Autor: Juan González, director de Seguridad y Privacidad de Gradiant
Este texto ha sido publicado originalmente en la revista Economía Industrial Núm.410: Ciberseguridad
La adopción masiva de tecnologías de la información y telecomunicaciones está transformando nuestra sociedad y todos los sectores de nuestra economía. Está cambiando como nos relacionamos como sociedad, como interactuamos con las Administraciones Públicas y como las empresas desarrollan y entregan sus productos.
Digitalización del sector público
Las Administraciones Públicas, locales, autonómicas y estatales, se encuentran en pleno proceso de transformación, proporcionando cada vez más procedimientos e información a los ciudadanos de forma digital, para la conveniencia de estos últimos y con el objetivo de conseguir una administración más eficiente, interconectada e interoperable.
Desde la escueta mención al impulso de los medios técnicos presente en el artículo 45 de la ya derogada Ley de Procedimiento Administrativo del año 1992 (1), pasando por la ley de Administración Electrónica de 2007 (2), se ha llegado a las actuales leyes de Régimen Jurídico (3) y Procedimiento Administrativo (4) de 2015 donde ya no se habla de la posibilidad de la Administración Electrónica sino que se considera que la Administración es (o debe ser) electrónica, siguiendo así lo que se conoce como la estrategia digital por defecto (digital by default).
Según datos de Eurostat, el porcentaje de ciudadanos que se relaciona con la Administración mediante medios electrónicos supera el 50% (5). Otro indicador de la evolución es el número de ciudadanos registrados en el servicio de identidad Cl@ve, que unifica y simplifica el acceso electrónico a los servicios públicos. Según datos del Observatorio de Administración Electrónica OBSAE, el crecimiento de los usuarios registrados entre 2015 y 2017 ha sido superior al 200%, situándose en más de 5 millones (6).
Digitalización del sector privado
La transformación digital también está teniendo un gran impacto en las empresas, en cómo entregan los productos a sus clientes, en su organización interna y en la relación con sus proveedores.
Uno de los sectores que mejor refleja la adopción de nuevas tecnologías TIC es el comercio electrónico. No solo ha supuesto la aparición de grandes gigantes nativos digitales, sino que ha sido asumido por pequeñas empresas y negocios tradicionales. El 28% de las empresas medianas (entre 50 y 250 empleados), venden sus productos online (7). Por parte de los usuarios la compra por Internet ha aumentado drásticamente. En España el 40% de los ciudadanos ha realizado al menos una compra online en los últimos 3 meses en 2017, cuando este indicador era tan solo del 22% en 2012 (8).
En la gestión de sus procesos internos, la digitalización está cada día más presente en las empresas, el 46% ha integrado sus procesos en productos software, valor que apenas superaba el 20% en el año 2012 (9).
Aumento de los riesgos asociados a la digitalización
Si bien son indudables los beneficios de esta transformación digital también han aumentado los riesgos asociados a la adopción de nuevas tecnologías, principalmente los generados por amenazas a la seguridad de la información o ciberamenazas. Estas amenazas ponen en riesgo no solo el crecimiento y la sostenibilidad de nuestra economía, sino también nuestro modo de vida.
Así, la Ciberdelincuencia, como fenómeno que va parejo al uso de las nuevas tecnologías, ha experimentado un crecimiento durante los últimos años, como consecuencia de un mayor uso por parte de la sociedad de todas las nuevas formas de conectividad tecnológica (10).
En los datos del Sistema Estadístico de Criminalidad (SEC) se aprecia un crecimiento de los delitos para cuya comisión se han empleado Tecnologías de la Información y Comunicaciones (TIC). Según el Estudio de Cibercriminalidad de 2017, «en el periodo comprendido entre 2014 a 2017, como hecho irrefutable extraído de los resultados registrados por las Fuerzas y Cuerpos de Seguridad se constata el aumento de los delitos informáticos. De esta forma, podemos apreciar que, en 2017, se ha conocido un total de 81.307 hechos, lo que supone un 22,1% más con respecto al año anterior. De esta cantidad, el 74,4 % corresponde a fraudes informáticos y el 13,9% a amenazas y coacciones.» (10)
El crecimiento de los ciberataques tiene diversas causas. La Estrategia de Ciberseguridad Nacional identifica las siguientes (11):
- Bajo coste: muchas de las herramientas utilizadas por los atacantes pueden obtenerse de forma gratuita o a un coste muy reducido.
- Ubicuidad y fácil ejecución: la ejecución de los ataques es independiente de la localización de los agresores, no siendo imprescindible, en muchos casos, grandes conocimientos técnicos.
- Efectividad e impacto: si el ataque está bien diseñado, es posible que alcance los objetivos perseguidos. La ausencia de políticas de ciberseguridad, la ausencia de recursos y la falta de sensibilización y formación pueden facilitar este adverso resultado.
- Reducido riesgo para el atacante: la facilidad de ocultación hace que no sea fácil atribuir la comisión de un ciberataque a su verdadero autor o autores, lo que, unido a un marco legal dispar o inexistente, dificulta la persecución de la acción.
Innovación en ciberseguridad
Las amenazas a la seguridad de la información han existido siempre, pero ha sido en los últimos años un crecimiento exponencial. Esto se debe principalmente a los cuando los riesgos asociados a las mismas han sufrido siguientes factores:
- El impacto de ataques a la seguridad es mucho mayor debido a la mayor adopción de tecnologías como elementos fundamentales en los procesos de negocio.
- La probabilidad de que se produzcan los ataques ha aumentado. La complejidad de las tecnologías empleadas aumenta la superficie de ataque y la innovación por parte de los atacantes incrementa la capacidad de los mismos para amenazar la seguridad de la información.
Estos factores explican la necesidad de investigar e innovar en ciberseguridad. Por un lado, la rápida evolución de las tecnologías y la necesidad por parte de las organizaciones por adoptarlas para mantener su competitividad y mejorar su eficiencia lleva asociada un incremento en el número de vulnerabilidades a las que están expuestas las empresas. Es imprescindible mantener el mismo ritmo de innovación en ciberseguridad para poder adoptar nuevas tecnologías sin superar un nivel de riesgo aceptable.
Por otro lado, los actores que buscan explotar las vulnerabilidades son activos, innovadores y usan igualmente los avances tecnológicos para lleva a cabo sus ataques. Esto provoca que el riesgo al que se ven expuestas las organizaciones sea especialmente dinámico y difícil de gestionar. En seguridad de la información, las amenazas a la disponibilidad, confidencialidad e integridad de la misma no tienen por qué venir causadas por un atacante. Por ejemplo, el fuego es una amenaza clásica en seguridad de la información y deben establecerse los controles necesarios para mitigar su riesgo, pero, afortunadamente, no es necesario protegerse de cambios en el comportamiento del fuego o que se apoye en nuevas tecnologías.
La innovación y el uso de nuevas tecnologías en los ataques (por ejemplo: el uso de Inteligencia Artificial para mejorar las campañas de phising (12) o el uso de dispositivos IoT para ataques de denegación de servicio (13) obliga a innovar en ciberseguridad para hacer frente al desarrollo de nuevas amenazas.
Por ello, la ciberseguridad debe verse como un elemento habilitador, imprescindible para la adopción de nuevas tecnologías y alcanzar los beneficios asociados a las mismas. La innovación en tecnologías de ciberseguridad es un elemento fundamental que debe jugar un papel habilitador en la digitalización de la sociedad y de la economía.
El mercado de la ciberseguridad
Desde el punto de vista de mercado, la ciberseguridad es un sector en crecimiento, de hecho, debería tener un crecimiento como mínimo igual al del de desarrollo de nuevas tecnologías para poder adoptar éstas de manera segura. Al invertir en tecnologías, las organizaciones deben realizar una inversión proporcional en ciberseguridad para que los riesgos asociados a su implantación no destruyan los beneficios esperados.
Desafortunadamente para España y para Europa en general, el mercado de los productos de ciberseguridad está dominado principalmente por empresas estadounidenses al igual que la innovación (14). Esto es negativo principalmente por dos aspectos:
- La balanza comercial en productos de ciberseguridad es deficitaria para Europa. Somos principalmente importadores en un mercado con grandes expectativas de crecimiento.
- La ciberseguridad es un mercado estratégico. Los productos de ciberseguridad son necesarios para la protección de nuestras empresas y la industria, de nuestro sector público, de las infraestructuras críticas y de los ciudadanos en general. Es evidente que sería preferible disponer de tecnología propia europea y no depender exclusivamente de tecnología extracomunitaria.
Estos aspectos están claramente reconocidos en Europa y en España y a ambos niveles se están desarrollando estrategias para mejorar la balanza comercial y reducir la dependencia de tecnología externa. En estas estrategias juega un papel relevante la innovación en ciberseguridad.
Estrategia europea para la innovación en ciberseguridad
Los primeros pasos en la Unión Europea para abordar los problemas de ciberseguridad, tanto las relativas a las amenazas al mercado único digital (Digital Single Market) como a la dependencia y exportación de productos extracomunitarios, se dieron en la Estrategia de Ciberseguridad Europea en el año 2013.
La estrategia establece los siguientes principios para guiar la política de la Unión Europea en materia de ciberseguridad (15):
- Los valores fundamentales de la UE se aplican tanto en el mundo digital como en el físico.
- Protección de los derechos fundamentales, la libertad de expresión, los datos personales y la privacidad.
- Acceso para todos.
- Gobernabilidad democrática y eficiente de múltiples partes interesadas.
- Una responsabilidad compartida para garantizar la seguridad.
En la definición de las prioridades estratégicas junto con las relacionadas con reducir el ciber-crimen, alcanzar ciber-resiliencia, mejorar la ciber-defensa y establecer una política para el ciber-espacio, se encuentra desarrollar los recursos industriales y tecnológicos para la ciberseguridad.
Es en esta prioridad estratégica donde se aborda el riesgo de que Europa no solo sea excesivamente dependiente de soluciones TIC producidas fuera de sus fronteras, sino también de productos de seguridad extracomunitarios.
Entre las medidas a tomar para desarrollar los recursos industriales y tecnológicos para la ciberseguridad destaca el fomentar las inversiones en investigación, desarrollo e innovación. En la estrategia se considera que la inversión en innovación servirá para promover la industria TIC en Europa y reducir la dependencia europea de las tecnologías extranjeras. La innovación también ayudaría a reducir las carencias tecnológicas en la seguridad informática y a prepararnos para las próximas generaciones de ciberamenazas.
Otro punto fundamental abordado en esta medida es complementar la inversión en I+D+i con esfuerzos para traducir esta inversión en soluciones comerciales. Se debe conseguir que las innovaciones alcanzadas se integren en el mercado de la ciberseguridad.
Para ello, en la estrategia, la Comisión Europea se compromete a utilizar el programa marco de investigación e innovación Horizon 2020, para cubrir aspectos de ciberseguridad y privacidad desde el I+D hasta la innovación y despliegue. También invita a los Estados Miembro a utilizar la fuerza de compra de las Administraciones Públicas para estimular el desarrollo de características de seguridad en productos TIC, es decir, utilizar herramientas de Compra Pública Innovadora que sirvan de instrumento para el fomento de la innovación en ciberseguridad.
Como consecuencia a la definición de la estrategia europea en ciberseguridad surge el interés de la industria en firmar una asociación público-privada contractual (cPPP por sus siglas en inglés) con la Comisión Europea. La propuesta de cPPP (16) se hace oficial en junio de 2016 coincidiendo con la creación de la European Cybersecurity Organization (ECSO) que engloba todas las organizaciones con intereses en seguridad de la información. Los miembros de la ECSO incluyen a grandes compañías TIC, Universidades, PYMEs y otras entidades como pueden ser distintos organismos del sector público, grandes empresas no TIC (finanzas, seguros, energía…). El cPPP (17) se firma finalmente en julio de ese mismo año.
Dentro del contrato se determinan los principales objetivos del mismo agrupados en: mejoras de competitividad, operacionales, sociales e innovación. Tanto los relativos a la mejora de la competitividad como, obviamente, los referidos a la innovación, destacan ésta como uno de los principales aspectos a tener en cuenta para posicionar Europa en el mercado de la ciberseguridad, habilitar el mercado digital europeo y mejorar la seguridad y confianza en el mismo.
Al nivel económico de la Comisión estima financiar proyectos en innovación en materia de ciberseguridad, dentro del programa marco H2020, por un importe de 450M de euros. Por su lado se espera que el mercado de ciberseguridad invierta tres veces dicha cantidad.
ECSO está estructurado en grupos de trabajo. Desde el punto de vista de innovación el más destacado es el grupo de trabajo 6 (WG6). Este grupo fue el encargado de definir la agenda para la estrategia en innovación (SRIA, Strategic Research and Innovation Agenda). Los objetivos principales del grupo de trabajo son los siguientes:
- Coordinación de resultados y expectativas de la Comisión Europea y proyectos de I+D
- Coordinación de actividades de ciberseguridad en la cPPP e iniciativas de la UE
- Apoyo a la implementación de cPPP y los proyectos de ciberseguridad en el programa marco H2020
- Sugerencias detalladas para el Programa de Trabajo 2017-2020 usando una SRIA actualizada y enfocada
En resumen, su principal función es aconsejar e influir en la Comisión Europea sobre los aspectos a financiar en ciberseguridad en el programa H2020.
En la primera versión de la SRIA, publicada en junio de 2017, se identifican cuatro tipos de proyectos H2020 (16):
- Ecosistema: Proyectos dedicados al desarrollo de un ecosistema favorable a la implementación de soluciones innovadoras en ciberseguridad.
- Proyectos de demostración: Demostración de soluciones de ciberseguridad en dominios verticales (telecomunicaciones, energía, salud…) en colaboración con la industria que permita acelerar la implantación de soluciones innovadoras.
- Infraestructuras transversales: Proyectos que permitan integrar tecnologías transversales, independientes del sector, que afronten desafíos comunes en ciberseguridad.
- Componentes tecnológicos: Proyectos para el desarrollo de tecnologías transversales en ciberseguridad.
Como se puede ver, la estrategia para la innovación en ciberseguridad es apoyarse en las necesidades de distintos sectores dentro de Europa que faciliten el desarrollo de una industria europea en ciberseguridad. Para ello, el grupo de trabajo 6 colabora estrechamente con el grupo de trabajo 3, formado principalmente por representantes de las principales empresas y organizaciones en distintos sectores en Europa: Industria, Energía, Edificios y Ciudades Inteligentes, Transporte, Salud y Servicios Electrónicos.
Esta estrategia, la colaboración con los usuarios finales de las tecnologías de ciberseguridad en Europa, es clave. No solo permite conocer de primera mano sus necesidades, y en particular las necesidades no cubiertas con los productos existentes, sino que servirán de plataforma para la maduración de las tecnologías desarrolladas en Europa. Para ello es fundamental convencer a estas organizaciones de las ventajas de afrontar conjuntamente estos retos y la financiación mediante el programa marco de innovación es una gran medida para ello.
Estrategia española para la innovación en ciberseguridad
La importancia de la transformación digital de la sociedad ha puesto como objetivo prioritario en la agenda de la mayoría de los Gobiernos garantizar la seguridad del ciberespacio. En el caso de España, este objetivo se plasmó, en 2013, en la Estrategia de Seguridad Nacional.
La Estrategia de Seguridad Nacional establece como uno de sus principales objetivos (11) «garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, defensa, detección, análisis, investigación, recuperación y respuesta a los ciberataques» y se reconoce al ciberespacio como un «… nuevo ámbito de relación que ha proporcionado el desarrollo de las nuevas tecnologías de la información y las comunicaciones, ha diluido las fronteras, permitiendo una globalización sin precedentes, que propicia nuevas oportunidades, pero conlleva serios riesgos y amenazas.»
Para ello, en diciembre de 2013, se publicó la Estrategia de Ciberseguridad Nacional. Entre los objetivos de la misma destaca el Objetivo V (11): «Alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad«.
Como justificación del objetivo en el documento se incluye que «Es importante, además, fomentar y potenciar las capacidades tecnológicas precisas para disponer de soluciones nacionales confiables que permitan proteger adecuadamente los sistemas frente a las diferentes amenazas». Para alcanzar este objetivo la Estrategia concluye que «se requiere fomentar y mantener una actividad de I+D+i en materia de ciberseguridad de manera efectiva».
Al igual que en la estrategia europea, se identifica la actividad innovadora en ciberseguridad como un punto fundamental para garantizar la confianza en la sociedad digital, aunque en el caso de la española no se hacer referencia a la necesidad de contar con mayor presencia en el mercado global de productos de ciberseguridad.
Para alcanzar los objetivos, la Estrategia de Ciberseguridad Nacional se articula a través de una serie de líneas de acción. El objetivo de innovación en ciberseguridad se cubre en la línea de acción 6: «Promover la capacitación de profesionales, impulsar el desarrollo industrial y reforzar el sistema de I+D+i en materia de ciberseguridad». En el desarrollo de la línea de acción el Gobierno se compromete a «Extender y ampliar los programas de captación de talento, investigación avanzada y capacitación en ciberseguridad en cooperación con Universidades y centros especializados» y «Fomentar el desarrollo industrial de productos y servicios en materia de ciberseguridad por medio de instrumentos, entre otros, como el Plan Estatal de Investigación Científica y Técnica y de Innovación».
En paralelo, el Plan de Confianza en el ámbito digital, en respuesta al objetivo cuatro de la Agenda Digital para España, «Reforzar la confianza en el ámbito digital», identifica como objetivo específico «contribuir a que la industria, el sector académico y los profesionales aprovechen la oportunidad de la confianza digital para la innovación, la generación de talento y la investigación avanzada, especialmente en materia de ciberseguridad, construyendo un mercado de productos y servicios competitivo y de referencia internacional».
En resumen, tanto a nivel europeo, en la Estrategia de Ciberseguridad Europea, como a nivel estatal, en la Estrategia de Ciberseguridad Nacional y en el Plan de confianza en el ámbito digital, se identifican como calve la innovación en ciberseguridad. La innovación en ciberseguridad es estratégica no solo por ser clave para habilitar el crecimiento de la industria y sociedad digital sino también por las oportunidades de mercado para el desarrollo de nuevas tecnologías en este campo.
En este contexto de innovación, uno de los agentes que está ejecutando la estrategia es el Instituto Nacional de Ciberseguridad (INCIBE). INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación española y empresas, especialmente para sectores estratégicos.
Entre las actividades llevadas a cabo por INCIBE para el fomento de la innovación en ciberseguridad destaca el impulso del «Estudio de la viabilidad, oportunidad y diseño de una Red de Centros de Excelencia en I+D+i en ciberseguridad». Este estudio fue el germen de la creación de la Red de Excelencia Nacional de Investigación en Ciberseguridad (RENIC), asociación sectorial que engloba centros de investigación, universidades y otros agentes del ecosistema investigador de ciberseguridad en España. Entre los principales objetivos de RENIC están:
- Aglutinar la experiencia necesaria para fomentar el posicionamiento, competitividad y liderazgo del sector de ciberseguridad a nivel internacional.
- Lograr la cooperación de los agentes expertos en ciberseguridad, sirviendo de nexo de unión de cara a posibles colaboraciones.
- Difundir los resultados de investigación promoviendo la trasferencia de conocimiento y de soluciones a la industria.
INCIBE también participa en iniciativas de Compra Pública Innovadora en ciberseguridad que pueden suponer un gran impulso para el desarrollo de soluciones nacionales en este sector. De manera similar, en el contexto de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC), promueve que las empresas planteen a la comunidad investigadora los desafíos de seguridad a los que están expuestas y que no están adecuadamente cubiertos por productos existentes.
Referencias
(1) Ley 30. (1992). Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
(2) Ley 11. (2007). Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
(3) Ley 39. (2015). Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
(4) Ley 40. (2015). Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
(5) Eurostat. (2017). E-government activities of individuals via websites.
(6) OBSAE. (2018). DATAOBSAE – Área Atencion Ciudadano y Empresa.
(7) Eurostat. (2017). E-commerce sales.
(8) Eurostat. (2017). Internet purchases by individuals.
(9) Eurostat. (2017). Integration of internal processes.
(10) Ministerio del Interior. (2017). Estudio sobre la criminalidad en España.
(11) Presidencia del Gobierno. (2013). Estrategia de Ciberseguridad Nacional.
(12) Palmer, D. (2017). AI will supercharge spear-phishing.
(13) Krebs, B. (2016). Source Code for IoT Botnet ‘Mirai’ Released.
(14) EOS. (2015). Cybersecurity for a trusted EU Digital Single Market – EOS Market Study for a Cybersecurity Flagship Programme.
(15) Presidencia del Gobierno. (2013). Estrategia de Seguridad Nacional.
(16) ECSO. (2016). European Cybersecurity Strategic Research and Innovation Agenda (SRIA) for a cPPP.
(17) ECSO – European Comission. (2016). Contractual arrangement setting up a Publc-Private Partnership in the area of cybersecurity industrial reserarch and innovation. Estrasburgo.