Lea IT Now: Reclamación presentada por empresa israelí afectada por Ransomware
Publicado desde 1999
Categorías de Read IT Now
15:36
Reclamación presentada por empresa israelí atacada por Ransomware
02.02.2020
Categorías: Seguridad de la información / Ciberderecho
La demanda, presentada por los abogados Doron Afik y Yair Aloni [Afik & Co., abogados y notarios], señala, entre otras cosas, que el demandante se dedica al desarrollo de plataformas digitales. "Una parte muy significativa del negocio del Demandante se basa en sus sistemas informáticos y en su estabilidad y protección frente a causas externas. Así, cualquier inutilización del sistema supone daños inmediatos que implican enormes sumas."
En julio de 2016 se firmó un contrato de prestación de series informáticas, Internet y Telefonía, así como otros servicios, entre la Demandante y la Demandada - Empresa que según sus manifestaciones presta servicios de almacenamiento y gestión de servidores.
" Durante enero de 2017, con el aumento de la capacidad de desarrollo y un cambio hacia el desarrollo independiente, la empresa comenzó a examinar un contrato con un proveedor externo con el objetivo de una solución integral y seria; Particularmente con respecto a los servicios de alojamiento, almacenamiento de datos y servicios de seguridad de la información de toda la TI de la empresa y su base de datos."
En el marco de la búsqueda de un proveedor, el CEO de la demandada se puso en contacto con el CEO de la demandante, que se conocían de antes, "y emprendió una campaña persuasiva presentando la calidad de los servicios de ventanilla única de la demandada".
El Consejero Delegado del demandado subrayó que el demandado "emplea a expertos que pueden proporcionar todas las resoluciones de comunicación y soluciones informáticas posibles para organizaciones estratégicas", además de permitir "una alta capacidad de supervivencia, seguridad y movilidad proporcionada por cinco granjas de servidores con sede en Israel". Cabe señalar que esas promesas vacías de contenido fueron un factor crucial de la decisión del demandante de contratar los supuestos servicios.
El escrito de demanda describía que "el 17 de octubre de 2019, a las 21:00 horas, varios empleados de la empresa descubrieron por primera vez que no podían operar los sistemas de gestión de la información de la Demandante. Después de un examen exhaustivo por parte del departamento informático de la empresa, resultó que el acceso a los servidores de la empresa ha sido totalmente bloqueado ".
Media hora más tarde, "el Director de Tecnología de la Demandante llamó a un número de móvil que le fue facilitado por la Demandada, que posteriormente ha sido dirigido al Subcontratista, quien informó a la Demandante de que se había producido una brecha de seguridad durante la noche anterior y que la empresa sería informada cuando se solucionara el problema, tal y como se está gestionando."
Debido a las graves implicaciones en la infraestructura de la empresa, el director de tecnología del demandante llamó de nuevo al subcontratista a las 22:15. El subcontratista declaró que la brecha era en realidad un Ransomware: Un ciber - ataque en el que los archivos están siendo encriptados cuando su liberación se basa en el pago de un rescate a causas desconocidas, amenazando que si no lo hacen- los archivos encriptados serán destruidos).
"Al hacerse evidente la gravedad de la situación, el demandante se puso en contacto con BugSec, una empresa cibernética especializada en la lucha contra los ciberataques, para que le ayudara con la crisis.
En una conferencia telefónica conjunta se solicitó al subcontratista que transfiriera el servidor TAL CUAL para que BugSec llevara a cabo un examen forense exhaustivo."
"La llamada y las averiguaciones posteriores demostraron que la brecha se produjo a nivel de clúster, lo que impidió determinar el alcance del ataque; por ejemplo, si fue "local" o "entre servidores".
A la luz de estas inquietantes conclusiones, y con el fin de reducir los daños y permitir un retorno lo más rápido posible "al buen camino", se pidió al subcontratista que renovara las operaciones de la empresa utilizando servidores de replicación diseñados para actuar como copia de seguridad en situaciones como ésta".
"[...] Para asombro de la empresa, resultó que el servidor virtual también se había visto comprometido durante la brecha. Estos resultados implicaban claramente que el demandante había incumplido su obligación explícita y cualquier norma de seguridad razonable y aceptable, que obliga a almacenar los servidores en granjas separadas."
Con el fin de evitar una pérdida completa de información [...] Sin ninguna copia de seguridad, la única resolución racional ha sido reanudar las operaciones a través de un servidor limpio y libre de datos, reduciendo ligeramente el daño causado."
"[...] La Demandante mantuvo contacto con la Demandada durante todo el proceso, mientras que esta última ha asegurado en todo momento que el asunto se resolvería en cualquier momento.
Cabe señalar que este retraso, entre otras cosas, provocó que el demandante tuviera que cancelar el programa de trabajo para el día de la infracción y para el día siguiente, para compensar a todos sus clientes por el cambio de horario, junto con la imposibilidad de trabajar con regularidad y aceptar nuevos pedidos.
Más allá del perjuicio económico, el incidente supuso un tremendo daño reputacional para el Demandante, daño que podría haberse evitado fácilmente si el Demandado hubiera notificado al Demandante lo antes posible y gestionado el suceso de inmediato".
Una vez finalizado el fin de semana y las vacaciones y con la vuelta a la rutina laboral, y después de que "la Demandante dejara claro que requería la transferencia AS IS del servidor para "realizar un examen forense", quedó claro que" los servidores funcionan en el antiguo servidor físico, después de que fuera formateado, en claro contraste con los requisitos y directrices planteados por la Demandante y sin su conocimiento. El formateo no sólo impidió la salvaguarda de los datos y la reducción de los daños, sino que también causó un grave perjuicio probatorio a la Demandante. Esto último fue causado deliberadamente tanto por el Demandado como por el subcontratista, que destruyeron los datos después de que el Demandante hubiera solicitado explícitamente recibir todas las pruebas."
"Más allá del hecho de que la situación clama por un incumplimiento contractual, este caso es claramente uno de abuso de confianza que resulta en que el Demandante no pueda llevar a cabo un examen forense para entender las causas del incumplimiento, causándole así un grave daño probatorio."
"La propagación del virus al "cluster" levanta una alta sospecha de grave fallo de seguridad de la información, ya que la propagación sólo es técnicamente factible si se establece una conexión entre los distintos servidores vivos o copias de seguridad de terceros que se mantienen en el servidor. Tal situación se opone claramente a los procedimientos de seguridad de la información."
"Como los servidores de copia de seguridad (replicación y copia de seguridad diaria) seguían encriptados, el demandante reunió estos servidores para realizar un examen forense, conjuntamente con la investigación del incidente por parte del subcontratista del demandado, cuando se acordó que una vez realizadas las conclusiones, se celebraría una reunión conjunta para compartirlas y obtener un resultado concluyente."
"Sin embargo, desde hace varios meses el demandante está intentando ponerse en contacto con el demandado y el subcontratista para recibir respuestas sobre los resultados de ambas investigaciones, pero por desgracia el demandado no ha remitido su informe hasta el día de hoy."
En el escrito de demanda se afirmaba que "se trata de un grave incidente de seguridad en el que supuestamente fueron pirateados 3 circuitos de trabajo y supervivencia (servidor en vivo, servidor de replicación y servidor de copia de seguridad diaria) cuando se suponía que cada servidor era una red externa independiente con un acceso privado a Internet con su propio sistema de seguridad, por lo que es evidente que, de no haber sido por el fallo de la Demandante, no se habría producido una violación de la seguridad. El mero daño causado por las pruebas hace sospechar que 3 circuitos de seguridad no fueron violados en absoluto, ¡porque simplemente nunca existieron!".
El demandante afirma además que "para completar el cuadro, cabe señalar que en enero se intentó resolver la disputa fuera de los muros del tribunal, pero finalmente no dio fruto."
"La base de datos de la Demandante solo se restauró parcialmente (actualmente solo para algunas partes de los años 2018-2019), perdiendo así una tremenda información acumulada durante 6 años de actividad, aproximadamente el 80% del período de funcionamiento de la Demandante. La Demandante ha invertido muchos millones de shekels hasta la fecha, incluyendo la creación de su base de datos, siendo valorada en el estimado en la cantidad mínima de 2.500.000 ILS."