Post on 09-Aug-2015
Ciberterrorismo: la respuesta de la Unión Europea en el ámbito de las infraestructuras críticas Mónica Olvera Visión general de los diversos esfuerzos realizados por la Unión Europea relacionados con la ciberseguridad y sus focos de actuación Red SAFE WORLD
17/10/2011
Mónica Olvera www.redsafeworld.net RSW-Documento 201
ÁREA DE SEGURIDAD Y DEFENSA / DOCUMENTO Nº 201
Objetivos del presente trabajo:
Contextualizar el Programa Europeo de Protección de las Infraestructuras Críticas
Presentar el Programa Europeo de Protección de las Infraestructuras Críticas
Presentar el programa europeo de Protección de Infraestructuras Críticas de la Información
1. INTRODUCCIÓN
Desde hace largo tiempo, la UE viene realizando diversos esfuerzos
relacionados con la Ciberseguridad. Del estudio de los mismos hemos
diferenciado dos focos de actuación referidos a la Protección de
Infraestructuras Críticas, por un lado, y a la mejora de la protección de los
sistemas de información y lucha contra el ciberdelito, por otro.
En este trabajo vamos a presentar una visión general de estos esfuerzos. Para
ello, expondremos algunos documentos relacionados con la mejora de los
sistemas de información y lucha contra el ciberdelito; y estudiaremos los textos
por los que se desarrolla el programa europeo de protección de las
infraestructuras críticas y los referidos a las infraestructuras de información.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
2. CONTEXTO NORMATIVO
La UE en el deseo de que Europa sea un espacio consolidado de libertad,
seguridad y justicia, como reiteradamente expresa en los Programas de
Tampere (1999-2004), La Haya (2004-2009) y Estocolmo (2009-2014),
establece como objetivos estratégicos la lucha contra el terrorismo,
delincuencia informática y delincuencia organizada, y la aproximación del
Derecho Penal material.
Son muchas las acciones emprendidas por la Unión a este respecto. En este
apartado vamos a hacer mención a aquéllas que nos parecen más
significativas en relación a la ciberseguridad y/o infraestructuras críticas.
En la Posición Común del Consejo de 27 de diciembre de 2001, sobre la
aplicación de medidas específicas de lucha contra el terrorismo, los países de
la UE alcanzan un consenso para definir diferentes términos en materia de
terrorismo, como interviniente en un acto terrorista, grupo terrorista, grupo
estructurado o acto terrorista.
Se define acto terrorista como” aquél acto intencionado o amenaza, que por su
naturaleza o su contexto, pueda perjudicar gravemente a un país o a una
organización internacional, siendo tipificado como delito según el Derecho nacional,
cometido con el fin de…Desestabilizar gravemente o destruir las estructuras políticas
fundamentales, constitucionales, económicas o sociales de un país o de una
organización internacional, entre las que se encuentran:
Causar destrucciones masivas a un gobierno o a instalaciones o públicas,
sistemas de transportes, infraestructuras, incluidos los sistemas de
información, plataformas fijas, emplazadas en la plataforma continental,
lugares, públicos, o propiedades privadas que puedan poner en peligro vidas
humanas o producir un gran perjuicio económico.
Apoderamiento de aeronaves y de buques o de otros medios de transporte
colectivo o de mercancías.
Perturbación o interrupción del suministro de agua, electricidad u otro recurso
natural fundamental cuyo efecto sea poner en peligro vidas humanas”
Mónica Olvera www.redsafeworld.net RSW-Documento 201
La Decisión del Consejo de 28 de febrero de 2002 por la que se crea
Eurojust, para reforzar la lucha contra las formas graves de delincuencia, con el
objetivo de mejorar la cooperación judicial entre los Estados miembros y con
competencias en delincuencia informática y participación en organización
delictiva, entre otras.
La Decisión Marco del Consejo 13 de junio de 2002, sobre la lucha contra el
terrorismo, dicta en su artículo 1 que todos los Estados miembros adopten las
medidas necesarias para que se consideren delitos de terrorismo un conjunto
de actos intencionados tipificados como delitos según los respectivos Derechos
nacionales, cuando su autor los cometa o amenace hacerlo, con el fin de: “desestabilizar gravemente o destruir las estructuras fundamentales políticas,
constitucionales, económicas o sociales de un país o de una organización
internacional, entre las que se encuentran:
destrucciones masivas en instalaciones gubernamentales o públicas, sistemas
de transporte, infraestructuras, incluidos los sistemas informáticos, plataformas
fijas emplazadas en la plataforma continental, lugares públicos, o propiedades
privada, que puedan poner en peligro vidas humanas o producir un gran
perjuicio económico”;
perturbación o interrupción del suministro de agua, electricidad u otro recurso
natural fundamental cuyo efecto sea poner en peligro vidas humanas”
Asimismo se tipifican la inducción o la complicidad para cometer un delito,
como delitos, al igual que otros tipos de conductas ligadas a las actividades
terroristas. También se alcanza consenso en las sanciones relativas a estos
delitos.
Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004
por el que se crea la Agencia Europea de Seguridad de las Redes y de la
Información (ENISA).
Entre todas sus funciones destacamos:
Analizar riesgos actuales y emergentes que puedan poner en peligro la
resistencia y disponibilidad de las redes de comunicación electrónicas.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Mejorar la cooperación entre los agentes que operan en el campo de
seguridad de los redes y de la información.
Asistir a la Comisión y a los Estados miembros en su diálogo con el
sector industrial para hacer frente a los problemas relacionados con la
seguridad en los equipos y programas informáticos.
Promover actividades de evaluación de riesgos, soluciones
interoperables de gestión del riesgo y estudios sobre soluciones de
gestión de la prevención dentro de las organizaciones de los sectores
público y privado.
La Decisión Marco del Consejo de 24 de Febrero de 2005 relativa a los
ataques contra los sistemas de información. Motivada por la existencia de
ataques contra los sistemas de información, en particular como consecuencia
de la amenaza de la delincuencia organizada, y debido a la creciente inquietud
ante la posibilidad de ataques terroristas contra sistemas de información que
forman parte de infraestructuras vitales de los Estados miembros, dicta que
cada Estado miembro adopte las medidas necesarias para que el acceso
intencionado y sin autorización al conjunto o a una parte de un sistema de
información, la intromisión no autorizada e intencionada en los sistemas de
información interrumpiendo de forma significativa su funcionamiento y el acto
intencionado y no autorizado de intromisión ilegal en los datos de un sistema
informático, sean considerados infracciones penales. De igual manera se
procede con los actos de inducción, complicidad y tentativa.
Para ello define “sistema informático”, “datos informáticos”, “persona jurídica” y
“sin autorización”.
También se alcanza consenso en las sanciones relativas a estas infracciones.
La Decisión Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha
contra la delincuencia organizada, en su artículo 2 dicta que todos los Estados
miembros adopten las medidas necesarias para tipificar como delito una serie
de conductas relacionadas con una organización delictiva. Para ello, define
Mónica Olvera www.redsafeworld.net RSW-Documento 201
“organización delictiva” y “asociación estructurada”. También se alcanza
consenso en las sanciones relativas a estos delitos.
La Decisión Marco delConsejo de 28 de Noviembre de 2008, por la que se
modifica la Decisión Marco 2002/475/JAI sobre la lucha contra el terrorismo.
Motivada por la aparición de células terroristas no estructuradas, no
jerárquicas, semiautónomas y ligadas entre ellas en red, que recurren a las
nuevas tecnologías para comunicarse, captar nuevos miembros y movilizarse,
introduce a efectos de la anterior Decisión Marco, la inclusión de las
definiciones “provocación a la comisión de un delito de terrorismo”, “captación
de terrorismo” y “adiestramiento de terroristas”. Ordena a los Estados miembro
adopten las medidas necesarias para incluir una serie de actos dolosos como
delitos ligados a actividades terroristas, así como tipificar como delito la
complicidad, inducción y tentativa a cometer un delito contemplado en el nuevo
articulado desarrollado por esta decisión marco.
En el Informe “Ofrecer seguridad en un mundo en evolución” de 11 de
Diciembre de 2008, sobre la aplicación de la Estrategia Europea de Seguridad
de 2003, se hace mención a la dependencia que presentan las economías
modernas de infraestructuras vitales como los transportes, las comunicaciones
y el suministro de energía, e igualmente de internet. Se recuerda la referencia
hecha a la delincuencia basada en Internet en la Estrategia de la UE de 2006,
relativa a una sociedad de la información segura en Europa, y cómo los
ataques contra sistemas de tecnologías de la información privados o
gubernamentales en los Estados miembros de la UE, han dado una nueva
dimensión a este problema, en calidad de posible nueva arma económica,
política y militar.
En la Comunicación de la Comisión al Parlamento Europeo y al Consejo
de 22 de Noviembre de 2010, “La Estrategia de Seguridad Interior de la UE en
acción: cinco medidas para una Europa”, se proponen cinco objetivos
estratégicos a lograr entre 2011 y 2014, con sus correspondientes líneas de
acción. Destacamos entre ellos, desarticular las redes de delincuencia
organizada internacional, prevenir el terrorismo y abordar su captación y
Mónica Olvera www.redsafeworld.net RSW-Documento 201
radicalización, aumentar los niveles de seguridad de las empresas y
ciudadanos en el ciberespacio. En este sentido la UE expresa el deber de
seguir definiendo las infraestructuras críticas y aplicando planes destinados a
proteger aquellos sectores que, como los servicios públicos y la generación y
transporte de energía, son fundamentales para el funcionamiento de la
sociedad y la economía.
3. PROGRAMA EUROPEO DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS
La creación del Programa Europeo de Protección de Infraestructuras Críticas
se desarrolló en varias fases. En este apartado vamos a exponer los
documentos que integran dichas fases, así como el propio programa.
Comunicación del Consejo de la Unión Europea de 18 de junio de 2004. En
este documento el Consejo Europeo analiza los progresos realizados en varios
ámbitos y establece una serie de directrices para el futuro desarrollo de las
políticas correspondientes a esos ámbitos.
Respecto a la creación de un espacio de libertad, seguridad y justicia, y una de
sus principales amenazas, el terrorismo, expresa, entre otras:
Su recuerdo de los atentados con explosivos de Madrid.
Su determinación de combatir sin tregua y de manera generalizada la
amenazaterrorista.
La necesidad de evaluar las capacidades de los Estados miembros para
prevenir y hacer frente a las consecuencias de cualquier tipo de
atentado terrorista.
Su petición de elaborar una estrategia global de mejora de la
protección de infraestructuras esenciales.
Comunicación de la Comisión al Consejo y al Parlamento Europeo de 20
de Octubre de 2004, sobre protección de las infraestructuras críticas en la
lucha contra el terrorismo.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Esta Comunicación de la Comisión forma parte de una serie de cuatro
comunicaciones destinada a intensificar la lucha de la UE contra el terrorismo.
Responde a la petición del 18 de Octubre de 2004 de elaborar una estrategia
global de mejora de la protección de infraestructuras esenciales. En este
documento la Unión:
Expresa la necesidad de proteger determinadas infraestructuras de
ataques terroristas:
o Enumerando algunas de las consecuencias que este ataque
podría tener en dichas infraestructuras o en los sistemas
industriales de control de las mismas.
o Expresando la gravedad de las consecuencias de un
ataquecombinado físico y cibernético sobre ellas;
Define el concepto de infraestructura crítica (IC) como: “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la
información cuya interrupción o destrucción tendría un impacto mayor en la
salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz
funcionamiento de los gobiernos de los Estados miembros”;
Clasifica las IC según dos criterios:
o Atendiendo a su propiedad o gestión, en públicas y privadas.
o Atendiendo a criterio sectorial se diferencian:
Centrales y redes de energía
Tecnologías de las comunicaciones y la información
Finanzas
Salud
Alimentación
Agua
Transporte
Producción, almacenamiento y transporte de mercancías
peligrosas
Estado
Es consciente de que las infraestructuras críticas europeas (ICE) están
muy interconectadas y son sumamente interdependientes. Dependen
de tecnologías de la información como Internet y la radionavegación y la
Mónica Olvera www.redsafeworld.net RSW-Documento 201
comunicación por satélite. Estos hechos las hacen muy vulnerables, en
particular, a ataques ciberterroristas.
Considera que las IC deberán ser definidas a nivel de los Estados
miembros.
Considera que para gestionar la seguridad de las infraestructuras
críticas es necesario que cada Estado miembro:
o Identifique las estructuras que son críticas, según fórmula
armonizada a nivel UE, así como los organismos o personas
responsables de su seguridad
o Potencie una asociación firme y cooperativa entre los propietarios
y gestores de infraestructuras críticas y las autoridades estatales
correspondientes.
o Cree un sistema de alertas de riesgos o amenazas específicos de
ataques terroristas.
o Permita inspecciones independientes realizadas por la Comisión.
Reconoce la imposibilidad de proteger todas las IC a través de medidas
europeas. Por eso centra su esfuerzo en proteger aquellas
infraestructuras que tienen efectos transfronterizos y deja las demás a la
entera responsabilidad de los Estados miembro aunque en un marco
común.
Considera que es necesario crear una red de información sobre alertas
en IC, la CIWIN, que agrupe a los especialistas de los Estados
miembros de la UE en materia de protección de infraestructuras críticas.
Considera que las fuerzas del orden y de protección civil de los Estados
miembros deben integrar el PEPIC en sus tareas de planificación e
información.
Libro Verde de 17 de Noviembre de 2005, sobre un Programa Europeo para la
Protección de Infraestructuras Críticas.
El Libro Verde constituye la segunda fase del proceso de consulta con vistas al
Programa Europeo de Protección de Infraestructuras Críticas. Destacar los
siguientes aspectos del mismo:
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Define las Infraestructuras Críticas de Información (ICI), como sistemas
TIC que son IC por sí mismos, o que son esenciales para la operatividad
de otras IC, como Internet, satélites, telecomunicaciones,
ordenadores/software, etc.
Establece los sectores y subsectores estratégicos sobre los que las
infraestructuras críticas se apoyan.
Establece como subsectores estratégicos asociados a las TIC, Internet
y los sistemas de control, mencionando los SCADA.
Comunicación de la Comisión de 12 de Diciembre de 2006 sobre un
Programa Europeo para la Protección de Infraestructuras Críticas
En este documento se establecen los principios y el Plan marco propuestos
para llevar a la práctica el PEPIC.
Los principios que regirán la aplicación del PEPIC son:
o Subsidiariedad
o Complementariedad
El PEPIC complementará las medidas sectoriales eficaces
existentes y se basará en ellas, ya sean a nivel de la UE, nacional
o regional.
o Confidencialidad
o Cooperación de los agentes interesados
Esto es, dueños/operadores de las ICE, autoridades públicas y
órganos pertinentes participarán en el desarrollo y aplicación del
PEPIC.
o Proporcionalidad
Analizados los fallos de seguridad existentes y detectada la
necesidad subyacente, se propondrán medidas que serán
proporcionales al nivel de riesgo y al tipo de amenaza de cada
caso.
o Planteamiento por sectores
El PEPIC crea un Plan Marco que consta de:
o Una Directiva sobre la identificación y designación de las ICE y la
evaluación de las necesidades de mejora para su protección.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
o Medidas que facilitan su aplicación, que incluyen:
Plan de acción del PEPIC, relativo a sus aspectos
estratégicos y medidas horizontales, ICE y apoyo a los
Estados miembros en sus actividades relacionadas con IC
nacionales.
La creación de CIWIN, complementaria de redes
existentes, de intercambio de buenas prácticas.
La creación de un grupo de expertos en PIC a nivel de la
UE, para abordar problemas específicos al respecto y
facilitar del diálogo entre los ámbitos público y privado
sobre PIC.
Procedimientos para compartir información sobre PIC
Identificación y análisis de interdependencias de las ICE
o Apoyo a los Estados miembro relativo al enfoque básico requerido
para la identificación de las IC nacionales, entre otros. Se anima a
cada estado a establecer su programa nacional de PIC.
o Planes de intervención
Que minimicen los posibles efectos de una interrupción o una
destrucción de la IC.
o Dimensión exterior
Relativo al efecto que en los países de la UE y/o en la propia
Unión, pudiera tener la materialización de la amenaza a las IC,
sean europeas o no.
En lo referente a las Infraestructuras Críticas Nacionales (ICN):
o La responsabilidad de la protección de las mismas recae sobre
dueños/operadores de la ICN de los Estados miembro.
En lo referente a la dimensión exterior del PEPIC:
o Considera que la destrucción o interrupción de una IC en la UE
puede producir un efecto perjudicial en los socios de la UE.
o Afirma que avanzar en la protección de la ICE contribuye al
crecimiento de la competitividad económica de la UE.
o Concluye que reforzar la cooperación en PIC más allá de la UE
mediante medidas tales como memorandos de acuerdo
específicos sectoriales y fomentar el aumento de los niveles de
Mónica Olvera www.redsafeworld.net RSW-Documento 201
PIC fuera de la UE, deberían constituir elementos importantes del
PEPIC.
Directiva del Consejo de 8 de diciembre de 2008, sobre la identificación y
designación de infraestructuras críticas europeas y la evaluación de la
necesidad de mejorar su protección.
Este documento establece un procedimiento de identificación y designación de
las ICE relativas a los sectores energéticos y de transportes, y un
planteamiento común para evaluar la necesidad de mejorar su protección.
Anticipa la necesidad de incluir en un futuro próximo el sector TIC.
A efectos de esta Directiva, define:
o Infraestructura crítica “Elemento, sistema o parte de este situado en los Estados miembros
que es esencial para el mantenimiento de funciones sociales vitales, la
salud, la integridad física, la seguridad, y el bienestar social y
económico de la población y cuya perturbación o destrucción afectaría
gravemente a un Estado miembro al no poder mantener esas
funciones”.
o Infraestructura crítica europea o ICE “Infraestructura crítica situada en los Estados miembros cuya
perturbacióndestrucción afectaría gravemente al menos a dos Estados
miembros”
o Protección
o Propietarios u operadores de infraestructuras críticas europeas “Entidades responsables de las inversiones en, o del funcionamiento
diario de, un elemento, sistema o parte del mismo concreto, designado
como ICE con arreglo a la presente Directiva”
Respecto a la identificación de las ICE establece que:
o Cada Estado miembro identificará sus ICE potenciales.
o Una infraestructura dada será ICE si, además de responder a las
anteriores definiciones de IC e ICE, se ajusta a una serie de
criterios horizontales y sectoriales, que deben incluir
respectivamente:
Mónica Olvera www.redsafeworld.net RSW-Documento 201
La gravedad de las repercusiones de la perturbación o
destrucción de la infraestructura concreta, en función del
número de víctimas, impacto económico e impacto público.
Las características de los diferentes sectores de las ICE
Respecto a la designación de las ICE establece que:
o Cada Estado miembro informará a los demás Estados miembro
que puedan verse afectados de forma significativa por una ICE
potencial de la identidad de esta y de las razones para designarla
como tal.
o El Estado miembro en cuyo territorio se encuentre una ICE
potencial entablará conversaciones con los demás Estados
miembros que puedan verse afectados de forma significativa por
ella.
o El Estado miembro que tenga motivos para creer que puede
verse afectado de forma significativa por una ICE potencial que
no haya sido identificada como tal aún, por el Estado miembro en
el que se encuentre, podrá informar a la Comisión sobre su deseo
de iniciar conversaciones al respecto.
o El Estado miembro en cuyo territorio se encuentre una ICE
potencial la designará como ICE previo acuerdo con los Estados
miembros que pueden verse afectados de forma significativa.
o Sólo los Estados miembros que pueden verse afectados de forma
significativa por una ICE conocerán su identidad.
o Los Estados miembros en cuyo territorio se encuentre una ICE
informarán al propietario u operador de dicha infraestructura de la
designación de esta como ICE.
Respecto a los Planes de seguridad del operador establece que:
o En todas las ICE deben existir planes de seguridad del operador o
medidas equivalentes, atendiendo a criterios unificados.
o El plan de seguridad del operador, PSO, identificará los
elementos infraestructurales críticos de las ICE y las soluciones
de seguridad para su protección según procedimiento
especificado.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
o Cada Estado miembro valorará si cada ICE que se encuentre en
su territorio dispone de un PSO o equivalente.
Respecto a los responsables de enlace para la seguridad establece que:
o Cada Estado miembro debe evaluar si los propietarios u
operadores de las ICE cuentan con un responsable de enlace
para la seguridad o equivalente. Estos responsables de seguridad
actúan de nexo entre la ICE y la autoridad nacional responsable
en materia PIC.
o Cada Estado miembro elegirá el mecanismo de comunicación que
considere oportuno entre el responsable de enlace para la
seguridad y la autoridad nacional referida.
Respecto a los puntos de contacto para la protección de las ICE
establece que:
Cada Estado miembro designará un punto de contacto para la
protección de las ICE, que coordinará las cuestiones relativas a la
protección de las ICE en el propio Estado miembro, con los demás
Estados miembros con la Comisión.
Expresa la importancia y obligación de que propietarios u operadores de
ICE tengan acceso a las mejoras prácticas y métodos de protección de
IC, esencialmente a través de las autoridades competentes de los
Estados miembros.
Expresa la necesidad de hacer copartícipe al sector privado en la
planificación de la continuidad de las actividades y en la recuperación
después de una catástrofe, dada la experiencia de dicho sector en el
control y gestión de riesgos, en la planificación de la continuidad de las
actividades y en la recuperación después de una catástrofe
4. PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN.
Hasta el momento se desarrolla mediante el documento que presentamos a
continuación. Seguidamente estudiaremos otra Comunicación en la que se
exponen los logros obtenidos y las medidas a seguir en el futuro.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 30 de
Marzo de 2009, sobre protección de infraestructuras críticas de información
“Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la
preparación, seguridad y resistencia”
Este documento en su Contextualización expresa:
Estar enmarcado en el PEPIC.
Apoyar los principios del G8 sobre protección de infraestructuras críticas
de la información, la Resolución 58/199 de la Asamblea General de la
ONU “Creación de una cultura mundial de seguridad cibernética y
protección de infraestructuras de información esenciales” y la
Recomendación de la OCDE sobre la protección de infraestructuras
críticas de información.
Aborda el problema de las TIC, siguiendo el siguiente esquema: Importancia de
las TIC en la sociedad, amenazas a su seguridad y fortalecimiento de la
seguridad y resistencia de las ICI como primera línea de actuación.
Importancia de las TIC en la sociedad
o Para las empresas, porque son un componente fundamental de la
innovación.
o Para los gobiernos y administraciones públicas, porque han
desarrollado una nueva forma de gestión y comunicación
ciudadana basada en la administración electrónica a todos los
niveles.
o Para los ciudadanos, porque las utilizan cada vez más en sus
actividades diarias.
Amenazas a la seguridad de las TIC
Básicamente los ciberataques. La gran dependencia de las ICI, su
interconexión transfronteriza y su interdependencia de otras
infraestructuras y su vulnerabilidad hacen que aumente la necesidad de
abordar la seguridad y resistencia como primera línea de defensa contra
fallos y ataques.
Fortalecimiento de la seguridad y resistencia de las TIC
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Es claro que ningún interesado tiene los medios por sí solo para
garantizar la seguridad y resistencia de todas las infraestructuras TIC y
asumir todas las responsabilidades que llevan asociadas. Es por tanto
una responsabilidad compartida. Este hecho lleva consigo diversos
problemas de gran importancia:
o Al establecer cada Estado miembro, en función de sus
conocimientos, preparación y metodología, sus propias medidas y
regímenes para garantizar la seguridad y resistencia de las ICI, la
mayoría de las veces los planteamientos nacionales son muy
desiguales y están descoordinados, generando la consiguiente
vulnerabilidad y riesgo debido la interconexión de las ICI.
o Al depender la aplicación de las políticas relacionadas con las ICI
de la intervención del sector privado, y al no ofrecer siempre los
mercados incentivos suficientes para que dicho sector invierta en
la protección de las ICI al nivel que los gobiernos exigirían
normalmente, aparece un problema de gobernanza.
o La capacidad a nivel europea, de alerta temprana y de respuesta
a los incidentes es limitada: La cooperación entre los Estados
miembros y el intercambio entre ellos de datos fidedignos y
utilizables sobre incidentes de seguridad está poco desarrollada;
los ejercicios de ciberseguridad en la UE están en fase
embrionaria y los que implican saltar las fronteras nacionales son
muy limitados. Es necesario disponer de equipos nacionales o
gubernamentales de respuesta a incidentes de seguridad de la
información (CERT) que dispongan de una base común en
términos de capacidad, y que participen en la cooperación
transfronteriza y en el intercambio de información.
o El uso de Internet está tan extendido, que es necesario poner a
prueba su capacidad de resistir perturbaciones y ciberataques.
Sin embargo, no existe consenso en la elección del carácter
crítico de los elementos que componen Internet con la
consiguiente dificultad de establecer medidas de prevención,
preparación y capacidad de recuperación del mismo respecto a
las amenazas posibles.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Finalmente plantea el diseño de la solución al problema planteado centrándose
en 3 necesidades y cinco pilares para hacerles frente.
Es necesario:
Reforzar los instrumentos de cooperación existentes, incluida la ENISA,
y crear nuevas herramientas.
Comprender en profundidad el entorno y las limitaciones
Actuar rápidamente en la toma de medidas resolutivas
La respuesta a estas necesidades se basa en:
Preparación y prevención, mediante:
o La definición, vía ENISA, de un nivel mínimo de capacidades y
servicios para los CERT1 nacionales o gubernamentales y
operaciones de respuesta a los incidentes.
o La garantía de que los CERT nacionales o gubernamentales son
componentes fundamentales de la capacidad nacional de
preparación, intercambio de información, coordinación y
respuesta.
o El fomento de la cooperación entre los sectores público y privado
sobre objetivos de seguridad y resistencia, requisitos básicos,
buenas prácticas normativas y medidas.
o El establecimiento de un foro Europeo de intercambio de
información y buenas prácticas normativas de seguridad y
resistencia de las ICI.
Detección y respuesta, mediante:
La creación de un sistema europeo de intercambio de información y
alerta (EISAS).
Mitigación y recuperación mediante:
o La elaboración de planes nacionales de contingencia
o La organización nacional de ejercicios periódicos de respuesta
ante incidentes de gran escala de seguridad de las redes y de
recuperación de desastres.
1Equipos de respuesta ante incidentes informáticos
Mónica Olvera www.redsafeworld.net RSW-Documento 201
o La realización de ejercicios paneuropeos de incidentes de la
seguridad de Internet.
o Mayor cooperación entre CERT nacionales o gubernamentales.
Cooperación Internacional mediante:
o La organización de un debate europeo sobre la resistencia y
estabilidad de Internet a largo plazo.
o El establecimiento de principios y directrices sobre resistencia y
estabilidad de Internet a nivel europeo y mundial.
o Ejercicios mundiales sobre recuperación y mitigación de
incidentes a gran escala de Internet.
Criterios para el sector de las TIC
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, del 31
de Marzo de 2011, sobre la protección de infraestructuras críticas de
información “Logros y próximas etapas: hacia la ciberseguridad global”
Este documento presenta una clasificación de la amenaza cibernética así como
los logros obtenidos en la ejecución de las medidas propuestas en la
Comunicación PICI anterior y posteriores líneas de actuación.
La clasificación de la amenaza se hace en función del fin que se persigue. Se
habla entonces de:
Fin de explotación, como son los casos de espionaje económico y
político, robos de identidad, ataques contra los sistemas TIC de los
estados, etc.
Fin de perturbación, como la denegación de servicio distribuido, el spam
generado vía botnets, Stuxnet, el corte de los medios de comunicación,
etc.
Fin de destrucción. Esta posibilidad no se ha materializado todavía,
pero vista la presencia creciente de las TIC en las IC no cabe descartar
en los próximos años.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Respecto a los logros obtenidos en la ejecución del plan de acción PICI,
destacamos que, en lo relativo a:
Preparación y Prevención
o ENISA y CERT desarrollaron y aprobaron un conjunto mínimo de
capacidades y servicios de referencia que deben poseer los
CERT nacionales/gubernamentales para poder funcionar
eficazmente en cooperación paneuropea.
o Hasta la fecha 20 Estados miembros han desarrollado CERT
nacionales/gubernamentales y casi todos tienen previsto hacerlo.
o Se crea la asociación público-privada europea de resistencia,
EP3R, con el objetivo de constituir un marco de gobernanza
europea para la resistencia de las infraestructuras de TIC y
fomentar la cooperación entre sector público y privado en materia
de seguridad, resistencia, buenas prácticas y medidas
recomendadas.
o Se crea el Foro Europeo de Estados miembros, EFMS, para
fomentar el debate y el intercambio entre autoridades públicas en
materia de buenas prácticas y de compartir objetivos y prioridades
políticas en materia de seguridad y resistencia de la
infraestructura de TIC.
o El EFMS ha fijado los criterios identificativos de las
infraestructuras europeas de las TIC; ha determinado las
prioridades, principios y directrices para la resistencia y
estabilidad de Internet; ha intercambiado buenas prácticas en
materia de ciberejercicios.
Detección y Respuesta
La Comisión ha financiado dos prototipos de EISAS, FISHAS y NEISAS,
cuyo resultado final se está estudiando actualmente.
Mitigación y recuperación
o 12 Estados miembros han desarrollado un plan nacional de
contingencia u organizado ejercicios de respuesta ante incidentes
a gran escala de seguridad de las redes y de recuperación en
caso de catástrofes.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
o Partiendo de experiencias nacionales e internacionales ENISA
elaboró una guía de buenas prácticas para ejercicios nacionales,
difundió recomendaciones en materia de política de desarrollo de
estrategias nacionales, entre otras acciones.
o Se celebró el primer ejercicio paneuropeo sobre incidentes a gran
escala de seguridad de las redes, “CyberEurope 2010”, con la
participación de todos los Estados miembros. Fue evaluado por
ENISA.
o La cooperación entre los CERT nacionales/gubernamentales se
ha intensificado a través de varias acciones, en particular, el
trabajo de ENISA sobre las capacidades de estos CERT y la
gestión de ciberincidentes por estos mismos.
Cooperación Internacional
o Partiendo de los trabajos realizados por el EFMS, se han
desarrollado unos principios y directrices europeos sobre
resistencias y estabilidad de Internet.
o Siete Estados miembros participaron en el ciberejercicio
norteamericano “Cyber Storm III” como asociados internacionales.
La Comisión y ENISA participaron como observadores.
Criterios relativos a ICE en el sector de las TIC
El EFMS ha establecido un proyecto de criterios aplicables a las
comunicaciones móviles y fijas y a Internet.
En referencia a las acciones futuras, resaltaremos en líneas generales:
Hacer del EFMS un contertulio en los debates a nivel internacional sobre
prioridades en materia de seguridad y resistencia, en relación con
ciberseguridad y ciberdelincuencia.
El desarrollo por parte de ENISA de los servicios básicos que utilizarán
los Estados miembros para crear su sistema de intercambio de
información y alerta (ISAS) a partir de sus CERT.
La preparación de los próximos ciberejercicios paneuropeos.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
La voluntad de debatir y promover las directrices europeas sobre
resistencia y estabilidad de Internet en diversos foros: G8, OCDE,
Meridian2, UIT3., EEUU, etc.
La preparación de unos ciberejercicios conjuntos/sincronizados
transcontinentales, UE-EEUU.
5. CONCLUSIONES La UE viene realizando intensos esfuerzos en su lucha contra el terrorismo, la
delincuencia organizada y la delincuencia informática. Ha definido terminología
común al respecto, creando un marco de referencia compartido que facilita la
defensa ante el ciberterrorismo y la persecución de los delitos de
ciberdelincuencia.
Sin embargo no existe una estrategia integral europea específica en materia de
ciberseguridad, entendida ésta como un documento que recoja la definición de
capacidades, formas de emplearlas y objetivos perseguidos, en el ámbito
europeo. No obstante sí hay decisiones e iniciativas parciales como bien se
refleja en el programa europeo de protección de infraestructuras críticas y en el
programa de protección de infraestructuras TIC.
Estas acciones están básicamente orientadas hacia la prevención de la
amenaza, siendo patente la necesidad de mejora de capacidades de
respuesta.
Con la finalidad de probar y mejorar estas capacidades, la Unión Europea está
realizando ciberejercicios de adiestramiento, tanto a nivel continental, como con
los EEUU. Considera importante extender este tipo de ensayos al nivel
mundial.
2Empresa de desarrollo de TIC
3Unión Internacional de Telecomunicaciones; es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
En un mundo globalizado, la UE es consciente de la necesidad de incrementar
la cultura de protección de infraestructuras críticas en los países de su entorno,
por las negativas repercusiones de todo tipo que pudieran tener la interrupción
o destrucción del funcionamiento de dichas infraestructuras, sobre ella misma.
En consecuencia dedica un esfuerzo considerable a esta cuestión, que
gestiona mediante El Instrumento de Estabilidad y la participación en foros
internacionales de debate al respecto.
Asimismo establece programas de intercambio de buenas prácticas en materia
de seguridad entre los diferentes Estados miembros, haciendo especial
hincapié en el fomento de las mismas en el sector privado.
Por otro lado, los diseños del PEPIC y PICI parecen completos y estructurados;
de carácter integrador y multidisciplinar, cualidades que vienen siendo
características del actual enfoque europeo de enfrentamiento y resolución de
crisis.
Por último, resaltar la dependencia de la Unión Europea de las capacidades
que tiene el sector privado, a la hora de gestionar la continuidad y recuperación
de las Infraestructuras Críticas en caso de materialización de la amenaza.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
BIBLIOGRAFÍA
Posición Común del Consejo de 27 de diciembre de 2001, sobre la aplicación
de medidas específicas de lucha contra el terrorismo.
Decisión del Consejo de 28 de febrero de 2002 por la que se crea Eurojust.
Decisión Marco del Consejo 13 de junio de 2002, sobre la lucha contra el
terrorismo.
Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004
por el que se crea la Agencia Europea de Seguridad de las Redes y de la
Información (ENISA).
Decisión Marco del Consejo de 24 de Febrero de 2005 relativa a los ataques
contra los sistemas de información.
Decisión Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha
contra la delincuencia organizada.
Decisión Marco del Consejo de 28 de Noviembre de 2008, por la que se
modifica la Decisión Marco 2002/475/JAI sobre la lucha contra el terrorismo.
Informe “Ofrecer seguridad en un mundo en evolución” de 11 de Diciembre de
2008, sobre la aplicación de la Estrategia Europea de Seguridad de 2003.
Comunicación de la Comisión al Parlamento Europeo y al Consejo de 22 de
Noviembre de 2010, “La Estrategia de Seguridad Interior de la UE en acción:
cinco medidas para una Europa”.
Comunicación del Consejo de la Unión Europea de 18 de junio de 2004.
Mónica Olvera www.redsafeworld.net RSW-Documento 201
Comunicación de la Comisión al Consejo y al ParlamentoEuropeo de 20 de
Octubre de 2004, sobre protección de las infraestructuras críticas en la lucha
contra el terrorismo.
Libro Verdede 17 de Noviembre de 2005, sobre un Programa Europeo para la
Protección de Infraestructuras Críticas.
Comunicación de la Comisiónde 12 de Diciembre de 2006 sobre un Programa
Europeo para la Protección de Infraestructuras Críticas.
Directiva del Consejode 8 de diciembre de 2008sobre la identificación y
designación de infraestructuras críticas europeas y la evaluación de la
necesidad de mejorar su protección.
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité
Económico y Social Europeo y al Comité de las Regionesde 30 de Marzo de
2009 sobre protección de infraestructuras críticas de información “Proteger
Europa de ciberataques e interrupciones a gran escala: aumentar la
preparación, seguridad y resistencia”.
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité
Económico y Social Europeo y al Comité de lasRegiones del 31 de Marzo de
2011 sobre la protección de infraestructuras críticas de información
“logros y próximas etapas: hacia la ciberseguridad global”.