Esta conversación se dio en la Vista Pública de la Comisión de Transportación, Infraestructura y Obras Públicas que preside el representante José A. Díaz Collazo, sobre la Resolución Conjunta de la Cámara 318.
La R.C. de la C. 18 busca ordenar al Departamento de Transportación y Obras Públicas (DTOP) eliminar toda multa y costo del peaje por concepto del transitar sin balance por las estaciones de peaje de la Isla otorgadas a partir del mes de abril del año 2022, debido al ataque cibernético que ha sufrido el sistema de AutoExpreso y hasta su culminación; que anuncien y establezcan cual será el protocolo y los próximos pasos a seguir para que los ciudadanos puedan hacer las reclamaciones por cobros indebidos en sus cuentas; adjudicar un crédito a las cuentas de las personas que pagaron dichas multas; investigar si la base de datos del sistema sufrió percances en la información confidencial del conductor.
Lea también:
Sistema de AutoExpreso y la UPR sufren ataque cibernético
Aseguran sistema AutoExpreso se ha podido reconfigurar a base de “back up’s”
Cámara aprueba eliminar multas de AutoExpreso expedidas desde 1 de julio 2021