EL 90% DE LES WEBS D’AJUNTAMENTS NO SÓN SEGURES. HO ÉS LA TEVA?
9 de cada 10 ajuntaments són vulnerables en les seves pàgines web i posen en risc informació sensible dels ciutadans. Aquesta és la conclusió d’un estudi realitzat per Sophos Iberia, Securízame i el despatx d’advocats especialitzat en protecció de la informació Abanlex.
.
Aquest estudi s’ha realitzat analitzant webs de 77 ajuntaments espanyols de capitals de província i de més de 100.000 habitants que compten amb serveis d’administració electrònica per intercanviar informació sensible com ara gestió de documents oficials, dades fiscals, d’empadronament, etc.-. Per fer l’estudi s’ha utilitzant una eina pública com Qualys Test i que es pot fer servir lliurement. A través d’aquesta eina es pot tenir una auditoria de com és el SSL (Secure Sockets Layer) en una web que funciona per HTTP. El servei es connecta a la web i revisa els sistemes de xifrat i el protocol que suporta el servidor, la signatura digital, el certificat, etc… es fan una sèrie de proves per comprovar el xifrat i la seguretat de la web i finalment es dóna una nota compresa entra les lletres A com a millor resultat fins la F com la pitjor valoració.
La conclusió d’aquest estudi és que 9 de cada 10 ajuntaments no compten amb bones polítiques de seguretat en el seu xifrat de dades. Són, per tant vulnerables davant ciberatacs malgrat complir amb la normativa vigent.
Dins de les vulnerabilitats detectades n’hi ha dues que mereixen especial atenció:
– El 40% dels ajuntaments són vulnerables a un ciberatac POODLE amb la qual cosa un ciberdelinqüent podria suplantar la identitat de l’usuari o de la mateixa Administració, robant informació de múltiples usuaris que es podrien vendre després al mercat negre.
– El 34% dels ajuntaments són vulnerables a un ciberatac FREAK que significa que el ciberdelinqüent podria espiar les comunicacions, infectar ordinadors amb un software maliciós o obtenir dades d’accés dels usuaris, robant informació que es podrien vendre després al mercat negre per exemple.
Pel que fa als ajuntaments catalans, l’Ajuntament de Girona és l’únic que apareix en aquest estudi que obté la major nota amb una A. Altres es queden amb una C i molts obtenen la pitjor nota. En aquets post no direm quins són aquests ajuntaments per evitar possibles atacs, però l’estudi està a disposició de l’Ajuntament que ens ho requereixi i a més cadascú pot fer-se la prova amb Qualys.
.
.
No és que els ajuntaments no compleixin amb la LOPD
.
La gent podria pensar que estem parlant de complir amb la Llei de Protecció de Dades (LOPD), i no és el cas. De fet, els ajuntaments no cometen cap il·legalitat ja que segur que compleixen fil per randa la LOPD. El problema és que la Llei no especifica el grau de seguretat SSL o TLS que s’ha de complir i a més la seguretat és un ecosistema que canvia ràpidament i que ha deixat enrere la legislació vigent segons Pablo Teijeira, Director General de Sophos Iberia.
.
La solució és molt fàcil, un bon xifrat
.
Aquestes vulnerabilitats detectades tenen molt fàcil solució i no requereixen grans inversions per ser solucionades. De fet, “una política de protecció de dades basat en el xifrat es pot fer en hores”, segons Teijeira, “permetent a les administracions públiques millorar la confiança dels ciutadans a banda d’evitar sancions de la UE”.
Per acabar, adjuntem un vídeo i un PDF de l’estudi “Informe sobre la necesidad legal de cifrar información y datos personales 2015” realitzat per Sophos Iberia, Securízame i Abanlex. Si vols més informació contacta’ns.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
blogimpulsa 