Opinion legal

¿Estamos realmente preparados frente a las ciberamenazas?

Foto: Archivo.

Han pasado más de 48 horas desde que el Servicio Público de Empleo Estatal (SEPE) sufriera un ciberataque, ejecutado mediante el uso del ransomware conocido como Ryuk, sin que se haya podido recuperar la normalidad hasta el momento, interrumpiendo los servicios de la sede electrónica, el funcionamiento de la página web y la atención telefónica.

Ransomware es un tipo de programa dañino para los sistemas informáticos que consigue acceder a archivos y secuestra datos para posteriormente pedir un rescate a cambio. El momento en el que ha llegado no podría ser peor, puesto que afecta igualmente a los ERTE, nuevas solicitudes e información de periodos de actividad, o las nuevas contrataciones por parte de las empresas. Hasta que la situación se normalice no será posible comunicar las contrataciones por vía telemática, sin que corran los plazos durante su interrupción.

Una de las dudas que surgen siempre en este tipo de situaciones, es si existía alguna forma de poder haber evitado lo ocurrido. Vivimos en un mundo digital, totalmente interconectado, donde la mayoría de las relaciones las desarrollamos en lo que llamamos ciberespacio, interactuando casi un 60% de la población mundial, más de 4.500 millones de personas, sin límites o fronteras. Todo ello, además, acelerado exponencialmente por la aparición de la Covid-19, lo que conlleva que cambios que deberían haberse desarrollado en años, lo hagan en meses, sin que se hayan preparado las infraestructuras, las personas y los protocolos a seguir, para garantizar un mínimo de seguridad.

La seguridad de las redes y sistemas de información requiere potenciar las medidas de prevención, detección y respuesta, fomentando la seguridad por diseño y por defecto, debiendo estar incorporada tanto en el desarrollo de productos y servicios tecnológicos, como en su actualización o manera de utilización.

A raíz de la transposición por parte de España de la Directiva europea 2016/1148 (conocida como Directiva NIS), a través del Real Decreto Ley 12/2018, desarrollado recientemente por el Real Decreto 43/2021, donde, entre otras indicaciones, se incluye la gestión de incidentes de ciberseguridad, los denominados Operadores de Servicios Esenciales (OSE), como lo es el SEPE, deberán adoptar las medidas técnicas y de organización "adecuadas y proporcionadas" para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, tanto si son propios como externos.

La norma también les obliga a aprobar políticas de seguridad y a designar a un responsable de la seguridad (persona u órgano) que será el punto de contacto con la autoridad competente.

De cara a evitar posibles ataques por parte de las organizaciones, es fundamental la formación del personal, invertir en equipos y su actualización constante, a través de sistemas lo más robustos posibles. Hay que asegurar que se dispone de procedimientos que garanticen la continuidad del negocio y políticas para la gestión de la seguridad de la información.

¿Qué protocolo debe seguirse?

Los operadores de servicios esenciales como el SEPE, tendrán que notificar a la autoridades competentes, a través del CSIRT de referencia, "los incidentes que puedan tener efectos perturbadores significativos en sus servicios, y a avisar de los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real". Esto es lo que dice literalmente la norma antes indicada.

Los CSIRT son los equipos de respuesta a incidentes de seguridad en la información (Computer Security Information Responde Team). Se trata de entidades públicas y en España contamos con tres:

CCN-CERT: pertenece el Centro Criptológico Nacional, encargada de dar respuesta a ciberataques en el ámbito de las administraciones públicas

INCIBE-CERT: pertenece al Instituto Nacional de Ciberseguridad en España, encargado de incidencias en el sector privado.

ESPDEF-CERT: pertenece al Ministerio de Defensa, encargado de incidencias relacionadas con la Defensa Nacional.

Por lo que ha comunicado el propio SEPE a través de medios oficiales, en cuanto tuvo conocimiento de incidente se puso en contacto con el Centro Criptográfico Nacional, para notificar el ciberataque y solicitar asistencia para la resolución del problema, cumpliendo con su obligación.

Al no haberse visto comprometidos datos de carácter personal, en principio, no hay obligación de notificación a la Agencia Española de Protección de Datos (AEPD), en caso contrario habría contado con un plazo máximo de 72 horas para llevarla a cabo.

¿Cabe sancionar al SEPE tras el ciberataque?

El incumplimiento de las obligaciones establecidas en el RDL 12/2018 conlleva una serie de sanciones, que se gradúan en muy graves, graves o leves. Si se demostrara algún incumplimiento de la norma antes citada, las multas económicas son muy cuantiosas, en las leves hasta los 100.000 euros y en la muy graves pueden llegar hasta el 1.000.000 de euros, lo que desde luego puede llevar a una situación de grave riesgo a muchas empresas y organismos.

Además de ello, un hipotético incumplimiento, podría dar lugar al derecho de reclamación de los administrados por deficiente funcionamiento de los servicios públicos.

Las empresas comienzan a ser conscientes de que nos encontramos ante un problema real, que puede poner en jaque a una organización entera, capaz de provocar la desaparición de la misma, hasta el punto que ya comienzan a contratar "ciberseguros". ¿Y tú, estás preparado?

WhatsAppWhatsAppFacebookFacebookTwitterTwitterLinkedinlinkedin
FacebookTwitterlinkedin