Energía, transporte y banca en toda Europa deberán inmunizarse ante los ciberataques.
Javier Ardalán
Las perturbaciones y los ataques a los sistemas de información de las empresas y los ciudadanos cuestan cada año entre 260.000 y 340.000 millones de euros en los Estados miembros de la Unión Europea, según datos de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea.
El Parlamento Europeo debatió ayer y vota hoy la Directiva sobre la seguridad de las redes y la información, la primera norma de ámbito comunitario para mejorar la defensa ante esta amenaza.
Los robos de información pueden ser muy perjudiciales para los consumidores, las empresas y los Gobiernos, como quedó demostrado en 2007 con los costosos ciberataques a Estonia y en 2014 contra Sony. La Unión Europea ha acordado un conjunto común de normas básicas sobre ciberseguridad para reforzar sus defensas ante ataques contra servicios esenciales.
La normativa llega para impulsar la confianza entre los diversos Estados miembros de la Unión Europea, armonizando la seguridad en las redes y creando un ámbito de intercambio de información capaz de prevenir los ataques por el resto de las Administraciones, una vez sufrido un incidente de seguridad una de ellas y dar una respuesta coordinada y europea frente a esta nueva amenaza cuyos potenciales riesgos son innumerables.
El pasado 14 de junio se reunió por primera vez un Grupo de intercambio de información, regulado en el texto de la Directiva, aunque oficialmente no comenzará sus trabajos hasta pasados seis meses desde la entrada en vigor de la norma.
Los actuales sistemas informáticos pueden verse gravemente afectados por incidentes de seguridad, como fallos técnicos y virus. Este tipo de incidentes, a menudo denominados incidentes SRI (los relacionados con la seguridad de las redes y la información) son cada vez más frecuentes y difíciles de atajar.
Numerosas empresas y gobiernos en toda la UE dependen de las redes e infraestructuras digitales para proporcionar sus servicios esenciales. Esto significa que, cuando se produce un incidente SRI, puede tener un gran impacto, pues compromete la prestación de servicios e impide a las empresas funcionar adecuadamente.
La Directiva debe entenderse sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales.
Además, con el desarrollo del mercado interior de la UE, muchas redes y sistemas de información operan a través de las fronteras. Un incidente SRI en un país puede por tanto afectar a otros o incluso alcanzar a la totalidad de la UE. Los incidentes en materia de seguridad también minan la confianza del consumidor en los sistemas de pago electrónico y en las redes informáticas.
Los ciberataques pueden provocar un daño enorme a infraestructuras como la red eléctrica y a servicios como el control aéreo.
La norma establece un enfoque común en materia de ciberseguridad. Para ello, enumera los sectores (energía, transporte, banca, etcétera) cuyas empresas deben garantizar que son capaces de resistir a los ciberataques.
Obliga a las empresas de estos sectores a informar a las autoridades nacionales sobre incidentes graves relativos a la seguridad. Empresas suministradoras de servicios digitales como Amazon o Google también estarán sometidas a este requisito de facilitar información. Por otra parte, los Estados de la Unión Europea deberán reforzar su cooperación en este ámbito.
La sociedad digitalizada actual depende cada vez más de las redes electrónicas y de los sistemas de información. En paralelo, aumentan los fraudes y las falsificaciones en línea, así como las posibilidades de que los ciberataques comprometan los servicios en línea.
Las amenazas son numerosas y afectan a las personas, a las empresas y a las administraciones públicas: suplantaciones de identidad, webs bancarias falsas, espionaje industrial o ataques que saturan servidores bombardeándoles con un volumen demasiado elevado de información.
Según una encuesta Eurobarómetro publicada en 2015, los ciudadanos de la UE muestran un nivel elevado de preocupación ante la ciberseguridad. El 89 por ciento de los usuarios de Internet evitan desvelar información personal en línea. El 85 por ciento coincide en que crece el riesgo de convertirse en víctima de ciberdelincuentes. Se calcula que más de 150.000 virus y otros códigos maliciosos circulan a diario.
Los proveedores de servicios digitales deben garantizar un nivel de seguridad acorde con el grado de riesgo que se plantea para la seguridad de los servicios digitales que presten, teniendo cuenta la importancia de sus servicios para las operaciones de otras empresas de la Unión. En la práctica, el grado de riesgo para los operadores de servicios esenciales, que son a menudo esenciales para el mantenimiento de actividades sociales y económicas cruciales, es superior al que corresponde a los proveedores de servicios digitales.
Por consiguiente, los proveedores de servicios digitales deben estar sujetos a requisitos de seguridad menos rigurosos. Los proveedores de servicios digitales deben seguir pudiendo tomar las medidas que consideren oportunas a fin de gestionar los riesgos que se planteen para la seguridad de sus redes y servicios de información.
Finalmente, aunque los fabricantes de equipos informáticos y quienes desarrollan programas informáticos no sean operadores de servicios esenciales ni proveedores de servicios digitales, sus productos facilitan la seguridad de las redes y sistemas de información.
www.icnr.es