Aprovechando que mañana desde la Asociación Vasca de Privacidad y de Seguridad de la Información/ Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea se celebrará la jornada IVª JORNADA PRIBATUA (III) – CIBERSEGURIDAD E INFRAESTRUCTURAS CRÍTICAS – #JPRIB4 Desde Biantik, hemos querido analizar este tema, para lo cual hemos creído conveniente crear el presente post.

Pero antes de abordar este tema, la pregunta obligada es: ¿Qué son las Infraestructuras Críticas? Pues bien, Según Wikipedia (fuente que nos encanta consultar y a la cual siempre aportamos nuestro granito de arena), una infraestructura crítica es: “a term used by governments to describe assets that are essential for the functioning of a society and economy. Most commonly associated with the term are facilities for:

  • electricity generation, transmission and distribution;
  • gas production, transport and distribution;
  • oil and oil products production, transport and distribution;
  • telecommunication;
  • water supply (drinking water, waste water/sewage, stemming of surface water (e.g. dikes and sluices));
  • agriculture, food production and distribution;
  • heating (e.g. natural gas, fuel oil, district heating);
  • public health (hospitals, ambulances);
  • transportation systems (fuel supply, railway network, airports, harbours, inland shipping);
  • financial services (banking, clearing);
  • security services (police, military)”.

Así mismo, Wikipedia establece que exite un marco Europeo en este sentido: “The European Programme for Critical Infrastructure Protection (EPCIP) refers to the doctrine and programmes created to identify and protect critical infrastructure that, in case of fault, incident or attack, could seriously impact both the country where it is hosted and at least one other European Member State”.

Es decir, wikipedia recoge una definición igual o muy similar a la definición dada por la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas que desarrolla a su vez la Directiva 2008/114/CE del Consejo de 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Dicha directiva inicialmente fijaba como sectores más relevantes los de transporte y energía (por su carácter transfronterizo).

Por si alguien no entiende bien el inglés lo diremos de otra manera, las infraestructuras estratégicas: son instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales. A su vez, las infraestructuras críticas son: infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Algunos ejemplos serían, los 12 sectores estratégicos: Administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, Tecnologías de la Información y las Comunicaciones/TIC (Sistemas, tecnologías, hardware, software, centros de control, redes, dispositivos fijos, dispositivos móviles), sistema financiero y tributario, transporte y alimentación.

¿Cuáles son los sectores estratégicos y organismos competentes en el Estado Español?

Sector – Ministerio/Organismo del sistema

Administración

Ministerio Presidencia
Ministerio Interior
Ministerio Defensa
Centro Nacional de Inteligencia
Ministerio Política Territorial y Administración Pública

Espacio

Ministerio Defensa

Industria nuclear

Ministerio Industria, Turismo y Comercio
Consejo de Seguridad Nuclear

Industria química  

Ministerio Interior

Instalaciones de investigación

Ministerio Ciencia e Innovación
Ministerio Medio Ambiente y Medio Rural y Marino

Agua

Ministerio Medio Ambiente y Medio Rural y Marino
Ministerio Sanidad, Política Social e Igualdad

Energía

Ministerio Industria, Turismo y Comercio

Salud

Ministerio Sanidad, Política Social e Igualdad
Ministerio Ciencia e Innovación

TIC

Ministerio Industria, Turismo y Comercio
Ministerio Defensa
Centro Nacional de Inteligencia
Ministerio Ciencia e Innovación
Ministerio Política Territorial y Administración Pública

Transporte

Ministerio Fomento

Alimentación

Ministerio Medio Ambiente y Medio Rural y Marino
Ministerio Sanidad, Política Social e Igualdad
Ministerio Industria, Turismo y Comercio

Sistema financiero y tributario

Ministerio Economía y Hacienda

¿Pero entonces quien vela porque dichas infraestructuras se encuentren protegidas? Varias organizaciones, procedentes tanto del sector público como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. Tal y como se establece en los fines previstos en el Art. 5 de la Ley 8/2011: Son agentes del Sistema, con las funciones que se determinen reglamentariamente, los siguientes:

  • La Secretaría de Estado de Seguridad del Ministerio del Interior.
  • El Centro Nacional para la Protección de las Infraestructuras Críticas.
  • Los Ministerios y organismos integrados en el Sistema, que serán los incluidos en el anexo de esta Ley.
  • Las Comunidades Autónomas y las Ciudades con Estatuto de Autonomía.
  • Las Delegaciones del Gobierno en las Comunidades Autónomas y en las Ciudades con Estatuto de Autonomía.
  • Las Corporaciones Locales, a través de la asociación de Entidades Locales de mayor implantación a nivel nacional.
  • La Comisión Nacional para la Protección de las Infraestructuras Críticas.
  • El Grupo de Trabajo Interdepartamental para la Protección de las Infraestructuras Críticas.
  • Los operadores críticos del sector público y privado.

¿Se ven afectadas la seguridad de las comunicaciones de las infraestructuras críticas?

Es posible que sí, es por ese motivo que la misma Ley 8/2011 en su Art. 15 regula la seguridad de las comunicaciones, para lo cual, establece que será la Secretaría de Estado de Seguridad la que arbitrará los sistemas de gestión que permitan una continua actualización y revisión de la información tal y como se encuentra disponible en el Catálogo por parte del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Así mismo, las Administraciones Públicas velarán por la garantía de la confidencialidad de los datos sobre infraestructuras estratégicas a los que tengan acceso y de los planes que para su protección se deriven, según la clasificación de la información almacenada. Los sistemas, las comunicaciones y la información referida a la protección de las infraestructuras críticas contarán con las medidas de seguridad necesarias que garanticen su confidencialidad, integridad y disponibilidad, según el nivel de clasificación que les sea asignado.

En cada sector y tal y como recoge el Art. 18 de la Ley 8/2011, el operador crítico de cada sector, deberá garantizar la seguridad de los datos clasificados relativos a sus propias infraestructuras, mediante los medios de protección y los sistemas de información que reglamentariamente se determinen.

A tal efecto respecto a lo descrito en el párrafo anterior, se deberá cumplir por parte de los operadores con lo establecido en el Real Decreto 704/2011 por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas.n concreto en lo que se refiere a los planes de seguridad del operador y a los planes de protección específicos (Art. 22 y 25 del RD/04/2011 respectivamente):

“Los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos”.

“Los Planes de Protección Específicos de las diferentes infraestructuras críticas incluirán todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas, en particular, las de origen terrorista, sobre sus activos, incluyendo los sistemas de información”.

Componente de ciberseguridad en las infraestructuras críticas: La amenaza sobre las infraestructuras críticas no es sólo una amenaza física, sino que tiene un componente cibernético de enorme importancia y que puede afectar tanto a las infraestructuras críticas relativas a las TIC, como a todas las demás infraestructuras que dependen de la tecnología para su control y funcionamiento.

Más ejemplos de noticias y riesgos vinculados a la ciberseguridad en materia de infraestructuras críticas:

  • 2007 Estonia. ÓTAN Artículo 5
  • 2010 Stuxnet. Infectó en Irán unos 30.000 sistemas industriales de control e impidió la puesta en marcha de una nueva central energética.
  • 2011 Lockheed Martin
  • 2011 Anonymous ……
  • 2014 Satelite comunications (gracias a Javier Allende – @AllendeJavier).

Para más información, no dudéis en consultar la web de Pribatua, Asociación Vasca de Privacidad y de Seguridad de la Información/ Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea y no os perdáis la jornada de mañana ( IVª JORNADA PRIBATUA (III) – CIBERSEGURIDAD E INFRAESTRUCTURAS CRÍTICAS – #JPRIB4).

NORMATIVA DE INTERÉS:

Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa.

Directiva 2008/114/CE del Consejo de 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.

Legislación aplicable según sector Administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, Tecnologías de la Información y las Comunicaciones/TIC, sistema financiero y tributario, transporte y alimentación.

OTRA DOCUMENTACIÓN DE INTERÉS

NATO-OTAN policy on cyberdefence

Critical Cloud Computing-A CIIP perspective on cloud computing services

INTECO-CERT informe riesgos y amenazas en cloud computing

El Ministerio del Interior publica por primera vez los datos estadísticos relativos a la cibercriminalidad.

Conclusiones y recomendaciones elaboradas, con la aportación del CNPIC, durante la “Misión de Asistencia Técnica en Seguridad Cibernética”, organizada por la OEA.

España es el tercer país del mundo con más ciberataques