El mes pasado el Ministerio TIC abrió a comentarios una propuesta de Resolución que busca fortalecer el modelo de Seguridad y Privacidad de la Información y define lineamientos adicionales a los de la Resolución No. 500 de 2021. El plazo otorgado para comentarios fue de dos semanas, que resultó insuficiente para Karisma. El Ministerio TIC no respondió nuestra solicitud de ampliación del plazo, pero aún así decidimos analizar el documento y acá presentamos nuestro análisis para lo que sea útil en el proceso regulatorio.
El marco en el que aterriza la Resolución
La resolución refuerza que las entidades estatales deben tomar las medidas necesarias para garantizar la protección de datos personales en los sistemas de información estatales, una obligación que se deriva del artículo 15 de la Constitución y de la ley de protección de datos, pero que todavía requiere mucho trabajo para que sea incorporada como una cultura organizacional.
En primer lugar, consideramos que esta es una iniciativa importante y necesaria. La Fundación Karisma ha hecho análisis de seguridad digital y privacidad en sistemas que gestionan masivamente datos personales de la ciudadanía desde 2016 y, una y otra vez, ha encontrado problemas en este aspecto. La venta o distribución de bases de datos con datos personales que han sido extraídas de sistemas estatales en los mercados negros, es también otro indicador de los problemas que la resolución busca enfrentar.
En todo caso, consideramos que la política de aprovechar al máximo las ventajas de la computación en la nube que se ha visto por estos días (Circulares 01 de 2022 ,directiva presidencial 03 de 2021 y la directiva presidencia 02 de 2002), no solo por cuestiones económicas y prácticas, sino porque en general tienen mejor seguridad que los sistemas manejados localmente, parece razonable para enfrentar los crecientes incidentes de seguridad digital pero supone también analizar impactos. Seguramente pasar la información pública a la nube requerirá trasladar datos a servidores internacionales, esto requiere diligencias adicionales dictadas por la ley de protección de datos (normas de protección de datos sobre “adecuada protección”), sobre esto nada se ha dicho aunque las entidades estatales se ven ahora, más explícitamente, obligadas a cumplirlas.
Los problemas que advertimos
Los productos digitales enfocados en la seguridad de la información -como firewalls, Intrusion Detection Systems o los antivirus-, que son los objetivos de la regulación propuesta, rara vez tienen contacto directo con las bases de datos o los sistemas internos de las aplicaciones que verdaderamente manejan los datos. Es por esto que creemos que los controles que propone la futura Resolución son inefectivos, rígidos y obsoletos, y además pueden convertirse en desincentivos para que las entidades públicas adquieran este tipo de protecciones.
Sin perjuicio de contemplar una buenas medidas de contratación para los mencionados productos de seguridad de la información, en opinión de Karisma que las medidas que la Resolución propone deberían ser aplicadas es a los proveedores o desarrolladores internos de aplicaciones estatales. Son ellos los que tienen la verdadera responsabilidad sobre la seguridad de los datos personales que recolectan dichas aplicaciones.
Con fundamento en lo descrito hasta acá concluimos que la evaluación de riesgos hecha como base para la elaboración de la propuesta de Resolución, es pobre, insuficiente y desactualizada. El resultado por tanto es una propuesta muy inocente que pone controles más estrictos a la contratación de servicios o productos enfocados a la seguridad digital ignorando por completo la seguridad misma de los sistemas.
Recordemos que la seguridad digital no es una talanquera que se sube y se baja a la entrada de los sistemas sino que supone una aproximación holística donde se deben evaluar la complejas dependencias que hay entre sistemas. Un análisis holístico habría puesto el foco en los productos digitales que ofrece el gobierno y hubiera incentivado la realización de auditorías a los mismos antes de que salgan a producción. Este enfoque sería más efectivo que el de complicar la contratación de servicios y productos de seguridad que por su propia naturaleza son los menos susceptibles a fugas de información o ataques.
Finalmente, recomendamos que el gobierno analice las discusiones de política pública que en la actualidad se están dando en el seno de la OECD sobre la forma de mejorar la seguridad digital de los productos. Estas recomendaciones aplicadas a los sistemas estatales pueden ser muy efectivas
El análisis
La resolución adiciona controles para la relación entre las entidades públicas y los proveedores de productos y servicios de seguridad digital. Lo hacen argumentando que dichos productos o servicios tienen mayor probabilidad de estar en contacto con datos personales o privados y que en virtud de las nuevas “aclaraciones sobre protección de datos” deben manejarse con más cuidado.
Para Karisma la distinción base que usa esta resolución es muy limitada toda vez que, a menos que hablemos de auditorías de seguridad o pruebas de penetración, los productos que podríamos catalogar como de seguridad de la información, en realidad no tienen tanto contacto con estos datos. Esos productos están normalmente en la periferia de las aplicaciones con las que interactuamos las personas -tanto ciudadanía como servidores públicos-. Son las aplicaciones como tal las que en realidad manejan directamente las bases de datos personales que se deben proteger.
De nada sirve tener estrictos controles con el proveedor de un WAF (Web Application Firewall) si la aplicación que protege no cumple con los estándares mínimos de seguridad en su desarrollo y despliegue. De la misma manera, la protección tampoco servirá si no se toman los controles legales para preservar los datos de las bases de datos que manejan estas aplicaciones y sus proveedores cuando son tercerizadas o incluso desarrolladas internamente.
El impacto de esta resolución puede significar, para la protección de datos, la imposición de procesos inefectivos que no logran proteger la significativa cantidad de datos personales, privados, biométricos que alojan las aplicaciones del gobierno. Sobre todo cuando la regla es que estos sistemas se desarrollan e implementan esencialmente con una visión tecno-solucionista y de afán -se crea una aplicación o una página como respuesta a casi cualquier problema -con la idea de “salir lo más pronto posible”-.
En nuestra experiencia este afán hace que se saque a producción software de mala calidad, que no cumple con los mínimos estándares de seguridad.
Parecería más importante un llamado a aplicar metodologías de privacidad por diseño que al menos haga reflexionar a los encargados del software del estado sobre la cantidad de datos personales que recogen e incentivar la minimización de estos, podría ser más efectivo que firmar acuerdos de confidencialidad con el proveedor de un antivirus o un “firewall” que nunca tocarán los servidores de las aplicaciones.
En los ejercicios de observación sobre la seguridad y privacidad no intrusivos que hacemos a los sistemas estatales que usan masivamente datos personales hemos visto que con frecuencia las entidades estatales ni siquiera usan HTTPS, que es el estándar técnico más básico para la protección de datos. Varias veces hemos visto también APIs mal diseñadas y pobremente implementadas, sin sistemas de autenticación o con muy pobres sistemas que frecuentemente permiten hacer consultas a bases de datos solo cambiando argumentos (como identificadores) y que por tanto facilitan la fuga, casi automática, de datos personales.
Si este tipo de prácticas pueden encontrarse en ejercicios de auditorías no intrusivas (como las que solemos hacer), donde no se malforman datos con el fin de probar la seguridad sino que se observan por los flujos entre clientes y servidores de las aplicaciones estatales (con esfuerzos mínimos porque las conexiones no están ni siquiera cifradas), es fácil concluir que la probabilidad de ataques mucho más profundos es muy alta y que ese debería ser el espacio hacia donde se deberían redoblar los esfuerzos.
(Este documento se envió al Ministerio TIC el 16 de marzo de 2022 para su consideración fuera de los términos otorgados para comentarios públicos, el propósito es en todo caso contribuir con el debate).
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Comentarios tardíos a la resolución de MinTIC que busca mejorar la protección de datos de las personas en los sistemas del Estado
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co.