La Ciberseguridad es una parte integral de la seguridad europea. Los ciudadanos, las empresas y las administraciones públicas europeas necesitan estar seguros de que se encuentran en todo momento debidamente protegidas de las “Ciber Amenazas” cuando se encuentran conectados a Internet para interactuar entre sí o con terceros. La economía, la democracia y la sociedad, en sí mismas, dependen, más que nunca, de tener a su disposición unas herramientas digitales y de conectividad seguras.
El desarrollo del transporte, de la energía, de la salud pública y privada, de las telecomunicaciones, de las finanzas, de la seguridad, de los procesos democráticos, del espacio exterior y de la defensa, entre muchas otras actividades, dependen de la confianza y seguridad de una red y unos sistemas de información cada vez más interconectados.
La digitalización de los modelos de trabajo se ha visto acelerada por el COVID-19. Durante la pandemia se estima que más del 40% de los trabajadores están desarrollando sus funciones profesionales en régimen de teletrabajo. Los efectos de dicha circunstancia se estima que van a ser duraderos y que el teletrabajo se va a integrar en el día a día del modo de vida de la sociedad europea.
De todos es conocido que existen, en este mundo globalizado, (i) tensiones de carácter geopolítico que amenazan la Internet como red global y abierta, así como (ii) amenazas sobre el control de las tecnologías imbricadas en la cadena de suministro. Así, actualmente, nos encontramos naciones que han impuesto fronteras digitales. Esas restricciones amenazan el ámbito global y abierto de la red de redes y del “Ciberespacio”, así como los derechos fundamentales, la libertad y la democracia. El Ciberespacio está siendo, constantemente y de forma incremental, explotado por organizaciones e ideologías políticas de todo orden. La polarización internacional y nacional de las sociedades se está viendo incrementada por amenazas externas a los países y naciones. Amenazas como las campañas de desinformación, de ciberataques a infraestructuras, procesos económicos e instituciones democráticas, etc., que causan daños físicos u obtienen acceso a datos personales, que roban secretos de estado o industriales, que minan y socaban la débil cohesión social y la confianza en el mundo digital y de la red Internet.
La dependencia de los elementos que componen el corazón de Internet, esto es, los “Domain Name System” (“DNS”), los servicios de hosting, las aplicaciones y los datos, está incrementando en los últimos años. Estos servicios cada vez se hallan más concentrados en manos de unas pocas compañías. Ello tiene como consecuencia que la economía y la propia sociedad de la Unión Europea (“UE”) sea más vulnerable.
Cada día son más los individuos y empresas que ha sufrido una Ciber Amenaza o un Ciberataque, desde la recepción de correos electrónicos fraudulentos o llamadas solicitando datos personales hasta maniobras de hacking a los servidores centrales de grandes y pequeñas empresas. Cientos de miles de datos se han perdido en los últimos años como consecuencia de los “Data Breachs”. Dicha situación hace que la confianza en la transformación digital se vea disminuida, siendo muchas las empresas, pequeñas y grandes, así como los autónomos, que están evitando dar el paso hacia lo digital.
El denominado cibercrimen se ha incrementado exponencialmente. El coste del mismo en el año 2020 se estima en 5,5 trillones de euros.
El mayor de los riesgos en materia de Ciberseguridad radica en los ataques maliciosos a las infraestructuras críticas.
Los servicios digitales y los financieros, así como el sector público e industrial, las infraestructuras y las empresas energéticas, son los sectores que constituyen el objetivo de los ciberataques. Las organizaciones y profesionales de la salud se han visto fuertemente atacados durante la pandemia.
No existe, en la sociedad europea, una conciencia de la importancia de la Ciberseguridad. Ello se debe a que en los Estados Miembros apenas se publican los datos de ciberataques en el sector público y privado. Tampoco existe un buen nivel de cooperación entre Estados Miembros, ni a nivel de comunicar esos incidentes, ni a la hora de establecer una estrategia común en caso de que un ciberataque se dirija a varios de los Estados Miembros o empresas europeas con sedes en todo el territorio de la UE.
Teniendo en consideración todos los elementos fácticos antes indicados, la Unión Europea, representada por su Comisión y por el Parlamento Europeo, han emitido una “Comunicación Conjunta”, de fecha 16 de diciembre de 2020, para establecer una guía de los objetivos y estrategias a poner en práctica en materia de Ciberseguridad, dentro de la Unión Europea, para los próximos 10 años, 2021-2030.
Los objetivos globales de las estrategias a llevar a cabo durante la presente década en materia de Ciberseguridad radican en mejorar y desarrollar la confianza de los ciudadanos y empresarios europeos; la mejora y salvaguarda de los derechos y libertades fundamentales, incluido el derecho a la privacidad y la protección de datos, así como el derecho de libre expresión y de información veraz.
La Ciberseguridad, en palabras de la Comisión y el Parlamento, es indispensable para mantener la conectividad y una Internet global y abierta, que ha de permitir la transformación libre de la economía y la sociedad de la Unión Europea en los próximos 10 años.
La Comisión y el Parlamento Europeo, con el fin de dar cumplimiento a los objetivos antes indicados, teniendo en consideración las realidades fácticas puestas de relieve en la Comunicación Conjunta y resumidas anteriormente, establece un conjunto de medidas y estrategias divididas en dos grandes bloques: (i) “Thinking Global, Acting European”; y (ii) “Cybersecurity in the EU Institutions, Bodies and Agencies”.
En la presente nota haremos un breve resumen de parte del primer bloque de medidas y estrategias, dejando para una nota posterior el resto del primer bloque no analizado aquí y el segundo bloque.
Thinking Global, Acting European.
Bajo la rúbrica de “Piensa en Global, actúa en clave Europea”, la UE agrupa un conjunto de objetivos y estrategias en orden a “asegurar una Internet global y abierta, con unos fuertes guardarraíles, que protejan los derechos y libertades fundamentales de los riesgos de las Ciber Amenazas”.
La Comisión propone, mediante el uso de tres instrumentos principales: “regulatory, investment and policy instrumentos”, tres áreas de actuación: (i) “resilence, technological sovereignty and leadership”; (ii) “bulding operational capacity to prevent, deter and respond” y (iii) “advancing a global and open cyberspace.”
Serán objeto de la presente nota resumen las dos primeras áreas de actuación, quedando para una segunda nota, el tercer instrumento.
La Unión Europea pondrá a disposición de los gobiernos y empresas del sector privado los medios económicos para alcanzar dichos objetivos. La Ciberseguridad debe estar integrada en todas las inversiones digitales que se lleven a cabo en materias como Inteligencia Artificial, computación cuántica y encriptación.
- Resilience, Technological Sovereignty and Lidership.
“Resiliencia y liderazgo soberano en materia de tecnología”.
Las Infraestructuras críticas y servicios esenciales de la Unión Europea se encuentran cada día más interconectados. Las mismas, junto a las “Things” interconectadas (“Internet of things” o “Internet de las cosas” o “IoT”), como los coches automáticos, los sistemas de control industrial, las aplicaciones domóticas, y la cadena de suministro necesitan ser diseñadas desde la seguridad – “Secure by Design”-, deben ser resilientes a los “Ciber Incidentes” y debidamente “parcheados” cuando se descubre la vulnerabilidad de los mismos.
Resiliencia de las infraestructuras y de los servicios críticos.
La normativa y protocolos de la Unión Europea en materia de “Network and Information Systems” (“NIS”) constituyen el núcleo del Mercado Único en materia de Ciberseguridad. La Comisión propone reformar dicha normativa por medio de la NIS Directiva para aumentar el nivel de ciber resiliencia de todos los sectores relevantes, ya públicos ya privados, que jueguen una importante función para la economía y la sociedad.
Construcción de un Ciber Escudo.
Dentro de la estrategia de Ciberseguridad de la UE son dos los elementos o herramientas que van a jugar un papel preponderante:
- Las ISACs –“Information Sharing and Analysis Centres”, que permitirán el intercambio de información en materia de Ciberataques; y
- Los “Computer Security Incident Response Teams (“CSIRTs”) y los SOCs –“Security Operations Centres”- creados por las entidades públicas y privadas a nivel de los estados miembros.
Ambas herramientas contribuyen, además de al intercambio de información, a la detección temprana de actividades maliciosas.
Sobre la base de las citadas herramientas, la Comisión Europea propone construir una Red de “Security Operations Centres” a lo largo de la Unión Europea. El objetivo, con la co-inversión de los estados miembros, es conectar, en fases, cuantos más centros mejor para crear un conocimiento colectivo y compartir las mejores prácticas. Ello conformará un Escudo de Ciberseguridad en la Unión Europea.
Infraestructuras de Comunicación Ultra Seguras.
“The European Union Governmental Satellite Communications”, un órgano componente del “Space Programme”, proporcionará una base espacial de comunicaciones segura y eficiente, con capacidad para asegurar la seguridad de las misiones y operaciones llevadas a cabo por la Unión Europea y sus Estados Miembros. Los Estados Miembros han adquirido el compromiso de trabajar junto a la Comisión con el fin de desarrollar una infraestructura de comunicaciones seguras (“QCI”) en Europa. El QCI ofrecerá a las autoridades públicas una nueva forma de transmitir información confidencial bajo el uso de una encriptación ultra segura que sirva como escudo contra los Ciberataques. Igualmente, la Comisión estudiará un sistema multi orbital seguro.
Aseguramiento de la nueva generación de redes móviles.
El uso de las nuevas aplicaciones bajo la tecnología 5G y bajo las futuras generaciones de redes móviles deberían beneficiarse de la mayor seguridad posible.
La Unión Europea y los Estados Miembros deberían, de forma coordinada, asegurar la identificación de los riesgos y establecer las medidas que mitiguen los mismos. A esos efectos, deberían minimizar la actual exposición que la Unión Europea tiene a los riesgos inherentes a los suministradores de tecnología y, particularmente, deben reducir la dependencia que se tiene de ellos. Cualquier nuevo desarrollo y sus riesgos se tienen que tener en consideración.
Una Internet de las Cosas (“IoT”) segura.
Cualquier elemento o máquina conectada a la red de redes supone vulnerabilidades o puertas abiertas que pueden ser aprovechadas por actividades maliciosas. El mercado y los fabricantes ya están trabajando en asegurar soluciones de seguridad transparentes y debidamente certificadas bajo la Cibersecurity Act (Reglamento (EU) 2019/881). Se trata de intensificar la seguridad de los productos o servicios, sin limitar su funcionamiento.
La Comisión propondrá nuevas reglas que establezcan una obligación para los fabricantes de desarrollar los elementos a conectar a la red que tengan en cuenta las vulnerabilidades del software, incorporado a los mismos, incluyendo el compromiso continuo de vigilancia y seguimiento del software, introduciendo los elementos de seguridad que fueren necesarios. Esa obligación, la denomina la Comisión como el derecho a la reparación del software obsoleto (“the right to repair obsolete sofware”)
Seguridad Global de Internet con Mayúsculas.
La Comisión desarrollará un plan de contingencia, subsidiado con fondos de la UE, para prever y saber actuar en el caso de escenarios extremos que pongan en peligro la integridad y disponibilidad del sistema raíz de DNS, corazón del World Wide Web.
Actualmente, las empresas y ciudadanos europeos confían en unos pocos DNS que están en manos de unas pocas empresas situadas fuera de territorio europeo. Esa circunstancia supone una vulnerabilidad para el sistema, que además hace difícil a la Unión Europea localizar, investigar e imponer medidas en caso de Ciberataques. Por tanto, a fin de reducir dicha vulnerabilidad, la Comisión promoverá a todas las personas interesadas en la Internet, compañías, Internet Service Providers, etc… a adoptar nuevas estrategias en cuanto a la elección de los DNS. Asimismo, la Comisión desarrollará una “European DNS resolver service” público (“DNS4EU”). El DNS4EU ofrecerá una vía alternativa, a los actuales DNS proveedores. El mismo será transparente, desarrollado de acuerdo a la última normativa en materia de seguridad, protección de datos personales y de “privacy by design”.
Un Plantilla de Trabajadores Europea Ciber formada.
La Unión Europea destinará sus esfuerzos a formar, en sentido práctico y teórico, a los trabajadores de la Unión Europea en materias de la nueva era Cyber Digital. Asimismo, atraerá y retendrá el mejor talento en Ciberseguridad e invertirá en innovación e investigación sobre la misma, todo ello con el fin de proteger a sus ciudadanos y empresas de los Ciberataques.
La Comisión promoverá la integración de la mujer en ciencia, tecnología, ingeniería y matemáticas, con el fin de formarse en habilidades digitales.
En particular, se dedicará una especial atención a la lucha contra las violaciones de los derechos de propiedad intelectual.
- Bulding Operational Capacity to Prevent, Deter and Respond.
“Capacidad operativa, para prevenir, disuadir y responder”.
Los ciber incidentes, intencionados o no, pueden causar unos daños enormes. La Unión Europea se ha de focalizar en la próxima década, a través de la puesta en marcha de normativa y de medios de cooperación, a dar apoyo a los Estados Miembros para que defiendan, con medidas de Ciberseguridad, a sus ciudadanos, sus economías y sus intereses de seguridad, y los derechos y libertades fundamentales de aquellos.
Una Ciber Unidad conjunta.
La creación de una Ciber Unidad conjunto servirá como una plataforma de cooperación entre las diferentes comunidades de Ciberseguridad en la Unión Europea enfocada a la coordinación técnica y operacional contra las amenazas e incidentes transfronterizos.
Enfrentándose al Cibercrimen.
Nuestra dependencia en las herramientas online ha supuesto el incremento de los Ciberataques y Ciber amenazas. Dicha situación supone que la mayoría de las investigaciones criminales tengan un componente digital. Por tanto, es necesario enfrentarse al Cibercrimen ¿Cómo? A través de la Ciberseguridad. Es necesario, además, de la resiliencia y la detección, la identificación de los ciber criminales y su persecución. La cooperación entre policía y los operadores de ciberseguridad también es esencial.
La Comisión pondrá en práctica un plan de acción para mejorar las capacidades y herramientas de la policía. Asimismo, Europol se constituirá en el centro de excelencia en materia de Cibercrimen, apoyando a las policías de los diferentes Estados Miembros.