ENISA, la agencia de ciberseguridad de la Unión Europea, ha presentado el informe anual «Trust Services Security Incidents», que ofrece una descripción general de las brechas de seguridad con impacto significativo que han tenido lugar en 2018 por los órganos de supervisión nacionales de la UE.
De acuerdo con el reglamento de eIDAS, los proveedores de servicios de confianza deben notificar estas violaciones de seguridad a su organismo nacional de supervisión. Anualmente, estos órganos envían resúmenes de estos informes a ENISA, que posteriormente publica una descripción general agregada de estos incidentes de seguridad.
El informe analiza las causas, estadísticas y tendencias de un total de 18 incidentes de seguridad, en 28 países de la UE y un país de la Asociación Europea de Libre Comercio (AELC).
Estadísticas clave relativas a los incidentes de 2018
- Las acciones maliciosas y los fallos del sistema son las causas principales de los incidentes notificados: los fallos del sistema representan el 39% del total de incidentes (en comparación con el 36% del total en 2017). Las acciones maliciosas han aumentado hasta un 39% (en comparación con el 7% en 2017).
- Las cuatro causas más comunes de los incidentes son errores de software, errores de hardware, de políticas/procedimientos y ataques DDoS.
- Alrededor del 25% de los incidentes reportados tuvieron un impacto transfronterizo. Aunque la proporción es pequeña, la gravedad de los incidentes fue alta, ya que el 75% de ellos se clasificaron como nivel 4 (grave) y 5 (desastroso) en términos de gravedad.
- La creación de certificados de firmas electrónicas calificadas son el servicio más afectado: aproximadamente el 50% de los incidentes informados afectaron la creación calificada de certificados calificados para firmas electrónicas.
- La mayoría de los incidentes tuvieron un impacto significativo: la mitad de los incidentes presentaron un «nivel de gravedad 3» (impacto significativo), pero solo un 5% menor del total de incidentes reportados (un incidente) se calificó como desastroso.
Estos con algunos ejemplos de incidentes que fueron notificados a los organismos nacionales de supervisión:
- Error humano en la emisión de certificados calificados. Duración: meses. Servicios afectados: creación calificada de certificados calificados para firmas electrónicas. Causa: error humano. Nivel de gravedad: 3 – significativo.
- Ataque de DDoS contra el direccionamiento IP del proveedor de hardware. Duración: minutos. Servicios afectados: creación calificada de certificados calificados para firmas electrónicas, sellos electrónicos. Causa: acciones maliciosas. Nivel de gravedad: 4 – grave.
- El daño del cable de red causó la falta de disponibilidad de servicios de confianza durante aproximadamente un día. Duración: horas. Servicios afectados: creación calificada de marcas de tiempo e calificadas. Causa: fallas de terceros. Nivel de gravedad: 4 – grave.
