David Vara Cuesta

Los datos de la base de datos del Atlas de Ciberseguridad de la Comision Europea habrían sido puestos a la venta de forma ilícita desde el pasado 2 de agosto. Esta filtración de datos había sido detectada por Zataz que advirtió que, en un foro especializado en la reventa de datos robados, se estarían ofreciendo desde el lunes. Una noticia importante no tanto por los datos (casi públicos), sino más por el hecho de haber vulnerado los sistemas de la comisión europea. El Atlas de ciberseguridad de la EU, fue creado en 2018 con el fin de ser una herramienta de gestión del conocimiento que mapease, clasificase, visualizase y analizase la información sobre experiencia y expertos en ciberseguridad en la Unión Europea, permitiendo así identificar organizaciones públicas y privadas, así como sus expertos y áreas de conocimiento. El objetivo último de este ciber atlas europeo es el de fomentar la colaboración entre expertos de la EU en ciberseguridad para la estrategia de digitalización de la EU. Esta base de datos contendría información sobre las organizaciones que forman parte del atlas, entre las que se encuentra Telefónica Tech, así como información de los profesionales registrados y áreas de conocimiento (mail, teléfonos, etc…). Imagen de la venta del leak (origen: The Record) A día de hoy, el site del Atlas aún sigue sin estar operativo y parece que el leak de datos estaría disponible a través de discord. En esta ocasión, lo realmente llamativo, no es la información en sí misma que se pueda haber sustraído del sistema de gestión de contenidos Drupal (CMS), que, por su propósito y función, lógicamente tienden a ser públicos; sino el cómo se ha conseguido vulnerar el sistema y hasta dónde ha llegado la incursión. En el peor de los casos, podría haberse vulnerado la infraestructura propia de EU hasta un punto no declarado a día de hoy. Imagen del leak (origen: The Record)

Determinados sectores de la sociedad tienen más sencilla la migración de datos a la nube, pero otros aún carecen de la certeza de que los datos sensibles estén depositados en plataformas confiables. No olvidemos que el objetivo de "la nube" es compartir información (de casi todo tipo) con empresas y/u organizaciones, con el consiguiente ahorro de costes en infraestructura específica, para diversos fines. No parece extraño entonces imaginar que a veces se comparta más información de la necesaria de forma involuntaria o inconsciente con entidades que desconocemos. Además, las amenazas de ciberseguridad han ido escalando posiciones en los últimos años hasta el punto de que son un tema incuestionable en los últimos foros de economía mundial de Davos (Suiza). No es de extrañar, por tanto, que todos los Estados hayan ido incluyendo al ciberespacio como quinto dominio de soberanía nacional (añadido al aire, mar, tierra y espacio), con los retos que ello representa. Con este panorama actual y ante la progresiva e imparable carrera por la transformación/revolución digital 4.0, tiene sentido regular algunos aspectos relativos a la ciberseguridad de los productos, sistemas y servicios de la nube (ya no sólo en cuanto a la protección de información personal). La ciberseguridad en la nube, una cuestión de Estados Que la ciberseguridad es una cuestión de Estado es una realidad plasmada en cada país soberano desarrollado, como así demuestran las diversas regulaciones existentes que vaticinan el entendimiento entre las diferentes administraciones públicas y las organizaciones privadas. Dicho de otro modo, la colaboración público-privada se hace cada día más inevitable y necesaria para el progreso seguro de la sociedad hiperconectada. Ciberamenazas y acciones que usan el ciberespacio con fines maliciosos En el caso concreto de España, el Departamento de Seguridad Nacional y, más concretamente, el Consejo Nacional de Ciberseguridad, es el órgano responsable de establecer la Estrategia de Ciberseguridad Nacional. El objetivo de la Estrategia de Ciberseguridad Nacional es es garantizar el uso seguro y fiable del ciberespacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progreso socioeconómico. Objetivos de la Estrategia Nacional de Ciberseguridad Asimismo, la Estrategia Nacional de Ciberseguridad se sustenta y se inspira en los siguientes principios rectores de la Seguridad Nacional: unidad de acción, anticipación, eficiencia y resiliencia. Principios rectores de la Estrategia de Ciberseguridad El caso europeo: ENISA al frente La Estrategia de Ciberseguridad de la Unión Europea (2013) y la Agenda Europea de Seguridad (2015) proporcionan el marco estratégico general para las iniciativas de la UE sobre ciberseguridad. Como es lógico, todos los países de la UE, además de poseer sus propias estrategias nacionales de ciberseguridad, más o menos maduras, están bajo el paraguas conjunto de dicha Estrategia de Ciberseguridad de la Unión Europea. Al amparo de esta estrategia de ciberseguridad y bajo la directiva NIS y su trasposición a los países miembros, el Consejo de la Unión Europea creó un acuerdo por el que se establece un esquema común de certificación de los productos, servicios y sistemas conectados a internet, la nube por excelencia y en origen. Este acuerdo se materializará en el desarrollo de un reglamento común de ciberseguridad por el que además se establece que la Agencia Europea de Seguridad de las Redes (ENISA) se convierte en agencia de ciberseguridad permanente de la UE. ENISA tiene actualmente su Headquarter en Heraklion, Grecia. Gestión de los esquemas de certificación Los esquemas comunes de certificación serán válidos en todos los Estados miembros de la UE y permitirán que el usuario final pueda confiar en las tecnologías conectadas a internet, así como en sus servicios. Por otro lado, también facilitarán a las empresas y organizaciones que sus actividades y productos estén avalados en el ámbito de internet. Los esquemas de certificación se están elaborando en base a lo existente en el ámbito internacional, europeo y nacional. Como exponente de la colaboración público-privada mencionada anteriormente, ENISA estableció un grupo de expertos denominado Cloud Select Industry Group (C-SIG) con diferentes grupos de trabajo, incluido el grupo de trabajo de certificaciones (CERT-SIG). ENISA publica desde su página web los denominados esquemas de certificación en la nube (CCSL) que se actualizada periódicamente, conforme se produzcan cambios relevantes en la misma. ENISA CCSL, marzo de 2020: Certified Cloud Service - TÜV Rheinland CSA Attestation - OCF Level 2 CSA Certification - OCF Level 2 CSA Self Assessment - OCF Level 1 EuroCloud Self Assessment EuroCloud Star Audit Certification ISO/IEC 27001 Certification Payment Card Industry Data Security Standard v3 Leet Security Rating Guide Service Organization Control (SOC) 1 Service Organization Control (SOC) 2 Service Organization Control (SOC) 3 Cloud Industry Forum Code of Practice Dichos esquemas de certificación se analizan de una forma resumida, permitiendo así la elección más apropiada para cubrir los objetivos de ciberseguridad a alcanzar en cada caso. Para ello, ENISA los analiza atendiendo a cinco bloques comunes: Información general Mejores prácticas y/o estándares de seguridad subyacentes al esquema Evaluaciones y certificaciones de cumplimiento Grado de adopción actual y uso Objetivos de seguridad De la misma manera, ENISA ha creado un meta-framework de medidas de seguridad para proveedores cloud que permite alinear los esquemas actuales de certificación y los requerimientos de seguridad de los clientes. Para facilitar esta labor se ha creado, incluso, una herramienta online que permite, en pocos pasos, establecer frente a los objetivos de seguridad deseados, qué esquemas de certificación son los más apropiados. La confianza, un objetivo de todos Como vemos, generar confianza desde la perspectiva de ciberseguridad en la nube no es una labor simple. Involucra diversos actores: no sólo proveedores de tecnología, sino suministradores de servicios, usuarios, administraciones públicas, etc. Por ello, en el caso europeo, la labor de ENISA en este sentido aún tiene un largo recorrido que, desde luego, permitirá establecer las bases firmes de una certera confiabilidad en los servicios en la nube desde la perspectiva de la ciberseguridad. Esquema de alto nivel de actores involucrados en el proceso de certificación de productos, procesos y servicios en la nube Parece evidente que finalmente la información, casi de cualquier índole y uso, estará en la nube (y sus diversos tipos/modelos), por lo que generar confianza en dichos servicios es una labor primordial para todos los actores del proceso en sí. La ciberseguridad y el diseñar un modelo de certificación común de referencia en esta materia será a buen seguro un habilitador y generador de confianza para todos.