Ciberterrorismo: la respuesta de la Unin Europea en el mbito de las infraestructuras crticas

Mnica Olvera
Visin general de los diversos esfuerzos realizados por la Unin Europea relacionados con la ciberseguridad y sus focos de actuacin Red SAFE WORLD 17/10/2011

REA DE SEGURIDAD Y DEFENSA / DOCUMENTO N 201

Objetivos del presente trabajo:

Contextualizar

el

Programa

Europeo

de

Proteccin

de

las

Infraestructuras Crticas

Presentar el Programa Europeo de Proteccin de las Infraestructuras Crticas

Presentar el programa europeo de Proteccin de Infraestructuras Crticas de la Informacin

1. INTRODUCCIN

Desde hace largo tiempo, la UE viene realizando diversos esfuerzos relacionados con la Ciberseguridad. Del estudio de los mismos hemos diferenciado dos focos de actuacin referidos a la Proteccin de

Infraestructuras Crticas, por un lado, y a la mejora de la proteccin de los sistemas de informacin y lucha contra el ciberdelito, por otro.

En este trabajo vamos a presentar una visin general de estos esfuerzos. Para ello, expondremos algunos documentos relacionados con la mejora de los sistemas de informacin y lucha contra el ciberdelito; y estudiaremos los textos por los que se desarrolla el programa europeo de proteccin de las infraestructuras crticas y los referidos a las infraestructuras de informacin.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

2. CONTEXTO NORMATIVO

La UE en el deseo de que Europa sea un espacio consolidado de libertad, seguridad y justicia, como reiteradamente expresa en los Programas de Tampere (1999-2004), La Haya (2004-2009) y Estocolmo (2009-2014), establece como objetivos estratgicos la lucha contra el terrorismo, delincuencia informtica y delincuencia organizada, y la aproximacin del Derecho Penal material.

Son muchas las acciones emprendidas por la Unin a este respecto. En este apartado vamos a hacer mencin a aqullas que nos parecen ms significativas en relacin a la ciberseguridad y/o infraestructuras crticas.

En la Posicin Comn del Consejo de 27 de diciembre de 2001, sobre la aplicacin de medidas especficas de lucha contra el terrorismo, los pases de la UE alcanzan un consenso para definir diferentes trminos en materia de terrorismo, como interviniente en un acto terrorista, grupo terrorista, grupo estructurado o acto terrorista.

Se define acto terrorista como aqul acto intencionado o amenaza, que por su
naturaleza o su contexto, pueda perjudicar gravemente a un pas o a una organizacin internacional, siendo tipificado como delito segn el Derecho nacional, cometido con el fin deDesestabilizar gravemente o destruir las estructuras polticas fundamentales, constitucionales, econmicas o sociales de un pas o de una organizacin internacional, entre las que se encuentran: Causar destrucciones masivas a un gobierno o a instalaciones o pblicas, sistemas de transportes, infraestructuras, incluidos los sistemas de

informacin, plataformas fijas, emplazadas en la plataforma continental, lugares, pblicos, o propiedades privadas que puedan poner en peligro vidas humanas o producir un gran perjuicio econmico. Apoderamiento de aeronaves y de buques o de otros medios de transporte colectivo o de mercancas. Perturbacin o interrupcin del suministro de agua, electricidad u otro recurso natural fundamental cuyo efecto sea poner en peligro vidas humanas

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

La Decisin del Consejo de 28 de febrero de 2002 por la que se crea Eurojust, para reforzar la lucha contra las formas graves de delincuencia, con el objetivo de mejorar la cooperacin judicial entre los Estados miembros y con competencias en delincuencia informtica y participacin en organizacin delictiva, entre otras.

La Decisin Marco del Consejo 13 de junio de 2002, sobre la lucha contra el terrorismo, dicta en su artculo 1 que todos los Estados miembros adopten las medidas necesarias para que se consideren delitos de terrorismo un conjunto de actos intencionados tipificados como delitos segn los respectivos Derechos nacionales, cuando su autor los cometa o amenace hacerlo, con el fin de:
desestabilizar gravemente o destruir las estructuras fundamentales polticas, constitucionales, econmicas o sociales de un pas o de una organizacin internacional, entre las que se encuentran: destrucciones masivas en instalaciones gubernamentales o pblicas, sistemas de transporte, infraestructuras, incluidos los sistemas informticos, plataformas fijas emplazadas en la plataforma continental, lugares pblicos, o propiedades privada, que puedan poner en peligro vidas humanas o producir un gran perjuicio econmico; perturbacin o interrupcin del suministro de agua, electricidad u otro recurso natural fundamental cuyo efecto sea poner en peligro vidas humanas

Asimismo se tipifican la induccin o la complicidad para cometer un delito, como delitos, al igual que otros tipos de conductas ligadas a las actividades terroristas. Tambin se alcanza consenso en las sanciones relativas a estos delitos.

Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004 por el que se crea la Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA).

Entre todas sus funciones destacamos: Analizar riesgos actuales y emergentes que puedan poner en peligro la resistencia y disponibilidad de las redes de comunicacin electrnicas.
Mnica Olvera www.redsafeworld.net RSW-Documento 201

Mejorar la cooperacin entre los agentes que operan en el campo de seguridad de los redes y de la informacin.

Asistir a la Comisin y a los Estados miembros en su dilogo con el sector industrial para hacer frente a los problemas relacionados con la seguridad en los equipos y programas informticos.

Promover

actividades

de

evaluacin

de

riesgos,

soluciones

interoperables de gestin del riesgo y estudios sobre soluciones de gestin de la prevencin dentro de las organizaciones de los sectores pblico y privado.

La Decisin Marco del Consejo de 24 de Febrero de 2005 relativa a los ataques contra los sistemas de informacin. Motivada por la existencia de ataques contra los sistemas de informacin, en particular como consecuencia de la amenaza de la delincuencia organizada, y debido a la creciente inquietud ante la posibilidad de ataques terroristas contra sistemas de informacin que forman parte de infraestructuras vitales de los Estados miembros, dicta que cada Estado miembro adopte las medidas necesarias para que el acceso intencionado y sin autorizacin al conjunto o a una parte de un sistema de informacin, la intromisin no autorizada e intencionada en los sistemas de informacin interrumpiendo de forma significativa su funcionamiento y el acto intencionado y no autorizado de intromisin ilegal en los datos de un sistema informtico, sean considerados infracciones penales. De igual manera se procede con los actos de induccin, complicidad y tentativa.

Para ello define sistema informtico, datos informticos, persona jurdica y sin autorizacin.

Tambin se alcanza consenso en las sanciones relativas a estas infracciones.

La Decisin Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha contra la delincuencia organizada, en su artculo 2 dicta que todos los Estados miembros adopten las medidas necesarias para tipificar como delito una serie de conductas relacionadas con una organizacin delictiva. Para ello, define

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

organizacin delictiva y asociacin estructurada. Tambin se alcanza consenso en las sanciones relativas a estos delitos.

La Decisin Marco delConsejo de 28 de Noviembre de 2008, por la que se modifica la Decisin Marco 2002/475/JAI sobre la lucha contra el terrorismo. Motivada por la aparicin de clulas terroristas no estructuradas, no jerrquicas, semiautnomas y ligadas entre ellas en red, que recurren a las nuevas tecnologas para comunicarse, captar nuevos miembros y movilizarse, introduce a efectos de la anterior Decisin Marco, la inclusin de las definiciones provocacin a la comisin de un delito de terrorismo, captacin de terrorismo y adiestramiento de terroristas. Ordena a los Estados miembro adopten las medidas necesarias para incluir una serie de actos dolosos como delitos ligados a actividades terroristas, as como tipificar como delito la complicidad, induccin y tentativa a cometer un delito contemplado en el nuevo articulado desarrollado por esta decisin marco.

En el Informe Ofrecer seguridad en un mundo en evolucin de 11 de Diciembre de 2008, sobre la aplicacin de la Estrategia Europea de Seguridad de 2003, se hace mencin a la dependencia que presentan las economas modernas de infraestructuras vitales como los transportes, las comunicaciones y el suministro de energa, e igualmente de internet. Se recuerda la referencia hecha a la delincuencia basada en Internet en la Estrategia de la UE de 2006, relativa a una sociedad de la informacin segura en Europa, y cmo los ataques contra sistemas de tecnologas de la informacin privados o gubernamentales en los Estados miembros de la UE, han dado una nueva dimensin a este problema, en calidad de posible nueva arma econmica, poltica y militar.

En la Comunicacin de la Comisin al Parlamento Europeo y al Consejo de 22 de Noviembre de 2010, La Estrategia de Seguridad Interior de la UE en accin: cinco medidas para una Europa, se proponen cinco objetivos estratgicos a lograr entre 2011 y 2014, con sus correspondientes lneas de accin. Destacamos entre ellos, desarticular las redes de delincuencia organizada internacional, prevenir el terrorismo y abordar su captacin y
Mnica Olvera www.redsafeworld.net RSW-Documento 201

radicalizacin, aumentar los niveles de seguridad de las empresas y ciudadanos en el ciberespacio. En este sentido la UE expresa el deber de seguir definiendo las infraestructuras crticas y aplicando planes destinados a proteger aquellos sectores que, como los servicios pblicos y la generacin y transporte de energa, son fundamentales para el funcionamiento de la sociedad y la economa.

3. PROGRAMA EUROPEO DE PROTECCIN DE INFRAESTRUCTURAS CRTICAS

La creacin del Programa Europeo de Proteccin de Infraestructuras Crticas se desarroll en varias fases. En este apartado vamos a exponer los documentos que integran dichas fases, as como el propio programa.

Comunicacin del Consejo de la Unin Europea de 18 de junio de 2004. En este documento el Consejo Europeo analiza los progresos realizados en varios mbitos y establece una serie de directrices para el futuro desarrollo de las polticas correspondientes a esos mbitos.

Respecto a la creacin de un espacio de libertad, seguridad y justicia, y una de sus principales amenazas, el terrorismo, expresa, entre otras: Su recuerdo de los atentados con explosivos de Madrid. Su determinacin de combatir sin tregua y de manera generalizada la amenazaterrorista. La necesidad de evaluar las capacidades de los Estados miembros para prevenir y hacer frente a las consecuencias de cualquier tipo de atentado terrorista. Su peticin de elaborar una estrategia global de mejora de la

proteccin de infraestructuras esenciales.

Comunicacin de la Comisin al Consejo y al Parlamento Europeo de 20 de Octubre de 2004, sobre proteccin de las infraestructuras crticas en la lucha contra el terrorismo.
Mnica Olvera www.redsafeworld.net RSW-Documento 201

Esta Comunicacin de la Comisin forma parte de una serie de cuatro comunicaciones destinada a intensificar la lucha de la UE contra el terrorismo. Responde a la peticin del 18 de Octubre de 2004 de elaborar una estrategia global de mejora de la proteccin de infraestructuras esenciales. En este documento la Unin: Expresa la necesidad de proteger determinadas infraestructuras de ataques terroristas: o Enumerando algunas de las consecuencias que este ataque podra tener en dichas infraestructuras o en los industriales de control de las mismas. o Expresando la gravedad de las consecuencias de un sistemas

ataquecombinado fsico y ciberntico sobre ellas; Define el concepto de infraestructura crtica (IC) como:
Aquellas instalaciones, redes, servicios y equipos fsicos y de tecnologa de la informacin cuya interrupcin o destruccin tendra un impacto mayor en la salud, la seguridad o el bienestar econmico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros;

Clasifica las IC segn dos criterios: o Atendiendo a su propiedad o gestin, en pblicas y privadas. o Atendiendo a criterio sectorial se diferencian: Centrales y redes de energa Tecnologas de las comunicaciones y la informacin Finanzas Salud Alimentacin Agua Transporte Produccin, almacenamiento y transporte de mercancas peligrosas Estado

Es consciente de que las infraestructuras crticas europeas (ICE) estn muy interconectadas y son sumamente interdependientes. Dependen de tecnologas de la informacin como Internet y la radionavegacin y la

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

comunicacin por satlite. Estos hechos las hacen muy vulnerables, en particular, a ataques ciberterroristas. Considera que las IC debern ser definidas a nivel de los Estados miembros. Considera que para gestionar la seguridad de las infraestructuras crticas es necesario que cada Estado miembro: o Identifique las estructuras que son crticas, segn frmula armonizada a nivel UE, as como los organismos o personas responsables de su seguridad o Potencie una asociacin firme y cooperativa entre los propietarios y gestores de infraestructuras crticas y las autoridades estatales correspondientes. o Cree un sistema de alertas de riesgos o amenazas especficos de ataques terroristas. o Permita inspecciones independientes realizadas por la Comisin. Reconoce la imposibilidad de proteger todas las IC a travs de medidas europeas. Por eso centra su esfuerzo en proteger aquellas

infraestructuras que tienen efectos transfronterizos y deja las dems a la entera responsabilidad de los Estados miembro aunque en un marco comn. Considera que es necesario crear una red de informacin sobre alertas en IC, la CIWIN, que agrupe a los especialistas de los Estados miembros de la UE en materia de proteccin de infraestructuras crticas. Considera que las fuerzas del orden y de proteccin civil de los Estados miembros deben integrar el PEPIC en sus tareas de planificacin e informacin.

Libro Verde de 17 de Noviembre de 2005, sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas. El Libro Verde constituye la segunda fase del proceso de consulta con vistas al Programa Europeo de Proteccin de Infraestructuras Crticas. Destacar los siguientes aspectos del mismo:

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

Define las Infraestructuras Crticas de Informacin (ICI), como sistemas TIC que son IC por s mismos, o que son esenciales para la operatividad de otras IC, como Internet, satlites, telecomunicaciones,

ordenadores/software, etc. Establece los sectores y subsectores estratgicos sobre los que las infraestructuras crticas se apoyan. Establece como subsectores estratgicos asociados a las TIC, Internet y los sistemas de control, mencionando los SCADA.

Comunicacin de la Comisin de 12 de Diciembre de 2006 sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas En este documento se establecen los principios y el Plan marco propuestos para llevar a la prctica el PEPIC. Los principios que regirn la aplicacin del PEPIC son: o Subsidiariedad o Complementariedad El PEPIC complementar las medidas sectoriales eficaces existentes y se basar en ellas, ya sean a nivel de la UE, nacional o regional. o Confidencialidad o Cooperacin de los agentes interesados Esto es, dueos/operadores de las ICE, autoridades pblicas y rganos pertinentes participarn en el desarrollo y aplicacin del PEPIC. o Proporcionalidad Analizados los fallos de seguridad existentes y detectada la necesidad subyacente, se propondrn medidas que sern proporcionales al nivel de riesgo y al tipo de amenaza de cada caso. o Planteamiento por sectores El PEPIC crea un Plan Marco que consta de: o Una Directiva sobre la identificacin y designacin de las ICE y la evaluacin de las necesidades de mejora para su proteccin.
Mnica Olvera www.redsafeworld.net RSW-Documento 201

o Medidas que facilitan su aplicacin, que incluyen: Plan de accin del PEPIC, relativo a sus aspectos estratgicos y medidas horizontales, ICE y apoyo a los Estados miembros en sus actividades relacionadas con IC nacionales. La creacin de CIWIN, complementaria de redes

existentes, de intercambio de buenas prcticas. La creacin de un grupo de expertos en PIC a nivel de la UE, para abordar problemas especficos al respecto y facilitar del dilogo entre los mbitos pblico y privado sobre PIC. Procedimientos para compartir informacin sobre PIC Identificacin y anlisis de interdependencias de las ICE o Apoyo a los Estados miembro relativo al enfoque bsico requerido para la identificacin de las IC nacionales, entre otros. Se anima a cada estado a establecer su programa nacional de PIC. o Planes de intervencin Que minimicen los posibles efectos de una interrupcin o una destruccin de la IC. o Dimensin exterior Relativo al efecto que en los pases de la UE y/o en la propia Unin, pudiera tener la materializacin de la amenaza a las IC, sean europeas o no. En lo referente a las Infraestructuras Crticas Nacionales (ICN): o La responsabilidad de la proteccin de las mismas recae sobre dueos/operadores de la ICN de los Estados miembro. En lo referente a la dimensin exterior del PEPIC: o Considera que la destruccin o interrupcin de una IC en la UE puede producir un efecto perjudicial en los socios de la UE. o Afirma que avanzar en la proteccin de la ICE contribuye al crecimiento de la competitividad econmica de la UE. o Concluye que reforzar la cooperacin en PIC ms all de la UE mediante medidas tales como memorandos de acuerdo

especficos sectoriales y fomentar el aumento de los niveles de

Mnica Olvera www.redsafeworld.net RSW-Documento 201

PIC fuera de la UE, deberan constituir elementos importantes del PEPIC.

Directiva del Consejo de 8 de diciembre de 2008, sobre la identificacin y designacin de infraestructuras crticas europeas y la evaluacin de la necesidad de mejorar su proteccin. Este documento establece un procedimiento de identificacin y designacin de las ICE relativas a los sectores energticos y de transportes, y un planteamiento comn para evaluar la necesidad de mejorar su proteccin. Anticipa la necesidad de incluir en un futuro prximo el sector TIC. A efectos de esta Directiva, define: o Infraestructura crtica
Elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad fsica, la seguridad, y el bienestar social y econmico de la poblacin y cuya perturbacin o destruccin afectara gravemente a un Estado miembro al no poder mantener esas funciones.

o Infraestructura crtica europea o ICE

Infraestructura crtica situada en los Estados miembros cuya perturbacindestruccin afectara gravemente al menos a dos Estados miembros

o Proteccin o Propietarios u operadores de infraestructuras crticas europeas

Entidades responsables de las inversiones en, o del funcionamiento diario de, un elemento, sistema o parte del mismo concreto, designado como ICE con arreglo a la presente Directiva

Respecto a la identificacin de las ICE establece que: o Cada Estado miembro identificar sus ICE potenciales. o Una infraestructura dada ser ICE si, adems de responder a las anteriores definiciones de IC e ICE, se ajusta a una serie de criterios horizontales y sectoriales, que deben incluir

respectivamente:

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

 La gravedad de las repercusiones de la perturbacin o destruccin de la infraestructura concreta, en funcin del nmero de vctimas, impacto econmico e impacto pblico. Las caractersticas de los diferentes sectores de las ICE Respecto a la designacin de las ICE establece que: o Cada Estado miembro informar a los dems Estados miembro que puedan verse afectados de forma significativa por una ICE potencial de la identidad de esta y de las razones para designarla como tal. o El Estado miembro en cuyo territorio se encuentre una ICE potencial entablar conversaciones con los dems Estados miembros que puedan verse afectados de forma significativa por ella. o El Estado miembro que tenga motivos para creer que puede verse afectado de forma significativa por una ICE potencial que no haya sido identificada como tal an, por el Estado miembro en el que se encuentre, podr informar a la Comisin sobre su deseo de iniciar conversaciones al respecto. o El Estado miembro en cuyo territorio se encuentre una ICE potencial la designar como ICE previo acuerdo con los Estados miembros que pueden verse afectados de forma significativa. o Slo los Estados miembros que pueden verse afectados de forma significativa por una ICE conocern su identidad. o Los Estados miembros en cuyo territorio se encuentre una ICE informarn al propietario u operador de dicha infraestructura de la designacin de esta como ICE. Respecto a los Planes de seguridad del operador establece que: o En todas las ICE deben existir planes de seguridad del operador o medidas equivalentes, atendiendo a criterios unificados. o El plan de seguridad del operador, PSO, identificar los elementos infraestructurales crticos de las ICE y las soluciones de seguridad para su proteccin segn procedimiento

especificado.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

o Cada Estado miembro valorar si cada ICE que se encuentre en su territorio dispone de un PSO o equivalente. Respecto a los responsables de enlace para la seguridad establece que: o Cada Estado miembro debe evaluar si los propietarios u operadores de las ICE cuentan con un responsable de enlace para la seguridad o equivalente. Estos responsables de seguridad actan de nexo entre la ICE y la autoridad nacional responsable en materia PIC. o Cada Estado miembro elegir el mecanismo de comunicacin que considere oportuno entre el responsable de enlace para la seguridad y la autoridad nacional referida. Respecto a los puntos de contacto para la proteccin de las ICE establece que: Cada Estado miembro designar un punto de contacto para la proteccin de las ICE, que coordinar las cuestiones relativas a la proteccin de las ICE en el propio Estado miembro, con los dems Estados miembros con la Comisin. Expresa la importancia y obligacin de que propietarios u operadores de ICE tengan acceso a las mejoras prcticas y mtodos de proteccin de IC, esencialmente a travs de las autoridades competentes de los Estados miembros. Expresa la necesidad de hacer copartcipe al sector privado en la planificacin de la continuidad de las actividades y en la recuperacin despus de una catstrofe, dada la experiencia de dicho sector en el control y gestin de riesgos, en la planificacin de la continuidad de las actividades y en la recuperacin despus de una catstrofe 4. PROTECCIN DE INFRAESTRUCTURAS CRTICAS DE INFORMACIN.

Hasta el momento se desarrolla mediante el documento que presentamos a continuacin. Seguidamente estudiaremos otra Comunicacin en la que se exponen los logros obtenidos y las medidas a seguir en el futuro.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de las Regiones, de 30 de Marzo de 2009, sobre proteccin de infraestructuras crticas de informacin Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparacin, seguridad y resistencia Este documento en su Contextualizacin expresa: Estar enmarcado en el PEPIC. Apoyar los principios del G8 sobre proteccin de infraestructuras crticas de la informacin, la Resolucin 58/199 de la Asamblea General de la ONU Creacin de una cultura mundial de seguridad ciberntica y proteccin de infraestructuras de informacin esenciales y la

Recomendacin de la OCDE sobre la proteccin de infraestructuras crticas de informacin.

Aborda el problema de las TIC, siguiendo el siguiente esquema: Importancia de las TIC en la sociedad, amenazas a su seguridad y fortalecimiento de la seguridad y resistencia de las ICI como primera lnea de actuacin. Importancia de las TIC en la sociedad o Para las empresas, porque son un componente fundamental de la innovacin. o Para los gobiernos y administraciones pblicas, porque han desarrollado una nueva forma de gestin y comunicacin ciudadana basada en la administracin electrnica a todos los niveles. o Para los ciudadanos, porque las utilizan cada vez ms en sus actividades diarias. Amenazas a la seguridad de las TIC Bsicamente los ciberataques. La gran dependencia de las ICI, su interconexin transfronteriza y su interdependencia de otras

infraestructuras y su vulnerabilidad hacen que aumente la necesidad de abordar la seguridad y resistencia como primera lnea de defensa contra fallos y ataques. Fortalecimiento de la seguridad y resistencia de las TIC

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

Es claro que ningn interesado tiene los medios por s solo para garantizar la seguridad y resistencia de todas las infraestructuras TIC y asumir todas las responsabilidades que llevan asociadas. Es por tanto una responsabilidad compartida. Este hecho lleva consigo diversos problemas de gran importancia: o Al establecer cada Estado miembro, en funcin de sus conocimientos, preparacin y metodologa, sus propias medidas y regmenes para garantizar la seguridad y resistencia de las ICI, la mayora de las veces los planteamientos nacionales son muy desiguales y estn descoordinados, generando la consiguiente vulnerabilidad y riesgo debido la interconexin de las ICI. o Al depender la aplicacin de las polticas relacionadas con las ICI de la intervencin del sector privado, y al no ofrecer siempre los mercados incentivos suficientes para que dicho sector invierta en la proteccin de las ICI al nivel que los gobiernos exigiran normalmente, aparece un problema de gobernanza. o La capacidad a nivel europea, de alerta temprana y de respuesta a los incidentes es limitada: La cooperacin entre los Estados miembros y el intercambio entre ellos de datos fidedignos y utilizables sobre incidentes de seguridad est poco desarrollada; los ejercicios de ciberseguridad en la UE estn en fase embrionaria y los que implican saltar las fronteras nacionales son muy limitados. Es necesario disponer de equipos nacionales o gubernamentales de respuesta a incidentes de seguridad de la informacin (CERT) que dispongan de una base comn en trminos de capacidad, y que participen en la cooperacin transfronteriza y en el intercambio de informacin. o El uso de Internet est tan extendido, que es necesario poner a prueba su capacidad de resistir perturbaciones y ciberataques. Sin embargo, no existe consenso en la eleccin del carcter crtico de los elementos que componen Internet con la consiguiente dificultad de establecer medidas de prevencin, preparacin y capacidad de recuperacin del mismo respecto a las amenazas posibles.
Mnica Olvera www.redsafeworld.net RSW-Documento 201

Finalmente plantea el diseo de la solucin al problema planteado centrndose en 3 necesidades y cinco pilares para hacerles frente. Es necesario: Reforzar los instrumentos de cooperacin existentes, incluida la ENISA, y crear nuevas herramientas. Comprender en profundidad el entorno y las limitaciones Actuar rpidamente en la toma de medidas resolutivas

La respuesta a estas necesidades se basa en: Preparacin y prevencin, mediante: o La definicin, va ENISA, de un nivel mnimo de capacidades y servicios para los CERT1 nacionales o gubernamentales y operaciones de respuesta a los incidentes. o La garanta de que los CERT nacionales o gubernamentales son componentes fundamentales de la capacidad nacional de preparacin, respuesta. o El fomento de la cooperacin entre los sectores pblico y privado sobre objetivos de seguridad y resistencia, requisitos bsicos, buenas prcticas normativas y medidas. o El establecimiento de un foro Europeo de intercambio de informacin y buenas prcticas normativas de seguridad y resistencia de las ICI. Deteccin y respuesta, mediante: La creacin de un sistema europeo de intercambio de informacin y alerta (EISAS). Mitigacin y recuperacin mediante: o La elaboracin de planes nacionales de contingencia o La organizacin nacional de ejercicios peridicos de respuesta ante incidentes de gran escala de seguridad de las redes y de recuperacin de desastres. intercambio de informacin, coordinacin y

Equipos de respuesta ante incidentes informticos

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

o La realizacin de ejercicios paneuropeos de incidentes de la seguridad de Internet. o Mayor cooperacin entre CERT nacionales o gubernamentales. Cooperacin Internacional mediante: o La organizacin de un debate europeo sobre la resistencia y estabilidad de Internet a largo plazo. o El establecimiento de principios y directrices sobre resistencia y estabilidad de Internet a nivel europeo y mundial. o Ejercicios mundiales sobre recuperacin y mitigacin de

incidentes a gran escala de Internet. Criterios para el sector de las TIC

Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de las Regiones, del 31 de Marzo de 2011, sobre la proteccin de infraestructuras crticas de informacin Logros y prximas etapas: hacia la ciberseguridad global Este documento presenta una clasificacin de la amenaza ciberntica as como los logros obtenidos en la ejecucin de las medidas propuestas en la Comunicacin PICI anterior y posteriores lneas de actuacin.

La clasificacin de la amenaza se hace en funcin del fin que se persigue. Se habla entonces de: Fin de explotacin, como son los casos de espionaje econmico y poltico, robos de identidad, ataques contra los sistemas TIC de los estados, etc. Fin de perturbacin, como la denegacin de servicio distribuido, el spam generado va botnets, Stuxnet, el corte de los medios de comunicacin, etc. Fin de destruccin. Esta posibilidad no se ha materializado todava,

pero vista la presencia creciente de las TIC en las IC no cabe descartar en los prximos aos.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

Respecto a los logros obtenidos en la ejecucin del plan de accin PICI, destacamos que, en lo relativo a: Preparacin y Prevencin o ENISA y CERT desarrollaron y aprobaron un conjunto mnimo de capacidades y servicios de referencia que deben poseer los CERT nacionales/gubernamentales para poder funcionar

eficazmente en cooperacin paneuropea. o Hasta la fecha 20 Estados miembros han desarrollado CERT nacionales/gubernamentales y casi todos tienen previsto hacerlo. o Se crea la asociacin pblico-privada europea de resistencia, EP3R, con el objetivo de constituir un marco de gobernanza europea para la resistencia de las infraestructuras de TIC y fomentar la cooperacin entre sector pblico y privado en materia de seguridad, resistencia, buenas prcticas y medidas

recomendadas. o Se crea el Foro Europeo de Estados miembros, EFMS, para fomentar el debate y el intercambio entre autoridades pblicas en materia de buenas prcticas y de compartir objetivos y prioridades polticas en materia de seguridad y resistencia de la

infraestructura de TIC. o El EFMS ha fijado los criterios identificativos de las

infraestructuras europeas de las TIC; ha determinado las prioridades, principios y directrices para la resistencia y estabilidad de Internet; ha intercambiado buenas prcticas en materia de ciberejercicios. Deteccin y Respuesta La Comisin ha financiado dos prototipos de EISAS, FISHAS y NEISAS, cuyo resultado final se est estudiando actualmente. Mitigacin y recuperacin o 12 Estados miembros han desarrollado un plan nacional de contingencia u organizado ejercicios de respuesta ante incidentes a gran escala de seguridad de las redes y de recuperacin en caso de catstrofes.
Mnica Olvera www.redsafeworld.net RSW-Documento 201

o Partiendo de experiencias nacionales e internacionales ENISA elabor una gua de buenas prcticas para ejercicios nacionales, difundi recomendaciones en materia de poltica de desarrollo de estrategias nacionales, entre otras acciones. o Se celebr el primer ejercicio paneuropeo sobre incidentes a gran escala de seguridad de las redes, CyberEurope 2010, con la participacin de todos los Estados miembros. Fue evaluado por ENISA. o La cooperacin entre los CERT nacionales/gubernamentales se ha intensificado a travs de varias acciones, en particular, el trabajo de ENISA sobre las capacidades de estos CERT y la gestin de ciberincidentes por estos mismos. Cooperacin Internacional o Partiendo de los trabajos realizados por el EFMS, se han desarrollado unos principios y directrices europeos sobre resistencias y estabilidad de Internet. o Siete Estados miembros participaron en el ciberejercicio

norteamericano Cyber Storm III como asociados internacionales. La Comisin y ENISA participaron como observadores. Criterios relativos a ICE en el sector de las TIC El EFMS ha establecido un proyecto de criterios aplicables a las comunicaciones mviles y fijas y a Internet.

En referencia a las acciones futuras, resaltaremos en lneas generales: Hacer del EFMS un contertulio en los debates a nivel internacional sobre prioridades en materia de seguridad y resistencia, en relacin con ciberseguridad y ciberdelincuencia. El desarrollo por parte de ENISA de los servicios bsicos que utilizarn los Estados miembros para crear su sistema de intercambio de informacin y alerta (ISAS) a partir de sus CERT. La preparacin de los prximos ciberejercicios paneuropeos.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

La voluntad de debatir y promover las directrices europeas sobre resistencia y estabilidad de Internet en diversos foros: G8, OCDE, Meridian2, UIT3., EEUU, etc.

La

preparacin

de

unos

ciberejercicios

conjuntos/sincronizados

transcontinentales, UE-EEUU. 5. CONCLUSIONES

La UE viene realizando intensos esfuerzos en su lucha contra el terrorismo, la delincuencia organizada y la delincuencia informtica. Ha definido terminologa comn al respecto, creando un marco de referencia compartido que facilita la defensa ante el ciberterrorismo y la persecucin de los delitos de ciberdelincuencia.

Sin embargo no existe una estrategia integral europea especfica en materia de ciberseguridad, entendida sta como un documento que recoja la definicin de capacidades, formas de emplearlas y objetivos perseguidos, en el mbito europeo. No obstante s hay decisiones e iniciativas parciales como bien se refleja en el programa europeo de proteccin de infraestructuras crticas y en el programa de proteccin de infraestructuras TIC.

Estas acciones estn bsicamente orientadas hacia la prevencin de la amenaza, siendo patente la necesidad de mejora de capacidades de respuesta.

Con la finalidad de probar y mejorar estas capacidades, la Unin Europea est realizando ciberejercicios de adiestramiento, tanto a nivel continental, como con los EEUU. Considera importante extender este tipo de ensayos al nivel mundial.

Empresa de desarrollo de TIC

Unin Internacional de Telecomunicaciones; es el organismo especializado de las Naciones Unidas para las tecnologas de la informacin y la comunicacin.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

En un mundo globalizado, la UE es consciente de la necesidad de incrementar la cultura de proteccin de infraestructuras crticas en los pases de su entorno, por las negativas repercusiones de todo tipo que pudieran tener la interrupcin o destruccin del funcionamiento de dichas infraestructuras, sobre ella misma. En consecuencia dedica un esfuerzo considerable a esta cuestin, que gestiona mediante El Instrumento de Estabilidad y la participacin en foros internacionales de debate al respecto.

Asimismo establece programas de intercambio de buenas prcticas en materia de seguridad entre los diferentes Estados miembros, haciendo especial hincapi en el fomento de las mismas en el sector privado.

Por otro lado, los diseos del PEPIC y PICI parecen completos y estructurados; de carcter integrador y multidisciplinar, cualidades que vienen siendo caractersticas del actual enfoque europeo de enfrentamiento y resolucin de crisis.

Por ltimo, resaltar la dependencia de la Unin Europea de las capacidades que tiene el sector privado, a la hora de gestionar la continuidad y recuperacin de las Infraestructuras Crticas en caso de materializacin de la amenaza.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

BIBLIOGRAFA

Posicin Comn del Consejo de 27 de diciembre de 2001, sobre la aplicacin de medidas especficas de lucha contra el terrorismo.

Decisin del Consejo de 28 de febrero de 2002 por la que se crea Eurojust.

Decisin Marco del Consejo 13 de junio de 2002, sobre la lucha contra el terrorismo.

Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004 por el que se crea la Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA).

Decisin Marco del Consejo de 24 de Febrero de 2005 relativa a los ataques contra los sistemas de informacin.

Decisin Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha contra la delincuencia organizada.

Decisin Marco del Consejo de 28 de Noviembre de 2008, por la que se modifica la Decisin Marco 2002/475/JAI sobre la lucha contra el terrorismo.

Informe Ofrecer seguridad en un mundo en evolucin de 11 de Diciembre de 2008, sobre la aplicacin de la Estrategia Europea de Seguridad de 2003.

Comunicacin de la Comisin al Parlamento Europeo y al Consejo de 22 de Noviembre de 2010, La Estrategia de Seguridad Interior de la UE en accin: cinco medidas para una Europa.

Comunicacin del Consejo de la Unin Europea de 18 de junio de 2004.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201

Comunicacin de la Comisin al Consejo y al ParlamentoEuropeo de 20 de Octubre de 2004, sobre proteccin de las infraestructuras crticas en la lucha contra el terrorismo.

Libro Verdede 17 de Noviembre de 2005, sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas.

Comunicacin de la Comisinde 12 de Diciembre de 2006 sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas.

Directiva del Consejode 8 de diciembre de 2008sobre la identificacin y designacin de infraestructuras crticas europeas y la evaluacin de la necesidad de mejorar su proteccin. Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de las Regionesde 30 de Marzo de 2009 sobre proteccin de infraestructuras crticas de informacin Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparacin, seguridad y resistencia.

Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de lasRegiones del 31 de Marzo de 2011 sobre la proteccin de infraestructuras crticas de informacin logros y prximas etapas: hacia la ciberseguridad global.

Mnica Olvera

www.redsafeworld.net

RSW-Documento 201