La CE quiere que las empresas 'críticas' informen sobre los ciberataques
La UE quiere endurecer las normas sobre ciberseguridad y ha propuesto crear un cuerpo colectivo entre los Estados miembros para luchar contra el cibercrimen. Su propuesta obligaría a cada Estado a crear su propio equipo de emergencia y a que las empresas críticas informen a las autoridades sobre violaciones de datos e incidentes de seguridad significativos.
La Comisión Europea presentó ayer un plan destinado a proteger las comunicaciones electrónicas e incrementar la seguridad de las redes y la información. Las propuestas, anunciadas en un acto que reunió a la jefa de la diplomacia de la UE, Catherine Ashton; la vicepresidenta de la CE y comisaria de la Agenda Digital, Neelie Kroes, y la comisaria europea de Interior, Cecilia Malmström, obligarían por ley a los Estados miembros a establecer su propio equipo de emergencia (Computer Emergency Response Team) y a las empresas de sectores estratégicos a informar sobre los ciberataques.
Ello supondría que más de 40.000 organizaciones (incluyendo compañías de energía, transporte, banca, telecomunicaciones y sanidad) podrían ser obligadas a informar sobre los ciberrobos que hayan podido sufrir. Igualmente esta obligación afectaría a las plataformas de comercio electrónico, las redes sociales y los servicios de computación en la nube. Una cuestión complicada, porque mientras las autoridades europeas reclaman más transparencia para combatir el cibercrimen, las empresas son reacias a compartir una información que supondría admitir que tienen brechas de seguridad. Un hecho que podría afectar a su reputación.
En la actualidad, sólo las telecos están obligadas a adoptar medidas de gestión de riesgo y comunicar a las autoridades públicas los incidentes de seguridad, informó Europa Press.
Kroes y Ashton reconocieron que Europa necesita mejorar la manera en la que tratan los asuntos de ciberseguridad y pidieron más cooperación comunitaria y mundial para combatir el problema. Por ello, la propuesta legislativa exige que los Estados miembros de la UE compartan información sobre los ciberataques y que refuercen sus medidas nacionales de seguridad contra la ciberdelincuencia. Las propuestas incluyen que cada país cree una autoridad nacional a la que las empresas informen sobre estas cuestiones. Estos organismos serían quienes decidirían si finalmente se hacen públicas las violaciones de seguridad y si se multa a las empresas.
Cooperación entre Estados
La nueva Directiva, que necesitará para salir adelante el visto bueno de los 27 y del Parlamento Europeo, propone crear un mecanismo de cooperación entre los Estados miembros que permita difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura, así como organizar revisiones periódicas. Además, pretende garantizar una respuesta coordinada frente a incidentes, publicar de forma regular información desclasificada de dichas alertas y cooperar e intercambiar información con organismos relevantes como el Centro Europeo contra el Cibercrimen, que será el "punto central" para estrechar la cooperación entre los Estados.
Las nuevas medidas planteadas por Bruselas llegan mientras crecen y se sofistican los casos de ciberataques. Uno de los más recientes es el denunciado por los periódicos The New York Times y The Wall Street Journal, que aseguraron ser víctimas de piratas informáticos ubicados en China. Una acusación que fue rechazada por el Ministerio de Relaciones Exteriores del país asiático.
Los datos manejados por la UE indican que solo una de cada cuatro empresas europeas hace revisiones regulares sobre estos aspectos dentro de sus políticas de seguridad. Mientras, expertos en la materia llevan tiempo advirtiendo de las nuevas ciberamenazas, que podrían poner en riesgo infraestructura críticas, como la electricidad. Symantec, que ayer manifestó su apoyo a la propuesta de la CE, recordó algunas estadísticas que muestran una clara necesidad de aunar esfuerzos. Según su informa anual de Cibercrimen, Symantec bloqueó más de 5.500 millones de ataques maliciosos en 2011, lo cual representó un aumento del 81% con respecto al año anterior. Y las cifras, dicen, siguen subiendo.
Apoyo a las nuevas propuestas
Tras conocerse la nueva propuesta de directiva, que los Estados tendrían un plazo de año y medio para trasponer a sus legislaciones, algunas empresas hicieron público su apoyo. Ilias Chantzos, director senior de Asuntos Gubernamentales de Symantec para EMEA, aseguró que su empresa siempre ha defendido que era necesario que "los responsables políticos hagan de la seguridad de la información una prioridad política pública de primer orden". Igualmente, la china Huawey envió una nota donde indicaba que acoge con agrado las propuestas. La compañía asiática aseguró que la estrategia comunitaria llega "en un momento crucial" e hizo "una llamada a la cooperación internacional para crear un entorno cibernético seguro, abierto y transparente".Por su parte, el director de Estrategia de Seguridad de HP, Richard Archdeacon, destacó el reconocimiento de la "responsabilidad compartida" y el papel esencial que juega la industria tecnológica en este ámbito. El ejecutivo aseguró que las nuevas tecnologías ofrecen un enorme potencial para el crecimiento económico en Europa, "pero la falta de confianza en la seguridad en internet, debido al alarmante número de costosos ataques que siguen produciéndose, está bloqueando una adopción generalizada" de soluciones referiadas al cloud computing.Recientemente, HP patrocinó el estudio Coste del cibercrimen en 2012, elaborado por Ponemon Institute, que reveló que las empresas de Reino Unido y Alemania sufren, al menos, un ataque exitoso a la semana, con costes asociados que alcanzan los millones de euros.