“Las actividades
cibernéticas maliciosas no sólo amenazan a nuestras economías y el impulso
para el mercado único digital, sino también el propio funcionamiento de
nuestras democracias, nuestras libertades y nuestros valores”. Así lo
reconoce la Comisión Europea en el documento ‘Resiliencia, disuasión y defensa:Fortalecimiento de la ciberseguridad en la UE’. La CE propone un paquete de medidas
para hacer frente a los ataques y para corregir los fallos detectados.
“Los riesgos están
aumentando exponencialmente. Los estudios sugieren que el impacto
económico de la ciberdelincuencia se quintuplicó entre 2013 y 2017, y podría
cuadruplicarse aún más para 2019. Ransomware ha experimentado un
aumento particular, con los recientes ataques que reflejan un
espectacular aumento de la actividad cibercriminal. Sin embargo,
ransomware está lejos de ser la única amenaza”, alerta la CE. A lo largo del
informe explica que las amenazas cibernéticas provienen de actores no estatales
y estatales: “son a menudo criminales, motivados por el beneficio, pero también
pueden ser políticas y estratégicas”.
La amenaza criminal se
intensifica por la confusión de la frontera entre el delito cibernético y el
crimen ‘tradicional’, ya que los delincuentes usan Internet tanto como forma de
ampliar sus actividades como también como fuente para encontrar nuevos métodos
y herramientas para cometer delitos. Sin embargo, en la inmensa
mayoría de los casos, las posibilidades de localizar al criminal son mínimas y
las posibilidades de enjuiciamiento aún son menores.
Al mismo tiempo, los
actores estatales están cumpliendo cada vez más sus objetivos geopolíticos no
sólo a través de herramientas tradicionales como la fuerza militar, sino
también a través de herramientas cibernéticas más discretas, incluida la
interferencia en los procesos democráticos internos.
El uso del
ciberespacio como un dominio de la guerra, ya sea únicamente o como parte de un
enfoque híbrido, es ahora ampliamente reconocido. Las campañas de
desinformación, noticias falsas y operaciones cibernéticas dirigidas a la
infraestructura crítica son cada vez más comunes y exigen una respuesta. Por
esta razón, en su documento de reflexión sobre el futuro de la defensa
europea, la Comisión subrayó la importancia de la cooperación en materia
de ciberdefensa.
A menos que mejoremos
sustancialmente nuestra seguridad cibernética, el riesgo aumentará en línea con
la transformación digital. Se prevé que decenas de miles de millones de
dispositivos ‘Internet de las cosas’ estarán conectados a Internet antes de
2020, pero la ciberseguridad aún no se ha priorizado en su diseño. Una
falla en proteger los dispositivos que controlarán nuestras redes eléctricas,
automóviles y redes de transporte, fábricas, finanzas, hospitales y viviendas
podría tener consecuencias devastadoras y causar un gran daño a la confianza
del consumidor en las tecnologías emergentes. El riesgo de ataques por
motivos políticos contra blancos civiles y de deficiencias en la ciberdefensa
militar agrava aún más el riesgo.
A continuación resumo algunas de las medidas que propone la CE:
Fortalecimiento
de ENISA. La Agencia de la Unión Europea para la Seguridad
de las Redes y de la Información (ENISA) tiene un papel clave que desempeñar en
el fortalecimiento de la capacidad de respuesta cibernética de la UE, pero está
limitada por su actual mandato. Por lo tanto, la Comisión presenta una
ambiciosa propuesta de reforma, que incluye un mandato permanente para la
Agencia Esto asegurará que la ENISA puede proporcionar apoyo a
los Estados miembros, las instituciones de la UE y negocios en áreas clave,
incluida la aplicación de la Directiva relativa a la seguridad de la red y
sistemas de información (la "Directiva de NIS") y el Marco de la
certificación de seguridad cibernética propuesto.
Hacia
un mercado único de ciberseguridad. El crecimiento del mercado
de la ciberseguridad en la UE -en términos de productos, servicios y procesos-
se mantiene de varias maneras. Un aspecto clave es la falta de sistemas de
certificación de la seguridad cibernética reconocidos en toda la UE para
construir estándares más altos de resiliencia en los productos y apoyar la
confianza del mercado en toda la UE. Por lo tanto, la Comisión presenta
una propuesta para establecer un marco comunitario de certificación de
seguridad cibernética. Brindaría beneficios claros a las empresas al
evitar la necesidad de someterse a varios procesos de certificación al negociar
a través de las fronteras, limitando así los costes administrativos y
financieros.
Aplicación
plena de la Directiva sobre la seguridad de los sistemas de red e información. Con
las principales herramientas para combatir la ciberseguridad hoy en manos
nacionales, la UE ha reconocido la necesidad de elevar las normas. Los
incidentes de ciberseguridad a gran escala rara vez afectan a un solo Estado
miembro debido a la naturaleza cada vez más globalizada, dependiente e
interconectada de sectores clave como la banca, la energía o el transporte. La
Directiva sobre la seguridad de los sistemas de red y de información (la
"Directiva NIS") es la primera ley de ciberseguridad en toda la
UE.
Resistencia
mediante una respuesta rápida de emergencia. Cuando se produce un
ataque cibernético, una respuesta rápida y eficaz puede mitigar su
impacto. Esto también puede demostrar que las autoridades públicas no son
impotentes ante los ciberataques y contribuyen a crear confianza. En lo
que respecta a la respuesta de las propias instituciones de la UE, en un primer
momento los aspectos cibernéticos deben integrarse en los mecanismos existentes
de gestión de crisis de la UE: la respuesta política integrada de la UE a la
crisis coordinada por la Presidencia del Consejo y los sistemas
generales de alerta rápida de la UE.
Una
red de competencia en seguridad cibernética con un Centro Europeo de
Investigación y Competencia en Ciberseguridad. Las
herramientas tecnológicas de la ciberseguridad son activos estratégicos, así
como tecnologías de crecimiento clave para el futuro. Es de interés
estratégico para la UE garantizar que la UE conserve y desarrolle las
capacidades esenciales para garantizar su economía digital, la sociedad y la
democracia, proteger el hardware y el software críticos y proporcionar
servicios clave de ciberseguridad.
La Alianza Público-Privada
sobre Ciberseguridad creada en 2016 fue un primer paso importante,
generando hasta 1,8 mil millones de euros de inversión para 2020. Sin embargo,
la magnitud de la inversión en curso en otras partes del mundo sugiere que
la UE necesita hacer más en términos de inversión y superar la fragmentación de
las capacidades diseminadas en toda la UE.
Creación
de una sólida base de conocimientos cibernéticos de la UE. La
ciberseguridad efectiva depende en gran medida de las habilidades de las
personas afectadas. Sin embargo, se prevé que la brecha de las
destrezas de ciberseguridad para los profesionales que trabajan en el sector
privado en Europa será de 350.000 para 2022. La educación en materia de
ciberseguridad debe desarrollarse a todos los niveles, a partir de la formación
regular de una fuerza de trabajo cibernética, capacitación adicional en
ciberseguridad para todos los especialistas en TIC y nuevos programas
específicos de ciberseguridad.
Promover
la higiene cibernética y la concienciación. Con un 95% de los
incidentes que se dice están habilitados por “algún tipo de error
humano-intencional o no”, existe un fuerte factor humano en
juego. Así que la seguridad cibernética es responsabilidad de
todos. Esto significa que el comportamiento personal, corporativo y de la
administración pública debe cambiar para asegurar que todo el mundo comprende
la amenaza y está equipado con las herramientas y habilidades necesarias para
detectar rápidamente y protegerse activamente contra los ataques. La gente
necesita desarrollar hábitos de higiene cibernética y las empresas y
organizaciones deben adoptar programas apropiados de seguridad cibernética
basados en el riesgo y actualizarlos regularmente para reflejar el panorama
de riesgo en evolución.
