¡°Europa debe temer ataques a infraestructuras cr¨ªticas¡±

ENISA es la agencia europea de ciberseguridad. Steve Purser, su director de Operaciones durante m¨¢s de nueve a?os, la define como un centro de expertos.?Tiene un papel recomendador, de moderador desde el segundo plano. Pero es un organismoque est¨¢ llamado a tener cada vez m¨¢s importancia, en tanto as¨ª la va teniendo el problema del que se ocupa:las amenazas inform¨¢ticas.

La Agencia Europea de Seguridad de las Redes y de la Informaci¨®n ¨Ca este nombre responden las siglas de ENISA¨C ha sido una de las impulsoras de la Directiva Europea NIS, la primera que legisla en materia de ciberseguridad. Cuando vence el plazo para que esta normativa se transponga al ordenamiento jur¨ªdico de los Estados miembros, EL PA?S ha hablado con Purser sobre los retos que afronta Europa en este ¨¢mbito y las complejidades de una disciplina que ¡°apuntala el resto de cosas que hacemos¡±.

Pregunta. ?Cu¨¢l es la labor de ENISA en el marco de la ciberseguridad europea?

Respuesta. El modelo de trabajo de ENISA, para todo lo que hacemos,consiste en buscar a expertos en los Estados miembros y trabajar estrechamente con ellos. Nuestro trabajo es hacer que los expertos se pongan de acuerdo sobre cu¨¢l es el ¨¢mbito del problema y, despu¨¦s, cu¨¢l es el ¨¢mbito de la soluci¨®n. Trabajamos en el v¨ªnculo entre lo pol¨ªtico y lo t¨¦cnico.

P. ?Cu¨¢les son los mayores retos en ciberseguridad a los que se enfrenta Europa?

Tal vez la tostadora pueda comunicarse con tu ordenador personal, en cuyo caso esto es una puerta de entrada a tu hogar y, de ah¨ª, solo hay un peque?o paso para entrar en tu oficina

R. El m¨¢s evidente es el incremento en el n¨²mero de ataques y la cada vez mayor sofisticaci¨®n de estos. Y otro de los retos que tiene Europa en estos momentos son las habilidades requeridas. Sabemos que la ciberseguridad es muy importante. Tal vez no le hemos dado la importancia que se merec¨ªa en los a?os anteriores y, por eso, ahora tenemos escasez de personas capacitadas.

P. ?Alg¨²n campo concreto que preocupe especialmente a ENISA?

R. La tecnolog¨ªa est¨¢ cambiando. Siempre lo est¨¢ haciendo. Pero ahora hay un cambio verdaderamente significativo. En los ¨²ltimos dos a?os y, con toda seguridad para el futuro, hemos visto llegar al mercado una tecnolog¨ªa muy escalable, Internet de las cosas. Gartner [la consultora estadounidense] prev¨¦ que para 2020 habr¨¢ 20.000 millones de dispositivos ah¨ª fuera, que habr¨¢n llegado al mercado en poco tiempo. As¨ª que tienes muchos millones de estos dispositivos de bajo coste que son dif¨ªciles de proteger. Si compras una bombilla conectada por cinco euros esto no te deja mucho margen para pagar por la seguridad. Y, adem¨¢s, tal vez la tostadora pueda comunicarse con tu ordenador personal, en cuyo caso esto es una puerta de entrada a tu hogar y, de ah¨ª, solo hay un peque?o paso para entrar en tu oficina.

P.?Cu¨¢l considera que es la mayor amenaza para Europa?

R. Si pensamos en algo que puede pasar ma?ana creo que ya lo hemos visto. Son ataques como el de WannaCry y NotPetya, que llegan muy r¨¢pido, con vulnerabilidades de d¨ªa 0 (agujeros de seguridad desconocidos por los usuarios y el fabricante). Y estamos muy lejos de poder protegernos y de minimizar el da?o.

P. ?Y a largo plazo?

R. Aqu¨ª creo que el mayor riesgo es que la gente no se adapte al gran cambio que est¨¢ teniendo lugar con el Internet de las cosas. Todos los procedimientos y procesos que usamos ahora no funcionan muy bien en un mundo de Internet de las cosas. Una parte importante de esto es el reto econ¨®mico. Si el dispositivo vale diez euros, no tiene sentido que cueste 50 euros protegerlo.

P. ?Estamos concienciados sobre el riesgo de no estar bien protegidos?

No hemos aprendido la lecci¨®n de que la seguridad cuesta dinero. Esto es inevitable y es dinero bien invertido

R. Creo que a veces somos muy cortos de miras. Pensemos en el da?o hecho por WannaCry o NotPetya. Fue enorme. A veces pensamos que cuesta mucho dinero proteger las cosas y estamos hablando de un coste mucho menor. En general,?creo que no hemos aprendido la lecci¨®n de que la seguridad cuesta dinero. Esto es inevitable y es dinero bien invertido.

Esto es particularmente cierto en la electr¨®nica de consumo, donde no hemos llegado realmente a persuadir al consumidor medio de la importancia de la seguridad, as¨ª que el consumidor todav¨ªa no invierte en productos seguros. En otras palabras, si le damos la opci¨®n entre un producto seguro y uno menos seguro, pero m¨¢s barato y con m¨¢s funcionalidades, creo que la mayor¨ªa de los consumidores se decantar¨¢n por el producto menos seguro.

P. ?Cu¨¢l es el camino para evitar este comportamiento?

R. La ciberseguridad es complicada. No es como estas etiquetas que tienes en los frigor¨ªficos sobre su consumo energ¨¦tico, como A, A+... Esto es relativamente sencillo de entender. Es mucho m¨¢s dif¨ªcil hacer esto con la ciberseguridad, pero estamos buscando soluciones. Una de las cosas que estamos estudiando es c¨®mo podemos crear un etiquetado que le hable al ciudadano y este lo entienda, de forma que diga¡°vale, esto es algo que puedo comprar y estar¨¦ razonablemente bien protegido¡±.

P. ?Cu¨¢l es el prop¨®sito de la Directiva NIS?

R. La idea es mejorar nuestra aproximaci¨®n para tratar con las infraestructuras cr¨ªticas en general, con todos esos servicios que necesitas para que tu pa¨ªs siga operando como un pa¨ªs normal. Tiene cuatro pilares: mejorar las capacidades nacionales de ciberseguridad, mejorar la cooperaci¨®n, exponer requisitos de seguridad y notificaci¨®n para estas operaciones y para los operadores cr¨ªticos y tambi¨¦n exponer otros requisitos de seguridad y notificaci¨®n,?que son menos exigentes, para los proveedores de servicios digitales.

P. ?Qu¨¦ da?o podr¨ªa hacer un ciberataque a infraestructuras cr¨ªticas?

No hay ning¨²n proceso en estos d¨ªas que pueda funcionar sin la inform¨¢tica y, si esta no se protege correctamente, todo ese proceso est¨¢ en riesgo

R. Se llaman infraestructuras cr¨ªticas por un motivo. Si fuera el sector bancario, un ataque podr¨ªa tumbar la econom¨ªa nacional o la econom¨ªa europea. En algunos casos podr¨ªa afectar a la econom¨ªa mundial. Cuando hablas de Swift, Clearstream o Euroclear, estas son organizaciones que juegan un papel central en c¨®mo fluye el dinero. Si nos fijamos en el sector sanitario, si tumbas un sistema nacional de salud, los m¨¦dicos no pueden operar y los pacientes no pueden ver a sus m¨¦dicos, por ejemplo. Y luego pensemos en lo que podr¨ªa ocurrir si pudieras penetrar en una planta nuclear. Estamos hablando de riesgos muy altos.

P. Los hospitales son un blanco preocupante, ?est¨¢n preparados para los futuros ataques?

R. S¨ª y no. El sector sanitario en general est¨¢ mucho m¨¢s concienciado de lo que lo estaba hace un par de a?os. ENISA ha hecho mucho trabajo aqu¨ª. Este es uno de los sectores cr¨ªticos en la Directiva NIS. Pero hay que hacer mucho m¨¢s trabajo.

P. ?Debe Europa temer ataques a infraestructuras cr¨ªticas?

R. S¨ª, por supuesto. Y los tememos. Pero la buena noticia es que esta es una de las razonas por las que se introdujo la Directiva NIS. Yo dir¨ªa que si comparamos la situaci¨®n de ahora con la de hace cinco a?os estamos mucho mejor.

P. ?Tienen evidencias de que grupos terroristas hayan tenido como objetivo infraestructuras cr¨ªticas en Europa?

R. Esto es atribuci¨®n y ENISA no hace esto. Pero dir¨ªa que las posibilidades de que esto pase son muy altas.?

P. ?Cu¨¢l es el riesgo deciberataques patrocinados por Estados?

P. ?Qu¨¦ deberes les queda pendientes a los Estados miembros?

R. Todos los Estados miembros tienen que ser conscientes de que la ciberseguridad es una parte muy importante de la agenda pol¨ªtica. Porque despu¨¦s de todo, la ciberseguridad apuntala el resto de cosas que hacemos. No hay ning¨²n proceso en estos d¨ªas que pueda funcionar sin la inform¨¢tica y, si esta no se protege correctamente, todo ese proceso est¨¢ en riesgo.

P.?Cu¨¢l ser¨¢ elsiguiente paso tras la Directiva NIS?

Si est¨¢s en la calle y alguien te pide algunos datos tuyos no se los das, sin embargo, mucha gente arroja todos sus secretos en Facebook. Es chocante. As¨ª que creo que el aprender este sentido com¨²n electr¨®nico es el reto para la pr¨®xima generaci¨®n

R.El pr¨®ximo paso es construir sobre lo que ya tenemos. La Directiva NIS no habla de los retos de Internet de las cosas y no habla mucho de la educaci¨®n general para los ciudadanos. Tenemos que llegar al punto de que el ciudadano medio haga las cosas intuitivamente. Yo lo llamo 'sentido com¨²n electr¨®nico': si est¨¢s en la calle y alguien te pide algunos datos tuyos no se los das, sin embargo, mucha gente arroja todos sus secretos en Facebook. Es chocante. As¨ª que creo que el aprender este sentido com¨²n electr¨®nico es el reto para la pr¨®xima generaci¨®n.