«España ha demostrado tener unas capacidades de ciberseguridad adaptadas a las necesidades del momento, sobre todo en lo que se refiere a la organización, estructura y diseño de procedimientos». Son palabras de Miguel Ángel Abab, jefe del Servicio de Ciberseguridad y Oficina de Coordinación Cibernética (OCC) del Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad, CNPIC, quien a lo largo de la entrevista analiza los elementos fundamentales del nuevo Reglamento Europeo de Ciberseguridad, así como las claves para que ciudadanos y empresas incorporen en su día día un concepto tan importante como es la ciberseguridad.
—Como punto de partida, ¿podría adelantarnos cifras sobre el número de ciberataques que se registran al año y cuántos de ellos revisten una alta peligrosidad?
—Durante los últimos años hemos venido trabajando en el desarrollo de un mecanismo de notificación de incidentes junto con los operadores críticos. Este trabajo se materializó en una primera guía de notificación en el ámbito de la Protección de las Infraestructuras Críticas (PIC), que germinó como parte de las actividades llevadas a cabo en la Mesa de Coordinación de Ciberseguridad que presidimos desde el CNPIC. Si bien se trataba de un mecanismo de notificación voluntaria, poco a poco los operadores se fueron sumando al procedimiento establecido, de modo que los incidentes gestionados por los CSIRT nacionales, INCIBE-CERT y CCN-CERT, fueron aumentando progresivamente por la confianza generada entre las partes. A esto se unió que cada vez eran más los operadores que entraban en el sistema PIC, con las consiguientes notificaciones añadidas.
Por esta razón, para ambas partes era fundamental intentar delimitar los incidentes que realmente eran de especial relevancia, motivo por el cual ideamos dos clasificaciones diferenciadas: por impacto y por peligrosidad. De este modo, establecimos que los operadores notificarían aquellos incidentes que hubiesen tenido un impacto, o estuviesen asociados a una peligrosidad de nivel crítico, muy alto y alto. Todos estos procedimientos fueron posteriormente trasladados a la Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada a inicios del año 2019.
En este contexto, y con la determinación de un impacto y de una peligrosidad asociada a los incidentes, a través de los CSIRT nacionales se registran mensualmente en torno a un centenar de incidentes relacionados con nuestro ámbito de actuación. De esos incidentes, afortunadamente la mayor parte no suelen revestir una elevada peligrosidad o impacto.
No obstante, la aplicación del Real Decreto-ley 12/2018 por el que se transpone la Directiva NIS, y del desarrollo reglamentario asociada a dicha norma probablemente se traduzca en un ligero aumento de las notificaciones recibidas, teniendo en cuenta que éstas serán de carácter obligatorio. Sin embargo, el nivel de aceptación de la notificación voluntaria ha sido hasta el momento bastante elevado, y por tanto esta obligatoriedad la entendemos como una garantía de comunicación mutua entre las partes, y no como una amenaza frente al incumplimiento por parte de los operadores.
—Durante este último año, ¿a qué tipo de incidentes ha hecho frente la Oficina de Coordinación Cibernética (OCC) del CNPIC de la que usted es su responsable?
—El contar con las capacidades de respuesta de los CSIRT de referencia establecidos en el Real Decreto-ley 12/2018, por el que se transpone la Directiva NIS, nos hace conocer multitud de incidentes que afectan a los operadores para los que actuamos como autoridad competente desde el CNPIC. Sin embargo, es precisamente una de las misiones de la OCC el determinar cuáles de esos incidentes requieren una actuación extraordinaria, ya sea por el impacto de los mismos o por la peligrosidad que presenta a priori según la tipología del incidente en cuestión.
De este modo, como ya avanzaba anteriormente, a grandes rasgos podríamos decir que los incidentes a los que prestamos especial atención desde la OCC son aquellos que están catalogados con una peligrosidad crítica, muy alta o alta en la Guía Nacional de Notificación y Gestión de Ciberincidentes. Por poner ejemplos más concretos éstos serían incidentes relacionados con las amenazas persistentes avanzadas (APT), código dañino, intrusión o intentos de intrusión, afecciones a la disponibilidad de los servicios de forma premeditada, compromiso de la información o fraude.
Con todo, para nosotros siguen teniendo especial relevancia aquellos incidentes que, afectando a la disponibilidad de los servicios ofrecidos por un operador, estén o puedan estar dirigidos hacia entornos industriales, más particularmente hacia sistemas de control industrial. Esto es así porque en este tipo de entornos el impacto que puede provocar un incidente de esas características puede sobrepasar el umbral técnico, derivando en el peor de los casos en un impacto físico que puede materializarse en pérdidas materiales o incluso en daños a las personas.
Entrevista completa
