L'Ajuntament de Castelló escomet la fase de notificació individualitzada a persones afectades pel ciberatac
L'AEPD, que ha arxivat l'incident, acredita la “ràpida actuació” del consistori que va actuar “d'acord amb la normativa”
L'Ajuntament de Castelló escomet una nova fase en la gestió del ciberatac amb la comunicació individualitzada a aquelles persones que han resultat afectades per l'atac informàtic patit entre els dies 29 i 30 de març del passat any en detectar-se dades de caràcter personal entre la informació exfiltrada. Aquesta nova fase s'inicia una vegada processats, analitzats i categoritzats les dades que van resultar compromesos a causa del ciberatac i una vegada obtinguda la informació mínima necessària i contrastada per a iniciar aquest procés de comunicació individual a possibles afectats en compliment de l'article 34 del Reglament General de Protecció de Dades.
En aquesta fase, l'Ajuntament de Castelló remetrà a partir de demà 3.733 cartes informatives a veïns i veïnes en les quals s'indica que, després de l'anàlisi de la informació exfiltrada, s'ha detectat que consten dades de caràcter personal. En la missiva s'informa dels possibles riscos que podria implicar l’exfiltració de dades, com la divulgació a tercers o la seua difusió, l'enriquiment de bases de dades alienes a l'Ajuntament, que les dades puguen ser explotats amb finalitats aliens a l'activitat municipal o altres fins il·lícits.
Per això, s'informa l'afectat o afectada que pot obtindre més informació sobre aquest tema presentant una sol·licitud dirigida a l'Ajuntament, de manera presencial o a través de la seu electrònica (https://sede.castello.es/), o bé contactant en l'adreça de correu dpd@castello.es.
D'altra banda, l'Ajuntament ja va notificar anteriorment de manera individualitzada a persones afectades per l’exfiltració de dades de caràcter especialment sensible i va prendre mesures específiques per a reduir els possibles perjudicis.
A més, tal com recull el Reglament General de Protecció de Dades, l'Ajuntament ha realitzat una comunicació general a través de la pàgina web municipal amb l'objectiu d'informar el major nombre possible de persones, ja que no tota la informació compromesa a causa del ciberatac permet la identificació personal del possible afectat o afectada després de la categorització de la informació exfiltrada. També s'ha procedit a notificar mitjançant comunicació interna a treballadors i treballadores municipals afectats pel ciberatac.
També, aquest mateix dilluns, la regidora d'Innovació Digital, Monica Barabás, ha donat compte i informat d'aquesta nova fase de gestió de l'incident informàtic davant la Junta de Govern Local, davant la Junta de Portaveus i davant els representants sindicals municipals.
Procés de restauració
L'Ajuntament va patir un atac informàtic entre els dies 29 i 30 de març del passat any que va afectar la infraestructura i equips informàtics municipals, així com a les aplicacions i serveis informàtics que funcionen a través de xarxes i, en general, a informació obrant en els sistemes municipals d'informació i comunicacions. Malgrat l'agressivitat de la intrusió, aquesta quantitat d'informació únicament va suposar el 0,21% de la totalitat de la informació emmagatzemada en la infraestructura municipal. A més, un mes després de l'atac es va poder recuperar el 99% dels serveis informàtics, aconseguint la restauració total el passat 3 de novembre.
En aquest temps, s'han restaurat nou servidors, 137 servidors virtuals, i s'han formatat, restaurat i actualitzat 432 ordinadors personals, entre altres tasques de restabliment com a noves altes de 1.362 usuaris TIC de l'Ajuntament. També s'han adoptat més mesurades de reforç de la seguretat i de protecció de la infraestructura. Així mateix, durant aquest període s'ha estat realitzant un examen detallat de la informació exfiltrada de cara a la identificació de les persones afectades per a procedir a la notificació individualitzada.
A més, l'Ajuntament de Castelló ha contractat un servei de vigilància digital que inclou el monitoratge de les publicacions en internet, ‘dark web’ i altres fonts obertes amb la finalitat, si escau, de poder adoptar amb caràcter immediat mesures addicionals de protecció de les persones afectades en el cas que es detecte qualsevol tractament de les dades publicades il·lícitament.
Cal recordar que l'Ajuntament va notificar l'incident a l'Agència Espanyola de Protecció de Dades (AEPD) i es va denunciar davant la Policia Nacional (amb posteriors ampliacions) i davant el Centre Criptològic Nacional (CNN), dependent del Centre Nacional d'Intel·ligència (CNI).
Arxiu de l'AEPD
Finalment, cal destacar l'arxivament d'actuacions per part de l'AEPD el passat 26 de juliol de 2021 en concloure que l'Ajuntament, “amb anterioritat a produir-se la bretxa (de seguretat), disposava de les mesures de seguretat organitzatives preventives i raonables per a evitar aquest tipus d'incidències”. La resolució de l'AEPD també destaca “la ràpida actuació de l'Ajuntament des del mateix moment en què va tindre coneixement dels fets, adoptant una actitud proactiva en la seua resolució”, així com les “noves mesures implementades amb vista a previndre possibles atacs futurs”.
Per tot això, l'AEPD conclou que “s'ha acreditat que l'actuació de l'Ajuntament, com a entitat responsable del tractament, ha sigut conforme amb la normativa sobre protecció de dades personals”.
