miércoles, 20 de septiembre de 2017

La ciberdelincuencia amenaza el funcionamiento de las democracias en la UE

“Las actividades cibernéticas maliciosas no sólo amenazan a nuestras economías y el impulso para el mercado único digital, sino también el propio funcionamiento de nuestras democracias, nuestras libertades y nuestros valores”. Así lo reconoce la Comisión Europea en el documento ‘Resiliencia, disuasión y defensa:Fortalecimiento de la ciberseguridad en la UE’. La CE propone un paquete de medidas para hacer frente a los ataques y para corregir los fallos detectados.

“Los riesgos están aumentando exponencialmente. Los estudios sugieren que el impacto económico de la ciberdelincuencia se quintuplicó entre 2013 y 2017, y podría cuadruplicarse aún más para 2019. Ransomware ha experimentado un aumento particular, con los recientes ataques que reflejan un espectacular aumento de la actividad cibercriminal. Sin embargo, ransomware está lejos de ser la única amenaza”, alerta la CE. A lo largo del informe explica que las amenazas cibernéticas provienen de actores no estatales y estatales: “son a menudo criminales, motivados por el beneficio, pero también pueden ser políticas y estratégicas”. 
La amenaza criminal se intensifica por la confusión de la frontera entre el delito cibernético y el crimen ‘tradicional’, ya que los delincuentes usan Internet tanto como forma de ampliar sus actividades como también como fuente para encontrar nuevos métodos y herramientas para cometer delitos. Sin embargo, en la inmensa mayoría de los casos, las posibilidades de localizar al criminal son mínimas y las posibilidades de enjuiciamiento aún son menores.
Al mismo tiempo, los actores estatales están cumpliendo cada vez más sus objetivos geopolíticos no sólo a través de herramientas tradicionales como la fuerza militar, sino también a través de herramientas cibernéticas más discretas, incluida la interferencia en los procesos democráticos internos. 
El uso del ciberespacio como un dominio de la guerra, ya sea únicamente o como parte de un enfoque híbrido, es ahora ampliamente reconocido. Las campañas de desinformación, noticias falsas y operaciones cibernéticas dirigidas a la infraestructura crítica son cada vez más comunes y exigen una respuesta. Por esta razón, en su documento de reflexión sobre el futuro de la defensa europea, la Comisión subrayó la importancia de la cooperación en materia de ciberdefensa.  
A menos que mejoremos sustancialmente nuestra seguridad cibernética, el riesgo aumentará en línea con la transformación digital. Se prevé que decenas de miles de millones de dispositivos ‘Internet de las cosas’ estarán conectados a Internet antes de 2020, pero la ciberseguridad aún no se ha priorizado en su diseño. Una falla en proteger los dispositivos que controlarán nuestras redes eléctricas, automóviles y redes de transporte, fábricas, finanzas, hospitales y viviendas podría tener consecuencias devastadoras y causar un gran daño a la confianza del consumidor en las tecnologías emergentes. El riesgo de ataques por motivos políticos contra blancos civiles y de deficiencias en la ciberdefensa militar agrava aún más el riesgo.

A continuación resumo algunas de las medidas que propone la CE:
Fortalecimiento de ENISA. La Agencia de la Unión Europea para la Seguridad de las Redes y de la Información (ENISA) tiene un papel clave que desempeñar en el fortalecimiento de la capacidad de respuesta cibernética de la UE, pero está limitada por su actual mandato. Por lo tanto, la Comisión presenta una ambiciosa propuesta de reforma, que incluye un mandato permanente para la Agencia   Esto asegurará que la ENISA puede proporcionar apoyo a los Estados miembros, las instituciones de la UE y negocios en áreas clave, incluida la aplicación de la Directiva relativa a la seguridad de la red y sistemas de información (la "Directiva de NIS") y el Marco de la certificación de seguridad cibernética propuesto.
Hacia un mercado único de ciberseguridad. El crecimiento del mercado de la ciberseguridad en la UE -en términos de productos, servicios y procesos- se mantiene de varias maneras. Un aspecto clave es la falta de sistemas de certificación de la seguridad cibernética reconocidos en toda la UE para construir estándares más altos de resiliencia en los productos y apoyar la confianza del mercado en toda la UE. Por lo tanto, la Comisión presenta una propuesta para establecer un marco comunitario de certificación de seguridad cibernética. Brindaría beneficios claros a las empresas al evitar la necesidad de someterse a varios procesos de certificación al negociar a través de las fronteras, limitando así los costes administrativos y financieros.
Aplicación plena de la Directiva sobre la seguridad de los sistemas de red e información. Con las principales herramientas para combatir la ciberseguridad hoy en manos nacionales, la UE ha reconocido la necesidad de elevar las normas. Los incidentes de ciberseguridad a gran escala rara vez afectan a un solo Estado miembro debido a la naturaleza cada vez más globalizada, dependiente e interconectada de sectores clave como la banca, la energía o el transporte. La Directiva sobre la seguridad de los sistemas de red y de información (la "Directiva NIS") es la primera ley de ciberseguridad en toda la UE. 
Resistencia mediante una respuesta rápida de emergencia. Cuando se produce un ataque cibernético, una respuesta rápida y eficaz puede mitigar su impacto. Esto también puede demostrar que las autoridades públicas no son impotentes ante los ciberataques y contribuyen a crear confianza. En lo que respecta a la respuesta de las propias instituciones de la UE, en un primer momento los aspectos cibernéticos deben integrarse en los mecanismos existentes de gestión de crisis de la UE: la respuesta política integrada de la UE a la crisis coordinada por la Presidencia del Consejo y los sistemas generales de alerta rápida de la UE. 
Una red de competencia en seguridad cibernética con un Centro Europeo de Investigación y Competencia en Ciberseguridad. Las herramientas tecnológicas de la ciberseguridad son activos estratégicos, así como tecnologías de crecimiento clave para el futuro. Es de interés estratégico para la UE garantizar que la UE conserve y desarrolle las capacidades esenciales para garantizar su economía digital, la sociedad y la democracia, proteger el hardware y el software críticos y proporcionar servicios clave de ciberseguridad.
La Alianza Público-Privada sobre Ciberseguridad creada en 2016 fue un primer paso importante, generando hasta 1,8 mil millones de euros de inversión para 2020. Sin embargo, la magnitud de la inversión en curso en otras partes del mundo sugiere que la UE necesita hacer más en términos de inversión y superar la fragmentación de las capacidades diseminadas en toda la UE.
Creación de una sólida base de conocimientos cibernéticos de la UE. La ciberseguridad efectiva depende en gran medida de las habilidades de las personas afectadas. Sin embargo, se prevé que la brecha de las destrezas de ciberseguridad para los profesionales que trabajan en el sector privado en Europa será de 350.000 para 2022. La educación en materia de ciberseguridad debe desarrollarse a todos los niveles, a partir de la formación regular de una fuerza de trabajo cibernética, capacitación adicional en ciberseguridad para todos los especialistas en TIC y nuevos programas específicos de ciberseguridad.
Promover la higiene cibernética y la concienciación. Con un 95% de los incidentes que se dice están habilitados por “algún tipo de error humano-intencional o no”, existe un fuerte factor humano en juego. Así que la seguridad cibernética es responsabilidad de todos. Esto significa que el comportamiento personal, corporativo y de la administración pública debe cambiar para asegurar que todo el mundo comprende la amenaza y está equipado con las herramientas y habilidades necesarias para detectar rápidamente y protegerse activamente contra los ataques. La gente necesita desarrollar hábitos de higiene cibernética y las empresas y organizaciones deben adoptar programas apropiados de seguridad cibernética basados ​​en el riesgo y actualizarlos regularmente para reflejar el panorama de riesgo en evolución.