Los últimos tres o cuatro años han sido muy intensos en lo que se refiere a la ciberseguridad en el ámbito de las infraestructuras críticas y los servicios esenciales. El 12 de mayo de 2017, un ransomware denominado Wannacry lograba afectar a diferentes infraestructuras en todo el mundo y, de forma bastante importante, a países muy desarrollados como Reino Unido, Francia, Alemania o Rusia. Unos meses antes, en 2016, la Comisión Europea había lanzado la Directiva de Seguridad de las Redes y Sistemas de Información (conocida como Directiva NIS), de obligado cumplimiento para los Estados miembros, con un plazo de adecuación bastante ambicioso, junio de 2018.
En septiembre de ese año, España aprobó el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, ampliando la cobertura de la Directiva NIS a todos los sectores esenciales y críticos en nuestro Estado. Fruto de la Directiva NIS, se ha creado un grupo de cooperación permanente del cual emanan varios grupos de trabajo que se centran en los diferentes sectores esenciales, incluyendo las infraestructuras digitales y también los proveedores de servicios digitales, además de la creación de la CSIRT Network, en la que participan INCIBE-CERT y el CCN-CERT.
Siguiendo con las novedades en nuestra nación, en abril de 2019 se revisó la Estrategia Nacional de Ciberseguridad, y también durante ese año se revisó la Agenda Digital para España. Otras legislaciones, como el Reglamento General de Protección de Datos o las distintas revisiones del Código Penal en lo relativo al ciberdelito, han ido fortaleciendo nuestro esquema normativo y estratégico. Adicionalmente, en 2019 se trabajó en la ciberseguridad del despliegue del 5G en Europa, colaborando todos los Estados miembros en el desarrollo conjunto de un toolkit de ciberseguridad.
También en 2019 y ya en 2020, se ha trabajado en el diseño y generación del Centro de Competencias en Ciberseguridad Europeo, que se ubicará en Bucarest (Rumanía). Para dicho centro, cada Estado miembro tendrá su espejo, siendo en este caso Incibe el elegido en España.
También recientemente, en 2020, ha visto la luz el Foro Nacional de Ciberseguridad, que emana de la revisión de la Estrategia Nacional de Ciberseguridad, como un elemento más de coordinación e integración de las diferentes políticas públicas y privadas en ciberseguridad a nivel nacional.
Gestión de incidentes
En relación con el incidente de Wannacry, de 2017, Incibe tiene una visión bastante clara de lo que está ocurriendo en el ámbito de las infraestructuras críticas y los servicios esenciales. De hecho, en 2012, Incibe suscribió, a través de la secretaría de Estado de la que dependía (hoy Secretaría de Estado de Digitalización e Inteligencia Artificial), un acuerdo con la Secretaría de Estado de Seguridad, colaborando activamente desde entonces con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y la Oficina de Coordinación de Ciberseguridad (OCC).
Desde la puesta en marcha de los servicios de respuesta a incidentes a través del INCIBE-CERT, en coordinación con el CNPIC y la OCC, se ha gestionado y dado soporte a los operadores de infraestructuras críticas y servicios esenciales en más de 3.700 incidentes de seguridad cibernética, se han emitido más de 4.100 notificaciones de alertas de seguridad hacia estas empresas. Además, se han realizado siete ediciones de ciberejercicios CyberEx España, con 30 operadores de infraestructuras críticas en cada edición; se han llevado a cabo cuatro mediciones de la ciberresiliencia en estos operadores, todas con buenos resultados; y se han realizado más de 100.000 notificaciones preventivas de posibles recursos comprometidos en sus diferentes activos, entre otros servicios que se prestan hacia estas entidades.
Todo ello muestra al menos dos aspectos muy relevantes a tener en cuenta: el compromiso de nuestras empresas en el ámbito de la protección cibernética de las infraestructuras y redes que se utilizan para la provisión de servicios esenciales y, por otro lado, que como en el resto del mundo estas infraestructuras y redes son objeto de ciberataques y ciberamenazas. Además, el sector industrial español focalizado en la ciberseguridad ha ido acompañando a estas compañías no solo en la detección y respuesta ante incidentes, sino en el crecimiento de sus capacidades de defensa y resiliencia en ciberseguridad.
Infraestructuras críticas
El panorama de incidentes o ciberataques es muy diferente cuando hablamos de operadores de infraestructuras críticas o prestadores de servicios esenciales. Las principales tipologías son la búsqueda de vulnerabilidades de sistemas y redes, los intentos de intrusión, los ataques a la disponibilidad o la infección por malware, normalmente dirigido. También nos encontramos con viejos conocidos, como el fraude electrónico en sus diferentes modalidades, incluyendo los ransomware, que no solo es un tipo de fraude, sino también un ataque a la disponibilidad u operación de un posible servicio esencial.
En estos años hemos podido ver cómo estas grandes compañías han crecido en sus servicios, en su propia transformación digital, en la integración con la Industria 4.0 y otras tendencias como el cloud computing, el big data, la inteligencia artificial o el Internet de las Cosas, a la vez que integraban o elevaban sus capacidades de ciberseguridad.
La nueva legislación antes mencionada está impulsando la aplicación de medidas de ciberseguridad, la detección proactiva de incidentes y su comunicación hacia el CERT o CSIRT de referencia de cada comunidad y a las diferentes autoridades competentes, el uso de un lenguaje común y de una taxonomía de dichos incidentes. Todo ello queda recogido en la Guía Nacional de Notificación y Gestión de Incidentes (elaborada conjuntamente por el Departamento de Seguridad Nacional, el CNPIC, el CCN, Incibe y el Mando Conjunto del CiberEspacio), cuyos apartados más importantes se han incluido en la instrumentación técnica del Real Decreto-Ley 12/2018. España ha sido el primer Estado miembro en disponer de una guía como ésta, revisada ya en dos ocasiones y aprobada en el seno del Consejo Nacional de Seguridad, en el que participan los principales ministerios y agentes con competencias y atribuciones en ciberseguridad.
Responsabilidad compartida
Esta intensidad, reflejada muy ejecutivamente en estos párrafos, no es capaz, sin embargo, de reflejar el enorme esfuerzo que está desplegando nuestro país, por parte de todos los que tienen que decir algo en ciberseguridad: las diferentes administraciones, el sector industrial y empresarial, los operadores y prestadores de servicios esenciales y, finalmente, la ciudadanía y la sociedad en general. Esta última vive también una época muy intensa de transformación digital, pero sigue disfrutando del bienestar que, en parte, se deriva de una correcta y confiable prestación de los servicios esenciales.
En este camino de transformación, de digitalización, es cada vez más transparente la tecnología, el acceso a los servicios, su uso y explotación. Pero no por ello es menos importante que la sociedad a la que se dirigen estos servicios ha de participar cada vez más activamente de su responsabilidad en la seguridad de todo el circuito. Seamos todos más conscientes de que con servicios seguros y con ciudadanos y empresas más concienciadas es mucho más difícil que el ciberdelito haga mella en nuestra confianza; seamos más ciberresilientes y sigamos caminando con garantías hacia un nuevo horizonte en este proceso de evolución constante. En Incibe continuaremos trabajando convencidos de que este desafío nos ayudará a seguir aprendiendo y construyendo la ciberseguridad de nuestro país.