El delegado de Transformación Digital, portavoz del grupo Popular y portavoz del Pleno del Ayuntamiento de Sevilla, Juan Bueno, ha confirmado al periódico Viva Sevilla que el Centro de Operaciones de Ciberseguridad de la Corporación Municipal hispalense, que da cobertura a todas las áreas y entes municipales de la red Hispalsat, se puso en marcha tras la firma del contrato en octubre de 2022 (con la empresa ICA Sistemas y Seguridad, con sede en Madrid), tal como vimos en una información anterior, aunque ha puntualizado que «quedaba la segunda parte, que era dotarlo de recursos», pero que el ciberataque ha llegado antes de que esa dotación de recursos se hiciera efectiva.
No sé ya si salió de la boca del delegado o luego ha circulado como una leyenda urbana: la implantación del Centro de Operaciones de Ciberseguridad de la Red Corporativa (Hispalnet) municipal se ha equiparado a la preinstalación de un sistema de aire acondicionado. Es decir, el Ayuntamiento habría ejecutado la preinstalación del aire acondicionado pero no le habría dado tiempo a comprar las máquinas de climatización ni a contratar a los operarios para que las montasen y les hicieran las revisiones puntuales exigidas en la ficha técnica.
Pero es justamente al revés: en este símil el Ayuntamiento ya tenía compradas las máquinas del aire acondicionado (las que integraban la red corporativa Hispalnet), y lo que necesitaba contratar, y de hecho contrató con la adjudicación a la empresa madrileña ICA Sistemas, era unos gestores que las hicieran funcionar en condiciones de (ciber)seguridad para evitar fallos en cadena o intromisiones de terceros (ciberataques), como el que se puede conectar a nuestra red Wi-Fi por no tenerla suficientemente protegida.
Juan Bueno, delegado de Transformación Digital del Ayuntamiento de Sevilla
En el Anexo I del expediente 2022/000691, relativo al Pliego de Cláusulas Administrativas Particulares para la Contratación de Servicios Mediante Procedimiento Abierto (Objeto: Implantación del Centro de Operaciones de Ciberseguridad de la Red Corporativa del Ayuntamiento de Sevilla/Hispalnet( (Ref: 12/22) puede leerse lo siguiente en el epígrafe ‘Necesidades administrativas a satisfacer’:
«El proceso de modernización que se está llevando a cabo en el
Ayuntamiento de Sevilla, que conlleva obviamente la mejora y
ampliación de los servicios digitales ofertados a la ciudadanía, así
como la automatización de los procesos internos, ha obligado
tanto a la renovación y mejora de las infraestructuras, como a la
renovación y ampliación de los sistemas de información y de los
sistemas de atención y relación con la ciudadanía. Evidentemente
en todo este proceso la ciberseguridad juega un papel esencial,
por lo que es imprescindible contar con un Centro de Operaciones
de Ciberseguridad adecuado a los nuevos servicios que se
prestan, y adecuar la Política de Seguridad, que data del año
2014, a las nuevas circunstancias.
Para ello es necesario realizar:
-El despliegue del Centro de Operación de Seguridad en la
red corporativa HISPALNET y las Entidades que la
integran.
-La adecuación al ENS del Ayuntamiento de Sevilla y la red
corporativa HISPALNET y las Entidades que la integran.
-Un plan de formación y concienciación en Ciberseguridad
en la red corporativa HISPALNET y las Entidades que la
integran».
Siguiendo la metáfora del aire acondicionado, el Ayuntamiento ya tenía la preinstalación y las máquinas climatizadoras, porque había procedido previamente tanto a la «renovación y mejora de las infraestructuras, como a la renovación y ampliación de los sistemas de información y de los sistemas de atención y relación con la ciudadanía».
Le faltaba el operativo de (ciber)seguridad, que es lo que contrató con todo lujo de detalles, como pone de manifiesto el Pliego de Prescripciones Técnicas (42 páginas), demasiado prolijo y demasiado técnico como para extendernos con el mismo ahora, aunque intentaré añadirlo al final para los muy interesados en la materia.
Y lo contrató a mediados de octubre de 2022, con un plazo máximo de ejecución de tres meses, aunque en las bases del concurso primaba a la empresa que pudiera acelerar la instalación del Centro de Operaciones de Ciberseguridad porque, recuérdese, en diciembre expiraban los fondos europeos destinados a este tipo de cuestiones.
Suponiendo que se hubieran tardado tres meses (enero de 2023) y que tanto el Ministerio como la UE hubieran hecho la vista gorda sobre esa hipotética superación del plazo estipulado, entre la implantación efectiva del Centro de Ciberseguridad y el ataque de los piratas cibernéticos supuestamente holandeses al sistema informático municipal han pasado nada menos que ocho meses, un tiempo en que según el delegado no ha dado tiempo a dotar de recursos al Centro de Ciberseguridad para que funcionara.
Insisto: basta consultar el pliego de prescripciones técnicas para llegar a la conclusión de que no hacía falta dotar de mucho más al Centro de Ciberseguridad, porque casi todo eran aplicaciones informáticas.
Aun en el caso de que Juan Bueno tenga razón y no haya dado tiempo en ocho meses a dotar de recursos al Centro de Ciberseguridad, ¿con qué dinero se habría dotado de esos recursos? Recordemos que el gobierno anterior, el del socialista Antonio Muñoz, consiguió aprobar el Presupuesto municipal para este 2023 a finales del mes de enero. He examinado el proyecto de Presupuesto y será porque soy de Letras y porque tampoco sabré manejarme entre tanto tocho de capítulos, partidas y números, el caso es que no he encontrado nada específico relativo al Centro de Ciberseguridad, salvo que el dinero para sostenerlo se pensara extraer de alguna de esas partidas genéricas o tipo «cajón de sastre», que lo mismo sirven para un roto que para un descosido, como podrían ser:
-Programa 92017: Desarrollo y soportes informáticos: 6.294.636,78 euros.
-Capítulo de Inversiones. Inversión nueva en equipos para procesos de información: 2.000 euros.
-Servicios de Tecnología de la Información: 2.999.023,65 euros.
Hasta un negado informático como yo puede encontrar en el proyecto del Presupuesto municipal partidas específicas para entes o empresas como Emasesa, Emvisesa, Lipasam, Tussam, Contursa, el ICAS, IMD…y hasta para la Red de Ciudades AVE y el Parque de la Corchuela, pero no he hallado ni rastro de un ente que debió de implantarse por completo en enero de 2023 como es el Centro de Ciberseguridad. Mi impresión de profano es que nunca hubo dotación económica para dicho Centro, bien porque no era necesaria al haberse materializado con los más de 200.000 euros de la Unión Europea y consistir en la implantación de diversas soluciones informáticas, bien porque la ciberseguridad y su importancia no estaban en la mente del gobierno, ni de la oposición.
¿No resulta hartamente significativo que existiendo implantado en el Ayuntamiento desde el periodo octubre 2022-enero 2023 un Centro de Operaciones de Ciberseguridad ni el gobierno del PP ni la oposición liderada por el PSOE, su teórico responsable hasta la llegada de Sanz al Poder, hayan hecho la más mínima mención al mismo durante esta crisis de ciberseguridad? Una crisis que ha puesto en evidencia su funcionamiento, si es que ha funcionado realmente, y la responsabilidad política de su implantación ( ¿o no?) y de su gestión (¿o no?), compartida en el primer caso por el gobierno del PSOE y en el segundo por el gobierno del PP.
Logotipo del grupo ICA
Item más. La empresa adjudicataria del contrato, el grupo ICA Sistemas y Seguridad, también ha guardado un significativo silencio al respecto, como si no hubiera tenido arte ni parte en esta historia ni le correspondiera responsabilidad alguna en el agujero que ha permitido a los ‘hackers’ penetrar en el sistema informático del Ayuntamiento. Todavía más significativo: en el apartado ‘Clientes’ de su página web aparecen los escudos o logotipos de cantidad de instituciones públicas y de empresas privadas, pero no el Ayuntamiento de Sevilla, para el que habría implantado su Centro de Ciberseguridad. Y seguimos: ¿por qué el alcalde sólo citó a Telefónica como empresa que estaba colaborando en el intento de restablecer el servicio? ¿No sería lo más lógico que hubiera recurrido el Ayuntamiento a la que creó el Centro de Ciberseguridad, o sea ICA Sistemas, y que por tanto sería o debería ser la mejor conocedora del mismo?
ICA Sistemas no ha incluido al Ayuntamiento de Sevilla en su lista de clientes pese a que le implantó el Centro de Ciberseguridad
Supuestamente, si no me equivoco a la hora de interpretar las bases del concurso, el adjudicatario, o sea ICA Sistemas, debía ofrecer un período mínimo de garantía de tres años para SIEM y Plataforma de Concienciación y Formación, desde la recepción de todos los servicios realizados. ¿Está exigiendo el gobierno de José Luis Sanz esa garantía a la hora de evaluar los perjuicios sufridos por el Ayuntamiento y por los sevillanos por el agujero en el Centro de Ciberseguridad?
Y hay que recordar que en el pliego aparece por parte del Ayuntamiento, con nombres y apellidos, un responsable de la supervisión del contrato y de su cumplimiento. ¿Cómo se ha hecho esa supervisión?
- SÍGAME EN LINKEDIN:
- https://www.linkedin.com/in/manuel-jes%C3%BAs-florencio-caro-919b0225/
Buenas preguntas, Manuel. Preguntas que ningun periodista se formula.
Entiendo que Telefónica se cita porque la red Hispalnet está subcontratada en su operación a Telefónica+Magtel. Es decir, parece que hay pocos funcionarios gestionando la tecnología del Ayuntamiento.
Desde mi punto de vista el pliego técnico del SOC está mal diseñado, porque habla de «implantación» de multitud de herramientas, pero no se describe un «servicio» de operación, es decir, un contrato anual de servicios. No se si la idea era emplomarle todo este batiburrillo de herramientas (SIEM), que en realidad se superponen a las auténticas herramientas de seguridad (firewalls, VPN, waf, antivirus, etc) a algun funcionario que pasaba por allí, o realizar un contrato de explotación posterior, que no estaba dotado presupuestariamente por ninguna parte. Más que un aire acondicionado, es como si te compras un coche pero no tienes carnet ni conductor.
Y una última cosa. Al final señalas al jefe de negociado (por debajo de jefes de servicio, directores, concejales, etc.) que firma el pliego técnico como responsable de vigilar el cumplimiento del contrato. Que no es mentira, pero me temo que es el tipico funcionario pringado al que pueden acabar responsabilizando de un probable desastre organizativo, toma de decisiones estratégicas erróneas y falta de rigor en las empresas privadas que deben prestar los servicios a la administración pública y que cobran cientos de miles de euros por sus ineficientes servicios.
He leido por ahí que todo se solucionará con «mayores inversiones». No, eso sólo será una condición necesaria, pero no suficiente. Se solucionará con una toma de decisiones estretégica profesional y seria, con funcionarios preparados y motivados, y con empresas adjudicatarias que realicen el trabajo por el que se les paga.