Estrategia Seguridad Cibernética de la Unión Europea
Cualquiera que lea detenidamente el informe A7-0167/2012 del 16/5/2012 sobre la protección de infraestructuras críticas de información de la Comisión Europea se dará cuenta de que los autores del informe, los miembros de la Comisión de Industria, Investigación y Energía, están muy preocupados. Podemos también en el mismo informe analizar la opinión de la Comisión de libertades civiles, justicia y asuntos de interior de la UE y darnos cuenta —y no hace falta leer entre líneas— que no solo los que directamente tienen autoridad en la materia están preocupados, sino que también, comisiones que podríamos decir que aparentemente no están afectadas directamente por temas relativos a la ciberseguridad de Infraestructuras Críticas, muestran formalmente su preocupación.
Si además tienen ustedes la paciencia de estudiar el reciente informe sobre ciberseguridad y ciberdefensa 2012/2096 (INI) de la Comisión de Asuntos Exteriores con fecha 17 de octubre de 2012, se darán cuenta de que la preocupación hay veces que parece se torna en "miedo" instando a todo el mundo a que pongan manos a la obra enumerando un sinfín de razones por las que debemos hacerlo (los "considerandos" impresionan)
El panorama es desolador pues los "considerandos" recogen un montón de aspectos que deberían estar funcionando y aunque incluso estén ya creados no están operativos por distintos motivos todos ellos lógicos. El hecho cierto es que todo lo que tiene que ver con las ciberamenazas avanza muy rápido, demasiado rápido, y las instituciones europeas muy lentas, demasiado lentas, así que como sociedad civil deberíamos estar preparados para tomar el control de la situación pero, desgraciadamente, este es uno de esos casos en los que me da la impresión de que el regulador va por delante de la sociedad civil porque la sociedad no es consciente de la magnitud de la amenaza.
Este informe sobre ciberseguridad y ciberdefensa afirma textualemente: "que el peligro que suponen las amenazas y los ataques cibernéticos contra órganos gubernamentales, administrativos, militares e internacionales crece rápidamente, que estos se producen tanto en la UE como en el mundo, y que hay importantes motivos de preocupación de que actores estatales y no estatales, especialmente organizaciones terroristas y criminales, puedan atacar estructuras e infraestructuras críticas de información y comunicación de instituciones y miembros de la UE, con la posibilidad de provocar importantes daños, incluidos efectos cinéticos", considerando además que la mayoría de incidentes cibernéticos, tal y como se afirma en el informe, tanto en el sector público como privado quedan sin denunciar e instando a las autoridades competentes a valorar la posibilidad de que algún estado miembro pueda sufrir un ciberataque y hablando de la posibilidad de aplicación de la cláusula de defensa mutua (artículo 42, apartado 7 del TUE) sin perjuicio del principio de proporcionalidad. En este sentido, ¿se podría considerar un ciberataque respaldado por un Estado casus belli (1)?
Dejamos la pregunta abierta pero en el caso en el que la respuesta a la pregunta anterior sea que sí, no deja de ser preocupante otra de las afirmaciones que se pueden leer en el citado informe: Se "constata que ciberataques recientes contra redes de información europeas y los sistemas de información estatales han causado cuantiosos daños desde los puntos de vista económicos y de la seguridad cuyo alcance no se ha evaluado adecuadamente".
Es evidente que la ciberdefensa debe formar parte de la política común de seguridad y defensa (PCSD) con el fin, entre otros, de proteger y preservar la vida de las personas, las libertades digitales y el respeto a los derechos humanos on-line. A pesar de ello en junio de 2012 solo 10 estados miembros han adoptado una estrategia de ciberseguridad, el primer paso para ponerse manos a la obra. En España está en desarrollo.
En cualquier caso ambos informes urgen, en términos generales, a elaborar estrategias de ciberseguridad y planes de emergencia para sus propios sistemas pidiendo, explícitamente, a todas las instituciones y organismos que se contemple en los análisis de riesgos los derivados de crisis cibernéticas incidiendo mucho por todas partes y a todos los niveles en los temas relativos a la concienciación. Se insta a hacer de la I+D+i uno de los pilares centrales de la ciberseguridad y ciberdefensa pidiendo a los estados miembros que cumplan su compromiso de aumentar su inversión (2) en I+D+i en defensa hasta el 2% prestando especial atención a la ciberseguridad y la ciberdefensa.
Todo esto está muy bien pero no dejan de ser más que peticiones que las comisiones de la UE lanzan al Parlamento Europeo a través de sus informes o proyectos de informes pero… ¿qué pasa mientras tanto en el mundo real?, ¿estamos de verdad haciendo nuestros deberes en esta materia?, ¿somos conscientes como sociedad del peligro que corremos?, ¿son los políticos que dirigen nuestro país conocedores de estos riesgos?, ¿hasta qué punto?
Yo tengo mi opinión. Lo vemos en el trabajo que desarrollamos día a día. Tendremos que hacer un esfuerzo ímprobo para concienciar a la sociedad en su conjunto porque este es un problema de todos.
(1) Casus belli hace referencia a la circunstancia que supone causa o pretexto para iniciar una acción bélica. El surgimiento del término se da en el contexto del Derecho internacional de finales del siglo XIX, como consecuencia de la doctrina política del ius in bello. El casus belli, como parte del ius in bello o "Derecho de guerra", busca regular las acciones bélicas de los distintos países, de manera que a priori prohíbe el recurso a la fuerza armada para resolver conflictos, pero permite el uso del aparato militar contra otro Estado bajo el principio de ultima ratio, es decir como último recurso.
(2) En 2010 solo un Estado miembro había alcanzado el 2% del gasto en investigación y desarrollo en materia de defensa, y en ese año cinco Estados miembros no habían gastado nada en I+D en este capítulo.
Actualización: La Unión Europea por publicar su Estrategia de Ciberseguridad, adoptada el 7 de febrero de 2013. Este documento se encuentra disponible en su sitio web: http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security.
Este documento propone una serie de iniciativas de interés, y comparte algunas similitudes con documentos adoptados por la OEA, como la Estrategia Interamericana Integral de Seguridad Cibernética de la OEA (2004) y la Declaración de Fortalecimiento de la Seguridad Cibernética en las Américas (2012). Estos dos documentos pueden ser encontrados en los siguientes enlaces:
Si además tienen ustedes la paciencia de estudiar el reciente informe sobre ciberseguridad y ciberdefensa 2012/2096 (INI) de la Comisión de Asuntos Exteriores con fecha 17 de octubre de 2012, se darán cuenta de que la preocupación hay veces que parece se torna en "miedo" instando a todo el mundo a que pongan manos a la obra enumerando un sinfín de razones por las que debemos hacerlo (los "considerandos" impresionan)
El panorama es desolador pues los "considerandos" recogen un montón de aspectos que deberían estar funcionando y aunque incluso estén ya creados no están operativos por distintos motivos todos ellos lógicos. El hecho cierto es que todo lo que tiene que ver con las ciberamenazas avanza muy rápido, demasiado rápido, y las instituciones europeas muy lentas, demasiado lentas, así que como sociedad civil deberíamos estar preparados para tomar el control de la situación pero, desgraciadamente, este es uno de esos casos en los que me da la impresión de que el regulador va por delante de la sociedad civil porque la sociedad no es consciente de la magnitud de la amenaza.
Este informe sobre ciberseguridad y ciberdefensa afirma textualemente: "que el peligro que suponen las amenazas y los ataques cibernéticos contra órganos gubernamentales, administrativos, militares e internacionales crece rápidamente, que estos se producen tanto en la UE como en el mundo, y que hay importantes motivos de preocupación de que actores estatales y no estatales, especialmente organizaciones terroristas y criminales, puedan atacar estructuras e infraestructuras críticas de información y comunicación de instituciones y miembros de la UE, con la posibilidad de provocar importantes daños, incluidos efectos cinéticos", considerando además que la mayoría de incidentes cibernéticos, tal y como se afirma en el informe, tanto en el sector público como privado quedan sin denunciar e instando a las autoridades competentes a valorar la posibilidad de que algún estado miembro pueda sufrir un ciberataque y hablando de la posibilidad de aplicación de la cláusula de defensa mutua (artículo 42, apartado 7 del TUE) sin perjuicio del principio de proporcionalidad. En este sentido, ¿se podría considerar un ciberataque respaldado por un Estado casus belli (1)?
Dejamos la pregunta abierta pero en el caso en el que la respuesta a la pregunta anterior sea que sí, no deja de ser preocupante otra de las afirmaciones que se pueden leer en el citado informe: Se "constata que ciberataques recientes contra redes de información europeas y los sistemas de información estatales han causado cuantiosos daños desde los puntos de vista económicos y de la seguridad cuyo alcance no se ha evaluado adecuadamente".
Es evidente que la ciberdefensa debe formar parte de la política común de seguridad y defensa (PCSD) con el fin, entre otros, de proteger y preservar la vida de las personas, las libertades digitales y el respeto a los derechos humanos on-line. A pesar de ello en junio de 2012 solo 10 estados miembros han adoptado una estrategia de ciberseguridad, el primer paso para ponerse manos a la obra. En España está en desarrollo.
En cualquier caso ambos informes urgen, en términos generales, a elaborar estrategias de ciberseguridad y planes de emergencia para sus propios sistemas pidiendo, explícitamente, a todas las instituciones y organismos que se contemple en los análisis de riesgos los derivados de crisis cibernéticas incidiendo mucho por todas partes y a todos los niveles en los temas relativos a la concienciación. Se insta a hacer de la I+D+i uno de los pilares centrales de la ciberseguridad y ciberdefensa pidiendo a los estados miembros que cumplan su compromiso de aumentar su inversión (2) en I+D+i en defensa hasta el 2% prestando especial atención a la ciberseguridad y la ciberdefensa.
Todo esto está muy bien pero no dejan de ser más que peticiones que las comisiones de la UE lanzan al Parlamento Europeo a través de sus informes o proyectos de informes pero… ¿qué pasa mientras tanto en el mundo real?, ¿estamos de verdad haciendo nuestros deberes en esta materia?, ¿somos conscientes como sociedad del peligro que corremos?, ¿son los políticos que dirigen nuestro país conocedores de estos riesgos?, ¿hasta qué punto?
Yo tengo mi opinión. Lo vemos en el trabajo que desarrollamos día a día. Tendremos que hacer un esfuerzo ímprobo para concienciar a la sociedad en su conjunto porque este es un problema de todos.
(1) Casus belli hace referencia a la circunstancia que supone causa o pretexto para iniciar una acción bélica. El surgimiento del término se da en el contexto del Derecho internacional de finales del siglo XIX, como consecuencia de la doctrina política del ius in bello. El casus belli, como parte del ius in bello o "Derecho de guerra", busca regular las acciones bélicas de los distintos países, de manera que a priori prohíbe el recurso a la fuerza armada para resolver conflictos, pero permite el uso del aparato militar contra otro Estado bajo el principio de ultima ratio, es decir como último recurso.
(2) En 2010 solo un Estado miembro había alcanzado el 2% del gasto en investigación y desarrollo en materia de defensa, y en ese año cinco Estados miembros no habían gastado nada en I+D en este capítulo.
Actualización: La Unión Europea por publicar su Estrategia de Ciberseguridad, adoptada el 7 de febrero de 2013. Este documento se encuentra disponible en su sitio web: http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security.
Este documento propone una serie de iniciativas de interés, y comparte algunas similitudes con documentos adoptados por la OEA, como la Estrategia Interamericana Integral de Seguridad Cibernética de la OEA (2004) y la Declaración de Fortalecimiento de la Seguridad Cibernética en las Américas (2012). Estos dos documentos pueden ser encontrados en los siguientes enlaces:
- Estrategia Seguridad Cibernética OEA (2004)
- Declaración de Fortalecimiento de la Seguridad Cibernética en las Américas (2012)
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!