La ciberseguridad debe evolucionar hacia sistemas transparentes para el usuario final, porque de otro modo podemos encontrarnos con un efecto adverso: que los usuarios muestren rechazo o miedo al uso de las tecnologías», asegura Miguel Ángel Abad, jefe del Servicio de Ciberseguridad del Centro Nacional para la Protección de las Infraestructuras Críticas, quien además analiza, entre otros temas, las acciones y logros conseguidos por la Oficina de Coordinación Cibernética, integrada dentro del CNPIC, o cómo afectará la Normativas NIS a la protección y seguridad de las Infraestructuras Críticas.
[La entrevista íntegra puede leerse en el número 315 de octubre de CUADERNOS DE SEGURIDAD]
—¿La amenaza de un ataque ciberterrorista es cada vez más creciente? ¿Está España preparada para hacer frente a estas amenazas?
—El panorama actual nos está mostrando cómo las nuevas tecnologías han ampliado los recursos con los que cuentan las organizaciones terroristas para la consecución de sus actividades: aspectos como la promoción del terrorismo, la captación de miembros o comunicación entre sus individuos se sirven por ejemplo de las redes sociales para aumentar su efectividad.
El hecho de que no se haya recibido un ataque ciberterrorista con un gran impacto no quiere decir que no sea posible, y por este motivo la Estrategia de Ciberseguridad Nacional incluye a las organizaciones terroristas y al terrorismo de forma general, como uno de los riesgos y amenazas a los que nos podemos enfrentar y por tanto que debemos combatir. Por este mismo motivo, la Estrategia establece como uno de sus objetivos la potenciación de las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio.
En lo que respecta a la preparación para combatir este tipo de amenaza ciberterrorista, es fundamental tener en cuenta que es algo que requiere de una labor continuada en el tiempo y de una colaboración internacional. En el caso de España, desde el Ministerio del Interior en el ámbito de la protección de las infraestructuras críticas se han llevado a cabo importantes avances en la materia, entre los que cabe destacar los siguientes:
• Instrucción del Secretario de Estado para el establecimiento de un protocolo de colaboración entre el CITCO y el CNPIC para el intercambio de información, análisis y evaluación de la amenaza terrorista en materia de protección de infraestructuras críticas.
• Creación de la Oficina de Coordinación Cibernética como órgano técnico de coordinación de la Secretaría de Estado de Seguridad en materia de ciberseguridad.
• Acuerdo Marco de Colaboración en materia de ciberseguridad entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Energía y Turismo.
• Actualización del Plan Nacional de Protección de Infraestructuras Críticas, que incluye la necesidad de incorporar medidas de ciberseguridad.
• Instrucción por la que se regula la coordinación en materia de ciberseguridad, incluyendo la capacidad de respuesta 24×7.
Por todo lo anterior, podemos concluir que si bien el «riesgo cero» es imposible de alcanzar, España ha realizado importantes avances para proteger a sus ciudadanos de incidentes, que basados en ciberataques puedan poner en peligro su integridad o el normal desenvolvimiento de sus derechos y libertades.
—Casi dos años después de la puesta en marcha de la Oficina de Coordinación Cibernética (OCC), integrada dentro del CNPIC, ¿qué acciones y actividades a destacar ha llevado a cabo? ¿Cuáles son sus funciones principales?
—La creación de la Oficina de Coordinación Cibernética (OCC) posibilitó que la Secretaría de Estado de Seguridad dispusiese de un órgano capaz de coordinar técnicamente a sus unidades dependientes (incluidas las Fuerzas y Cuerpos de Seguridad del Estado) con el CERT de Seguridad e Industria (CERTSI). Pero no solo eso, sino que a raíz de una nueva Instrucción del Secretario de Estado de Seguridad, la OCC ejerce como punto de contacto nacional de coordinación operativa las 24 horas y los 7 días de la semana para el intercambio de información con la Comisión Europea y los Estados miembros, en el marco de lo establecido por la Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información.
Las funciones principales que asume la OCC están relacionadas con el desarrollo de mecanismos de respuesta ante ciberincidentes que recaigan en los ámbitos competenciales del Ministerio del Interior, contando para ello con la participación y colaboración de los órganos oportunos en cada caso, en función del tipo e impacto del incidente en cuestión. Por otra parte, la OCC pretende llevar a cabo los análisis pertinentes que permitan conocer el estado de situación sobre ciberamenazas y avances tecnológicos, contando en este caso con la información aportada por publicaciones especializadas, fuentes abiertas y restringidas y por aquellos actores públicos y privados relevantes en materia de ciberseguridad.
—A modo de resumen, ¿cuántos ciberataques se producen al año y cuántos revisten una alta peligrosidad?
—Durante el año 2015 el CERTSI gestionó cerca de 50.000 incidentes, de los cuales 134 estuvieron referidos al ámbito de las infraestructuras críticas. Por otra parte, durante la primera mitad del año 2016 se han gestionado ya más de 19.000 incidentes, de los cuales 231 están relacionados con la protección de infraestructuras críticas. La peligrosidad en nuestro caso la asociamos con el impacto que ha tenido el incidente en la víctima, y afortunadamente los trabajos llevados a cabo por el CERTSI han facilitado la minimización de ese impacto. Con todo, debemos seguir trabajando en el proceso de identificación y notificación de incidentes, porque la evolución de las técnicas de ataque y del malware hace probable que aún existan incidentes que no son reportados por la dificultad que entraña su detección.
—La Ley Europea de Seguridad Cibernética, Directiva NIS, lleva implícito la adaptación de nuestro marco normativo actual, ¿qué supondrá para España esta nueva legislación?
—Creo que se trata de una gran oportunidad de revisar, poner en común y potenciar iniciativas que se han venido trabajando hasta el momento en materia de ciberseguridad. El objeto de la Directiva NIS creo que es oportuno y conveniente, ya que no es otro que potenciar, mediante la implantación de medidas de seguridad en las redes y sistemas de información, el funcionamiento del mercado interior de la Unión Europea.
En lo que respecta al impacto legislativo, muchos de los elementos que plantea ya se han desarrollado en España, fundamentalmente en lo que respecta a los operadores de servicios esenciales, lo cual creo que agilizará el proceso de transposición a la normativa nacional. Sin embargo, aparecen otros elementos como el establecimiento de autoridades nacionales o la obligación de notificar incidentes, que no habían sido tratados hasta el momento de forma taxativa en el ámbito de la protección de las infraestructuras críticas.
En todo caso, creo que se trata de una muy buena noticia, sobre todo porque ayuda a mejorar la cultura de la ciberseguridad en las empresas de la Unión desde el más alto nivel. Por otro lado, sirve para apuntalar distintas actividades y proyectos de ciberseguridad que se han venido poniendo en marcha durante los últimos años en nuestro país, muchos de los cuales han redundado en una mejora de la imagen de España hacia el exterior.
