Resolución número 2022600278 de 2022, por la cual se declara la urgencia manifiesta para celebrar la contratación de bienes y servicios necesarios para conjurar y mitigar los efectos de la indisponibilidad de los sistemas de información, plataformas tecnológicas, y herramientas tecnológicas de la entidad, para restablecer la continuidad de la operación de las actividades misionales y administrativas en la infraestructura de comunicaciones e información, así como la seguridad de la información del Instituto Nacional de Vigilancia de Medicamentos y Alimentos - Invima, afectados por una circunstancia constitutiva de fuerza mayor relacionada con incidente informático ocasionado por la propagación de un código malicioso producto de un ataque con múltiples vectores contra la seguridad tecnológica del Invima
| Emisor | Establecimientos Públicos - Instituto Nacional de Vigilancia de Medicamentos y Alimentos |
| Número de Boletín | 52205 |
El Secretario General del Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima), en ejercicio de las facultades legales, la Ley 80 de 1993, la Ley 1150 de 2007, el Decreto número 1082 de 2015, el Decreto número 2078 de 2012, la Resolución de Delegación de Funciones número 2012030802 del 19 de octubre de 2012, la Resolución número 2020006742 del 25 de febrero de 2020, Acta de Posesión número 040 del 25 de febrero de 2020, y
CONSIDERANDO QUE:
La Constitución Política de Colombia en su artículo 2º, contempla:
"Artículo 2º. Son fines esenciales del Estado: servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución; facilitar la participación de todos en las decisiones que los afectan y en la vida económica, política, administrativa y cultural de la Nación; defender la independencia nacional, mantener la integridad territorial y asegurar la convivencia pacífica y la vigencia de un orden justo. Las autoridades de la República están instituidas para proteger a todas las personas residentes en Colombia, en su vida, honra, bienes, creencias y demás derechos y libertades, y para asegurar el cumplimiento de los deberes sociales del Estado y de los particulares. (Subrayado fuera del texto).
Por medio del artículo 245 de la Ley 100 de 1993 se crea el Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima) como establecimiento público del orden nacional, adscrito al Ministerio de Salud y Protección Social, con personería jurídica, patrimonio independiente y autonomía administrativa, cuyo objeto es la ejecución de las políticas en materia de vigilancia sanitaria y de control de calidad de medicamentos, productos biológicos, alimentos, bebidas, cosméticos, dispositivos y elementos médico-quirúrgicos, odontológicos, productos naturales homeopáticos y los generados por biotecnología, reactivos de diagnóstico, y otros que puedan tener impacto en la salud individual y colectiva.
Para tal fin el Decreto número 2078 de octubre de 2012 "Por el cual se establece la estructura del Instituto Nacional de Vigilancia de Medicamentos y Alimentos -Invima y se determinan las funciones de sus dependencias", en el numeral 1 de su artículo 4º, establece las funciones de la entidad entre las cuales se encuentra la siguiente:
Ejercer las funciones de inspección, vigilancia y control a los establecimientos productores y comercializadores de los productos a que hace referencia el artículo 245 de la Ley 100 de 1993 y en las demás normas que lo modifiquen o adicionen, sin perjuicio de las que en estas materias deban adelantar las entidades territoriales, durante las actividades asociadas con su producción, importación, exportación y disposición para consumo.
En tal sentido, el Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima) como organismo encargado de cumplir con las funciones de inspección, vigilancia y control de los productos de su competencia, le corresponde adelantar a través del talento humano (contemplando funcionarios y contratistas) que conforman y hacen parte del apoyo de las direcciones, oficinas, coordinaciones y demás grupos internos de trabajo de su estructura orgánica, las actividades necesarias para la efectiva prestación del servicio público que se brinda por la institución.
Así mismo, en el marco del proceso de transformación digital, la entidad cuenta con la infraestructura tecnológica que soporta los múltiples sistemas de información, bases de datos y aplicativos necesarios para realizar las labores misionales y administrativas, y que se encuentra gestionada por la Oficina de Tecnologías de la Información y el Grupo de Soporte Tecnológico, con el cual garantiza que las actividades desarrolladas por la entidad se ejecuten, a través de los distintos aplicativos1; los cuales a pesar de haber sido impactados en el incidente cibernético del pasado 6 de febrero de 2022, al 2 de octubre de la presente anualidad se encontraban operativos, garantizando la prestación del servicio y la seguridad de la información, acorde a las frecuencias de uso.
El 3 de octubre de 2022, se evidenció un incidente de seguridad de la información2 que comprometió la disponibilidad de los sistemas de información, bases de datos, plataformas y herramientas tecnológicas del Invima, generado por la instalación no autorizada de un código malicioso producto de un ataque con múltiples vectores contra la seguridad tecnológica del Invima3, el cual bloquea el acceso a la información, afectando la operación de varios de los servidores y estaciones de trabajo cliente, así como los aplicativos y sistemas de información dispuestos para la operación del Instituto, de conformidad al informe denominado estado situacional4.
Consonante a lo definido en el mentado estado situacional, se trata de un incidente tecnológico que tiene un despliegue de actos provocados por ciberdelincuentes que transitan desde:
-
Denegación del servicio del antivirus: ataque por medio de phishing (ingeniería social) y una vez comprometida la consola de antivirus (extensión ransomware.crypt, algunos troyanos y el .conti,) inhabilita las funcionalidades de protección, permitiendo la descarga de software maliciosos de diferentes orígenes con alta, media y baja complejidad que deja contaminado todo el ambiente tecnológico del instituto.
-
Instrucción abusiva de sistemas informáticos: circunstancia que se evidenció en procedimiento de encriptado de la información y los sistemas de información de la entidad, de forma masiva y generalizada.
-
Ransomware innominado: Como quiera que se evidenció en el mensaje de rescate donde se solicitó el pago por la liberación de la información a cambio de dinero, así como las múltiples caracterizaciones del cifrado encontrado, generando la capacidad de bloquear los dispositivos tecnológicos en uso de la entidad, sin que se refiriera a una familia de Ransomware específica.
-
Propagación de código malicioso de forma sistemática después de apagado los servicios de conectividad.
-
Daño sobre el servicio tecnológico que administra y soporta las copias de respaldo.
Circunstancia que generan evaluación como: "ataque cibernético con múltiples vectores5" de acuerdo con las conductas sistemáticas generada sobre los sistemas de información del Invima.
Dicho incidente ocasionó un problema de continuidad del negocio, afectando la ejecución de las actividades diarias del Instituto, toda vez que el mismo es considerado como "incidente de seguridad de la información".
1 Ver Anexo 1: Relación de software.
2 Incidente de seguridad de la información: Un incidente se reporta cuando de manera ilegal se tiene acceso a la información confidencial o a datos privados...
Para continuar leyendo
Solicita tu prueba