El Ayuntamiento de Sevilla adjudicó a mediados de octubre de 2022, durante el gobierno del socialista Antonio Muñoz, un contrato para la implantación del Centro de Operaciones de Ciberseguridad de su Red Corporativa (Hispalnet), cuyo plazo de ejecución era de tres meses (enero de 2023). Sin embargo, ocho meses después (septiembre 2023), la Corporación Municipal ha sufrido el hackeo de su sistema informático por parte del grupo holandés LockBit, que habría exigido al menos 1,5 millones de euros por liberarlo del bloqueo al que lo tiene sometido.
En septiembre de 2021, la Gerencia de Urbanismo del Ayuntamiento de Sevilla denunció ante la Unidad de Delitos Económicos de la Policía Nacional una supuesta estafa realizada a la Tesorería del Consistorio, al “existir indicios claros” de que se había producido una usurpación de los datos de una empresa adjudicataria de un servicio municipal con el objetivo de intentar cobrar el contrato en su nombre.
El contrato afectado era el de la iluminación correspondiente a las fiestas navideñas de 2020 a 2021, que estaba valorado en un millón de euros.
Ese precedente de ciberestafa fue una de las razones explicativas de la urgencia con que el 15 de julio de 2022 el Servicio de Tecnologías de la Información (Dirección General de Modernización Digital) del Ayuntamiento acordó la aprobación de la implantación del Centro de Operaciones de Ciberseguridad de la Red Corporativa municipal (Hispalnet).
La Red Corporativa Municipal Hispalnet, creada para el Ayuntamiento por un UTE entre Telefónica y Magtel, está compuesta por los siguientes organismos:
· Ayuntamiento de Sevilla.
· Patronato del Real Alcázar.
· Agencia Tributaria de Sevilla.
· Gerencia Municipal de Urbanismo.
· Instituto Municipal de Deportes.
· Empresa Metropolitana de Abastecimiento y Saneamiento de Aguas de Sevilla, S.A
(EMASESA).
· Empresa Municipal de Vivienda, Suelo y Equipamiento de Sevilla, S.A. (EMVISESA).
· Limpieza Pública y Protección Ambiental, S.A.M. (LIPASAM).
· Transportes Urbanos de Sevilla, S.A.M. (TUSSAM).
· Corporación de Empresas Municipales de Sevilla (CEMS).
La otra razón urgente, ésta explícitamente invocada, era “la necesidad existente de comenzar con la prestación del servicio a la mayor brevedad posible, habida cuenta que está financiado con Planes Next Generation de la Unión Europea” gestionados por el Ministerio de Política Territorial.
El contrato debía estar ejecutado en diciembre de 2022, por lo que no podía demorarse la convocatoria del correspondiente concurso público a la espera de la celebración de una reunión de la Junta de Gobierno municipal, no prevista en aquel entonces porque habría coincidido con un Pleno de la Corporación.
Por esas razones, aquel 15 de julio de 2022 se aprobó sobre la marcha el gasto para la contratación del servicio y los pliegos de prescripciones técnicas y de cláusulas administrativas en base a las cuales debía efectuarse la contratación.
El presupuesto básico de licitación se fijó en 248.074,64 euros, cantidad que con el IVA se elevaba a 300.165,48 euros. El contrato se ejecutaría en el plazo máximo de tres meses, contados a partir de su formalización, y no sería prorrogable.
El contrato para la implantación del Centro de Ciberseguridad se adjudicó a una empresa de Madrid por resolución de urgencia del delegado del Área de Participación Ciudadana, Coordinación de Distritos y Modernización Digital (Juan Tomás de Aragón) de fecha 4 de octubre de 2022 y con número 8560.
Se consiguió un pequeño ahorro sobre el presupuesto inicialmente estimado, ya que el importe final de la adjudicación fue por 222.040,11 euros, cantidad a la que sumando el IVA (46.628,42 euros) se elevó a 268.668,53 euros.
MOTIVOS PARA UN CENTRO DE CIBERSEGURIDAD
“Ante el contexto creciente en complejidad y número de los ciberataques a los que se ve expuesta la sociedad en la actualidad, agravado si cabe por la pandemia, es imprescindible -argumentaba el Ayuntamiento en las bases del concurso- que las Administraciones Públicas Locales puedan contar con las capacidades de un Centro de Operaciones de Ciberseguridad que les permita gestionar de forma adecuada la seguridad de sus infraestructuras, comunicaciones y servicios digitales prestados a empresas y ciudadanos, mejorando sus capacidades de prevención, detección y respuesta ante incidentes de ciberseguridad…”
Y continuaba: “Todo ello ligado a los requerimientos reflejados en el Esquema Nacional de Seguridad para GARANTIZAR los servicios prestados a la ciudadanía, PROTEGIENDO la información que estos servicios tratan, cuando se apoyan directa o indirectamente en medios electrónicos. No obstante, es una realidad que, para garantizar y proteger los servicios y la información tratada por éstos, no es posible actuar directamente en ellos, sino que se debe realizar sobre el sistema de información que los soporta…”
El proceso de modernización que se está llevando a cabo en el Ayuntamiento de Sevilla, conlleva obviamente la mejora y ampliación de los servicios digitales ofertados a la ciudadanía, así como la automatización de los procesos internos. Esto nos ha obligado tanto a la renovación y mejora de las infraestructuras, como a la renovación y ampliación de los sistemas de información y de los sistemas de atención y relación con la ciudadanía. Evidentemente en todo este proceso la ciberseguridad juega un papel esencial, por lo que es imprescindible contar con un Centro de Operaciones de Ciberseguridad adecuado a los nuevos servicios que se prestan, y adecuar la Política de Seguridad, que data del año 2014, a las nuevas circunstancias».
OBJETIVOS
La Red Corporativa HISPALNET es, en la actualidad, la base de la prestación de servicios al ciudadano, empleados municipales y visitantes. Permite integrar todos los servicios por la misma infraestructura física, la cual sirve de soporte para la gestión unificada de todos los servicios del Ayuntamiento de Sevilla, sus Organismos Autónomos y Empresas Municipales, facilita el acceso a las aplicaciones y bases de datos actuales y permite el desarrollo de aplicaciones y bases de datos comunes para el entorno municipal de Sevilla.
Con esta licitación el Ayuntamiento de Sevilla decía buscar, como objetivo principal, la mejora de la situación en materia de Ciberseguridad de toda la red Hispalnet ya que, siguiendo la estrategia del proteger al eslabón más débil, el estado de seguridad de cualquiera de los miembros de la red afecta a la red Hispalnet completa.
El proyecto incluía el despliegue de las infraestructuras esenciales de un Centro de Operaciones de Ciberseguridad, que incorporaría los elementos fundamentales para su funcionamiento, como barreras de seguridad perimetral, sistema de recolección y correlación de logs, y también tecnología de detección y respuesta, contemplando además las tareas obligatorias para su integración en la Red Nacional de Centros de Operaciones de Ciberseguridad, así como la adecuación al Esquema Nacional de Seguridad, » que servirá -se decía- como marco para promover un modelo homogéneo de la seguridad y permitirá establecer la política de seguridad en la utilización de medios, así como garantizar adecuadamente la seguridad de la información tratada».
Otros objetivos marcados por el gobierno local eran los siguientes:
-Mejorar la Ciberseguridad de las redes y sistemas de información manejados por la red Hispalnet y las Entidades que la integran, para una mejor protección de la información tratada y de los servicios digitales prestados, en un contexto de exposición cada vez más intenso a la materialización de amenazas del ciberespacio, a los ciberincidentes, y que siguen una pauta de crecimiento en frecuencia, sofisticación, alcance y severidad del impacto.
-Desarrollo de actuaciones encaminadas a mejorar la adecuación al Esquema Nacional de Seguridad (ENS) y orientadas a alcanzar la certificación de la conformidad de sus sistemas de información con esta norma.
-En esta misma línea, caben inversiones para implantar servicios de ciberseguridad destinados a mejorar las capacidades de prevención, protección, detección y respuesta ante incidentes de ciberseguridad, contando con un sistema de seguimiento que permita, entre otras, monitorizar los principales indicadores en este ámbito. Ante el incremento de la complejidad en la infraestructura IT y la gran variedad y sofisticación de los ataques a los cuales se encuentran expuesta las organizaciones, resulta imprescindible determinar el nivel de seguridad y de exposición frente a las amenazas, a través de una detección oportuna y gestión adecuada de los riesgos que afectan a los activos.
-Finalmente, debe reforzarse la cultura de la seguridad en la organización mediante su integración en el proceso organizativo y considerarse un objetivo permanente de todo el personal. Para mantener y reforzar este nivel de madurez es necesario contar con herramientas de capacitación, concienciación y divulgación que, aprovechando las nuevas tecnologías, permitan disponer de mecanismos eficientes para la capacitación y formación de los usuarios en materia de seguridad de la información, de forma planificada, permanente y con conocimiento objetivo de los resultados obtenidos.
