En los últimos meses, se ha tenido noticia de varios “ciberataques”. A principios de noviembre de 2018 un banco que informó a la prensa de una ofensiva que, afortunadamente, no afectó los fondos de sus clientes, gracias a “[l]a inmediata activación de los protocolos de seguridad y contingencia [que] permitió controlar rápidamente el incidente, informar a la autoridad, continuar con la operación del banco y asegurar la integridad de los datos e información”[1]. Poco antes, otro banco sufrió un ataque y luego anunció la creación de una división de ciberseguridad dentro de la organización[2]. Por su parte, desde el gobierno se lanzó, en abril de 2017, la denominada Política Nacional de Ciberseguridad (“PNC”)[3].
Pareciera ser que la “ciberseguridad” es un tema nuevo. El prefijo “ciber” con el cual se construye el término también evoca esa idea, aunque la palabra y disciplina existen al menos desde mediados del Siglo XX, y dicen relación principalmente con sistemas, redes y su control[4]. La ciberseguridad no es un tópico novedoso en el ámbito bancario ni menos en el sector de las telecomunicaciones. En este último sector, desde hace un tiempo existe consenso en que debe existir una infraestructura capaz de prevenir y resistir ataques de cualquier índole que afecten la continuidad de los servicios soportados por aquélla. Así, el problema de la ciberseguridad se ha abordado desde hace un tiempo, pero bajo una etiqueta distinta: la de las infraestructuras críticas (“IC”).
A nivel internacional, la Unión Internacional de Telecomunicaciones, órgano especializado en telecomunicaciones de la Organización de las Naciones Unidas (“ONU”), publicó una primera versión de su manual sobre seguridad de las telecomunicaciones y las tecnologías de la información el año 2003. En el prefacio de dicho documento se da cuenta de esta situación:
“Aunque es posible que la importancia cada día mayor de la seguridad digital se deba a los titulares relacionados con la diseminación de virus informáticos por correo electrónico, o sobre los ciberdelincuentes que roban números de tarjetas de crédito, también es cierto que esto constituye sólo una parte de la historia. A medida que los ordenadores y las redes informáticas se convierten en parte importante de nuestra vida cotidiana, tal como el suministro de agua y electricidad, el tema de la seguridad digital no concierne solamente a los expertos sino también en un grado cada vez mayor a los gobiernos, las empresas y los consumidores. Siendo así, y al haber tantos aspectos comerciales y privados que dependen de los computadores y las redes, es evidente que estos sistemas han de funcionar con seguridad”[5]
A nivel nacional, desde el año 2012 Chile cuenta con una regulación detallada sobre infraestructuras críticas en el sector de telecomunicaciones. El evento que motivó esta normativa fue el terremoto que azotó al país el 28 de febrero de 2010.
Diez meses después de la tragedia, la ley N°20.478 de 2010 agregó el título VIII “De las Infraestructuras Críticas de Telecomunicaciones” a la Ley 18.168, General de Telecomunicaciones (“LGT”), que encomienda al Ministerio de Transportes y Telecomunicaciones (“MTT”), a través de la Subsecretaría de Telecomunicaciones (“Subtel”), elaborar un plan de resguardo de las infraestructuras críticas de telecomunicaciones “con el objeto de asegurar la continuidad de las comunicaciones en situaciones de emergencia resultantes de fenómenos de la naturales, fallas eléctricas u otras situaciones de catástrofe” (artículo 39 A de la LGT). Para el cumplimiento de dicha tarea, el legislador le entregó al regulador nacional las siguientes atribuciones: (i) coordinar la implementación, desarrollo y mantenimiento de un plan de resguardo de las IC; (ii) declarar como infraestructura crítica, por medio de un procedimiento administrativo, las redes y sistemas de telecomunicaciones cuya interrupción, destrucción, corte o fallo generaría un serio impacto en la seguridad de la población afectada; y, (iii) establecer medidas de resguardo que deberán adoptar las compañías para la operación y explotación de sus respectivas IC[6] .
Dos años más tarde, el regulador sectorial dictó el Decreto Nº60, de 2012, que aprueba el Reglamento sobre IC. El Reglamento establece, entre otros, cuándo y cómo Subtel ejerce las facultades ya señaladas. Por ejemplo, se contempla un procedimiento con arreglo al cual se declara que cierta infraestructura de una compañía de telecomunicaciones es “crítica”, calificación administrativa que implica, entre otros efectos, la imposición de deberes específicos en atención, precisamente, a la importancia de esos elementos para asegurar la continuidad de los servicios. Así, se exige que la infraestructura más importante (calificada de Nivel 1) posea una autonomía energética de 48 horas (artículo 34 del Decreto N°60). El Reglamento también establece un sistema de reportes entre la compañía afectada por un evento que pone en riesgo su continuidad operacional y la autoridad reguladora.
En el marco de la discusión e implementación del PNC, puede ser interesante revisar cómo ha funcionado este sistema, y evaluar su utilización en otros sectores en los que los servicios se proveen a través de una red susceptible de ataques (v.gr., generación eléctrica, sanitarias, transportes, banca, etc.).
Uno de los objetivos de la PNC es la identificación y jerarquización de las infraestructuras críticas de la información de diferentes sectores, entre los cuales, se encuentran las telecomunicaciones[7];
Un exasesor presidencial de ciberseguridad, ante una pregunta relativa a cómo se dará la colaboración público-privada en el proceso de desarrollo de una política nacional de seguridad, manifestó que ello se realizará“[a] través del intercambio de información, de la adopción de normativas y de modificaciones de decretos, como el decreto 60 [Reglamento sobre IC], que tiene un impacto en las telecomunicaciones, porque esa es la base de la ciberseguridad”[8].
Por de pronto, un aspecto que podría considerarse es que la normativa sectorial sobre IC no impone estándares específicos de seguridad, lo que permite a los sujetos obligados −v.gr. compañías de telecomunicaciones− contar con cierta flexibilidad para adoptar, con la supervisión de la autoridad, las medidas más acordes con su estructura organizacional. Ello por cuanto son las compañías las que, en principio, están en la mejor posición para determinar los riesgos a los que se expone su infraestructura, así como las formas más idóneas de enfrentarlos.
En este sentido, un caso interesante de estudio es la regulación de telecomunicaciones británica. El 2017, la Ofcom (por sus siglas en inglés “Office of Communications”) publicó una nueva versión de la guía relativa al cumplimiento de las obligaciones de seguridad y resiliencia de la red de telecomunicaciones contenidas en las secciones 105A y 105B de la Communications Act de 2003[9]. Si bien esta guía no tiene efectos vinculantes[10], nos parece que es interesante destacar su enfoque flexible sobre estándares de seguridad. En efecto, la Ofcom señala en la guía que si las compañías adoptan ciertos estándares propuestos en la guía Technical Guideline of Security Measures[11], tomados, a su vez, de la norma ISO 27011:2013 relativa a la seguridad de la información “(…) es probable que un CP [proveedores públicos de redes comunicaciones o servicios] con una certificación vigente de la norma ISO 27001 con un alcance relevante ya haya considerado y alcanzado la mayoría de los objetivos de seguridad de la guía de ENISA”[12]. En cualquier caso, tales certificaciones no son un requisito para el cumplimiento de la sección 105ª de la norma británica.
Otra experiencia internacional que merece atención es la española. El 2015 la Secretaría de Estado de Seguridad por medio de la resolución de 8 de septiembre de 2015, aprobó los contenidos mínimos de los planes de seguridad del operador y de los planes de protección específicos, que deben ser elaborados por los operadores calificados como críticos, de acuerdo con la normativa española sobre infraestructuras críticas[13]. Al igual que en el caso británico, la autoridad hispana adoptó un enfoque flexible sobre estándares de seguridad, pues no se exige la adopción de algún estándar en particular. En efecto, en el caso que un operador crítico “(…) haya diseñado un sistema de gestión y/o evaluación de la seguridad de las tecnologías de la información, de acuerdo a alguna estándar de referencia internacional”, la normativa se limita a establecer que “(…) se debe indicar éste, así como las certificaciones que posee dicho sistema y organismo certificador”[14].
Por último, el modelo público-privado adoptado en EE.UU pareciera confirmar la razonabilidad de un enfoque flexible sobre seguridad de las redes. El Consejo de Interoperabilidad y Confiabilidad de la Red o NRIC (por sus siglas en inglés Network Reliability and Interoperability Council), compuesto por los principales ejecutivos de las compañías de telecomunicaciones estadounidenses y representantes de las autoridades, desarrolla buenas prácticas a fin de minimizar las interrupciones de servicio y asegurar la continuidad del servicio en situaciones de crisis, basadas en los principios de redundancia e interoperabilidad[15]. Estos estándares no son vinculantes paras las compañías y todos los años la NRIC revisa las buenas prácticas recomendadas en el pasado y se proponen otras nuevas[16].
Estos tres ejemplos darían cuenta de que un enfoque flexible en materia de estándares de seguridad es una política razonable. Sin embargo, ¿será suficiente? Quizás una vía que podría explorarse es que las compañías adopten modelos de prevención y compliance sobre ciberseguridad en sus redes, que les permitan acreditar ante las autoridades respectivas que están tomando todas las medidas necesarias para asegurar la continuidad de sus servicios. Ello podría formar parte de la PNC o ser el resultado de un esfuerzo de autoregulación de la industria.
Referencias:
[1] https://bit.ly/2SYC3cY. Consultado el 16 de abril de 2019.[2] https://bit.ly/2PZPbgP. Consultado el 16 de abril de 2019.[3] Los objetivos de la PNC proyectados al año 2022 son los siguientes: (i) contar con una infraestructura de la información capaz de resistir y recuperarse en caso de ataques e incidentes de ciberseguridad; (ii) velar por los derechos de las personas en el ciberespacio; (iii) desarrollar en Chile una cultura de la ciberseguridad en torno a la educación, buenas prácticas y responsabilidad en el manejo de tecnologías digitales, dirigida a actores públicos y privados; (iv) establecer relaciones de cooperación en ciberseguridad en el ámbito internacional; y (v) promover el desarrollo de una industria de la ciberseguridad.[4] La noción ciberseguridad tiene su origen en la década del 80 con la propagación de los primeros virus informáticos por redes interconectadas. Luego, el concepto es reemplazado por el de “seguridad de la información”, siendo aquel nuevamente reemplazado por el de ciberseguridad a mediados de los 2000, con el auge de los incidentes a través de internet y la cibercriminalidad profesional. El énfasis ahora está en que la gestión de la seguridad es algo no radicado únicamente en el ámbito técnico sino también en la gestión a nivel de gobierno corporativo.[5] INTERNATIONAL TELECOMMUNICATION UNION (ITU). La seguridad de las telecomunicaciones y las tecnologías de la información, p. 5. Disponible en: https://bit.ly/2UY6FiQ. Consultado el 16 de abril de 2019.[6] Artículo 39 A de la LGT.[7] PNC, p. 11.[8] https://bit.ly/2PZSsf6.[9] Estas normas fueron incorporadas a la Communications Act de 2003 debido a la modificación efectuada por la directiva 2009/140 a la directiva 2002/21 CE “relativa a un marco regulador común de las redes de los servicios de comunicaciones electrónicas”. Además es importante hacer presente que las empresas de telecomunicaciones no está reguladas por el marco general europeo sobre ciberseguridad (Directiva 2016/1148) sino que están sujetas a los requisitos específicos de seguridad e integridad establecidos en la Directiva 2002/21 CE, “relativa a un marco regulador común de las redes de los servicios de comunicaciones electrónicas”, modificada por la directiva 2009/140 la que dispone que los Estados miembros velarán por que las empresas que suministran redes públicas de telecomunicaciones (artículo 13 bis): (i) adopten las medidas técnicas y organizativas adecuadas para gestionar adecuadamente los riesgos existentes para la seguridad de sus redes y servicios; (ii) implementen todas las medidas oportunas para garantizar la integridad de sus redes a fin de asegurar la continuidad de la prestación de los servicios que utilizan esas redes; y (iii) notifiquen al regulador nacional competente las violaciones de la seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios. El regulador nacional correspondiente podrá informar al público o exigir a las empresas que lo hagan, en caso de estimar que la divulgación de la violación reviste interés público.[10] De hecho, la autoridad sectorial británica advierte que los eventuales incumplimientos de la normativa sobre seguridad y resiliencia de redes de telecomunicaciones serán evaluados en su mérito caso a caso.[11] Elaborada por la agencia europea encargada de velar por la seguridad de las redes y de la información (EINSA, por sus siglas en inglés “European Union Agency for Network and Information Security”. Disponible en: https://bit.ly/2KF8rRU. Consultado el 16 de abril de 2019.[12] “Ofcom guidance on security requirements in sections 105 A to D of the Communications Act 2003”, versión 2017.[13] En 2011 se dictó en España la Ley 8/2011, de 28 de abril, “por la que se establecen medidas de protección de las infraestructuras críticas”, cuyo desarrollo se efectúo a través del Real Decreto 704/2011, que aprueba el “reglamento de protección de las infraestructuras críticas”. Disponibles en https://bit.ly/2ffQpBg y https://bit.ly/2KkcbYL. Consultados el 16 de abril de 2019.[14] Subsección 2.2.3. Disponible en: https://bit.ly/2Kw20AO. Consultado el 16 de abril de 2019.[15] Overview of FCC Initiatives to Protec Critical Infrastructure and Homeland Security. Remarks of FCC Commissioner Katheleen Q. Abernathy, 7 de junio de 2004, p. 2. Disponible en: https://bit.ly/2Gotp2i. Consultado el 16 de abril de 2019.[16] Por ejemplo, en marzo de 2019 la NRIC elaboró un reporte sobre buenas prácticas y recomendaciones para mitigar los riesgos de seguridad en los protocolos IP actuales (https://bit.ly/2Iw0Tyi). Y en septiembre de 2014 el mismo consejo revisó 476 buenas prácticas (https://bit.ly/2V5GWoK). El catálogo completo de buenas prácticas se encuentra disponible en https://bit.ly/2PgYUPQ. Consultado el 16 de abril de 2019.