El sector de especialistas en ciberseguridad español es pequeño, la mayoría de los expertos y expertas del ramo se conocen. Por eso piden no ser identificados a la hora de posicionarse sobre el fallo de programación en el portal del certificado COVID de la Comunidad de Madrid que provocó que los datos personales de miles de ciudadanos quedaran al descubierto este miércoles.
|
etiquetas: indra , madrid , 225.000 euros , datos , filtrados
Si no subcontrataran en cascada y tuvieran personal informático estable y especializado tal vez los resultados no fueran tan nefastos. Pero hay que maximizar beneficios a base de explotación, bajos costes y rapidez.
Si no subcontrataran en cascada y tuvieran personal informático estable y especializado tal vez los resultados no fueran tan nefastos. Pero hay que maximizar beneficios a base de explotación, bajos costes y rapidez.
Telemadrid paga 225000€ a Indra, que a su vez subcontrata a la empresa Ñapasmas por 100000€, que a su vez contratan un año a un fulano que "me han dicho que sabe de esto, y tal..." por 900€/mes.
Y al frente de la Comunidad de Madrid está, oh, casualidad, IDA.
Es el doble rasero de la nueva política. El mismo que el de la vieja política pero con una dosis extra de superioridad moral.
La noticia es q ese par de requisitos se los han saltado, y se los han saltado en cascada (el de la toma de requerimientos (que igual ni lo consideraron), el becario que lo picó, su responsable que debía haber revisado el código y a probar la UAT, el auditor de calidad, el jefe de proyecto...)
Puedes perfectamente tener a juniors haciendo aplicaciones simples (de hecho es la forma de que aprendan), lo que no puedes tener es a juniors haciendo lo que buenamente entiendan sin supervisión.
Si se le exigiera calidad a las empresas, penalizara el no cumplir lo acordado, se les pagara acorde a ello, y un largo etcétera de prácticas que no se hacen, y no hacerlas fomenta el pésimo modelo que tenemos actualmente, otro gallo cantaría.
Igual te llevas una sorpresa.
El SERMAS es un organismo autónomo con capacidad de contratación, la Consejería de Sanidad no, contrata a través de la Comunidad de Madrid. El responsable de este contrato de emergencia es, como no podría ser de otra manera, el presidente de la Comunidad de Madrid.
Rodearse de asesores cuyo único interés es el lucro personal también es responsabilidad de Ayuso.
Pero también existe la posibilidad de que la empresa tenga en plantilla a los amigos ( expoliticastros y familiares varios) necesarios para adjudicarse todos los proyectos de la administración habidos y por haber.
De hecho, este último criterio es el que con toda seguridad, les de el 100% de las posibilidades de llevarse el projecto.
Para ser precisos
El software tiene bugs. Siempre.
Muy barato compras...
¿De verdad crees que la responsabilidad de las decenas de miles de contratos que se hacen en la Comunidad de Madrid cada año es de su Presidente? En fin.
Problema uno: los analistas, joder no se les puede pasar este requisito.
Problema dos: el equipo de desarrollo. Hay diezmil formas de filtrar esto correctamente, en Java está el JsonView de Jackson por ejemplo. O diferentes respuestas en llamadas a la API pública y privada/internal.
Problema tres: QA/Testing es imposible que se pase esto por alto.
Supongo que habrá quién diga que se pasó sin QA. En la propia noticia dicen que se detectó en producción por el equipo de QA. En producción, toma ya.
Marca Indra, seamos sinceros. Habrán hecho el microservicio en 2 días, a correr y con un testeo de funciona. Y bueno, ya es mejor no analizar la respuesta JSON, que es súper súper lógica y eficiente.
El error no es la persona que lo programó, sino la que lo dirigió sin incluir un control de calidad que incluyera seguridad.
Ñapa as a Service
Este artículo habla del un contrato de un producto con chapuzas a nivel muy básico.
Si la prensa de derechas no se le ha echado encima ayolanda Díaz por lo del SEPE es porque prefieren callar. Si tienen munición y no la usan es porque igual les explota encima.
De todas formas. Si ya interesado estás, no creo que sea muy difícil buscar quién es el responsable del contrato de mantenimiento del SEPE.
Puedes darnos una exclusiva.
- Consultor: 850 horas, lo que son 21 semanas, es decir, más de 4 meses SIN PARAR consultando.
- Jefe de proyecto: un 20% de las horas del desarrollador, es un valor automático que se pone para, en teoría, hacer de proxy entre cliente y el equipo de desarrolladores.
- Arquitecto de sistemas: 10 semanas para diseñar los servidores, más de 2 meses SIN PARAR, ¿qué estaban desplegando?
- Técnico de sistemas y BBDD: 2 semanas para montar los servidores y las bases de datos, esto se parece a la realidad (porque el arquitecto de sistemas habrá currado 1 día como mucho y seguro que este chaval lo ha hecho todo)
- Analista funcional, ¿17 semanas SIN PARAR describiendo las funcionalidades de la aplicación???
- Analista programador (desarrollador júnior): 77 semanas de esfuerzo para este tipo de aplicación??? Más de 1 año de horas/hombre????
Es increíble
Por otro lado, #1, a veces no tiene sentido internalizar ciertos servicios como públicos, porque probablemente no habría suficiente volumen de trabajo.
Ahora, volviendo al asunto del desastre... está claro que hubo negligencia... sin embargo me cuidaría de señalar con el dedo al becario de turno que metió la gamba. Esto ha sucedido por un encadenamiento de errores e imprevistos (y no un solo error), así que es algo "cultural" dentro del departamento que produjo esa web, o incluso a nivel de empresa (pero por mucho que detestemos a Ayuso, no es achacable a su equipo; otra cosa son los costes).
El sector informático está tristemente desregulado (y esa desregulación no es cosa de Ayuso, afecta a casi todo el planeta); exceptuando la GDPR y otras normativas que tocan "tangencialmente" nuestro ámbito, podemos hacer lo que nos salga de la polla, y casi nunca sufriremos consecuencias legales por ello (pero tampoco estaremos protegidos cuando sea justo disponer de esa protección).
Para quien esté interesado, hay un artículo de opinión sobre este asunto (el de la "profesionalidad" desde el punto de vista legal en el ámbito informático) en Communications of ACM, aunque no es de acceso libre: dl.acm.org/doi/10.1145/3457193 .
#38 El caso es que aqui hay una cascada de errores cojonuda porque vale, te compro que el problema venga desde diseño (a saber donde se tiene que integrar esto para que tuviese acceso a estas mierdas) pero a partir de ahi.... ¿No habia mas ojos que se diesen cuenta de que igual, la estaban cagando? Y no ojos de junior, ojos con los huevos pelaos de desplegar aplicativos....
No se muy facil levantamos la mano a "es que era un crio y le pagan poco" y joer, los crios aprenden currando y eso lo hemos pasado todos, aquii la cagada gorda es que los crios no aprenden currando solos, solos ni de puta coña y ahí si esta la cagada
De hecho, para pasar las certificaciones se pone al frente a los más seniors, pero luego esa información, protocolos o requisitos nunca llegan a los equipos.
Añado: la administración pública no está equipada para evaluar la idoneidad de una aplicación en cuanto a seguridad (o incluso para saber qué medidas son necesarias en primer lugar), así que poco puede hacer a priori, hasta que se destapa el marrón. Lo que hacen falta son regulaciones a nivel estatal o supraestatal que obliguen tanto a proveedor como a cliente a asegurarse de que ciertas medidas se cumplen.
En seguridad informática SIEMPRE hay y habrá volumen de trabajo a todos los niveles.
Después, además de lo que cuentas, sobrecostes por plazos no cumplidos, mantenimiento para arreglar chapuzas, etc. Un chollo de pasta gansa que pagamos todos.
¿Qué clase de testing hacen que no son capaces de detectar algo así?
El problema no es que haya un error (siempre puede haberlo), sino que no tienen ninguna infrastructura ni filtro para que esos errores no lleguen a producción.
Esto es el pan de cada dia.
Son 7 semanas (approx) desde ese 17 de mayo. Esas 3100 horas, salen a 442 horas por semana.
Me da que esos 26€ por hora del analista programador ha sido dividido entre más gente, que desde luego han cobrando menos de lo estipulado.
Jajaj, que piratas de mierda esto de Indra.
Me da que #40, #51 y #31 van por el buen camino.
Menos mal que no me metí en informática para mi carrera laboral. Lo siento por aquellos que lo hayan escogido y tengan que ser sometidos a tal nivel de precariedad.
Esclavismo puro y duro, nivel marca España.
Es que joder, soy ingeniero informático y no soy uno de esos "expertos en seguridad" que cita la noticia, pero el error que comentan es lo más básico del mundo. Trabajo en una empresa pequeña y si llego a crear un "endpoint" abierto al mundo sin ningún tipo de seguridad, alguien me diría algo. Y somos 3 personas en el proyecto. No entiendo el proceso que tienen para que alguien la cague en algo tan obvio, nadie en la PR se dé cuenta, ningún tester lo haya detectado ni, cuando estás preparado para entregar el proyecto, ninguno de los involucrados se le haya venido a la cabeza el tema de autorización. Es que no puede ser. El hecho de que una empresa tan grande y con tanto presupuesto haya puesto esto en producción significa que: o ninguna de las personas involucradas en el proyecto sabe lo más básico sobre seguridad o, literalmente, se las suda y nadie mira nada antes de entregárselo al cliente. Tanto una como otra serían suficientes razones para que Indra no vuelva a tocar código público en su vida.
Doctrina Monasterios
Yo diría que es algo endémico del sistema capitalista. Muchas veces el cliente no esta en condiciones de denunciar nada porque tiene las mismas practicas mierderas también y la consultora tiene pruebas de sobra para decir bastante ha hecho dado que los requisitos y el análisis inicial era una mierda pinchada en un palo.
Ejemplo de caso bastante sonado:
www.codemag.com/Article/1907041/Hertz-v-Accenture
Esto es más ilegal que la madre que lo parió.
En un lugar decente esto provocaría no sólo dimisiones sino alguna sentencia de cárcel.
Fuentes de la Consejería de Sanidad han explicado que "la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas", pero que "en el proceso de puesta en marcha generó una brecha".
La Comunidad de Madrid y en particular la consejería de Sanidad es la responsable del pifostio.
Además (y por suerte, esperemos)
"La Agencia Española de Protección de Datos (AEPD) ha abierto este jueves una investigación sobre la brecha de seguridad que afectó ayer al portal para obtener el certificado COVID de la Comunidad de Madrid, han confirmado fuentes del organismo a este medio.
La implicación de Indra en la brecha es relevante a efectos de la futura resolución de la AEPD, puesto que este organismo no puede imponer multas económicas a las administraciones públicas aunque encuentre que ha existido dejación de responsabilidades en la protección de los datos personales de los ciudadanos. Sí puede hacerlo, en cambio, si encuentra esas mismas faltas en la actuación de una empresa privada como Indra."
Tenéis razón en que el sector privado puede tener perfectamente este problema, eso es cierto.
Pero el problema es que el sector público normalmente no corrige estos defectos hasta que es inevitable, además, nunca penaliza a las empresas que cometen estos errores porque sería "injusto" para un futuro penalizar todos los contratos con ellos.
Indra en concreto, ya hemos visto varias cagadas de ellos, y ahí siguen, detrás de muchísima parte del software público del país.
El sector privado lo tiene más fácil porque se adapta mejor a este tipo de cosas y filtra mucho mejor a los malos y a los buenos. Una empresa no podría sobrevivir alimentándose del sector privado durante 30 años si sus prácticas son malas, pero sí puede hacerlo del público.
Y es verdad que la cagada es de Indra, pero es el propio modelo que impulsa el sector público que fomenta que haya estas cagadas. Concursos con muy poco presupuesto, no examinar y evaluar los resultados, no exigir una calidad de producto mínima, etc...
Es el clásico ejemplo de "paga con cacahuetes y contratarás monos", pero llevado al sector público. Un portal para obtener certificados COVID necesita un nivel de seguridad crítico, y eso hay que pagarlo. Es un proyecto de un par de millones de euros. Por supuesto pagar más también implicar exigir una calidad final, que tampoco se hace.
Yo veo más de un contrato de servicios informáticos que incluyen penalizaciones y responsabilidad civil y penal si hay violaciones legales,no sólo RGPD.
Y repito que en el sector privado pasa lo MISMO. He estado 10+ años en consultoria y he visto mierdas enormes de todos los colores. Mierdas hechas para Enagas, Canal de Isabel II, Metro de Madrid, bancos pequeños, medianos y gigantes, Ferrovial, Acciona, Prosegur, Securitas, Telefonica, Vodafone, empresas de autobuses... Y en algunos casos yo era el becario mal pagado con pocos conocimientos haciendo mierdas sin nadie guiandome. Y no pasan mas cosas porque muchas mierdas son internas y no estan de cara al publico. Y muchas de las que estan no son criticas. Pero claro, en cuanto aplicas lo mismo a algo relacionado con la sanidad o que trata datos personales y encima abierto a internet... pues pasa esto.
Esto se a sub-sub-sub-sub-sub contratado a PericodelosPalotes IT Consulting. que coloca a picar código a 2 super juniors y un medio senior, por 800-1000e/mes junior y unos 1200/1500e/mes medio senior.
Los otros 210.000e restantes del coste se quedan por el camino en manos de amiguetes.
No tienen que ser obligatoriamente SBC (Session Border Controllers)