Ante la falla que afecta el sistema de recarga de AutoExpreso debido a un ataque cibernético desde el pasado mes de abril, la compañía privada que maneja este sistema no ha entregado un protocolo de ciberseguridad a las agencias gubernamentales que operan, conservan y mantienen las carreteras y autopistas del país, trascendió el jueves en vistas públicas.
Puerto Rico Innovation & Technology Services (PRITS) aseguró en una vista pública ante la Comisión de Transportación de la Cámara de Representantes que la compañía que opera el sistema de AutoExpreso, que es Professional Account Management (PAM), no ha entregado un protocolo de ciberseguridad.
El proyecto de ley de los representantes Ánel Fourquet Cordero y José Aníbal Díaz Collazo busca ordenar al Departamento de Transportación y Obras Públicas (DTOP) eliminar las multas y costo del peaje por concepto del transitar sin balance por las estaciones de peaje de la Isla otorgadas a partir del mes de abril del año 2022, debido al ataque cibernético que ha sufrido el sistema de AutoExpreso.
El representante, Luis Raúl Torres Cruz, quien sustituyó al presidente de la Comisión, aclaró que la medida en discusión no es una investigación, sino una evaluación. “Para esta Asamblea Legislativa es prioridad conocer con fundamentos el proceso y plan de este asunto ocurrido el pasado 16 de abril, que le ha causado angustia a los abonados del sistema de AutoExpreso”.
El principal oficial de Seguridad Cibernética (CISO), N’gai Oliveras Arroyo de PRITS explicó que “los hackers al entrar al sistema tienen acceso a la información. La investigación la está realizando la compañía de ciberseguridad que contrata el contratista privado PAM”.
A su vez, detalló que en la investigación preliminar la compañía que contrató PAM aseguró que “la información no fue trastocada y extraída”. Además, aclaró que el sistema volverá a comenzar con un backup (información recopilada hasta el día que sucedió el ataque).
Sobre el asunto de ciberseguridad, la directora ejecutiva de PRITS, Nannette Martínez Ortiz afirmó que han estado trabajado una política pública desde principios de año, para exigir que todo contratista tenga un protocolo de manejo de incidentes y planes de continuidad de servicio que consideren la implementación de todos los controles y medidas necesarias para asegurar la integridad, disponibilidad y confidencialidad de los datos que reciben y almacenan los sistemas del Gobierno de Puerto Rico.
En este sentido, el legislador Jesús Santa Rodríguez cuestionó “¿qué debería de tener un protocolo de ciberseguridad de una compañía que brinda servicios al Gobierno de Puerto Rico?” Ante esto, Oliveras Arroyo confesó que PAM no ha entregado el protocolo de ciberseguridad a PRITS.
Asimismo, la directora ejecutiva de PRITS aclaró que el protocolo de manejo de incidentes está ideado para que funcione a través del personal de tecnología de las entidades gubernamentales. “Se supone que PAM le entregue el protocolo al personal de tecnología de la Autoridad de Carretera y Transportación (ACT)”. A su vez, la funcionaria expresó que PAM no se ha puesto en cumplimiento con la política pública de PRITS.
Por otro lado, el director ejecutivo de la ACT, el ingeniero Edwin González Montalvo expresó que por parte de PAM, al día de hoy no han recibido ningún protocolo. “De este incidente, se están revisando todos los protocolos dentro de la ACT e indicamos que la compañía PAM nos dijo que el backup se hace a diario”.
Según el ingeniero, el sistema del operador privado que maneja AutoExpreso ha logrado restablecer el sistema, y se encuentra actualmente realizando pruebas al mismo y procesando las transacciones recolectadas por los sistemas de las plazas de peaje desde el comienzo del incidente.
A preguntas del representante independentista, Dennis Márquez Lebrón sobre si la información de los consumidores ha sido afectadas o comprometidas, el ingeniero señaló que hay que esperar que la investigación termine. “Según lo que nos ha indicado PAM, no hay evidencia alguna. Hay que responsablemente esperar que termine la investigación”.
A su vez, indicó que la ACT le ha dado prioridad a robustecer el sistema de AutoExpreso. Asimismo, planteó que la ACT lanzó un Request for Proposal (RFP) para la modernización del sistema de Roadside System. “Al momento la ACT se encuentra evaluando las propuestas recibidas y espera adjudicar la subasta durante verano de 2022. Además, hay que aclarar que PAM entró en el 2018 y su contrato es mes a mes”.
“Hay mucho espacio para mejorar y lo que buscamos es el mejor beneficio y valor para el pueblo de Puerto Rico. La compañía que provea el mejor valor para el pueblo puertorriqueño será la que gane el proceso”, agregó González Montalvo.
Por su parte, el presidente de PAM, Tim Wendler, garantizó que el backup del sistema se hace a diario. “Actualmente, no tenemos evidencia de que ninguna información de los usuarios fue filtrada”.