Ciberterrorismo - La respuesta de la Unión Europea en el Ambito de las Infraestructuras Críticas

Ciberterrorismo: la respuesta de la Unión Europea en el ámbito de las infraestructuras críticas Mónica Olvera Visión general de los diversos esfuerzos realizados por la Unión Europea relacionados con la ciberseguridad y sus focos de actuación Red SAFE WORLD

17/10/2011

Mónica Olvera www.redsafeworld.net RSW-Documento 201

ÁREA DE SEGURIDAD Y DEFENSA / DOCUMENTO Nº 201

Objetivos del presente trabajo:

Contextualizar el Programa Europeo de Protección de las Infraestructuras Críticas

Presentar el Programa Europeo de Protección de las Infraestructuras Críticas

Presentar el programa europeo de Protección de Infraestructuras Críticas de la Información

1. INTRODUCCIÓN

Desde hace largo tiempo, la UE viene realizando diversos esfuerzos

relacionados con la Ciberseguridad. Del estudio de los mismos hemos

diferenciado dos focos de actuación referidos a la Protección de

Infraestructuras Críticas, por un lado, y a la mejora de la protección de los

sistemas de información y lucha contra el ciberdelito, por otro.

En este trabajo vamos a presentar una visión general de estos esfuerzos. Para

ello, expondremos algunos documentos relacionados con la mejora de los

sistemas de información y lucha contra el ciberdelito; y estudiaremos los textos

por los que se desarrolla el programa europeo de protección de las

infraestructuras críticas y los referidos a las infraestructuras de información.


2. CONTEXTO NORMATIVO

La UE en el deseo de que Europa sea un espacio consolidado de libertad,

seguridad y justicia, como reiteradamente expresa en los Programas de

Tampere (1999-2004), La Haya (2004-2009) y Estocolmo (2009-2014),

establece como objetivos estratégicos la lucha contra el terrorismo,

delincuencia informática y delincuencia organizada, y la aproximación del

Derecho Penal material.

Son muchas las acciones emprendidas por la Unión a este respecto. En este

apartado vamos a hacer mención a aquéllas que nos parecen más

significativas en relación a la ciberseguridad y/o infraestructuras críticas.

En la Posición Común del Consejo de 27 de diciembre de 2001, sobre la

aplicación de medidas específicas de lucha contra el terrorismo, los países de

la UE alcanzan un consenso para definir diferentes términos en materia de

terrorismo, como interviniente en un acto terrorista, grupo terrorista, grupo

estructurado o acto terrorista.

Se define acto terrorista como” aquél acto intencionado o amenaza, que por su

naturaleza o su contexto, pueda perjudicar gravemente a un país o a una

organización internacional, siendo tipificado como delito según el Derecho nacional,

cometido con el fin de…Desestabilizar gravemente o destruir las estructuras políticas

fundamentales, constitucionales, económicas o sociales de un país o de una

organización internacional, entre las que se encuentran:

Causar destrucciones masivas a un gobierno o a instalaciones o públicas,

sistemas de transportes, infraestructuras, incluidos los sistemas de

información, plataformas fijas, emplazadas en la plataforma continental,

lugares, públicos, o propiedades privadas que puedan poner en peligro vidas

humanas o producir un gran perjuicio económico.

Apoderamiento de aeronaves y de buques o de otros medios de transporte

colectivo o de mercancías.

Perturbación o interrupción del suministro de agua, electricidad u otro recurso

natural fundamental cuyo efecto sea poner en peligro vidas humanas”


La Decisión del Consejo de 28 de febrero de 2002 por la que se crea

Eurojust, para reforzar la lucha contra las formas graves de delincuencia, con el

objetivo de mejorar la cooperación judicial entre los Estados miembros y con

competencias en delincuencia informática y participación en organización

delictiva, entre otras.

La Decisión Marco del Consejo 13 de junio de 2002, sobre la lucha contra el

terrorismo, dicta en su artículo 1 que todos los Estados miembros adopten las

medidas necesarias para que se consideren delitos de terrorismo un conjunto

de actos intencionados tipificados como delitos según los respectivos Derechos

nacionales, cuando su autor los cometa o amenace hacerlo, con el fin de: “desestabilizar gravemente o destruir las estructuras fundamentales políticas,

constitucionales, económicas o sociales de un país o de una organización

internacional, entre las que se encuentran:

destrucciones masivas en instalaciones gubernamentales o públicas, sistemas

de transporte, infraestructuras, incluidos los sistemas informáticos, plataformas

fijas emplazadas en la plataforma continental, lugares públicos, o propiedades

privada, que puedan poner en peligro vidas humanas o producir un gran

perjuicio económico”;

perturbación o interrupción del suministro de agua, electricidad u otro recurso

natural fundamental cuyo efecto sea poner en peligro vidas humanas”

Asimismo se tipifican la inducción o la complicidad para cometer un delito,

como delitos, al igual que otros tipos de conductas ligadas a las actividades

terroristas. También se alcanza consenso en las sanciones relativas a estos

delitos.

Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004

por el que se crea la Agencia Europea de Seguridad de las Redes y de la

Información (ENISA).

Entre todas sus funciones destacamos:

Analizar riesgos actuales y emergentes que puedan poner en peligro la

resistencia y disponibilidad de las redes de comunicación electrónicas.


Mejorar la cooperación entre los agentes que operan en el campo de

seguridad de los redes y de la información.

Asistir a la Comisión y a los Estados miembros en su diálogo con el

sector industrial para hacer frente a los problemas relacionados con la

seguridad en los equipos y programas informáticos.

Promover actividades de evaluación de riesgos, soluciones

interoperables de gestión del riesgo y estudios sobre soluciones de

gestión de la prevención dentro de las organizaciones de los sectores

público y privado.

La Decisión Marco del Consejo de 24 de Febrero de 2005 relativa a los

ataques contra los sistemas de información. Motivada por la existencia de

ataques contra los sistemas de información, en particular como consecuencia

de la amenaza de la delincuencia organizada, y debido a la creciente inquietud

ante la posibilidad de ataques terroristas contra sistemas de información que

forman parte de infraestructuras vitales de los Estados miembros, dicta que

cada Estado miembro adopte las medidas necesarias para que el acceso

intencionado y sin autorización al conjunto o a una parte de un sistema de

información, la intromisión no autorizada e intencionada en los sistemas de

información interrumpiendo de forma significativa su funcionamiento y el acto

intencionado y no autorizado de intromisión ilegal en los datos de un sistema

informático, sean considerados infracciones penales. De igual manera se

procede con los actos de inducción, complicidad y tentativa.

Para ello define “sistema informático”, “datos informáticos”, “persona jurídica” y

“sin autorización”.

También se alcanza consenso en las sanciones relativas a estas infracciones.

La Decisión Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha

contra la delincuencia organizada, en su artículo 2 dicta que todos los Estados

miembros adopten las medidas necesarias para tipificar como delito una serie

de conductas relacionadas con una organización delictiva. Para ello, define


“organización delictiva” y “asociación estructurada”. También se alcanza

consenso en las sanciones relativas a estos delitos.

La Decisión Marco delConsejo de 28 de Noviembre de 2008, por la que se

modifica la Decisión Marco 2002/475/JAI sobre la lucha contra el terrorismo.

Motivada por la aparición de células terroristas no estructuradas, no

jerárquicas, semiautónomas y ligadas entre ellas en red, que recurren a las

nuevas tecnologías para comunicarse, captar nuevos miembros y movilizarse,

introduce a efectos de la anterior Decisión Marco, la inclusión de las

definiciones “provocación a la comisión de un delito de terrorismo”, “captación

de terrorismo” y “adiestramiento de terroristas”. Ordena a los Estados miembro

adopten las medidas necesarias para incluir una serie de actos dolosos como

delitos ligados a actividades terroristas, así como tipificar como delito la

complicidad, inducción y tentativa a cometer un delito contemplado en el nuevo

articulado desarrollado por esta decisión marco.

En el Informe “Ofrecer seguridad en un mundo en evolución” de 11 de

Diciembre de 2008, sobre la aplicación de la Estrategia Europea de Seguridad

de 2003, se hace mención a la dependencia que presentan las economías

modernas de infraestructuras vitales como los transportes, las comunicaciones

y el suministro de energía, e igualmente de internet. Se recuerda la referencia

hecha a la delincuencia basada en Internet en la Estrategia de la UE de 2006,

relativa a una sociedad de la información segura en Europa, y cómo los

ataques contra sistemas de tecnologías de la información privados o

gubernamentales en los Estados miembros de la UE, han dado una nueva

dimensión a este problema, en calidad de posible nueva arma económica,

política y militar.

En la Comunicación de la Comisión al Parlamento Europeo y al Consejo

de 22 de Noviembre de 2010, “La Estrategia de Seguridad Interior de la UE en

acción: cinco medidas para una Europa”, se proponen cinco objetivos

estratégicos a lograr entre 2011 y 2014, con sus correspondientes líneas de

acción. Destacamos entre ellos, desarticular las redes de delincuencia

organizada internacional, prevenir el terrorismo y abordar su captación y


radicalización, aumentar los niveles de seguridad de las empresas y

ciudadanos en el ciberespacio. En este sentido la UE expresa el deber de

seguir definiendo las infraestructuras críticas y aplicando planes destinados a

proteger aquellos sectores que, como los servicios públicos y la generación y

transporte de energía, son fundamentales para el funcionamiento de la

sociedad y la economía.

3. PROGRAMA EUROPEO DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

La creación del Programa Europeo de Protección de Infraestructuras Críticas

se desarrolló en varias fases. En este apartado vamos a exponer los

documentos que integran dichas fases, así como el propio programa.

Comunicación del Consejo de la Unión Europea de 18 de junio de 2004. En

este documento el Consejo Europeo analiza los progresos realizados en varios

ámbitos y establece una serie de directrices para el futuro desarrollo de las

políticas correspondientes a esos ámbitos.

Respecto a la creación de un espacio de libertad, seguridad y justicia, y una de

sus principales amenazas, el terrorismo, expresa, entre otras:

Su recuerdo de los atentados con explosivos de Madrid.

Su determinación de combatir sin tregua y de manera generalizada la

amenazaterrorista.

La necesidad de evaluar las capacidades de los Estados miembros para

prevenir y hacer frente a las consecuencias de cualquier tipo de

atentado terrorista.

Su petición de elaborar una estrategia global de mejora de la

protección de infraestructuras esenciales.

Comunicación de la Comisión al Consejo y al Parlamento Europeo de 20

de Octubre de 2004, sobre protección de las infraestructuras críticas en la

lucha contra el terrorismo.


Esta Comunicación de la Comisión forma parte de una serie de cuatro

comunicaciones destinada a intensificar la lucha de la UE contra el terrorismo.

Responde a la petición del 18 de Octubre de 2004 de elaborar una estrategia

global de mejora de la protección de infraestructuras esenciales. En este

documento la Unión:

Expresa la necesidad de proteger determinadas infraestructuras de

ataques terroristas:

o Enumerando algunas de las consecuencias que este ataque

podría tener en dichas infraestructuras o en los sistemas

industriales de control de las mismas.

o Expresando la gravedad de las consecuencias de un

ataquecombinado físico y cibernético sobre ellas;

Define el concepto de infraestructura crítica (IC) como: “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la

información cuya interrupción o destrucción tendría un impacto mayor en la

salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz

funcionamiento de los gobiernos de los Estados miembros”;

Clasifica las IC según dos criterios:

o Atendiendo a su propiedad o gestión, en públicas y privadas.

o Atendiendo a criterio sectorial se diferencian:

Centrales y redes de energía

Tecnologías de las comunicaciones y la información

Finanzas

Salud

Alimentación

Agua

Transporte

Producción, almacenamiento y transporte de mercancías

peligrosas

Estado

Es consciente de que las infraestructuras críticas europeas (ICE) están

muy interconectadas y son sumamente interdependientes. Dependen

de tecnologías de la información como Internet y la radionavegación y la


comunicación por satélite. Estos hechos las hacen muy vulnerables, en

particular, a ataques ciberterroristas.

Considera que las IC deberán ser definidas a nivel de los Estados

miembros.

Considera que para gestionar la seguridad de las infraestructuras

críticas es necesario que cada Estado miembro:

o Identifique las estructuras que son críticas, según fórmula

armonizada a nivel UE, así como los organismos o personas

responsables de su seguridad

o Potencie una asociación firme y cooperativa entre los propietarios

y gestores de infraestructuras críticas y las autoridades estatales

correspondientes.

o Cree un sistema de alertas de riesgos o amenazas específicos de

ataques terroristas.

o Permita inspecciones independientes realizadas por la Comisión.

Reconoce la imposibilidad de proteger todas las IC a través de medidas

europeas. Por eso centra su esfuerzo en proteger aquellas

infraestructuras que tienen efectos transfronterizos y deja las demás a la

entera responsabilidad de los Estados miembro aunque en un marco

común.

Considera que es necesario crear una red de información sobre alertas

en IC, la CIWIN, que agrupe a los especialistas de los Estados

miembros de la UE en materia de protección de infraestructuras críticas.

Considera que las fuerzas del orden y de protección civil de los Estados

miembros deben integrar el PEPIC en sus tareas de planificación e

información.

Libro Verde de 17 de Noviembre de 2005, sobre un Programa Europeo para la

Protección de Infraestructuras Críticas.

El Libro Verde constituye la segunda fase del proceso de consulta con vistas al

Programa Europeo de Protección de Infraestructuras Críticas. Destacar los

siguientes aspectos del mismo:


Define las Infraestructuras Críticas de Información (ICI), como sistemas

TIC que son IC por sí mismos, o que son esenciales para la operatividad

de otras IC, como Internet, satélites, telecomunicaciones,

ordenadores/software, etc.

Establece los sectores y subsectores estratégicos sobre los que las

infraestructuras críticas se apoyan.

Establece como subsectores estratégicos asociados a las TIC, Internet

y los sistemas de control, mencionando los SCADA.

Comunicación de la Comisión de 12 de Diciembre de 2006 sobre un

Programa Europeo para la Protección de Infraestructuras Críticas

En este documento se establecen los principios y el Plan marco propuestos

para llevar a la práctica el PEPIC.

Los principios que regirán la aplicación del PEPIC son:

o Subsidiariedad

o Complementariedad

El PEPIC complementará las medidas sectoriales eficaces

existentes y se basará en ellas, ya sean a nivel de la UE, nacional

o regional.

o Confidencialidad

o Cooperación de los agentes interesados

Esto es, dueños/operadores de las ICE, autoridades públicas y

órganos pertinentes participarán en el desarrollo y aplicación del

PEPIC.

o Proporcionalidad

Analizados los fallos de seguridad existentes y detectada la

necesidad subyacente, se propondrán medidas que serán

proporcionales al nivel de riesgo y al tipo de amenaza de cada

caso.

o Planteamiento por sectores

El PEPIC crea un Plan Marco que consta de:

o Una Directiva sobre la identificación y designación de las ICE y la

evaluación de las necesidades de mejora para su protección.


o Medidas que facilitan su aplicación, que incluyen:

Plan de acción del PEPIC, relativo a sus aspectos

estratégicos y medidas horizontales, ICE y apoyo a los

Estados miembros en sus actividades relacionadas con IC

nacionales.

La creación de CIWIN, complementaria de redes

existentes, de intercambio de buenas prácticas.

La creación de un grupo de expertos en PIC a nivel de la

UE, para abordar problemas específicos al respecto y

facilitar del diálogo entre los ámbitos público y privado

sobre PIC.

Procedimientos para compartir información sobre PIC

Identificación y análisis de interdependencias de las ICE

o Apoyo a los Estados miembro relativo al enfoque básico requerido

para la identificación de las IC nacionales, entre otros. Se anima a

cada estado a establecer su programa nacional de PIC.

o Planes de intervención

Que minimicen los posibles efectos de una interrupción o una

destrucción de la IC.

o Dimensión exterior

Relativo al efecto que en los países de la UE y/o en la propia

Unión, pudiera tener la materialización de la amenaza a las IC,

sean europeas o no.

En lo referente a las Infraestructuras Críticas Nacionales (ICN):

o La responsabilidad de la protección de las mismas recae sobre

dueños/operadores de la ICN de los Estados miembro.

En lo referente a la dimensión exterior del PEPIC:

o Considera que la destrucción o interrupción de una IC en la UE

puede producir un efecto perjudicial en los socios de la UE.

o Afirma que avanzar en la protección de la ICE contribuye al

crecimiento de la competitividad económica de la UE.

o Concluye que reforzar la cooperación en PIC más allá de la UE

mediante medidas tales como memorandos de acuerdo

específicos sectoriales y fomentar el aumento de los niveles de


PIC fuera de la UE, deberían constituir elementos importantes del

PEPIC.

Directiva del Consejo de 8 de diciembre de 2008, sobre la identificación y

designación de infraestructuras críticas europeas y la evaluación de la

necesidad de mejorar su protección.

Este documento establece un procedimiento de identificación y designación de

las ICE relativas a los sectores energéticos y de transportes, y un

planteamiento común para evaluar la necesidad de mejorar su protección.

Anticipa la necesidad de incluir en un futuro próximo el sector TIC.

A efectos de esta Directiva, define:

o Infraestructura crítica “Elemento, sistema o parte de este situado en los Estados miembros

que es esencial para el mantenimiento de funciones sociales vitales, la

salud, la integridad física, la seguridad, y el bienestar social y

económico de la población y cuya perturbación o destrucción afectaría

gravemente a un Estado miembro al no poder mantener esas

funciones”.

o Infraestructura crítica europea o ICE “Infraestructura crítica situada en los Estados miembros cuya

perturbacióndestrucción afectaría gravemente al menos a dos Estados

miembros”

o Protección

o Propietarios u operadores de infraestructuras críticas europeas “Entidades responsables de las inversiones en, o del funcionamiento

diario de, un elemento, sistema o parte del mismo concreto, designado

como ICE con arreglo a la presente Directiva”

Respecto a la identificación de las ICE establece que:

o Cada Estado miembro identificará sus ICE potenciales.

o Una infraestructura dada será ICE si, además de responder a las

anteriores definiciones de IC e ICE, se ajusta a una serie de

criterios horizontales y sectoriales, que deben incluir

respectivamente:


La gravedad de las repercusiones de la perturbación o

destrucción de la infraestructura concreta, en función del

número de víctimas, impacto económico e impacto público.

Las características de los diferentes sectores de las ICE

Respecto a la designación de las ICE establece que:

o Cada Estado miembro informará a los demás Estados miembro

que puedan verse afectados de forma significativa por una ICE

potencial de la identidad de esta y de las razones para designarla

como tal.

o El Estado miembro en cuyo territorio se encuentre una ICE

potencial entablará conversaciones con los demás Estados

miembros que puedan verse afectados de forma significativa por

ella.

o El Estado miembro que tenga motivos para creer que puede

verse afectado de forma significativa por una ICE potencial que

no haya sido identificada como tal aún, por el Estado miembro en

el que se encuentre, podrá informar a la Comisión sobre su deseo

de iniciar conversaciones al respecto.

o El Estado miembro en cuyo territorio se encuentre una ICE

potencial la designará como ICE previo acuerdo con los Estados

miembros que pueden verse afectados de forma significativa.

o Sólo los Estados miembros que pueden verse afectados de forma

significativa por una ICE conocerán su identidad.

o Los Estados miembros en cuyo territorio se encuentre una ICE

informarán al propietario u operador de dicha infraestructura de la

designación de esta como ICE.

Respecto a los Planes de seguridad del operador establece que:

o En todas las ICE deben existir planes de seguridad del operador o

medidas equivalentes, atendiendo a criterios unificados.

o El plan de seguridad del operador, PSO, identificará los

elementos infraestructurales críticos de las ICE y las soluciones

de seguridad para su protección según procedimiento

especificado.


o Cada Estado miembro valorará si cada ICE que se encuentre en

su territorio dispone de un PSO o equivalente.

Respecto a los responsables de enlace para la seguridad establece que:

o Cada Estado miembro debe evaluar si los propietarios u

operadores de las ICE cuentan con un responsable de enlace

para la seguridad o equivalente. Estos responsables de seguridad

actúan de nexo entre la ICE y la autoridad nacional responsable

en materia PIC.

o Cada Estado miembro elegirá el mecanismo de comunicación que

considere oportuno entre el responsable de enlace para la

seguridad y la autoridad nacional referida.

Respecto a los puntos de contacto para la protección de las ICE

establece que:

Cada Estado miembro designará un punto de contacto para la

protección de las ICE, que coordinará las cuestiones relativas a la

protección de las ICE en el propio Estado miembro, con los demás

Estados miembros con la Comisión.

Expresa la importancia y obligación de que propietarios u operadores de

ICE tengan acceso a las mejoras prácticas y métodos de protección de

IC, esencialmente a través de las autoridades competentes de los

Estados miembros.

Expresa la necesidad de hacer copartícipe al sector privado en la

planificación de la continuidad de las actividades y en la recuperación

después de una catástrofe, dada la experiencia de dicho sector en el

control y gestión de riesgos, en la planificación de la continuidad de las

actividades y en la recuperación después de una catástrofe

4. PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS DE INFORMACIÓN.

Hasta el momento se desarrolla mediante el documento que presentamos a

continuación. Seguidamente estudiaremos otra Comunicación en la que se

exponen los logros obtenidos y las medidas a seguir en el futuro.


Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 30 de

Marzo de 2009, sobre protección de infraestructuras críticas de información

“Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la

preparación, seguridad y resistencia”

Este documento en su Contextualización expresa:

Estar enmarcado en el PEPIC.

Apoyar los principios del G8 sobre protección de infraestructuras críticas

de la información, la Resolución 58/199 de la Asamblea General de la

ONU “Creación de una cultura mundial de seguridad cibernética y

protección de infraestructuras de información esenciales” y la

Recomendación de la OCDE sobre la protección de infraestructuras

críticas de información.

Aborda el problema de las TIC, siguiendo el siguiente esquema: Importancia de

las TIC en la sociedad, amenazas a su seguridad y fortalecimiento de la

seguridad y resistencia de las ICI como primera línea de actuación.

Importancia de las TIC en la sociedad

o Para las empresas, porque son un componente fundamental de la

innovación.

o Para los gobiernos y administraciones públicas, porque han

desarrollado una nueva forma de gestión y comunicación

ciudadana basada en la administración electrónica a todos los

niveles.

o Para los ciudadanos, porque las utilizan cada vez más en sus

actividades diarias.

Amenazas a la seguridad de las TIC

Básicamente los ciberataques. La gran dependencia de las ICI, su

interconexión transfronteriza y su interdependencia de otras

infraestructuras y su vulnerabilidad hacen que aumente la necesidad de

abordar la seguridad y resistencia como primera línea de defensa contra

fallos y ataques.

Fortalecimiento de la seguridad y resistencia de las TIC


Es claro que ningún interesado tiene los medios por sí solo para

garantizar la seguridad y resistencia de todas las infraestructuras TIC y

asumir todas las responsabilidades que llevan asociadas. Es por tanto

una responsabilidad compartida. Este hecho lleva consigo diversos

problemas de gran importancia:

o Al establecer cada Estado miembro, en función de sus

conocimientos, preparación y metodología, sus propias medidas y

regímenes para garantizar la seguridad y resistencia de las ICI, la

mayoría de las veces los planteamientos nacionales son muy

desiguales y están descoordinados, generando la consiguiente

vulnerabilidad y riesgo debido la interconexión de las ICI.

o Al depender la aplicación de las políticas relacionadas con las ICI

de la intervención del sector privado, y al no ofrecer siempre los

mercados incentivos suficientes para que dicho sector invierta en

la protección de las ICI al nivel que los gobiernos exigirían

normalmente, aparece un problema de gobernanza.

o La capacidad a nivel europea, de alerta temprana y de respuesta

a los incidentes es limitada: La cooperación entre los Estados

miembros y el intercambio entre ellos de datos fidedignos y

utilizables sobre incidentes de seguridad está poco desarrollada;

los ejercicios de ciberseguridad en la UE están en fase

embrionaria y los que implican saltar las fronteras nacionales son

muy limitados. Es necesario disponer de equipos nacionales o

gubernamentales de respuesta a incidentes de seguridad de la

información (CERT) que dispongan de una base común en

términos de capacidad, y que participen en la cooperación

transfronteriza y en el intercambio de información.

o El uso de Internet está tan extendido, que es necesario poner a

prueba su capacidad de resistir perturbaciones y ciberataques.

Sin embargo, no existe consenso en la elección del carácter

crítico de los elementos que componen Internet con la

consiguiente dificultad de establecer medidas de prevención,

preparación y capacidad de recuperación del mismo respecto a

las amenazas posibles.


Finalmente plantea el diseño de la solución al problema planteado centrándose

en 3 necesidades y cinco pilares para hacerles frente.

Es necesario:

Reforzar los instrumentos de cooperación existentes, incluida la ENISA,

y crear nuevas herramientas.

Comprender en profundidad el entorno y las limitaciones

Actuar rápidamente en la toma de medidas resolutivas

La respuesta a estas necesidades se basa en:

Preparación y prevención, mediante:

o La definición, vía ENISA, de un nivel mínimo de capacidades y

servicios para los CERT1 nacionales o gubernamentales y

operaciones de respuesta a los incidentes.

o La garantía de que los CERT nacionales o gubernamentales son

componentes fundamentales de la capacidad nacional de

preparación, intercambio de información, coordinación y

respuesta.

o El fomento de la cooperación entre los sectores público y privado

sobre objetivos de seguridad y resistencia, requisitos básicos,

buenas prácticas normativas y medidas.

o El establecimiento de un foro Europeo de intercambio de

información y buenas prácticas normativas de seguridad y

resistencia de las ICI.

Detección y respuesta, mediante:

La creación de un sistema europeo de intercambio de información y

alerta (EISAS).

Mitigación y recuperación mediante:

o La elaboración de planes nacionales de contingencia

o La organización nacional de ejercicios periódicos de respuesta

ante incidentes de gran escala de seguridad de las redes y de

recuperación de desastres.

1Equipos de respuesta ante incidentes informáticos


o La realización de ejercicios paneuropeos de incidentes de la

seguridad de Internet.

o Mayor cooperación entre CERT nacionales o gubernamentales.

Cooperación Internacional mediante:

o La organización de un debate europeo sobre la resistencia y

estabilidad de Internet a largo plazo.

o El establecimiento de principios y directrices sobre resistencia y

estabilidad de Internet a nivel europeo y mundial.

o Ejercicios mundiales sobre recuperación y mitigación de

incidentes a gran escala de Internet.

Criterios para el sector de las TIC

Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, del 31

de Marzo de 2011, sobre la protección de infraestructuras críticas de

información “Logros y próximas etapas: hacia la ciberseguridad global”

Este documento presenta una clasificación de la amenaza cibernética así como

los logros obtenidos en la ejecución de las medidas propuestas en la

Comunicación PICI anterior y posteriores líneas de actuación.

La clasificación de la amenaza se hace en función del fin que se persigue. Se

habla entonces de:

Fin de explotación, como son los casos de espionaje económico y

político, robos de identidad, ataques contra los sistemas TIC de los

estados, etc.

Fin de perturbación, como la denegación de servicio distribuido, el spam

generado vía botnets, Stuxnet, el corte de los medios de comunicación,

etc.

Fin de destrucción. Esta posibilidad no se ha materializado todavía,

pero vista la presencia creciente de las TIC en las IC no cabe descartar

en los próximos años.


Respecto a los logros obtenidos en la ejecución del plan de acción PICI,

destacamos que, en lo relativo a:

Preparación y Prevención

o ENISA y CERT desarrollaron y aprobaron un conjunto mínimo de

capacidades y servicios de referencia que deben poseer los

CERT nacionales/gubernamentales para poder funcionar

eficazmente en cooperación paneuropea.

o Hasta la fecha 20 Estados miembros han desarrollado CERT

nacionales/gubernamentales y casi todos tienen previsto hacerlo.

o Se crea la asociación público-privada europea de resistencia,

EP3R, con el objetivo de constituir un marco de gobernanza

europea para la resistencia de las infraestructuras de TIC y

fomentar la cooperación entre sector público y privado en materia

de seguridad, resistencia, buenas prácticas y medidas

recomendadas.

o Se crea el Foro Europeo de Estados miembros, EFMS, para

fomentar el debate y el intercambio entre autoridades públicas en

materia de buenas prácticas y de compartir objetivos y prioridades

políticas en materia de seguridad y resistencia de la

infraestructura de TIC.

o El EFMS ha fijado los criterios identificativos de las

infraestructuras europeas de las TIC; ha determinado las

prioridades, principios y directrices para la resistencia y

estabilidad de Internet; ha intercambiado buenas prácticas en

materia de ciberejercicios.

Detección y Respuesta

La Comisión ha financiado dos prototipos de EISAS, FISHAS y NEISAS,

cuyo resultado final se está estudiando actualmente.

Mitigación y recuperación

o 12 Estados miembros han desarrollado un plan nacional de

contingencia u organizado ejercicios de respuesta ante incidentes

a gran escala de seguridad de las redes y de recuperación en

caso de catástrofes.


o Partiendo de experiencias nacionales e internacionales ENISA

elaboró una guía de buenas prácticas para ejercicios nacionales,

difundió recomendaciones en materia de política de desarrollo de

estrategias nacionales, entre otras acciones.

o Se celebró el primer ejercicio paneuropeo sobre incidentes a gran

escala de seguridad de las redes, “CyberEurope 2010”, con la

participación de todos los Estados miembros. Fue evaluado por

ENISA.

o La cooperación entre los CERT nacionales/gubernamentales se

ha intensificado a través de varias acciones, en particular, el

trabajo de ENISA sobre las capacidades de estos CERT y la

gestión de ciberincidentes por estos mismos.

Cooperación Internacional

o Partiendo de los trabajos realizados por el EFMS, se han

desarrollado unos principios y directrices europeos sobre

resistencias y estabilidad de Internet.

o Siete Estados miembros participaron en el ciberejercicio

norteamericano “Cyber Storm III” como asociados internacionales.

La Comisión y ENISA participaron como observadores.

Criterios relativos a ICE en el sector de las TIC

El EFMS ha establecido un proyecto de criterios aplicables a las

comunicaciones móviles y fijas y a Internet.

En referencia a las acciones futuras, resaltaremos en líneas generales:

Hacer del EFMS un contertulio en los debates a nivel internacional sobre

prioridades en materia de seguridad y resistencia, en relación con

ciberseguridad y ciberdelincuencia.

El desarrollo por parte de ENISA de los servicios básicos que utilizarán

los Estados miembros para crear su sistema de intercambio de

información y alerta (ISAS) a partir de sus CERT.

La preparación de los próximos ciberejercicios paneuropeos.


La voluntad de debatir y promover las directrices europeas sobre

resistencia y estabilidad de Internet en diversos foros: G8, OCDE,

Meridian2, UIT3., EEUU, etc.

La preparación de unos ciberejercicios conjuntos/sincronizados

transcontinentales, UE-EEUU.

5. CONCLUSIONES La UE viene realizando intensos esfuerzos en su lucha contra el terrorismo, la

delincuencia organizada y la delincuencia informática. Ha definido terminología

común al respecto, creando un marco de referencia compartido que facilita la

defensa ante el ciberterrorismo y la persecución de los delitos de

ciberdelincuencia.

Sin embargo no existe una estrategia integral europea específica en materia de

ciberseguridad, entendida ésta como un documento que recoja la definición de

capacidades, formas de emplearlas y objetivos perseguidos, en el ámbito

europeo. No obstante sí hay decisiones e iniciativas parciales como bien se

refleja en el programa europeo de protección de infraestructuras críticas y en el

programa de protección de infraestructuras TIC.

Estas acciones están básicamente orientadas hacia la prevención de la

amenaza, siendo patente la necesidad de mejora de capacidades de

respuesta.

Con la finalidad de probar y mejorar estas capacidades, la Unión Europea está

realizando ciberejercicios de adiestramiento, tanto a nivel continental, como con

los EEUU. Considera importante extender este tipo de ensayos al nivel

mundial.

2Empresa de desarrollo de TIC

3Unión Internacional de Telecomunicaciones; es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación.


En un mundo globalizado, la UE es consciente de la necesidad de incrementar

la cultura de protección de infraestructuras críticas en los países de su entorno,

por las negativas repercusiones de todo tipo que pudieran tener la interrupción

o destrucción del funcionamiento de dichas infraestructuras, sobre ella misma.

En consecuencia dedica un esfuerzo considerable a esta cuestión, que

gestiona mediante El Instrumento de Estabilidad y la participación en foros

internacionales de debate al respecto.

Asimismo establece programas de intercambio de buenas prácticas en materia

de seguridad entre los diferentes Estados miembros, haciendo especial

hincapié en el fomento de las mismas en el sector privado.

Por otro lado, los diseños del PEPIC y PICI parecen completos y estructurados;

de carácter integrador y multidisciplinar, cualidades que vienen siendo

características del actual enfoque europeo de enfrentamiento y resolución de

crisis.

Por último, resaltar la dependencia de la Unión Europea de las capacidades

que tiene el sector privado, a la hora de gestionar la continuidad y recuperación

de las Infraestructuras Críticas en caso de materialización de la amenaza.


BIBLIOGRAFÍA

Posición Común del Consejo de 27 de diciembre de 2001, sobre la aplicación

de medidas específicas de lucha contra el terrorismo.

Decisión del Consejo de 28 de febrero de 2002 por la que se crea Eurojust.

Decisión Marco del Consejo 13 de junio de 2002, sobre la lucha contra el

terrorismo.

Reglamento del Parlamento Europeo y del Consejo de 10 de marzo de 2004

por el que se crea la Agencia Europea de Seguridad de las Redes y de la

Información (ENISA).

Decisión Marco del Consejo de 24 de Febrero de 2005 relativa a los ataques

contra los sistemas de información.

Decisión Marco del Consejo de 24 de Octubre de 2008, relativa a la lucha

contra la delincuencia organizada.

Decisión Marco del Consejo de 28 de Noviembre de 2008, por la que se

modifica la Decisión Marco 2002/475/JAI sobre la lucha contra el terrorismo.

Informe “Ofrecer seguridad en un mundo en evolución” de 11 de Diciembre de

2008, sobre la aplicación de la Estrategia Europea de Seguridad de 2003.

Comunicación de la Comisión al Parlamento Europeo y al Consejo de 22 de

Noviembre de 2010, “La Estrategia de Seguridad Interior de la UE en acción:

cinco medidas para una Europa”.

Comunicación del Consejo de la Unión Europea de 18 de junio de 2004.


Comunicación de la Comisión al Consejo y al ParlamentoEuropeo de 20 de

Octubre de 2004, sobre protección de las infraestructuras críticas en la lucha

contra el terrorismo.

Libro Verdede 17 de Noviembre de 2005, sobre un Programa Europeo para la

Protección de Infraestructuras Críticas.

Comunicación de la Comisiónde 12 de Diciembre de 2006 sobre un Programa

Europeo para la Protección de Infraestructuras Críticas.

Directiva del Consejode 8 de diciembre de 2008sobre la identificación y

designación de infraestructuras críticas europeas y la evaluación de la

necesidad de mejorar su protección.

Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité

Económico y Social Europeo y al Comité de las Regionesde 30 de Marzo de

2009 sobre protección de infraestructuras críticas de información “Proteger

Europa de ciberataques e interrupciones a gran escala: aumentar la

preparación, seguridad y resistencia”.

Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité

Económico y Social Europeo y al Comité de lasRegiones del 31 de Marzo de

2011 sobre la protección de infraestructuras críticas de información

“logros y próximas etapas: hacia la ciberseguridad global”.

Ciberterrorismo - La respuesta de la Unión Europea en el Ambito de las Infraestructuras Críticas

Documents

Transcript of Ciberterrorismo - La respuesta de la Unión Europea en el Ambito de las Infraestructuras Críticas