Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE Ciberseguridad e infraestructuras críticas

El gran desafío de compartir información

01/03/2013 - Ángel Gallego
Tras la puesta en marcha de planes de Protección de Infraestructuras Críticas (PIC), en todo el mundo surgió la necesidad de poner en valor la ciberseguridad. Compartir información entre administración y operadores estratégicos es esencial, pero el modo de llevarlo a cabo, el foco de la polémica.
El presidente Barack Obama en una reunión de gabinete en la Sala del Gabinete de la Casa Blanca, 26 de julio de 2012.
Autor: Foto oficial de la Casa Blanca por Pete Souza.

Estados Unidos siempre va un paso por delante en cuestiones de concienciación sobre Seguridad y la Ciberseguridad no va a ser una excepción. El presidente Barack Obama está convencido de la necesidad de aprobar un plan de Ciberseguridad para todo el Estado, una cuestión que ha estado en su agenda desde la anterior legislatura. Asesorado hasta el pasado año en esta materia por Howard Schmidt, Obama es consciente, desde el inicio de su mandato, de que su país puede volver a ser objetivo de un nuevo 11-S y de que los métodos de ataque no se parecerán en nada a los empleados para derribar las Torres Gemelas. La implicación personal del presidente explica la relevancia de la Ciberseguridad al otro lado del Atlántico, donde se posiciona en el mismo nivel que los asuntos de Defensa, a pesar de que distintos reveses políticos hayan impedido la aprobación de una estrategia definitiva. El Senado norteamericano bloqueó una proposición de ley: “The Cibersecurity Act of 2012”, que daba por sentado la existencia de una ciberguerra en estado latente y nacía con la vocación de garantizar la seguridad de los ciudadanos. Los republicanos (oposición en la Cámara de Representantes, pero con mayoría en el Senado) alegaron posibles conflictos con la privacidad, pero la principal causa de desacuerdo residía en la potestad que el Gobierno se atribuiría para determinar qué infraestructuras son consideradas como “críticas”, reservándose la opción de estudiar sus sistemas informáticos en busca de vulnerabilidades o forzar a los administradores a adoptar medidas que el Gobierno considerase oportunas.

Como se ha constatado en no pocas ocasiones, no es una empresa sencilla la de compartir información. Siempre genera recelos, pero también está demostrado que es la única solución para combatir las ciberamenazas globales, que parten de un núcleo altamente organizado y coordinado. 

A pesar de los problemas y la falta de entendimiento en torno a una propuesta que acaba de cumplir un año de vida, el presidente de Estados Unidos se muestra favorable a un acuerdo de mínimos que facilite la aprobación del decreto sobre Ciberseguridad. Entre las medidas básicas, se contempla la creación de un programa voluntario que aglutine a las organizaciones catalogadas como Infraestructuras Críticas (IC) –proveedores de bienes y servicios esenciales para la ciudadanía como luz, agua, comunicaciones, etc.)- para que asuman como propio un conjunto mínimo de normas de seguridad creado por el Ejecutivo norteamericano. Si finalmente es aprobado, habrá que esperar a que el Comité de Inteligencia del Senado dé luz verde.

La Administración norteamericana pretende mejorar los controles sobre las infraestructuras críticas del país y blindar las redes informáticas frente a potenciales ciberataques, aunque el precio a pagar sea la pérdida de privacidad de la empresa privada en beneficio del intercambio de información.

Compromiso europeo

En Europa, la primera iniciativa seria en busca de un plan de protección de las IC con dimensión transnacional data de 2005, con el desarrollo de un Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC). Su propósito era  definir estas infraestructuras, analizar sus vulnerabilidades y su interdependencia, así como presentar soluciones que prevengan y protejan ante todo tipo de peligros. Dicho programa debe ayudar a las empresas a integrar las variables de la amenaza y sus consecuencias en sus evaluaciones del riesgo. Las Fuerzas y Cuerpos de Seguridad de los Estados (FCSE) miembros eran instadas a integrar el PEPIC en sus tareas de planificación.

Asimismo, este plan define que los agentes interesados deberán compartir la información acerca de la Protección de las Infraestructuras Críticas (PIC), especialmente las cuestiones relativas a la seguridad de las IC y sistemas protegidos, los estudios sobre interdependencia, la vulnerabilidad en relación con la PIC y la evaluación de amenazas y riesgos. Al mismo tiempo, según se extrae del propio texto: “Habrá que velar por que no se revele la información compartida, tanto si es exclusiva como sensible o de carácter personal, y por que todas las personas que trabajen con información confidencial o sensible sean sometidas al oportuno procedimiento de habilitación por parte del Estado miembro de su nacionalidad”.

Plan común para los 27

La relevancia creciente de las ciberamenazas y el daño causado por ataques dirigidos ha impulsado a la Comisión Europea (CE) a presentar su Plan de Ciberseguridad, destinado a proteger las comunicaciones electrónicas. Las propuestas fueron anunciadas en un acto que reunió a la jefa de la diplomacia de la Unión Europea (UE), Catherine Ashton; la vicepresidenta de la CE y comisaria de la Agenda Digital, Neelie Kroes, y la comisaria europea de Interior, Cecilia Malmström.

Entre las medidas más destacadas que se plantean son la obligación, por ley, a los Estados miembros de establecer su propio equipo de emergencia, denominado Computer Emergency Response Team (CERT), y a las empresas de sectores estratégicos, informar sobre los ciberataques que puedan sufrir.

Desde 2005, con el PEPIC, la UE definió la necesidad de compartir información sobre infraestructuras críticas en las cuestiones relativas a seguridad. Ocho años después, se ha aprobado un plan común de ciberseguridad para los 27

El CERT se aplicaría a más 40.000 organizaciones, entre las que se incluyen compañías de energía, transporte, banca, telecomunicaciones y sanidad, y éstas podrían ser forzadas a informar sobre los ciberrobos que les afecten, incluyendo sus plataformas de comercio electrónico, redes sociales y los servicios en la nube. Algunas compañías se han opuesto a esta “obligatoriedad”, ya que temen que el hecho de revelar su vulnerabilidad pueda costarles clientes, pero las autoridades quieren aumentar la transparencia con el objetivo de intentar bloquear los métodos que usan los ciberdelincuentes para explotar redes antes de que puedan causar daños generalizados.

A través de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés), la Unión Europea ha ejercido su poder de concienciación y ha contribuido a la difusión de buenas prácticas de seguridad en el tejido industrial y en las administraciones públicas del continente.

Toda una declaración de intenciones –y quizá uno de los motivos que explica el retraso de la aprobación de la Estrategia Española de Ciberseguridad (EECS)- fue la publicación de una guía el pasado mes de diciembre: “National Cyber Security Strategies: An Implementation Guide”, orientada a la implementación de estrategias nacionales de ciberseguridad. Este documento, que se puede descargar gratuitamente en la web de la Agencia, pone el acento en el desarrollo y en las fases de ejecución de este plan. Además, se describen recomendaciones sobre control y mejora de procesos y también sobre indicadores de rendimiento.

El plan aún no es una realidad, pues para salir adelante es precisa su aprobación por parte de los 27 y del Parlamento Europeo. Entretanto, los países estudian y analizan las posibilidades de maduración de sus estrategias. Uno de los objetivos del documento es crear un mecanismo de cooperación entre los Estados miembros que permita difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura, así como organizar revisiones periódicas.

Además, pretende garantizar una respuesta coordinada frente a problemas, publicar de forma regular información desclasificada de dichas alertas y cooperar e intercambiar testimonios con organismos relevantes como el Centro Europeo contra el Cibercrimen (EC3), que será el pilar para estrechar la cooperación entre todos los Estados.

El EC3, liderado por Europol

La UE cuenta desde el 11 de enero con un nuevo Centro de Prevención contra el Cibercrimen (EC3), que se nutrirá de la experiencia de sus Estados miembros. El objetivo último de esta iniciativa es incrementar el nivel de protección contra los cada vez más frecuentes y dañinos ataques que tienen lugar a través de Internet. El EC3 estará liderado por Europol y supone un revulsivo en la estrategia que estaba desarrollando la UE en la lucha contra el cibercrimen. En este sentido, fue la propia Europol quien reclamó que se incrementara la cooperación con países no miembros de la Unión en la lucha contra los ataques vía Internet. Ubicado en La Haya (Países Bajos), el centro proporcionará soporte operacional a los países de la UE, dará acceso a experiencia técnica en las investigaciones conjuntas y fomentará la puesta en común de los recursos para ayudar en la prevención del cibercrimen y en el enjuiciamiento de los delincuentes, con especial foco en aquellos que centran su actividad en delitos financieros y de banca online. Asimismo, la explotación sexual de menores a través de Internet y ataques dirigidos contra sistemas de información e infraestructuras también serán áreas prioritarias de investigación en este centro. 

¿Y la EECS?

La aprobación de la Estrategia Española de Seguridad (EES), el 24 de junio de 2011, puso en el horizonte el compromiso oficial y la necesidad de trabajar en una “Estrategia Española de Ciberseguridad (EECS)”. Sus objetivos centrales son analizar las amenazas y riesgos, evaluar nuestras capacidades de respuesta, identificar líneas estratégicas de acción y actualizar los mecanismos institucionales en este ámbito. Dentro del plan integral de seguridad, se dedica un capítulo especial a la Ciberseguridad, considerándola un eje fundamental de nuestra sociedad y sistema económico y se cita al Centro Criptológico Nacional  (CCN) -dependiente del CNI- como Organismo clave de Prevención y Respuesta, y más concretamente a su Capacidad de Respuesta a Incidentes (CCN-CERT).

Esto hizo pensar al sector que la aprobación de la EECS era una cuestión inminente, pues el primer borrador que salió a la luz data del 2 abril de 2012. Días más tarde, el 11 de abril, el ministro del Interior, Jorge Fernández Díaz, respaldó la apertura de las I Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC), coordinadas por el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) y organizadas por Isdefe. Allí, por primera vez, Empresa y Administración llevaron a cabo un ciberejercicio de un ataque a los sistemas de control de una supuesta infraestructura crítica, que sirve de referencia para la creación de una Oficina de Coordinación Cibernética y para la EECS.

A lo largo del año pasado, en todos los foros de Seguridad TIC surgía la cuestión; y pasó el verano, comenzó 2013 y aún no tenemos noticias de su aprobación. Sin embargo, la ciberseguridad ha elevado su nivel dentro del Ejecutivo, pasando de ser una materia dispersa en distintos ministerios -y con un cierto liderazgo del Ministerio del Interior y del CCN-CNI a Vicepresidencia del Gobierno. Por otra parte, el ministro de Defensa, Pedro Morenés, anunció en la Pascua Militar, el pasado 6 de enero: “Está en proceso de creación el Mando de Defensa del Ciberespacio, con el objetivo de contrarrestar las amenazas que desde este nuevo entorno pongan en riesgo la seguridad nacional”. Este cibermando estará dentro de la nueva Estructura Operativa de las Fuerzas Armadas –junto con los de Vigilancia y Seguridad Marítima y de Defensa y Operaciones Aéreas, también de nueva creación- que se ha llevado a cabo tras la Directiva de Defensa Nacional, aprobada el pasado mes de julio.

Otros países, entre ellos Estados Unidos o Israel, ya cuentan con este cibermando, mientras que en Europa Reino Unido, Francia y Alemania son alumnos aventajados al disponer de una Estrategia de Ciberseguridad. El mando, que aún no se ha hecho público, se convertirá en una pieza fundamental de la ansiada EECS, liderada desde Vicepresidencia. Su desarrollo y adopción podría situar a nuestro país en el grupo europeo a la cabeza en este ámbito, y proyectará una imagen hacia la comunidad internacional de fuerza y solida preparación para repeler ciberataques. Si miramos a largo plazo, redundará positivamente en la mermada economía española, ya que seremos considerados como un destino idóneo para promover negocios en Internet. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual