El país fue testigo de cómo, el pasado mes de abril, la compañía Professional Account Management (PAM), empresa que maneja el sistema de pago y recarga del AutoExpreso, fue víctima de un ciberataque. Esta situación sacó de circulación el sistema y puso en peligro información sensitiva sobre cientos de miles de conductores, mientras los autores solicitaban al gobierno un “rescate económico”. La pérdida de recursos del estado es muy significativa, especialmente para la Autoridad de Carreteras, pues diariamente se pierden millones de dólares que el sistema de AutoExpreso no factura. La situación fue tan grave que todavía esta semana el sistema no ha sido restablecido en su totalidad.
En Puerto Rico actualmente no existe una ley o andamiaje legal sobre la ciberseguridad. Las políticas públicas existentes que el Servicio de Innovación y Tecnología de Puerto Rico (PRITS) está poniendo en vigor son esfuerzos importantes pero que, realmente, carecen de fuerza de ley. Es así ya que en Puerto Rico no existe una ley que regule la ciberseguridad del gobierno de Puerto Rico. Para que tengan una idea de la importancia de esta ley, Puerto Rico fue víctima de más de 900 millones de intentos de ciberataques solo en el 2021.
Con esto en mente, nuestro interés es crear la primera ley de ciberseguridad de Puerto Rico que le otorgue al gobierno garras para proteger las redes del gobierno y, por ende, la seguridad de los datos de los usuarios. Dado a esto, la semana pasada celebramos nuestra primera vista pública para atender este tema tan importante para el país. Los hallazgos preliminares son muy serios. Ejemplo de ello es que, hoy en día, el Gobierno de Puerto Rico no cuenta con la inversión suficiente para la seguridad de la información que los puertorriqueños vierten en los sistemas del gobierno (como cuando vas a obtener un certificado de nacimiento, ASUME, Hacienda, etc.). Más aún, PRITS no tiene visibilidad de los sistemas de información gubernamentales que utilizan contratistas externos como LUMA y PAM, lo cual hace imposible que el propio gobierno los fiscalice o prevenga futuros ciberataques. La meta final es producir una buena legislación, que sea aprobada por Cámara y Senado y que el gobernador la firme para darle a Puerto Rico su primera ley de ciberseguridad.
