Tras la falla que mantiene fuera de servicio el sistema de recarga de AutoExpreso, el director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), Edwin González Montalvo, indicó que hay que esperar a que la investigación sobre el ataque del ‘hacker’ termine para saber si la información de los usuarios ha sido afectada o comprometida.
En una vista que se lleva a cabo en la Cámara de Representantes, a preguntas del legislador del Partido Independentista Puertorriqueño (PIP), Dennis Márquez Lebrón el ingeniero señaló que hay que esperar que la investigación por parte de Professional Account Management (PAM) la empresa encargada del sistema termine la misma.
“Según lo que nos ha indicado PAM, no hay evidencia alguna. Hay que responsablemente esperar que termine la investigación”, expresó González Montalvo.
Ante la falla que afecta el sistema de recarga de AutoExpreso debido a un ataque cibernético desde el pasado mes de abril, la compañía privada que maneja este sistema no ha entregado un protocolo de ciberseguridad a las agencias gubernamentales que operan, conservan y mantienen las carreteras y autopistas del país, trascendió el jueves en vistas públicas.
El director ejecutivo de la ACT, el ingeniero Edwin González Montalvo expresó que por parte de PAM, al día de hoy no han recibido ningún protocolo.
“De este incidente, se están revisando todos los protocolos dentro de la ACT e indicamos que la compañía PAM nos dijo que el backup se hace a diario”, expresó.
Según el ingeniero, el sistema del operador privado que maneja AutoExpreso ha logrado restablecer el sistema, y se encuentra actualmente realizando pruebas al mismo y procesando las transacciones recolectadas por los sistemas de las plazas de peaje desde el comienzo del incidente.
Puerto Rico Innovation & Technology Services (PRITS) aseguró en una vista pública ante la Comisión de Transportación de la Cámara de Representantes que la compañía que opera el sistema de AutoExpreso, que es Professional Account Management (PAM), no ha entregado un protocolo de ciberseguridad.
El proyecto de ley de los representantes Ángel Fourquet Cordero y José Aníbal Díaz Collazo busca ordenar al Departamento de Transportación y Obras Públicas (DTOP) eliminar las multas y costo del peaje por concepto del transitar sin balance por las estaciones de peaje de la Isla otorgadas a partir del mes de abril del año 2022, debido al ataque cibernético que ha sufrido el sistema de AutoExpreso.
El representante, Luis Raúl Torres Cruz, quien sustituyó al presidente de la Comisión, aclaró que la medida en discusión no es una investigación, sino una evaluación.
“Para esta Asamblea Legislativa es prioridad conocer con fundamentos el proceso y plan de este asunto ocurrido el pasado 16 de abril, que le ha causado angustia a los abonados del sistema de AutoExpreso”.
El principal oficial de Seguridad Cibernética (CISO), N’gai Oliveras Arroyo de PRITS explicó que “los hackers al entrar al sistema tienen acceso a la información. La investigación la está realizando la compañía de ciberseguridad que contrata el contratista privado PAM”.
A su vez, detalló que en la investigación preliminar la compañía que contrató PAM aseguró que “la información no fue trastocada y extraída”. Además, aclaró que el sistema volverá a comenzar con un backup (información recopilada hasta el día que sucedió el ataque).
Sobre el asunto de ciberseguridad, la directora ejecutiva de PRITS, Nannette Martínez Ortiz afirmó que han estado trabajado una política pública desde principios de año, para exigir que todo contratista tenga un protocolo de manejo de incidentes y planes de continuidad de servicio que consideren la implementación de todos los controles y medidas necesarias para asegurar la integridad, disponibilidad y confidencialidad de los datos que reciben y almacenan los sistemas del Gobierno de Puerto Rico.
En este sentido, el legislador Jesús Santa Rodríguez cuestionó “¿qué debería de tener un protocolo de ciberseguridad de una compañía que brinda servicios al Gobierno de Puerto Rico?” Ante esto, Oliveras Arroyo confesó que PAM no ha entregado el protocolo de ciberseguridad a PRITS.
Asimismo, la directora ejecutiva de PRITS aclaró que el protocolo de manejo de incidentes está ideado para que funcione a través del personal de tecnología de las entidades gubernamentales.
“Se supone que PAM le entregue el protocolo al personal de tecnología de la Autoridad de Carretera y Transportación (ACT)”. A su vez, la funcionaria expresó que PAM no se ha puesto en cumplimiento con la política pública de PRITS.
A su vez, indicó que la ACT le ha dado prioridad a robustecer el sistema de AutoExpreso. Asimismo, planteó que la ACT lanzó un Request for Proposal (RFP) para la modernización del sistema de Roadside System. “Al momento la ACT se encuentra evaluando las propuestas recibidas y espera adjudicar la subasta durante verano de 2022. Además, hay que aclarar que PAM entró en el 2018 y su contrato es mes a mes”.
“Hay mucho espacio para mejorar y lo que buscamos es el mejor beneficio y valor para el pueblo de Puerto Rico. La compañía que provea el mejor valor para el pueblo puertorriqueño será la que gane el proceso”, agregó González Montalvo.
Por su parte, el presidente de PAM, Tim Wendler, garantizó que el backup del sistema se hace a diario. "
Actualmente, no tenemos evidencia de que ninguna información de los usuarios fue filtrada”.
