El Consistorio aprueba nuevas medidas para la normativa municipal de ciberseguridad

La Policía Nacional mantiene abierta la investigación del hackeo de octubre que afectó a los servicios del Ayuntamiento

FACHADA_AYUNTAMIENTO_MARTA_RUIZ_3
Ayuntamiento de Granada | Foto: Archivo GD
Gabinete
0

La comisión informativa de Economía y Hacienda, Recursos Humanos, Innovación y Comercio del Ayuntamiento de Granada ha aprobado este martes un dictamen favorable al expediente de modificación de la normativa municipal de ciberseguridad y protección de datos, mientras la Policía Nacional mantiene abierta una investigación por el hackeo que afectó a los servicios del consistorio al parecer promovidos por piratas informáticos con vínculos con Rusia, coincidiendo con la celebración de las cumbres europeas en la ciudad de la Alhambra a principios del pasado octubre.

El expediente, que se llevará a Pleno este mismo mes de febrero, tras un dictamen aprobado con los votos favorables del PP, en el gobierno local, y del PSOE, y la abstención de Vox, incluye nuevas medidas de defensa frente a posibles ataques o riesgos cibernéticos. La iniciativa ha sido desarrollada por la dirección técnica de Seguridad del consistorio.

El concejal de Digitalización e Innovación, Vito Epíscopo, ha justificado la necesidad de llevar a cabo ahora esta revisión "tanto por el periodo de tiempo transcurrido desde su aprobación, como por las necesidades nuevas surgidas para un funcionamiento efectivo y eficaz de las distintas estructuras orgánicas del Ayuntamiento de Granada".

En este sentido, ha explicado que la propia política de ciberseguridad y de protección de datos del Ayuntamiento de Granada dispone que "será revisada a intervalos planificados, que no podrán exceder el año de duración o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia".

Con este horizonte, las modificaciones propuestas afectan a aspectos como la posibilidad de inclusión de organismos autónomos y organismos equivalentes, a través de la adhesión a esta política, mediante la firma del instrumento jurídico oportuno; la modificación en la composición del comité técnico de ciberseguridad al objeto de adaptarlo a la organización municipal y la reducción de sus miembros, con el fin de "hacerlo más operativo".

Otras reformas introducidas son la modificación en las funciones del responsable de ciberseguridad; la separación de funciones que debe existir entre la figura del delegado de protección de datos y el que lleva la responsabilidad dentro del Esquema Nacional de Seguridad (ENS) y figuras asimiladas o la "designación de una persona intermediaria en cada Concejalía, así como en Policía Local y en el Servicio de Prevención y Extinción de Incendios y Salvamento".

Se trata de que sirva de "contacto para la colaboración y coordinación con las funciones de la dirección técnica de ciberseguridad y del delegado de protección de datos", según se recoge en la propuesta.

Los cambios sobre la política de ciberseguridad y protección de datos se completan con modificaciones relativas a la figura de responsable del sistema, la modificación en las funciones de los administradores de ciberseguridad, la ampliación de la revisión de la política de un año a dos años, la revisión del apartado relativo a "ciberincidentes y brechas de seguridad, y, por último, una modificación para adaptación a la normativa vigente relativa a terceras partes".

Tras recordar que la política de ciberseguridad "constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el ENS", Epíscopo ha señalado que "la experiencia acumulada en la gestión de las materias indicadas, las referidas modificaciones normativas y los cambios organizativos habidos en estos sectores de la actividad administrativa hacen necesaria la presente norma para configurar una política de seguridad de la información y protección de datos personales acorde con el momento actual".

Por último, Epíscopo ha concluido que "desde el Ayuntamiento, debemos también concienciar al ciudadano en hábitos de ciberseguridad y tratar de hacer una administración más sencilla y amable, con el propósito de acabar con la brecha digital".

La política de seguridad de la información del Ayuntamiento de Granada en el marco del ENS vigente hasta ahora fue aprobado por la Junta de Gobierno Local el 31 de marzo de 2017, y posteriormente fue objeto de revisión en el Pleno del 29 de abril de 2022.

Investigación policial por hackeo

En cuanto a las diligencias abiertas por el hackeo, continúan abiertas, según las fuentes cercanas a la investigación consultadas por Europa Press, después de que el Ayuntamiento abortara sobre la marcha los accesos que desde IP ubicadas en Holanda, Alemania y Francia, y finalmente desde España, se intentaron hacer a los servicios municipales, al parecer por grupos "zombie" de piratas controlados por bandas rusas. No hay detenidos hasta el momento.

El Ayuntamiento de Granada presentó una denuncia en la Policía Nacional por el ciberataque que sufrían los servicios municipales coincidiendo con la cumbre europea, que reunía a medio centenar de jefes de Estado y del Gobierno en la ciudad andaluza a principios de octubre, y que no dejó daños en la red, de tal modo que las webs que se vieron afectadas funcionaron con normalidad desde ese día y los supuestos piratas no accedieron a datos de ningún tipo.

Según informaron en su día a Europa Press fuentes conocedoras del dispositivo de seguridad, el Centro Criptológico Nacional, adscrito al CNI, estuvo monitorizando la incidencia que reivindicó el colectivo NoName057, conocido por sus supuestos vínculos con Rusia y por alinearse con la estrategia del Kremlin en la guerra de Ucrania.

Ataques contra web estatales

Las webs afectadas fueron la del Ayuntamiento de Granada, el portal de turismo de esta ciudad y también las páginas oficiales del transporte urbano, tanto de autobús como metro. Los hackers también habrían lanzado su ofensiva contra el portal del Gobierno central, así como el Ministerio de Economía y el Instituto Nacional de Ciberseguridad de España.

El supuesto ataque informático se registró horas después de la asistencia en Granada del presidente ucraniano, Volodimir Zelenski, que abogó en la reunión de la Comunidad Política Europea por trabajar para "salvar la unidad en Europa". También confió en lograr el apoyo de sus aliados para que Ucrania pueda tener un "escudo" defensivo de cara a la llegada del invierno, ante el temor a que puedan intensificarse los ataques sobre infraestructuras críticas.