03 julio 2018

Triple de ases en ciberseguridad nacional

El tratamiento de incidentes de ciberseguridad marcado por el mandato de tres normas básicas: Directiva NIS, Reglamento de Protección de Datos y Código Penal

 Los cambios de los últimos dos años, con la promulgación de nueva normativa, ha impulsado el camino a la madurez de la sociedad y el mundo empresarial en el tratamiento de las crisis de seguridad.

La digitalización de los servicios ha creado instituciones y organizaciones con un papel fundamental en la provisión de servicios esenciales al conjunto de la población. Por ello suponen, a su vez, un gran objetivo para sufrir un ataque a sus sistemas y un gran reto para los cibercriminales.

A su vez, los operadores de servicios esenciales suelen subcontratar a terceros que les proveen de servicios digitales, con lo cual la responsabilidad sobre la información en materia de ciberseguridad se dibuja, hoy día, como un esquema complejo de entidades mercantiles e instituciones públicas, relacionadas entre sí y con un sistema de responsabilidades en cascada.

Sociedad conectada

Que vivimos en un mundo interconectado es algo que nadie discute. Cada vez son más las pequeñas empresas industriales que tienen sistemas SCADA, aplicaciones CAD/CAM etc.

Los constantes ciberataques han hecho empezar a madurar a los organismos gubernamentales acerca de la necesidad de establecer nuevos marcos regulatorios que obliguen a establecer medidas de seguridad preventiva y de respuesta ante incidentes.

Prueba del riesgo de exposición que sufrimos se reflejan en estas publicaciones:

  1. Un hacker español descubre un grave fallo de seguridad en centrales nucleares”. El Confidencial (2017)
  2. “Hasta la cocina de las gasolineras españolas” Security By Default (2015)

La respuesta ante los incidentes viene marcado, a nuestro entender, y cuando interactúan tanto la empresa privada como la pública, por 3 tipos de normativa: la europea, en cuanto al establecimiento de los protocolos de respuesta y comunicación con la Directiva 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016, enlace: https://www.boe.es/doue/2016/119/L00001-00088.pdf acceso al enlace el 17 de octubre de 2017, y el nuevo Reglamento Europeo de Protección de Datos, 2016/679 de 27 de abril de 2016, accedido el 17 de octubre de 2017 (https://www.boe.es/doue/2016/119/L00001-00088.pdf), con carácter preventivo impone la obligatoria securización de los sistemas de tratamiento de información y por el Código Penal (Ley Orgánica 1/2015 de 30 de marzo https://www.boe.es/boe/dias/2015/03/31/pdfs/BOE-A-2015-3439.pdf, accedido el 17 de octubre de 2017) en cuanto a la responsabilidad penal de la persona jurídica que pudiera derivarse por incumplimiento de los mandatos anteriores.

En cuanto a la Directiva NIS: surge la Directiva NIS, con el objetivo de alcanzar esa homogeneización en el tratamiento de los incidentes de ciberseguridad y con el fin de tratar de evitar el desplazamiento de los delincuentes a los estados que no tengan estas regulaciones previstas. Contiene el diseño de una estrategia nacional de seguridad de las redes y sistemas de información, y su promulgación es elemento esencial para continuar avanzando en un tratamiento europeo único de la ciberseguridad.

Los Estados miembros deberán afrontar mandatos como:

1) Designación de autoridad nacional responsable de ejercer funciones vinculadas a la seguridad nacional

2) Disponer de los recursos humanos necesarios y fomentar, en definitiva, una cultura de gestión del riesgo.

Se establece, a su vez, la necesidad de protocolos de comunicación de los incidentes a los organismos responsables nacionales y a los europeos y un protocolo de reacción frente a los mismos.

En cuanto al Reglamento de Protección de Datos: se tiene en cuenta la necesidad de efectuar una evaluación de impacto previa al tratamiento de los datos, en la cual se puedan determinar las medidas de seguridad técnica que deban ser implantadas. Se establece de forma obligatoria:

1) La previsión de las medidas a seguir en relación a la cantidad de datos a tratar.

2) La extensión de tratamiento, los periodos de conservación.

3) La accesibilidad de los mismos.

Todo ello desde el diseño inicial.

En cuanto al Código Penal, y para vincularlo con la legislación anterior citada, destacamos que en su artículo 31 bis se relaciona el supuesto de hecho en el que la persona jurídica puede devenir responsable penalmente por hechos cometidos por sus empleados o administradores. Si bien no se impone, con carácter obligatorio, la implantación de programas de cumplimiento y de prevención de delitos, sí que se manifiesta que, el hecho de no tenerlos supondrá la clara evidencia de que se carece de mecanismos de control internos que pudieran eximir de responsabilidad por los ilícitos que hubiera cometido alguno de sus empleados o representantes legales.

Prevención de riesgos

Una de nuestras propuestas para efectuar ese ejercicio interno empresarial de prevención, pasaría por considerar dos nuevos campos de trabajo:

a) Evaluación de impacto con la contratación de hackers éticos.

El nuevo Reglamento de Protección de Datos contiene un mandato dirigido a tener en cuenta los riesgos que supongan el tratamiento de los datos. Para ello se deberá evaluar, necesariamente, supuestos de destrucción, pérdida o alteración accidental o ilícita e incluso la comunicación y el acceso no autorizados. Se sugiere efectuar esas evaluaciones de posibles impactos, con el uso de servicios de seguridad ofensiva / hacking ético que, podrá ayudarnos a determinar con mayor precisión la situación real de nuestros sistemas.

b) Ciberseguros

La ciberseguridad no existe 100% y  hasta ahora existía una gran oferta de pólizas de responsabilidad civil profesional para autónomos y empresas TIC (bloguers, CMs, consultores informáticos, empresas de hosting, desarrollo software, etc.). Sin embargo, en el actual contexto se ha incrementado el interés de compañías de otros sectores por contratar pólizas que cubran sus “ciberriesgos”.

Las coberturas más habituales de los ciberseguros se centran en:

  1. Daños propios: Por perdida de datos e información: restauración. Perdidas de beneficio por paralización a consecuencia de un incidente (ramsonware, ataque DDos,…). Daños en hardware y software. Ciber extorsión, restauración de sistemas tras un ataque.
  2. Pay Card Industry.
  3. Gastos de defensa, fianzas y sanciones o multas regulatorias.
  4. Gastos de auditoria, asistencia técnica, legal y de investigación forense.
  5. Gastos de gestión de crisis (notificación y reputacionales)
  6. Responsabilidad civil (daños a terceros). Gastos de defensa, de notificación (cuando sea preceptiva) y pago de indemnizaciones por: filtraciones o perdida de datos de carácter personal o violaciones de privacidad; violación de derechos de propiedad intelectual e industrial; perdida/robo de activos digitales información confidencial o empresarial de terceros; por actividades en medios digitales; como consecuencia de un ataque malicioso al sistema que se ha propagado y causado daños a terceros.

Conclusiones

El tratamiento de un incidente de seguridad en infraestructura crítica o proveedor de servicios digitales, no sólo deberá dar cumplimiento al mandato de la Directiva NIS, sino también tener en cuenta, para la valoración de la responsabilidad y los daños, el mandato del nuevo Reglamento de Protección de Datos Europeo y de la ley penal nacional.

Ruth Sala Ordóñez

Letrada ICAB

Abogada Penalista, especializada en delitos tecnológicos y prueba digital.

Socia-Directora de Legalconsultors (www.legalconsultors.es)

Agradecimientos

Carmen Basagoiti Gago, Letrada Colegiada en Bilbao

Rafael Perales Cañete, Letrado Colegiado Córdoba

Amador Aparicio, Profesor de Grado de Informática

Bibliografía

[1] Perales Cañete, R. (2017) El Hacking Ético y el nuevo Reglamento Europeo de Protección de Datos. Blog Hacking Ético. https://hacking-etico.com/2017/08/31/hacking-etico-nuevo-reglamento-europeo-proteccion-datos/ Acceso el 12 e octubre de 2017.

Comparte: