15/02/010 - El Consejo Nacional Consultivo de Cyberseguridad celebró ayer en Madrid una mesa redonda que reunió a los principales expertos en seguridad de Infraestructuras CrÃticas del paÃs. La mesa que estuvo presidida y moderada por Xabier Mitxelena, presidente del CNCCS y director general de S21sec, contó, como invitados de honor, con:
- Fernando Sánchez (Director CNPIC)
-Â Manuel Escalante (Director de Operaciones de INTECO)
Y con la participación de distintos miembros del CNCCS:
-Â Paloma Llaneza (Presidente AEDEL)
-Â Igor Unanue (CEO S21sec labs)
-Â Carlos Jimenez (CEO Secuware)
-Â JoaquÃn Castillejo (CEO Tb security)
La seguridad en este tipo de infraestructuras sufrió un antes y un después a raÃz del 11-S. El ataque a las Torres Gemelas planteó la posibilidad de un ataque cibernético a infraestructuras clave del estado como un riesgo a mitigar pero, no es hasta el año 2004 cuando se lanzan iniciativas gubernamentales para hacer frente a este tipo de riesgos en Estados Unidos y Europa. En el caso de España cristalizó en el año 2007 con la creación del Centro Nacional de Protección de Infraestructuras CrÃticas (CNPIC), dependiente del Ministerio del Interior.
La misión de esta reunión era debatir y analizar la situación actual para prevenir y actuar ante cualquier tipo de amenaza digital a las infraestructuras y sistemas informáticos que sustentan los servicios básicos de nuestra sociedad, como el suministro energético, el transporte, los mercados financieros, las telecomunicaciones o la propia Administración. Estos sectores incluyen escenarios tales como depuradoras, centrales de suministro de agua, gaseoductos, oleoductos, refinerÃas, plantas nucleares, aeropuertos, estaciones de tren o metro, entre otras. Este tipo de incidentes puede provocar consecuencias directas en la salud, seguridad y bienestar económico y social de un paÃs, al ser capaz de generar desde apagones multitudinarios o colapsos en la red de transportes, hasta la paralización de los servicios de telefonÃa, banca on-line y e-administración.
Pero ¿por qué de repente estas infraestructuras pueden ser consideradas más vulnerables? Existen varias razones: la primera la creciente interconexión de los sistemas de control de las infraestructuras crÃticas a través de Internet, la segunda la cada vez mayor dependencia tecnológica en todos los sectores y el enorme potencial alcanzado por las TecnologÃas de la Información y, por último, la facilidad y accesibilidad a las diversas herramientas y redes con las que realizar un ataque a través de Sistemas de Información. Todas ellas han motivado un incremento constante de estas amenazas que pueden provenir de muy diversos frentes (delincuencia, crimen organizado, espionaje polÃtico o industrial, terrorismo…).
La colaboración del sector público y privado se convierte en la clave para adoptar rápidamente y con éxito una polÃtica integral para la protección de Infraestructuras CrÃticas. Además de esta colaboración, la concienciación y la sensibilización son fundamentales asà como el establecimiento de un marco regulatorio óptimo.
En el campo de la seguridad en infraestructuras crÃticas queda aún mucho trabajo por realizar y por este motivo el CNCCS ha querido unir la experiencia de sus miembros en este Encuentro para poner de relieve la necesidad de acelerar la seguridad en este sector y destacar los puntos clave para poder avanzar: coordinación, concienciación, sensibilización y regulación.
Conclusiones más destacadas de los participantes en el Encuentro
Xabier Mitxelena, presidente del CNCCS y director gerente de S21sec declaró que “desde el CNCCS estamos realizando un esfuerzo de concienciación y mentalización tanto de gobernantes como de la población para empujar, fomentar y acelerar una legislación que regule la seguridad en este tipo de infraestructuras y aunar los esfuerzos y colaboración entre los distintos actoresâ€.
“En España, las actuaciones necesarias para optimizar la seguridad de las infraestructuras se enmarcan principalmente en el ámbito de la protección contra agresiones deliberadas y, muy especialmente, contra ataques terroristas, resultando por ello lideradas por el Ministerio del Interior. Es preciso contar por tanto con la cooperación de todos los actores -administración del Estado, Administraciones Públicas y el sector privado- involucrados en la regulación, planificación y operación de las diferentes infraestructuras que proporcionan los servicios públicos esenciales para la sociedad, logrando una asociación público-privada que resulte provechosa para todos†subrayó Fernando Sánchez, director del CNPIC.
Manuel Escalante, director de operaciones de INTECO añadÃa “Es importante mejorar la disponibilidad de información relativa a incidentes en este ámbito con el fin de plantear una respuesta temprana y efectiva. Un incidente que afecte a infraestructuras crÃticas no sólo supone un problema de seguridad ciudadana o un perjuicio económico, sino que también afecta a la confianza y la reputación de un modo determinante†y continuó “Los sistemas de Información de las Infraestructuras CrÃticas son cada vez más abiertos y plantean nuevos retos que es necesario afrontar. Para abordar una estrategia con éxito la colaboración público-privada es imprescindibleâ€.
“Uno de los puntos que más favorecen los ataques es el anonimato. Es necesario identificar los ordenadores y las personas que están conectados en red para reconocer a los atacantes. El DNI electrónico será un elemento que contribuirá a confiar más en la red. Será una gran oportunidad para España si sabemos aprovechar los más de 14 millones de DNI que ya están en la calle†afirma Carlos Jiménez, CEO de Secuware.
“La investigación y el trabajo que se ha venido realizando en el área de infraestructuras crÃticas hasta el momento desde los diferentes organismos/instituciones es una de la principales bazas con las que contamos para evitar los fallos de seguridad en este tipo de infraestructuras. A pesar de que el trabajo en este campo ya se ha iniciado queda mucho camino por recorrer y de ahà la importancia de que todos los actores del mercado nos unamos para fomentar y acelerar una legislación y soluciones en esta área†añadió Igor Unanue, director de S21sec labs.
“Para hacer frente a las crecientes amenazas a las infraestructuras crÃticas, cada dÃa más interconectadas, se requiere de una estrategia nacional, con una polÃtica y un marco legislativo sólido, en el que gobiernos, proveedores de infraestructuras y tecnologÃa trabajen juntos en aras del bien común. Para ello es imprescindible el establecimiento de procedimientos globales de gestión de riesgo, asà como la adopción de medidas y mecanismos de preparación adecuados. En este sentido, la constitución de Equipos de Respuesta a Incidentes, CERTs, puede ser de gran ayuda para hacer frente a los ciberataques, tal y como recomienda ENISA y la Unión Europea “ añadÃa JoaquÃn Castillejo, CEO de Tb Security.
Paloma Llaneza, presidenta de AEDEL concluÃa “la seguridad jurÃdica es un aspecto de gran relevancia en este ámbito. Además, es necesario establecer un marco regulatorio adecuado y es importante una gestión integral de todos los incidentes para proteger las Infraestructuras CrÃticas del paÃsâ€.
El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) ha emprendido desde sus inicios distintas acciones para promover la prevención del cibercrimen e incrementar la confianza en el uso de las Nuevas TecnologÃas y la seguridad de los Sistemas de Información. Hace unos meses el Consejo anunció la incorporación de 14 nuevos miembros: Cybex, Amper, Telefonica, TBSecurity, Optenet, Colegio Oficial de Ingenieros de el PaÃs Vasco, Informática 64, Kinamik, S2 grupo, Indra, Barcelona Digital Centro Tecnológico, Universidad de Deusto Laboratorio S3Lab, Colegio Oficial de Ingenieros de Telecomunicación (COIT) y AEDEL. Junto con los cuatro miembros fundadores (Panda Security, Hispasec Sistemas, S21sec y Secuware), en estos momentos el CNCCS cuenta con 18 miembros.