Las pruebas serán voluntarias y el supervisor nacional elegirá a los bancos participantes. Las entidades afrontarán ataques tecnológicos de terceros en un ciberespacio controlado.
Pasada la crisis financiera, que propició fijar los grandes pilares de la supervisión bancaria europea, apoyados en los test de estrés a las entidades para conocer su capacidad de resistencia para absorber pérdidas en un escenario adverso, el BCE da un paso más y comienza a poner la lupa sobre la ciberseguridad. El supervisor bancario europeo prepara unos nuevos exámenes para las entidades de la zona euro, aún sin fecha de partida, con el objetivo de medir su resistencia y su resilencia ante los ataques cibernéticos.
La aventura se engloba dentro del marco europeo constituido para hacer pruebas controladas denominado TIBER-UE (Threat Intelligence-based Ethical Red Teaming / Inteligencia de amenazas basadas en equipos rojos éticos). El término equipos rojos viene de la dialéctica militar y consiste en un grupo de atacantes con intenciones desconocidas para el contrario, aunque controlado por un tercer jugador neutro que conoce sus objetivos.
De momento, los nuevos test del BCE para la banca serán voluntarios y, en el caso de los países que quieran participar, serán las autoridades supervisoras nacionales, en el caso de España, el Banco de España, quiénes elijan a las entidades que entren en el experimento. No obstante, el supervisor europeo incide en que habrá mayor insistencia hacia la participación de unas determinadas entidades que de otras.
Los participantes en esta caja de pruebas ciberespacial serán cinco: las autoridades responsables de aplicar le marco TIBER-UE, las entidades que sirvan de ratones de laboratorio, los supervisores nacionales y europeos que controlarán el espíritu ético de la prueba, los proveedores de equipos rojos (que serán los que lleven a cabo el ciberataque simulado) y los proveedores externos de información sobre amenazas. El informe del BCE sobre estas pruebas incide en la necesidad y relevancia de que estos últimos sujetos sean externos e independientes porque aportarán una perspectiva fresca y pueden disponer de recursos más avanzados que resulten útiles a las entidades.
Los resultados que se deriven de estas pruebas no supondrán el aprobado o el suspenso de las entidades, sino una fuente de información para conocer los puntos fuertes y débiles de las mismas. Desde mismo modo, también serán útiles para los propios bancos ya que les permitirá autoevaluarse a nivel de personal, tecnología y procesos para proteger, detectar y responder a los ataques.
Cabe destacar que las pruebas también supondrán un coste a las entidades participantes, que tendrán que tomar medidas preparatorias como la obtención de proveedores de servicios adecuados con arreglo a las normas específicas de cada prueba.
Objetivo: mejorar la resistencia cibernética y compartir información para protegerse
El objetivo de estas pruebas es mejorar la resistencia cibernética de los bancos, orientar a las autoridades sobre la forma de establecer, aplicar y gestionar esta forma de ensayo a nivel nacional y europeo y además, crear una colaboración con autoridades transfronterizas para intercambiar resultados.
No obstante, estos ataques cibernéticos controlados no se van a quedar sólo en el entorno de las entidades financieras. La intención de Europa es que estas pruebas también se realicen a agencias de calificación crediticia, bolsas, compañías de seguros, empresas de sistemas de pago, sociedades de gestión de activos o cualquier otro proveedor de servicios considerado críticos para el funcionamiento del sector financiero.
La participación lleva tres pasos: preparación, ataque y fase de cierre
La participación en estos test de ciberseguridad lleva tres fases. La primera etapa consiste en la preparación de la entidad para someterse a la prueba, lo que incluye la adquisición de los servicios necesarios exigidos por el marco TIBER-UE para afrontar el test. La segunda fase es la del ataque, y establece una hoja de ruta para que el equipo rojo se dirija a las zonas más vulnerables con el objetivo de probar la resistencia del banco en un escenario de ruptura del negocio. Finalmente, la última parte, conocida como fase de cierre, incluye la compilación de un informe del equipo rojo sobre las vulnerabilidades encontradas y la forma de remediarlas, un informe de la entidad y un tercero elaborado de manera conjunta.
El BCE recuerda que estas pruebas se realizarán siempre bajo el principio de la confidencialidad y también de la ética en los ciberataques. De hecho, guarda el derecho a que el supervisor competente de cada banco invalide el examen si considera que no se ha realizado desde unos principios honestos.
Hasta el momento, el gran paso dado por Europa en materia de ciberseguridad ha sido la directiva NIS que tiene como objetivo impulsar el desarrollo de las capacidades de seguridad cibernética de los Estados miembro. Uno de los grandes hitos consiste en que las empresas deben reportar a la autoridad nacional los incidentes cibernéticos que detecten con el objetivo de garantizar el intercambio de información y cooperación. España registró 120.000 incidentes el año pasado, 5.000 más que en el ejercicio anterior.