Un ciberatac al núvol posa en escac a múltiples despatxos professionals de conseqüències incalculables

Es possible que algú digués que la seva empresa estava més que segura que mai, perquè els seus servidors estaven al “nuvol” i per tan no temia patir ciberatacs, ja que la seva grandària no podia ser blanc de ciberdelincuents.

Doncs be, la nit del passat dimecres dia 17, segons l’artícle de A. Guerrero del diari digital Segre.com, la plataforma de Enuve, va patir un ciberatac i se’ls va encriptar servidors i copies de seguretat, afectant a desenes de despatxos professionals lleidatans i més d'un centenar entre les províncies de Tarragona i Girona, quedant-se sense accés a les dades, expedients, informes i tot tipus de documentació dels seus clients.

Els seus clients són assessors fiscals, economistes, graduats socials, bufets d'advocats, que havien contractat els serveis a Esofitec, una firma de Lleida distribuïdora dels servidors cloud d'Enuve, propietat de Outenuve, i que pertany al grup Abast. Esofitec tenia allà contractats els serveis d'allotjament d'escriptori remot dels seus clients, assessories i empreses que s'han vist afectades.

El ciberatac executat per un Ransomware (denominado Ryuk v4 Zero Day) a mitjanit del 17 de febrer, va encriptar servidors, escriptoris i còpies de seguretat pels quals els ciberdelinqüents han demanat una elevada xifra de diners a canvi, com a rescat.

Després d'una setmana, totes les empreses segueixen paralitzades, la qual cosa previsiblement hagi de suposar no poder exercir els encàrrecs de presentació de les declaracions tributàries a l'Agència Tributària ni les liquidacions laborals a la Tresoreria de la Seguretat Social, ni les nòmines a treballadors, ni emetre factures, ni efectuar qualsevol de les gestions normals d'aquest període, com és comptabilitzar les transaccions econòmiques, d'aquells clients que ho tenen externalitzat, ni emetre els comptes anuals, un cop tancat l'exercici, perquè els administradors de les societats mercantils puguin comprovar-les abans de signar per a la seva aprovació a les Juntes de socis i accionistes.  

Davant un problema tan gran, apropant-se els terminis de presentació de declaracions, el Col·legi d’Economistes de Catalunya s’ha ofert a donar tot el seu recolzament als despatxos professionals i col·legiats afectats, en la mediació amb l'Agència Tributària i la Tresoreria de la Seguretat Social, per buscar una solució al respecte. Al que aquests organismes ja han contestat que jurídicament els terminis no poden ser modificats. Totes les declaracions que siguin presentades fora de termini hauran d'anar acompanyades d'un escrit al·legant els motius per causa aliena, en el moment en què es restableixi la normalitat, el que no deixa de ser un treball addicional enorme per afectar possiblement a la totalitat dels seus clients.

El ciberatac ha paralitzat a l'empresa Cloud que al seu torn ha paralitzat als seus clients (professionals) que no poden treballar i als quals els han d'haver robat dades personals i altres (dels seus clients) davant els quals hauran de respondre.

No se sap el nombre d'afectats, però tots els despatxos professionals han hagut de comunicar el robatori d'aquestes dades a l'Agència de Protecció de Dades Personals, i hauran de respondre als seus requeriments, així com respondre davant els seus clients pels danys i perjudicis que els puguin causar.

Aquest cas múltiple que afecta de forma esglaonada a empreses de serveis professionals que realitzen encàrrecs d'altres empreses que al seu torn tenen les seves obligacions fiscals i laborals intactes, serà complex de solucionar i d'un cost elevadíssim que pot portar al tancament de molts despatxos, a menys que les empreses involucrades tinguessin contractada una pòlissa de ciberriscos con los capitals i cobertures adequats. Se tracta de donar garantia a la resposta de l'incident. Intervenció de tècnics especialistes forenses en ciberseguretat, juristes que analitzin i aconsellin què s'ha de fer, de comunicar a l'APDP, als afectats, i les defenses i indemnitzacions a les demandes que poden patir pels danys i perjudicis als seus propis clients afectats.

Discrepo en la comunicació que ha donat al Col·legi d'Economistes de Catalunya sobre la resposta de la pòlissa de responsabilitat civil professional, donant a entreveure que aquestes pòlisses es van a fer càrrec de les demandes als seus col·legiats perquè la resposta de responsabilitat civil professional generalment no cobreix els casos de ciberatacs. I perquè a més de les demandes per incompliment del contracte professional que van signar es poden afegir el mal ús de la identitat dels assegurats. Per això estan les pòlisses de ciberriscos.

Un ciberatac d’aquest calibre pot significar la ruïna de moltes famílies si no tenen els ciberriscos convenientment assegurats.  

El problema quan al teu proveïdor de serveis li falla el seu sistema és que ha de respondre, davant teu i davant tots els seus clients com tu, dels seus errors, però qui respon davant els teus clients, proveïdors, persones afectades per tenir les seves dades personals i als quals els poden ocórrer tota mena de problemàtica, per usurpació de la identitat?

Quin valor té la pèrdua de reputació guanyada a pols després d'anys d'esforç i estudi?

Mai reaccionem en la prevenció fins que no veiem el perill a tocar.

Els ciberdelinqüents són cada vegada més sofisticats i pot passar de tot. Un Ciberrisc arriba on la ciberseguretat no evita.

Consell: Quan vegis les barbes del teu veí tallar, posa la teva a remullar.