La Ciberseguridad exigida

Esto del ciberespacio ya tiene casi cincuenta años y seguimos viendo que carece de seguridad y resiliencia a pesar de que se hable mucho de ello. Quizás sea conveniente ver con perspectiva temporal desde cuándo nos preocupamos o no de la seguridad de nuestras redes y sistemas digitales. En este contexto es interesante ver cuál es la reciente propuesta estrella de la Unión Europea para conseguir que cambien las cosas. ¿Cambiará realmente el panorama ciber europeo en los próximos años? Precisamente el organismo ENISA acaba de ser protagonista de un importante documento para dotarle de mayores capacidades.

Era el sábado 4 de junio de 1983 y el presidente Ronald Reagan termina de cenar en la residencia de Camp David, y se dispone a ver su película de los sábados. Esa noche le han programado un estreno del día anterior, su título era WarGames1. En ella, un adolescente apasionado por los recién llegados ordenadores personales logra entrar, con su modem analógico y por casualidad, en el ordenador del NORAD2, y pensando que es un nuevo juego de ordenador casi inicia una “Guerra Termonuclear Global”.

La mañana del siguiente miércoles, Reagan se reúne con los secretarios de estado, defensa y del tesoro, con sus asesores de seguridad, con el jefe del Estado Mayor Conjunto, y dieciséis miembros del Congreso, para discutir sobre un nuevo tipo de misil nuclear y de las posibles negociaciones con los rusos sobre limitaciones de armamento.

En aquella reunión Reagan se volvió hacia el General John Vessey, Jefe de Estado Mayor Conjunto del ejercito norteamericano y le preguntó: “¿Podría realmente llegar a pasar algo así? ¿Podría alguien entrar en nuestros ordenadores más sensibles?“ Una semana después, el general regresó a la Casa Blanca con la respuesta oficial: “Sr. Presidente, el problema es mucho peor de lo que piensa”.

Poco después, el 26 de septiembre de ese mismo año, el sistema soviético de alerta temprana informó de un lanzamiento múltiple de misiles balísticos intercontinentales Minuteman3 desde los EEUU y contra la URSS4. En este incidente real, las alarmas por un ataque nuclear inminente fueron afortunada y correctamente interpretadas como una falsa alarma por el oficial de las fuerzas aéreas Stanislav Petrov5, que se negó a poner en marcha el sistema soviético de represalia nuclear. En este caso se trató de un fallo electrónico y del temple de un ser humano, pero bien podría haberse tratado de un “hackeo” y de alguien cumpliendo literalmente algún manual de instrucciones.

El 17 de septiembre de 1984 Reagan firmó la directiva confidencial de seguridad nacional NSDD-145 titulada “National Policy on Telecommunications and Automated Information Systems Security”, que puede considerarse la primera medida política y ejecutiva de los EEUU en el campo de la ciberseguridad. Sin embargo, el primer informe que ya avisaba de los riesgos para la seguridad y la privacidad que suponían las redes telemáticas se publicó en 1967 con el título “Security and Privacy in Computer Systems6 y su autor fue Willis H. Ware.

Creación del Cyber Command de EEUU

A pesar de todo, la conmoción inicial duró poco tiempo y pronto desapareció el tema de la ciberseguridad de la alta política norteamericana. No fue hasta la llegada en 2009 de Barack Obama a la Casa Blanca, que la ciberseguridad se librase del olvido en el que había estado durante 25 años. De hecho, fue ese año cuando Obama creó el Cyber Command de los EEUU7 con un presupuesto anual de 14 mil millones de dólares y 4.000 miembros de plantilla.

En aquel momento ya eran cotidianos los informes sobre los consabidos ciberataques chinos, rusos, iraníes, sirios, norcoreanos y de otros, contra las redes y ordenadores del Pentágono y su entramado industrial de defensa, pero ya en esas fechas también se estaba atacando a bancos, distribuidores, fábricas, redes de distribución de energía, presas hidroeléctricas y todo aquello que estuviera conectado a una red telemática o a Internet.

Los EEUU tardaron 42 años en tomarse en serio los riesgos que tenía utilizar redes (TCP/IP), sistemas operativos (SUN, Windows, Linux), lenguajes de programación, y servicios telemáticos que no fueron diseñados ni desarrollados con la ciberseguridad en mente.

Se crea la ENISA

Por su parte, la Unión Europea esperó hasta 2004 para montar una humilde agencia especializada, con sede en Atenas (Grecia) y Heraklion (Creta), que llamó “European Network and Information Security Agency” (ENISA). Desde el principio, ENISA fue la única de las treinta y dos agencias europeas cuyo mandato no era indefinido. Su presupuesto entre 2005 y 2009 alcanzó los 32 millones de euros y contó con una plantilla fija de 55 personas. Desde 2010 se ha ido extendiendo su mandato en varias ocasiones hasta llegar al actual que termina en 2018.

La función de ENISA se centra en la ciberseguridad y, en concreto, en desarrollar recomendaciones para la UE y sus estados miembros, desarrollar actividades de soporte para el establecimiento de políticas de seguridad y su posterior implementación práctica. Los objetivos estratégicos y acciones concretas encomendadas eran las de mejorar la resiliencia del ciberespacio europeo, reducir la ciberdelincuencia, desarrollar políticas y capacidades en materia de ciberdefensa, desarrollar recursos industriales y tecnológicos y establecer una política coherente del ciberespacio para la UE. En resumen… casi todo.

La evolución de los “ciberacontecimientos” en los primeros años del siglo XXI ha puesto de manifiesto que ni las administraciones, ni el sector productivo, ni las empresas, ni siquiera los ciudadanos y usuarios finales han sabido tratar las amenazas que, acompañadas de rabiosa innovación y adictivos nuevos servicios, controlan completamente la realidad de este planeta (al menos de su parte más desarrollada y rica).

En 2016 la Comisión Europea optó por «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora»8, invirtiendo 1.800 millones de euros en cuatro años (2016-2020), para intentar intensificar la cooperación, la información y la puesta en común de conocimientos y para incrementar la resiliencia y preparación de la UE, teniendo también en cuenta “la perspectiva de incidentes a gran escala y una posible crisis paneuropea de ciberseguridad”.

La revisión del estado de la ciberseguridad en 2016

En la revisión de 2016 sobre el estado de la ciberseguridad, la UE reconoce la excesiva fragmentación de su mercado de la ciberseguridad. La creatividad europea ha dado fruto en mercados muy especializados (criptografía) y en mercados bien establecidos con nuevos modelos empresariales (negocios Web) y han surgido multitud de pymes que, a menudo, no consiguen “europeizar” sus operaciones. La Comisión, una vez más, quiere facilitar el acceso a la financiación de las pequeñas empresas que trabajan en ciberseguridad y sólo se le ocurre estudiar diferentes planes de inversión por parte de la UE.

Certificación

Temas de financiación aparte, la Comisión también reconoce como un importante hándicap que esas empresas TIC deban someterse a diferentes procesos de certificación para poder vender sus productos y servicios en varios estados miembro. Por ello la Comisión ha propuesto estudiar la creación de un eventual marco de europeo de certificación para los productos de seguridad de las TIC.

Así mismo, la Comisión se comprometió a que, a más tardar en septiembre de 2017, revisaría el mandato de ENISA y trataría de definir su papel en el cambiante ecosistema de la ciberseguridad y su cometido de mejorar la ciberresiliencia europea. En el Consejo Europeo de junio de 2017 se celebró que antes de que termine este año, la Comisión haga una propuesta de acciones específicas para ENISA y en este punto nos encontramos; ya se ha publicado (10/10/2017) la propuesta de Reglamento del Parlamento Europeo y el Consejo para la nueva ENISA9. En ella, además de seguir asesorando y desarrollando medidas para futuras normas en ciberseguridad y de todas las demás funciones que ya tenía, también se le han incluido funciones relacionadas con la certificación y etiquetado de los elementos de ciberseguridad que habrían de aumentar la ciberseguridad de los sistemas TIC, Infraestructuras Críticas e IoT.

El establecimiento de un sistema de certificación exige una gobernanza a nivel de la UE por lo que la propuesta señala a ENISA como el organismo natural competente para la certificación de la ciberseguridad en Europa, y propone que asuma esa función y reúna a los organismos nacionales competentes en materia de certificación y coordine su trabajo. Para ello, la UE agasaja a ENISA con un mandato permanente y estable para el futuro.

En particular, ENISA deberá prestar apoyo a las políticas y la legislación de la UE los ámbitos de las comunicaciones electrónicas, la identidad electrónica y los servicios de confianza, como estrategia para promover un mayor nivel de ciberseguridad en Europa.

Para que haya seguridad y confianza es necesario que los productos y servicios TIC incorporen directamente seguridad desde las etapas iniciales de su diseño y desarrollo técnico (security by design). Por su parte, los clientes y usuarios necesitan conocer el nivel efectivo de garantía en cuanto a la seguridad de los productos y servicios digitales que utilizan o adquieren.

Esta certificación hay que entenderla como la evaluación formal de los productos, servicios y procesos por parte de un organismo independiente y acreditado que, en función de un conjunto pública y claramente establecidos de criterios. Como resultado se expide un certificado que atestigüe la conformidad de la seguridad real de esos productos y servicios. En este contexto, la certificación lo que realmente pretende es informar y tranquilizar a los compradores y usuarios de productos y servicios TIC.

Paisaje desigual

El paisaje de la certificación de la ciberseguridad en la UE es muy desigual. Existen diversas iniciativas internacionales, como es el caso de Common Criteria (ISO 15408) que lleva asociado un acuerdo de reconocimiento mutuo por parte de todos sus distintos signatarios. No obstante, en la versión actual de ese acuerdo CCRA10 sólo gozan de reconocimiento mutuo las evaluaciones hasta el nivel 2 (de siete) y sólo trece estados europeos lo han firmado.

Por otra parte, en algunos estados miembro se están estableciendo iniciativas de certificación TIC que, en su conjunto, inexorablemente conllevan el fragmentación del mercado europeo y pueden provocar problemas de interoperabilidad. De seguir así, la consecuencia más cierta es que cualquier empresa de ciberseguridad europea deberá someterse a varios procedimientos de certificación en distintos estados europeos si quiere poder ofrecer sus productos en ellos.

El marco europeo de certificación

El reglamento propuesto establece un marco europeo de certificación de la ciberseguridad para los productos y servicios TIC, y especifica cuáles son las funciones y tareas esenciales de ENISA en todo ello. La propuesta no introduce directamente regímenes de certificación operativos, pero si establece el marco para que se establezcan los denominados “regímenes europeos de certificación de la ciberseguridad” para productos y servicios TIC concretos.

Los certificados expedidos con arreglo a dichos regímenes tendrán validez y reconocimiento en todos los estados miembro, con lo que se combatirá la fragmentación del mercado actual. Además, los diferentes estados de la Unión deberían abstenerse de introducir nuevos o suplementarios regímenes nacionales de certificación de la ciberseguridad en productos y servicios que ya estén cubiertos por el régimen europeo de certificación existente.

Dichos regímenes de certificación se construirán con normas técnicas ya existentes en lo que a requisitos y procedimientos de evaluación se refiere, por lo que no desarrollarían las normas técnicas en sí mismas. Esos regímenes son los que determinarán cuáles son los objetivos y el alcance de la certificación que se expide.

Las entidades de evaluación de la conformidad serán acreditados por un organismo de acreditación europeo si cumplen determinados requisitos públicamente conocidos. La acreditación se expedirá por un período máximo de cinco años y podrá ser renovada siempre y cuando el organismo de evaluación de la conformidad siga cumpliendo los requisitos establecidos.

Hay que tener en cuenta que la certificación, actualmente, es un proceso tedioso y muy costoso que siempre se traduce en un alza de los precios para los clientes y consumidores. La necesidad de certificar varía considerablemente en función del contexto específico de uso de los productos o servicios, y de la rapidez del cambio tecnológico. Afortunadamente, la propuesta presentada es sabia y establece que el recurso a la certificación europea de la ciberseguridad debe, por tanto, seguir siendo voluntario, a menos que se disponga otra cosa en la legislación de la Unión para la seguridad de productos y servicios TIC específicos.

No está claro si la certificación debe ser costeada por el productor de la tecnología o por el cliente o usuario de ésta. De hecho, al final, siempre la pagan los usuarios, lo que no está claro es quién debería hacer la inversión inicial que es necesaria para conseguir la certificación. Hasta el momento, si se quiere vender algo “ciberseguro” a las administraciones públicas, antes se habrá tenido que invertir importantes cantidades de dinero en la certificación de los productos concernidos para que ellas puedan (o no) adquirirlo. Sin embargo, nadie te asegura un retorno provechoso de esa inversión. Este es el problema esencial cuando el fabricante es una pequeña start-up o una microempresa; les puede sobrar valor añadido y genialidad, pero les falta capital y músculo financiero para poder certificar sus creaciones.

Una posible solución a este bloqueo de la certificación por motivos económicos sería que (1) se abaratasen los costes de evaluación haciendo que haya más organismos acreditados, (2) que los procesos de certificación sean transparentes y estén estandarizados de modo que sean muchos lo que puedan entrar en ese mercado, (3) que la Unión Europea financie específicamente el proceso de certificación, de modo que abra esa posibilidad a start-ups y microempresas y las descargue de una inversión inicial que, al final, siempre terminará pagando la administración pública a través del precio, y (4) que sean los usuarios finales los que exijan a sus proveedores responsabilidad en la falta de seguridad de sus productos y servicios, de modo que la correcta certificación de los mismos sea eximente parcial de responsabilidades (el eximente tiene que ser parcial porque siempre queda la responsabilidad de gestión y ésta puede ser mucho más grande).

Al final, todo se reduce a que la ciberseguridad hay que exigirla y no solo ofertarla. Han transcurrido casi cincuenta años en la construcción de un ciberespacio con los pies de barro, y nadie ha querido mirar y ver que no es mínimamente seguro. Ser seguro cuesta dinero, pero también voluntad, inteligencia y determinación, y no siempre está claro que sea un problema de dinero. La inmensa mayor parte del ciberespacio está en manos privadas, por lo que sólo la demanda de los clientes finales y el riesgo judicial civil y penal pueden hacer que no nos pasemos otro medio siglo mirando a otro lado y con un ciberespacio continuamente amenazándonos por encima de nuestras cabezas11.

1 Ver https://en.wikipedia.org/wiki/WarGames
2 Ver https://en.wikipedia.org/wiki/North_American_Aerospace_Defense_Command
3 Ver https://en.wikipedia.org/wiki/LGM-30_Minuteman
4 Ver https://en.wikipedia.org/wiki/1983_Soviet_nuclear_false_alarm_incident
5 Ver https://en.wikipedia.org/wiki/Stanislav_Petrov
6 Ver https://www.rand.org/content/dam/rand/pubs/papers/2005/P3544.pdf
7 Ver https://en.wikipedia.org/wiki/United_States_Cyber_Command
8 Ver http://europa.eu/rapid/press-release_IP-16-2321_es.htm
9 Ver https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-ENMAIN- PART-1.PDF
10 Ver https://en.wikipedia.org/wiki/Common_Criteria#Mutual_recognition_arrangement
11 Ver https://es.wikipedia.org/wiki/Damocles

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×