Proteger la información y luchar contra la delincuencia informática forman parte de los ejes políticos de la Comisión para el año que viene
La seguridad de la información y la lucha contra el delincuencia informática han situado la ciberseguridad como uno de los ejes políticos prioritarios de la Comisión Europea (CE). Así lo declaró el pasado 13 de septiembre el presidente del Ejecutivo comunitario, Jean-Claude Juncker, que subrayó que “Europa sigue sin estar adecuadamente equipada para defenderse de los ciberataques”. En este sentido, dentro del discurso anual sobre el Estado de la Unión del año 2017, se han puesto sobre la mesa un paquete de propuestas y herramientas que deben reforzar la seguridad en línea de los ciudadanos y de las empresas y organizaciones del continente.
Entre las medidas planteadas, destacan la creación de una Agencia Europea de Ciberseguridad y un nuevo régimen europeo de certificación que garantice el uso seguro de productos y servicios digitales.
Los datos facilitados por Bruselas ponen de relieve la importancia de que se adopte una adecuada política de prevención y defensa ante el crimen en la red, a la vista de la multiplicación de los ciberataques. Así, el año pasado se produjeron más de 4.000 ataques diarios de secuestro de archivos y el 80 por ciento de las empresas europeas se vio afectada por al menos un incidente de ciberseguridad. De hecho, el impacto económico de la ciberdelincuencia se ha multiplicado por cinco en los últimos cuatro años.
La UE denuncia además que no solo están implicados en los ciberataques organizaciones criminales, sino también agentes estatales, que pretenden el robo de datos, la comisión de fraude e, incluso, la desestabilización de gobiernos.
El nuevo escenario tecnológico y el auge de la utilización del dato como elemento fundamental de negocio han obligado a las instituciones a reforzar la normativa sobre la materia. Por un lado, el 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos (RGPD), que revoluciona el tratamiento de la privacidad. Asimismo, se encuentra en fase de tramitación el nuevo Reglamento EPrivacy –o Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE–. El tercer término, el refuerzo de las medidas de seguridad en el tráfico de datos vendría a cerrar el círculo de la actualización de la normativa.
En este sentido, Mariya Gabriel, comisaria de Economía y Sociedades Digitales, manifiesta la necesidad de “afianzar la confianza de los ciudadanos y las empresas en el mundo digital, especialmente en estos tiempos en los que los ciberataques a gran escala son cada vez más comunes”. Según expresa, Europa pretende que la existencia de estándares elevados de ciberseguridad se convierta en la nueva ventaja competitiva de las empresas del continente.
Agencia Europea de Ciberseguridad
La estrategia diseñada por la Comisión abarca varios frentes. Se pretende robustecer la resiliencia ante los ciberataques y desarrollar una estrategia de ciberdisuasión a escala de la UE y una respuesta penal efectiva, a fin de proteger mejor a los ciudadanos, las empresas y las instituciones públicas de Europa que responda tanto a la delincuencia basada en el secuestro de archivos como al uso de las ciberherramientas por parte de los Estados para sus fines geopolíticos.
La principal de las propuestas de Bruselas, la Agencia Europea de Ciberseguridad, se basará en la actual Agencia de Seguridad de las Redes y de la Información de la Unión Europea (Enisa) y recibirá un mandato permanente para ayudar a los Estados miembros a prevenir y responder con eficacia a los ciberataques.
Entre los objetivos que se persiguen con su creación se encuentra mejorar la capacidad de reacción de la UE mediante la organización anual de ejercicios paneuropeos de ciberseguridad y la mejor puesta en común de la información y la inteligencia sobre las amenazas a través de la creación de centros de intercambio de información y análisis. Asimismo, contribuirá a la aplicación de la Directiva sobre la seguridad de las redes y sistemas de información, que contiene obligaciones de notificación a las autoridades nacionales en caso de incidentes graves.
Asimismo, la Agencia de Ciberseguridad ayudará al establecimiento y aplicación del marco de certificación a escala de la UE que propone la Comisión para garantizar que los productos y servicios sean “ciberseguros”. Tal y como explica el ejecutivo comunitario, del mismo modo que los consumidores pueden confiar en lo que comen gracias al etiquetado de alimentos de la UE, el certificado europeo de ciberseguridad asegurará la fiabilidad de miles de millones de dispositivos con los que se manejan infraestructuras fundamentales de nuestro tiempo, como las redes de energía y transporte, pero también de nuevos dispositivos destinados a los consumidores, como los automóviles conectados.
La intención es que los certificados de ciberseguridad serán reconocidos en todos los Estados miembros, con lo que se reducirán los trámites administrativos y los costes para las empresas.
Un centro europeo de investigación
Junto con la Agencia de Ciberseguridad y el certificado, Bruselas también quiere dotarse de instrumentos que le permitan velar por que las herramientas tecnológicas para luchar contra la ciberdelincuencia no obstaculicen el desarrollo de la economía digital.
Entre las propuestas, se incluye un Plan rector para que Europa y los Estados respondan como mayor rapidez El Ejecutivo comunitario quiere aumentar la cooperación internacional en la respuesta a los ciberataques
En este bloque de propuestas aparece la creación de un centro europeo de investigación y competencias en materia de ciberseguridad, un proyecto piloto que se pondrá en marcha en 2018 y que colaborará con los Estados miembros para desarrollar y desplegar las herramientas y tecnologías necesarias para hacer frente a una amenaza “en constante cambio”. La Comisión aspira, según explica, a que las defensas contra los ciberataques sean “tan punteras como las armas que utilizan los ciberdelincuentes”.
Asimismo, se pondrá en marcha un Plan rector para que Europa y los Estados miembros puedan responder rápidamente, con operatividad y al unísono cuando se produzca un ciberataque a gran escala. El procedimiento propuesto, establecido en una Recomendación, pide a los Estados miembros y a las instituciones de la UE que definan un marco de respuesta a las crisis de ciberseguridad europeas para que el Plan rector sea operativo y, posteriormente, que sea puesto a prueba periódicamente en ejercicios de gestión de crisis, tanto cibernéticas como de otros tipos.
Mayor solidaridad
En aras de aumentar la solidaridad entre los Estados miembros, la UE plantea, en un futuro, estudiar la creación de un Fondo de Respuesta en casos de Emergencia de Ciberseguridad para aquellos Estados miembros que hubiesen puesto en marcha de forma diligente todas las medidas exigidas por el Derecho de la UE. Este mecanismo facilitaría ayuda de emergencia a los Estados miembros, de un modo similar al Mecanismo de Protección Civil de la UE, que se moviliza para ofrecer apoyo en los casos de incendios forestales o catástrofes naturales.
El conjunto de líneas presentadas también contempla potenciar que los Estados impulsen unas capacidades de ciberdefensa más sólidas. Así, se les animar a incluir la protección contra la criminalidad en la red en el marco de la cooperación estructurada permanente y el Fondo Europeo de Defensa –esto garantizaría el apoyo a proyectos en materia de ciberdefensa–.
Para resolver el déficit de competencias en la materia, la UE creará en 2018 una plataforma de formación y educación en ciberdefensa. Además, la UE y la OTAN fomentarán de forma conjunta la cooperación en materia de investigación e innovación sobre ciberdefensa y se reforzará la cooperación con la Alianza Atlántica, especialmente la participación en ejercicios paralelos y coordinados.
Otra de las intenciones del Ejecutivo comunitario es aumentar la cooperación internacional en la respuesta a los ciberataques, mediante la aplicación del Marco para una respuesta diplomática conjunta de la UE “a las actividades informáticas malintencionadas, marco estratégico de prevención de conflictos y aumento de la estabilidad en el ciberespacio”. Esta iniciativa será acompañada de nuevos esfuerzos de ampliación de la cibercapacidad para ayudar a los terceros países a hacer frente a las ciberamenazas.
Por una respuesta penal “eficaz”
La Comisión es consciente de que la respuesta policial y judicial más eficaz, centrada en la detención, el rastreo y la persecución de los ciberdelincuentes es fundamental para desincentivar la comisión de los delitos informáticos. En esta dirección, la iniciativa va encaminada a reforzar la disuasión con nuevas medidas de lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo.
La propuesta de Directiva reforzará la capacidad de las autoridades judiciales y policiales para luchar contra esta forma de delincuencia ampliando el alcance de las infracciones relativas a los sistemas de información a todas las operaciones de pago, incluidas las operaciones con monedas virtuales. La nueva regulación también introducirá normas comunes en relación con las sanciones aplicables y aclarará a qué supuestos se extiende la jurisdicción de los Estados miembros en este tipo de infracciones.
Con el fin de potenciar la investigación y el enjuiciamiento efectivos de la delincuencia favorecida por el entorno cibernético, la Comisión también presentará propuestas a principios de 2018 para facilitar el acceso transfronterizo a las pruebas electrónicas. Por otro lado, la hará públicas en octubre sus reflexiones sobre la importancia del cifrado en las investigaciones de tipo penal.
El 90% ya la considera un desafío
Según cifras recientes, las amenazas digitales evolucionan han evolucionado con mucha rapidez y los ciudadanos ya perciben la delincuencia como uno de los grandes peligros de nuestro tiempo.
Así, los ataques con programas de secuestro de archivos han aumentado un 300 por ciento desde 2015 y el impacto económico de la ciberdelincuencia se ha multiplicado por cinco entre 2013 y 2017, y todavía podría cuadruplicarse de aquí a 2019, según los estudios. En este sentido, casi el 90 por ciento de los europeos considera la ciberdelincuencia como un importante desafío para la seguridad interior de la UE.
La Agenda Europea de Seguridad y la revisión intermedia de la Estrategia para el Mercado Único Digital guían la actividad de la Comisión Europea en este ámbito, ya que exponen las principales medidas de refuerzo de la ciberseguridad.
El paquete de líneas de actuación presentado por el Ejecutivo comunitario no sólo complementan las normas en vigor, sino que además colma los resquicios que la evolución de la amenaza ha abierto desde la adopción de la Estrategia de Ciberseguridad de la UE de 2013, atendiendo con ello la prioridad esencial de garantizar la seguridad interior con arreglo a la Declaración y la Hoja de Ruta de Bratislava.
Beneficios de la certificación en el mercado europeo
SISTEMAS EXISTENTES
En la actualidad existen en la UE una serie de sistemas de certificación de seguridad para los productos relacionados con las Tecnologías de la Información y la Comunicación (TIC), como la ‘Certification Sécuritaire de Premier Niveau’ en Francia o la ‘Producto Assurance’ del Reino Unido. Bruselas considera que, si bien esas iniciativas confirman la importancia de la certificación, existe el riesgo de que la aparición de nuevos certificados obstaculice el mercado único.
MARCO DE CERTIFICACIÓN
Los medidores actuales requieren procesos de certificación separados en Francia, Reino Unido y Alemania. Según explica la Comisión, una certificación única no funcionaría para gran parte de productos y servicios, por ello propone un marco europeo de certificación de la seguridad cibernética, que produciría descripciones claras de los requisitos de seguridad que deben cumplir los productos, sistemas o servicios cubiertos. Los certificados resultantes serán reconocidos en todos los Estados miembros.