В 2023 году в государственных учреждениях было зафиксировано около 5 000 инцидентов, связанных с информационной безопасностью.

Ежегодно в мире происходят сотни миллиардов инцидентов, связанных с компьютерной безопасностью. Точное число невозможно определить из-за характера события, но если что-то и можно сказать наверняка, так это то, что уругвайские государственные органы не чужды этой реальности. В течение 2023 года было зарегистрировано 4 968 инцидентов, из которых 1 % имели высокую или очень высокую степень тяжести. За мониторинг этих данных отвечает Агентство по электронному правительству и обществу информации и знаний (Agesic). Агентство обнаружило, что в прошлом году количество инцидентов увеличилось на 16 % по сравнению с 2022 годом. Одной из причин этого, по мнению Agesic, является "внедрение новых методик обнаружения и постоянное совершенствование мониторинга государственных органов". С 2024 года данных о компьютерных инцидентах будет больше, поскольку благодаря подотчетности было установлено, что некоторые частные лица также должны отчитываться перед Agesic. Закон включает в себя несколько пунктов, связанных с ИТ-безопасностью, например, создание Национального комитета по управлению стратегией кибербезопасности, возглавляемого агентством и состоящего из представителей различных министерств, таких как Министерство обороны, Министерство внутренних дел и Министерство промышленности. На конференции также будут представлены Banco República, Центральный банк Уругвая, Antel, Ancap, UTE и другие. Президент Agesic Хеберт Пагуас сообщил, что вчера состоялось первое заседание комитета, на котором присутствовали делегаты от всех его членов, включая президентов государственных компаний и министра промышленности Элису Фасио. На заседании были определены первые шаги по представлению исполнительной власти проекта указа, регулирующего подотчетность, а также проекта указа, который определит первую национальную стратегию кибербезопасности. "Мы намерены иметь более сквозной взгляд на государство, а также на частный сектор, который взаимодействует с государством. Поэтому важно регулировать, как далеко вы заходите, как далеко вы можете просить", - прокомментировал Пагуас и напомнил, что Agesic была предоставлена возможность наложения санкций. Таким образом, остается регламентировать, что будет подлежать наказанию и каковы будут применяемые санкции. В качестве примера, который, по его словам, не означает, что он будет реализован, можно привести компанию с критической информационной инфраструктурой, которая не сообщит о серьезном инциденте безопасности в течение 24 часов. Одно из изменений, которое начнет реализовываться и которое уже прописано в законе, заключается в том, что Agesic должна будет каждые шесть месяцев сообщать Генеральной Ассамблее об инцидентах, о которых ей стало известно. По словам Пагуаса, это необходимо для того, чтобы "вся политическая система, представленная в законодательном органе, могла узнать, что происходит и кто не соблюдает" правила. По словам Маурисио Папалео, директора по информационной безопасности Agesic, одним из предложений Agesic по национальной стратегии кибербезопасности является создание Национального центра реагирования на инциденты компьютерной безопасности (CERTuy), который будет обслуживать людей, чего сегодня не существует. Один из элементов, который "они обнаружили", заключается в том, что люди не знают, куда обращаться в случае инцидента, сказал Папалео, добавив, что одна из стран, в которой это внедрено, - Испания, где есть "специальная зона" для граждан - называется Национальный институт кибербезопасности. Еще одна задача Agesic - сотрудничать с Агентством по регулированию государственных закупок "в деле включения требований безопасности при проектировании в спецификации государственных закупок", говорится в постановлении. Обе организации "определят список услуг или продуктов, для которых перед публикацией соответствующей закупки потребуется отчет агентства о безопасности".