diumenge, 18 de maig de 2014

Moció "Vulnerabilitat servidors informàtics municipals": Què hauria d'haver fet l'Ajuntament (i què no hauria d'haver fet)

Per segona vegada en quatre anys, el nostre regidor es veu imputat per un presumpte delicte de descobriment i revelació de secrets. Amb aquesta moció -serà informada dimecres i, si s'escau, debatuda i aprovada la sessió ordinària del Ple de dia 27-, es pretén descriure la denúncia presentada pel Batle d'Artà (fins fa uns dies, UIA) Jaume Alzamora davant la Guàrdia Civil, farcida d'imprecisions i falsedats, i la seva inutilitat respecte de la protecció dels interessos municipals, instant el nou Batle, B. Gili (El Pi), a que formuli voluntat de desistiment de la denúncia; així com reclamar una actuació ferma pel que fa a coneixement del problema de vulnerabilitat que hi ha hagut (durada, causes, accessos indeguts, perjudicis si n'hi hagut, etc.) i, si s'escau, depuració de responsabilitats. A dia d'avui, no resolt íntegrament el problema de vulnerabilitat -encara que des del nostre avís s'engegassin actuacions-, no s'ha fet, com el 2010, més que intentar "matar els missatgers".
 
Guillem Caldentey, en representació d'IniciativaVerds d'Artà, presenta per a la seva discussió i, si s'escau, aprovació la propera sessió ordinària del Ple d'aquest Ajuntament, corresponent al mes de maig, la següent

MOCIÓ: INSTAR EL BATLE D’ARTÀ A COMUNICAR AL JUTJAT D’INSTRUCCIÓ NÚM. 2 DE MANACOR LA VOLUNTAT DE DESISTIMENT EN LA CAUSA D’AQUEST AJUNTAMENT CONTRA EL REGIDOR CALDENTEY PER SUPOSAT DELICTE DE “REVELACIÓ DE SECRETS”; ANÀLISI I VALORACIÓ INDEPENDENT DE LA GESTIÓ TÈCNICA DEL SISTEMA INFORMÀTIC MUNICIPAL QUE HA DONAT PER RESULTAT UNA GREU VULNERABILITAT DE LES DADES CONTINGUDES EN ELS SERVIDORS, AMB DEPURACIÓ DE RESPONSABILITATS SI S’ESCAU

Exposició de Motius:

1. Atès que dia 25 de març de 2014, en l’àmbit d’una Junta de Portaveus que es va celebrar immediatament després del Ple ordinari que havia tingut lloc aquell mateix dia, a instàncies del portaveu d’IVerds d’Artà, aquest posà en coneixement dels diferents grups la detecció d’un greu problema amb el sistema informàtic municipal, a saber, que des de feia un temps indeterminat, les dades contingudes en els servidors que també contenien les dades publicades a la web municipal, eren accessibles a través d'aquesta per qualsevol persona no autoritzada que ho volgués fer. Així mateix, es va demostrar a mode de prova fefaent, com l’esmentat regidor havia pogut accedir i descarregar en el seu disc dur uns determinats fitxers, concretament: missatges de ciutadans relatius a incidències tramesos a través dels formularis establers amb aquests efectes a la web municipal, i un fitxer de gestió de la canera municipal. També es va aportar un document de “Proposta d’actuacions davant dels problemes de vulnerabilitat detectats a l’entorn web municipal”, consistent en un seguit d’actuacions a prendre de manera immediata per a corregir aquest problema i evitar futures intrusions no autoritzades. Aquest document havia estat elaborat conjuntament amb el ciutadà, expert informàtic, que de manera exemplar havia detectat originalment el problema, l’havia traslladat al tècnic responsable, i en la reunió el portaveu ecosocialista l’havia identificat traslladant la seva disposició a continuar col·laborant amb la Corporació amb objecte de corregir la situació.

2. Atès que la reacció de la totalitat dels portaveus va ser en aquell moment, d’agraïment per la informació, concretament cap al ciutadà anteriorment esmentat, i que els portaveus responsables membres de l’equip de govern es varen comprometre a engegar d’immediat les mesures correctores que s’estimassin oportunes.

3. Atès que 11 dies després, dia 5 d’abril, “Diario de Mallorca” publicava una notícia titulada “Un ‘hacker’ entra en la web municipal para demostrar su vulnerabilidad. El ciudadano con conocimientos informáticos y un manual de Internet accede a información confidencial para denunciar la falta de seguridad”.

4. Atès que aquesta notícia, si en el moment de la seva publicació no s’havien pogut executar totes les mesures necessàries per a mantenir protegides les dades accessibles, posava aquestes mateixes dades en la diana de potencials interessats en vulnerar els servidors.

5. Atès que la reacció del llavors màxim responsable municipal va ser denunciar davant la Guàrdia Civil dia 7 d’abril el regidor que sota-signa i l’expert informàtic col·laborador, essent a efectes pràctics de defensa de la confidencialitat de les dades municipals i dels interessos municipals aquesta mesura del tot inútil: la Guàrdia Civil i la Justícia potser determinaran si aquestes dues persones varen cometre delicte o no accedint al servidor, però no hauran pogut ser de cap utilitat als efectes de la urgència de protegir les dades davant del públic coneixement per la publicació de la notícia de dia 5. Tornar a apuntar, que en tot cas, si el comportament del regidor i l’expert informàtic s’hagués considerat fet presumptament delictiu, s’hauria d’haver comunicat com a tal d’immediat, i no amb 11 dies de retràs. A efectes del “greu perjudici per a la imatge de l’Ajuntament”, concepte inclòs també en la denúncia, tampoc no resulta de cap utilitat, i sí probablement determinar les causes de la vulnerabilitat del sistema i correcció corresponent de les mateixes, per tal d’assegurar que un capítol vergonyós com aquest no es pugui tornar a produir.

6. Atès que, segons s’informà a la Corporació amb ocasió de reunió de Comissió Informativa municipal celebrada dia 23 d’abril per part del llavors Batle d’Artà, J. Alzamora, no s’ha pres cap mesura de caràcter intern per tal d’avaluar i, si s’escau, amb depuració de responsabilitats, com ha estat possible la situació lleialment exposada pel regidor ecosocialista i l’expert informàtic.

7. Atès que la denúncia conté un seguit de fasedats, com ara que “habían podido ver los correos del señor alcalde así como a todas las contraseñas del Ayuntamiento”o que “en dia 2 de abril de 2014 se convoco una junta de portavoces por parte del ayuntamiento de Artá, para explicar todas las actuaciones llevadas a cabo por parte del ayuntamiento en relación las los hechos descritos anteriormente en la que no asistió en regidor D. Guillem CALDENTEY [...]” [sempre, sic]. Atès que la falsedat en el primer cas ja queda explicada confrontant el descrit en el punt 1er i, pel que fa a la segona afirmació, els membres d’aquesta Corporació majoritàriament reconeixen que la Junta de Portaveus havia estat convocada a instàncies del portaveu socialista als efectes de tractar el tema de l’adjudicació per a unes instal·lacions esportives (pistes de paddle).

8 Atès que en la denúncia s’inclou una presumpta suplantació d’identitat de 10 persones en la votació telemàtica del procés de participació ciutadana celebrat a finals del mes de febrer. Atès que el regidor ecosocialista havia detectat i denunciat públicament el defectuós disseny d’aquesta modalitat de votació i reclamat l’anulació dels vots electrònics, de bades, en haver anunciat solemnement mitjançant comunicat de premsa posterior l’equip de govern l’èxit del procés, el projecte triat (amb els vots electrònics inclosos), etc. Així mateix, el passat mes de març, en plenari ordinari, se'm va respondre a preguntes directament relacionades, amb tota naturalitat i sense cap tipus de dubte, en relació amb el número de vots (personals i electrònics), etc., sense que per res es posàs en dubte cap tipus de problema com ara l’anteriorment denunciat davant la Guàrdia Civil.

Per això, es proposen al Ple d’Ajuntament els següents
ACORDS:
1.- El Ple de l’Ajuntament d’Artà insta el Batle a comunicar al Jutjat d’Instrucció núm. 2 de Manacor, la voluntat de desistiment en la causa iniciada per denúncia formulada pel Batle d’Artà davant la Guàrdia Civil dia 7 d’abril.
2.- El Ple de l’Ajuntament d’Artà insta l’equip de govern municipal una anàlisi i valoració independent de  la gestió tècnica del sistema informàtic municipal que ha donat per resultat una greu vulnerabilitat de les dades contingudes en els servidors, amb depuració de responsabilitats si s’escau.
3.- El Ple de l’Ajuntament d’Artà insta l’equip de govern a reconèixer públicament els defectes tècnics del sistema de votació electrònica del procés de participació ciutadana del mes de febrer “Tria el teu projecte”, anul·lant els vots electrònics i aportant les noves dades de participació que es derivin d’aquesta operació.