Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Ciberseguridad: El nuevo reto del siglo XXI

Anuncio 
“Ciberseguridad: El nuevo reto del
siglo XXI”
Aspectos económicos de la
ciberseguridad
Grupo I
Presidente:
Vocales:
Dña. Ana Cossío Capdevila
GA. D. Ricardo Martínez Martín
D. Pedro Núñez Morgades
D. Francisco José Cesteros García
D. Víctor Liñero Saro
D. José María Becana Sanahuja
D. Pablo Martín González
Fecha: 30 de mayo de 2013
Tabla de contenidos
1.
POSICIONANDO LA CIBERSEGURIDAD
1.1. MARCO CONCEPTUAL
1.2. INTRODUCCIÓN A LOS ASPECTOS ECONÓMICOS
2.
RIESGOS Y AMENAZAS PARA LAS INFRAESTRUCTURAS CRÍTICAS.
GESTIÓN Y COSTE
3.
EL IMPACTO ECONÓMICO DE LA CIBERSEGURIDAD
4.
NORMATIVA ESPAÑOLA Y EUROPEA SOBRE LA PROTECCIÓN DE
DATOS,
SISTEMAS
DE
INFORMACIÓN
Y
COMERCIO
ELECTRÓNICO. APROXIMACIÓN AL DERECHO HUMANITARIO
4.1. DELITO INFORMATICO
4.2. NORMATIVA ESPAÑOLA
4.3. NORMATIVA EUROPEA
4.4. APROXIMACIÓN AL DERECHO HUMANITARIO
5.
BIBLIOGRAFÍA
6.
ANEXOS
Grupo I
1
1. POSICIONANDO LA CIBERSEGURIDAD.
1.1. MARCO CONCEPTUAL
La Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el Mando
Conjunto de Ciberdefensa de las Fuerzas Armadas contiene, entre otras, las
siguientes definiciones:
•
Ciberespacio: Dominio Global y dinámico compuesto por infraestructuras
de tecnología de la información – incluyendo internet -, redes de
telecomunicaciones y sistemas de información.
•
Ciberataque: Acción producida en el ciberespacio que compromete la
disponibilidad, integridad y confidencialidad de la información mediante el
acceso no autorizado, la modificación, degradación o destrucción de los
sistemas de información y telecomunicaciones o las infraestructuras que los
soportan.
•
Ciberseguridad: Conjunto de actividades dirigidas a proteger el
ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura
tecnológica, los servicios que prestan y la información que manejan.
1.2. INTRODUCCIÓN A LOS ASPECTOS ECONÓMICOS
Hoy los mercados mueven cada día el equivalente a varias veces el PIB
mundial anual. Es decir, cada día se negocia en los parqués la producción real
de riqueza del mundo entero equivalente a varios años de trabajo. Esta
actividad tiene un potencial enorme de generación de riqueza al efectuar miles
de operaciones de compra y venta de activos cada día con el mismo dinero una
y otra vez sin dinero real respaldando la transacción.
La destrucción física de un banco no volatilizaría el capital, pero la pérdida
económica que se generaría por un ataque cibernético sería tremendamente
superior.
El alcance del ciberespacio dentro del mundo de las transacciones financieras
no parece tener límite. Donde hay una oportunidad de negocio, allí están los
delincuentes cibernéticos para aprovecharla.
Además de los efectos directos sobre la economía, estos posibles ataques
ponen de relieve la vulnerabilidad de nuestros mercados financieros y, por
ende, del conjunto de nuestro sistema económico. Las redes en las que se
llevan a cabo los negocios bursátiles, financieros o bancarios son
infraestructuras físicas que necesitan ser convenientemente protegidas.
Grupo I
2
En 2008 según fuentes de Economist, sólo la operadora de teléfonos Verizon
de EEUU reconocía la pérdida de 285 millones de registros de datos
personales, incluyendo detalles de tarjetas de crédito y de cuentas bancarias.
Cerca de las nueve décimas partes de los 140.000 millones de correos
electrónicos que se envían a diario son spam; de estos el 16% contienen
ataques “phishing”, fraudes bancarios, según la empresa de seguridad
Symantec.
Es decir, los servicios que se prestan a través del ciberespacio tienen un
importantísimo reflejo en la economía y por ello es primordial tener en cuenta
los efectos económicos de los ciberataques tanto en cuanto al daño que
pueden producir, como en cuanto al coste económico de las medidas para
evitarlos.
El Plan estatal español durante el período 2013-2016, contempla la I+D+i
orientada a los retos de la sociedad e incluye, entre otros: Economía y
sociedad digital.
Así en Economía y sociedad digital las prioridades temáticas y científicotécnicas hacen referencia, fundamentalmente, a: Ciberseguridad y Confianza
Digital: utilización de aplicaciones electrónicas; desarrollo de entornos seguros
ligados a los derechos de los ciudadanos y protección de colectivos
especialmente vulnerables.
La adopción de las tecnologías digitales y el desarrollo de la Sociedad de la
Información están impulsando la transformación de la economía y sociedad
hacia un entorno digital que avanza de forma progresiva y se implanta con
carácter transversal en todos los sectores de actividad económica
convirtiéndose en el entorno dominante para las transacciones económicas, la
prestación de servicios, la definición de un nuevo modelo de organización del
trabajo y de relaciones sociales. A lo largo de los próximos años ningún sector
podrá quedar al margen de esta transformación que modificará la forma de
hacer negocios, los productos y servicios disponibles, los canales de venta o
los mecanismos de relación con el consumidor. El aprovechamiento de las
oportunidades industriales, comerciales y de prestación de servicios
relacionadas con este proceso de evolución supone una de las principales
oportunidades de desarrollo para la economía del país.
El objetivo es contribuir al desarrollo de políticas coordinadas a nivel
internacional en todos estos aspectos, que refuercen la seguridad.
Por ello, la creación de un entorno favorable a la I+D+i supone abordar, como
aspecto prioritario y básico, la adopción de un conjunto de medidas que
permitan, entre otras cosas;: (a) favorecer la colaboración público-privada; (b)
impulsar y facilitar la inversión privada en I+D+i; (c) mejorar las condiciones de
financiación privada de las actividades de I+D+i; (d) apoyar la creación de
empresas de base tecnológica y el fomento de una cultura emprendedora en
las universidades y organismos públicos que favorezca la innovación y
contribuya a la creación de spin offs; (e) incorporar la vigilancia tecnológica y la
inteligencia competitiva como parte del proceso de innovación .
El impulso de las actividades de I+D+i vinculadas a las TIC ha sido reconocida
por la Unión Europea en su Agenda Digital para Europa, que ha establecido
Grupo I
3
como objetivo para los países miembros duplicar el gasto público anual total
en investigación y desarrollo de las TIC, de manera que se impulse un
incremento equivalente del gasto privado.
2. RIESGOS Y AMENAZAS PARA LAS INFRAESTRUCTURAS CRÍTICAS. GESTIÓN Y
COSTE.
Las infraestructuras críticas, pese a la crisis financiera y económica mundial
siguen siendo determinantes en la vulnerabilidad estratégica de un país aun
cuando no formen parte de las prioridades del gobierno.
Los propietarios de este tipo de infraestructuras suelen afirmar que sus redes
de IT sufren continuos ciberataques y que las consecuencias de éstos suelen
ser graves, de alto coste y de efectos que pueden ir en cascada.
También manifiestan los propietarios que aunque resulta difícil averiguar el
origen real del ciberataque, la mayoría se producen por países adversarios,
vándalos, redes de crimen organizado, terrorismo extremista y hacktivismo
cuyos objetivos van al interés económico, la extorsión, el robo, la infección con
virus y malware o la denegación de servicio.
Una primera aproximación económica revela que el impacto diario en Estados
Unidos a este tipo de infraestructuras críticas ronda los 6 millones de dólares.
Pero no es sólo el miedo al impacto y coste económico sino también a algo que
habría que medir y valorar: daño a la imagen, a la reputación y al valor de la
información personal de los clientes, entre otros.
A continuación se expondrán los datos más importantes del impacto, presente
y futuro, de los recortes, riesgos y las amenazas en las infraestructuras críticas.
Ataques DDoS (Distributed Denial of Service) son los más relevantes. Agua y
sanidad con un 17% y el impacto es fundamental en el sector energético (27%)
y del gas y petróleo (31%).
Grupo I
4
Gráfico 1
La media de los cálculos por un ciberataque a una empresa de energía cuyo
impacto haya sido de 24 horas de inactividad nos da una cifra de 6,3 M$/día,
con un coste más alto en gas y en petróleo, donde ascendía a 8,4 M$/día. Los
impactos económicos más bajos se dan en el sector de Administración Pública
y en Agua y sanidad.
Pero procede dejar abiertas las siguientes preguntas aunque casi apuntamos la
respuesta mayoritaria de los directores de IT de grandes compañías de
infraestructuras ¿quién paga estos costes? ¿pagan las aseguradoras estos
costes? ¿o son los clientes y abonados los que terminan pagando estas costes
de los ciberataques?
Respecto a una pregunta abierta de interés ¿cuánto tiempo cree que tardará en
producirse un ciberincidente grave que afecte a las infraestructuras críticas de
su país?, encontramos lo siguiente:
Grupo I
5
Gráfico 2
En general, los directores de IT manifiestan que se ha producido un recorte en
los presupuestos asignados a seguridad como resultado de la recesión, aun
así, su posición pública es que se sienten satisfechos con el nivel de seguridad
que mantienen en sus infraestructuras tecnológicas y destacan sobre todo la
eficacia, disponibilidad y fiabilidad de las medidas que se adoptan.
Los principales retos que se afrontan son los costes en los que se debe incurrir
y la falta de concienciación de la magnitud del riesgo. Es difícil justificar una
inversión en ciberseguridad ya que la dirección de la empresa no alcanza a
entender la magnitud de la amenaza y la seguridad como valor empresarial y
diferenciador en el mercado de las infraestructuras críticas.
Las cifras de recortes de seguridad provocados por la recesión y que hemos
podido analizar están expuestas en el siguiente gráfico:
Gráfico 3
Sobre la adopción de 27 medidas de seguridad diferentes: 10 tecnologías de
seguridad, 6 directivas de seguridad, 5 formas diferentes de utilizar el cifrado y
6 modos diferentes de autenticación obligatoria, la Tasa de Adopción de
Medidas de Seguridad (SMAR – Security Measure Adoption Rate) muestra la
frecuencia con la que las empresas adoptan una medida determinada:
Grupo I
6
Gráfico 4
La legalidad permitiría abordar los temas de ciberseguridad bajo un amplio
espectro de lucha contra el delito y los criminales y, sin embargo, la gráfica
adjunta muestra el porcentaje por país respecto a la adecuación de la ley actual
en la lucha contra los ciberataques. Lo que plantea por tanto es la duda
intrínseca sobre la capacidad de la ley y del Estado en la lucha y penalización
del ciberataque:
Gráfico 5
Caben algunas valoraciones finales del análisis realizado en los sectores de
infraestructuras críticas:
• La confianza de la resistencia del sistema bancario registra su nivel más
bajo en Francia, Italia y España. (Los totales mundiales son: Confianza
total en 14%; Mucha confianza en 26%, Bastante confianza en 30%;
Poca confianza en 21% y Ninguna confianza en 9%).
• Los servicios públicos disfrutan un nivel de confianza mayor que otros
sectores críticos, aunque sólo para un 37% de la población.
• Los sectores bancario y energético se sitúan a la cabeza en cuanto a la
adopción de medidas de seguridad. El sector de agua y salud se sitúa
en última posición.
• El 80% de las instalaciones de SCADA/ICS (Supervisory Control And
Data Acquisition / Industrial Control Systems) están conectados a
Grupo I
7
•
•
•
•
•
•
internet o redes IP y el 50% de ellas tienen problemas de seguridad
todavía no resueltos.
China encabeza la tasa de adopción de medidas de seguridad con un
62%, Estados Unidos, Reino Unido y Australia le siguen con tasas entre
el 50% y el 53%.
Japón, Rusia, Francia, Arabia Saudí, México, Brasil y Alemania arrojan
una tasa de adopción entre el 40% y el 49%.
Italia, España e India presentan la tasa de adopción más baja con
valores inferiores al 40%. Recordamos que España cuenta con 31
millones de internautas y esto supone un 65,5% de tasa de penetración
de internet en la población nacional, siendo el 49 a nivel mundial.
Las amenazas más relevantes son: contra las redes y sistemas; contra
los servicios de internet; contra sistemas de control y redes industriales;
por infección de malware y contra redes y servicios a través de terceros.
La UE ha definido las siguientes prioridades estratégicas: ciberresiliencia; reducción y lucha contra el cibercrimen; desarrollar una
política de ciberdefensa y de capacidades relacionadas con la Política
Común de Seguridad y Defensa (PCSD); desarrollar los recursos
técnicos e industriales para la ciberseguridad y establecer una política
coherente e internacional del ciberespacio en la UE y promover los
valores claves de la UE. En ello está involucrado ENISA (European
Network and Information Security Agency) y el INTECO por parte de
España. El proyecto piloto cuenta con una financiación de 7,7 M€ y un
presupuesto global de 15 M€ con el objetivo de luchar contra los botnets
y el malware y promover un marco de trabajo de coordinación y
cooperación entre los Estados miembros de la UE, organizaciones del
sector privado, los Proveedores de Servicios de Internet y los socios
internacionales 1 .
La ciberseguridad nacional se debe entender como un compromiso de
todos.
1
European Commision. Cybersecurity Strategy of the European Union: An open, safe and secure
cyberspace. JOIN 1 FINAL. 7 de febrero de 2013.
Grupo I
8
3.
EL IMPACTO ECONÓMICO DE LA CIBERSEGURIDAD.
Uno de los principales problemas que afronta la lucha contra la
ciberdelincuencia en todas sus formas es el desconocimiento de su impacto
económico.
Los gobiernos en general desconocen con exactitud las dimensiones del
problema y por ello las decisiones relativas al posicionamiento de recursos
dirigidos a la ciberdefensa tienden a ser ineficientes.
Son múltiples las informaciones que los medios de comunicación recogen
sobre costes asociados a ataques informáticos. Así pues pueden leerse datos
como que la Comisión Europea ha estimado que más de un millón de personas
en todo el mundo son víctimas del cibercrimen a diario, lo que supone un coste
de 750.000 millones de euros al año, o bien que en 2011, la empresa
Symantec, en su informe anual sobre “eCrime”, estimó que los costes directos
e indirectos provocados por ciberataques, a nivel mundial, eran de unos
388.000 millones de dólares; cifra que supera en 100 veces el gasto anual de
UNICEF.
Estas cifras sin embargo, suelen estar basadas en encuestas llevadas a cabo
por empresas con intereses comerciales en el sector, siendo
extraordinariamente complejo encontrar datos empíricos válidos que permitan
ofrecer valores estadísticos utilizables desde el punto de vista de la medición y
el análisis de riesgos. Esta escasez de datos se debe principalmente al coste
que para las organizaciones puede tener hacer públicos los datos derivados de
un ciberataque (efectos negativos en los mercados, posibles demandas de
terceros afectados, …).
Esta renuencia a compartir información lleva por tanto a un fallo de mercado
que debe ser atendido por los poderes públicos poniendo los medios
necesarios para evitar lo que en el futuro cercano supondrá un riesgo que
excederá de los intereses individuales de las organizaciones afectadas
poniendo en riesgo el estado de bienestar.
La falta de información fiable lleva inexorablemente a que los sistemas de
medición de costes, fundamentales para la toma de decisiones sobre cuánto
gastar en seguridad de la información, o cómo evaluar la eficiencia de los
esfuerzos en seguridad presenten notables defectos. Hasta la fecha no se han
podido encontrar estudios que contengan métodos estandarizados para la
medición del coste del ciberataque, no siendo además estos costes, elementos
de fácil cuantificación. Es fácil saber cuántas personas mueren debido al
consumo de tabaco al año en un país, o cuánto dinero ha sido físicamente
robado de un banco, o el número de accidentes ocurridos en un determinado
tipo de vehículo, pero casi imposible determinar el número de horas de trabajo
informático perdidas como consecuencia de un virus. Por tanto, ¿estamos
gastando lo suficiente en seguridad informática? o ¿estamos gastando
demasiado?
Grupo I
9
Ante esta situación de carencia de datos científicos sobre la materia y la alarma
generada por diversas publicaciones al respecto 2 , el Ministerio de Defensa del
Reino Unido encargó un estudio en 2012 a un grupo de expertos de diversas
universidades europeas y americanas, sobre al medición del coste del
cibercrimen, que ofrece datos 3 (ver anexo I), metodología y conclusiones
ciertamente interesantes y cuyo detalle merecería un análisis en profundidad,
pero baste destacar aquí un dato interesante: el denominado por los autores
“crimen tradicional” origina para la sociedad unos costes indirectos así como
costes en prevención y persecución del responsable sustancialmente menores
que los originados por los nuevos cibercrímenes. El crimen tradicional, violento,
tiene para la víctima un impacto mucho mayor que el cibercrimen, más
impersonal y en muchos casos invisible para quien lo padece, sin embargo el
impacto económico en la sociedad, especialmente en un mundo globalizado, es
exponencialmente mayor debido a la dificultad que entraña la lucha y la
prevención contra este tipo de ataques. Finalizan los autores concluyendo,
sobre la base de los datos ofrecidos, que sería más eficiente gastar menos en
prevenir el “computer crime” (antivirus, firewalls, …) e invertir ciertamente más
en atrapar y castigar al cibercriminal.
Un estudio realizado en 2011 por el Instituto Español de Ciberseguridad
(Spanish Cyber Security Institute, SCSI), publicado por el Instituto Nacional de
Tecnologías de la Comunicación (INTECO), sociedad dependiente del
Ministerio de Industria, Energía y Turismo, revela que España cuenta con 31
millones de internautas, lo que supone una tasa de penetración de internet del
65,5% respecto de la población nacional. A pesar de ello, hasta la aprobación
en mayo de 2011 de la vigente Estrategia Nacional de Seguridad, no se había
identificado de manera formal, al ciberespacio como una amenaza real para la
seguridad nacional.
El objetivo principal de la mencionada estrategia es proporcionar un
ciberespacio seguro que garantice la prosperidad social, cultural y económica
de nuestro país. A tal fin y como primer objetivo parcial está el disponer de un
conocimiento de la ciber-situación fiable y actualizado, y de la disponibilidad de
las capacidades operativas necesarias para el planeamiento, dirección y
gestión de las actuaciones necesarias para lograr dicha seguridad.
Sin unos datos válidos con los que operar será inviable la asignación óptima de
los recursos humanos y materiales necesarios para lograr los objetivos en
ciberseguridad. Es por ello que lograr un conocimiento preciso de la situación
debe convertirse en la primera plaza a conquistar.
2
Un informe elaborado por la firma Dietica (parte de BAE plc.) publicado en febrero de 2011 estimó que
el cibercrimen supone un coste de unos 27 millones de libras anuales (cerca del 1,8% del PIB británico).
3
Este estudio está basado en otro informe elaborado por los autores para la European Network and
Information Security Agency (ENISA), agencia dependiente de la Comisión Europea, creada mediante
Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004.
Grupo I
10
4. NORMATIVA ESPAÑOLA Y EUROPEA SOBRE LA PROTECCIÓN DE DATOS,
SISTEMAS DE INFORMACIÓN Y COMERCIO ELECTRÓNICO
4.1. DELITO INFORMATICO
Una de las principales causas por las cuales aun no se ha alcanzado un grado
de ciberseguridad nacional acorde al estado de riesgo del ciberespacio, según
el SCSI, es la ausencia de legislación específica y completa sobre la materia.
Si bien no puede afirmarse la existencia de un delito informático como tal en
nuestro Código Penal, a efectos meramente expositivos pueden destacarse
una serie de acciones y omisiones dolosas o imprudentes, penadas por la Ley,
en las que el elemento informático, pudiendo tratarse de un bien o servicio
informático, puede haber sido utilizado directa o indirectamente en la comisión
de la acción u omisión.
• Delitos contra la intimidad : delitos contra la intimidad y el derecho a la
propia imagen (arts. 197 a 201del Código Penal)
• Delitos contra el patrimonio y el orden socioeconómico: hurtos (art. 234)
y robos (art. 239); estafas (arts. 248.2), apropiación indebida (arts. 252 a
254), daños (art. 264.2), delitos relativos a la propiedad intelectual
(art.273.3), delitos relativos a la propiedad industrial (art. 273.3), delitos
relativos al mercado y a los consumidores (art. 278)
• Falsedades documentales (arts. 390 a 399bis)
• Otras referencias indirectas: en relación con la utilización de medios o
instrumentos informáticos, cabe señalar:
o defraudaciones de fluido eléctrico y análogas (arts. 255 y. 256)
o delitos societarios (art. 290)
o estragos (art. 346)
o infidelidad en la custodia de documentos y de la violación de
secretos (art. 413)
o desórdenes públicos (art. 560)
4.2. NORMATIVA ESPAÑOLA
Dentro de nuestro entramado legal procede destacar las siguientes previsiones
normativas:
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal (LOPD).
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal.
Grupo I
11
•
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la
Información y Comercio Electrónico (LSSI-CE)
• Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el
texto refundido de la Ley de Propiedad Intelectual (LPI), regularizando,
aclarando y armonizando las disposiciones vigentes en la materia.
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica
• Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Interoperabilidad en el ámbito de la Administración
Electrónica.
El 27 de mayo de 2011 se aprobó el Proyecto de Ley por la que se modifica la
Ley 23/2003, de 3 de noviembre, General de Telecomunicaciones, en el que
cabe destacar que en los aspectos relativos al secreto de las
telecomunicaciones y a la protección de datos de carácter personal, se hace
una apuesta clara por un refuerzo de las obligaciones para alcanzar mayores
niveles de seguridad en el tratamiento de los datos, extremando las cautelas en
lo que se refiere al tratamiento y protección de datos por parte de los
operadores. En este sentido, la nueva redacción dada al artículo 34 establece,
además de la información a los usuarios de los riesgos potenciales de violación
de sus datos personales, se introduce ahora la obligación, cuando se produzca
una violación de datos personales, de informar a la Agencia Española de
Protección de Datos, que queda reforzada además como autoridad nacional de
reglamentación para que pueda valorar el alcance de la violación e idoneidad
de las medidas adoptadas por el operador.
En la modificación del Código Penal de 1995 (que establece penas de prisión
para el acceso no autorizado y el daño a sistemas informáticos), a través de la
Ley Orgánica 5/2010 de 22 de junio se han incluido los ataques informáticos;
entre las medidas sancionadoras destacan como conductas punibles las
consistentes en:
¾ Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o
programas informáticos ajenos.
¾ Obstaculizar o interrumpir el funcionamiento de un sistema de
información ajeno.
¾ El acceso sin autorización vulnerando las medidas de seguridad a datos
o programas informáticos contenidos en un sistema informático o en
parte del mismo.
En esta reforma también se incluyen otros nuevos delitos y modificaciones,
como:
¾ Captación de menores para espectáculos pornográficos.
¾ Nuevo delito del art. 183 bis CP sobre acercamiento tecnológico a
menores de trece años con fines sexuales o también conocido como
“child grooming”, tras la reforma penal operada por la LO 5/2010, de 22
de junio.
¾ Responsabilidad penal de las personas jurídicas. Esta reforma del
código penal viene derivada del convenio internacional sobre el
Grupo I
12
cibercrimen, Budapest 23 de noviembre de 2001, y al que España se
había adherido en su día, pero que no había ratificado hasta junio de
2010 y que hasta el momento ha sido ratificado por 30 estados,
incluyendo a EEUU y al Reino Unido.
4.3. NORMATIVA EUROPEA
En materia de seguridad informática existen dos normativas jurídicas
relevantes:
• Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de
noviembre, por la que se modifican la Directiva 2002/22/CE relativa al
servicio universal y los derechos de los usuarios en relación con las
redes y los servicios de comunicaciones electrónicas, la Directiva
2002/58/CE relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones
electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación
en materia de protección de los consumidores.
• Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de
noviembre, por la que se modifican la Directiva 2002/21/CE relativa a un
marco regulador común de las redes y los servicios de comunicaciones
electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de
comunicaciones electrónicas y recursos asociados, y a su interconexión,
y la Directiva 2002/20/CE relativa a la autorización de redes y servicios
de comunicaciones electrónicas
4.4. APROXIMACIÓN AL DERECHO HUMANITARIO
Es indudable que estas actuaciones, a las que nos venimos refiriendo, que
producen un daño indiscriminado, son buscadas y pueden ser utilizadas en el
curso de un conflicto bélico.
El Comité Internacional de la Cruz Roja, (en adelante, CICR), ha abordado la
cuestión de las amenazas cibernéticas en numerosos documentos. Entre ellos
cabe mencionar el que contempla las cuestiones jurídicas que se plantean ante
la posibilidad de que se conduzcan hostilidades en el ciberespacio.
En este sentido y de un análisis de los principios generales sobre “empleo de
las armas”, y a la luz de las normas 70 y 71 de la Compilación del Derecho
Internacional Humanitario Consuetudinario se examinará su aplicación a los
ciberataques.
La norma 70, establece que “queda prohibido el empleo de medios y métodos
de guerra de tal índole que causen males superfluos o sufrimientos
innecesarios”.
En cuanto a los supuestos de ataque cibernético, con efectos económicos, en
la mayoría de los casos tienen una duración limitada en el tiempo y pasado el
momento de la agresión sus efectos no permanecen, es decir, no producen un
efecto de devastación permanente.
Grupo I
13
Puede decirse que si quedan constatados, entrarían dentro del concepto de
“daño o destrucción”, pues en todo caso producen perjuicios de carácter moral
en la población.
Dada la definición que el propio Comité Internacional de la Cruz Roja ofrece
sobre los medios y métodos de guerra de tal índole que causen males
superfluos o sufrimientos innecesarios, nada impediría la aplicación de esta
norma a aquellos ataques que, utilizando la red, fueran lanzados en un
contexto como el señalado.
La norma 71 establece que “queda prohibido el empleo de armas de tal índole
que sus efectos sean indiscriminados”.
El Informe del CIRC emitido tras la XXXI Conferencia Internacional de la Cruz
Roja y de la Media Luna Roja, “El derecho internacional humanitario y los
desafíos de los conflictos armados contemporáneos”, aclara que en el supuesto
de que se propagara un virus o una serie de virus en los sistemas informáticos
de un determinado Estado, elegido como objetivo, el DIH sería aplicable.
A juicio del Comité, no cabe duda de que estos virus podrían considerarse
ataques indiscriminados de conformidad con el DIH vigente, toda vez que no
pueden dirigirse contra un objetivo militar concreto y, por lo tanto, tendrían la
consideración de un medio o método de combate cuyos efectos no pueden ser
limitados, tal como lo exige el DIH.
Una cuestión particular que surge y que requiere atenta reflexión es si en la
práctica es posible anticipar totalmente las consecuencias o los efectos
secundarios que un ataque dirigido contra un objetivo militar legítimo pueda
tener en la población civil y los objetos de carácter civil.
A juicio del CIRC, en este caso es necesario, igualmente respetar los principios
de distinción y proporcionalidad lo que, a su vez, implica que es indispensable
tomar algunas precauciones en el ataque. Ello incluye la obligación de que el
autor del ataque tome todas las precauciones factibles al seleccionar los
medios y métodos de ataque con miras a evitar y, en cualquier caso a reducir al
mínimo las víctimas y los daños civiles incidentales. Concluye el mencionado
Informe que, puesto que en determinados casos las operaciones cibernéticas
podrían causar un número menor de víctimas civiles incidentales y menos
daños civiles incidentales en comparación con los que ocasionan las armas
convencionales, en ese caso y en tales circunstancias esta norma requeriría
que un alto Mando considerara la posibilidad de lograr la misma ventaja militar
utilizando un medio y método de guerra que recurra al uso de la tecnología
cibernética, en caso de que pudiera ponerse en práctica.
Puesto que no todos los ataques informáticos se realizan con fines bélicos,
cuando se produzcan habrá que analizar con precisión su origen, naturaleza,
objetivo y consecuencias; así como, el autor o autores del mismo. Este análisis,
no estará exento de dificultades, pero será clave para determinar si un ataque
cibernético ha sido utilizado con una finalidad delictiva o con un propósito
bélico. En este último caso, en tanto no sea posible contar con un marco
jurídico que defina y recoja de manera precisa esta nueva arma, habrá que
tener en cuenta que los principios generales, por los que se prohíbe el empleo
de armas que causan males superfluos o sufrimientos innecesarios, así como
Grupo I
14
el empleo de armas de efectos indiscriminados tienen naturaleza de normas de
Derecho Consuetudinario, de aplicación universal en todo conflicto armado.
Consecuentemente, a la luz de las consideraciones expuestas, se puede
concluir su aplicación al uso de internet cuando la red sea empleada como un
arma de guerra.
Grupo I
15
BIBLIOGRAFÍA
•
•
•
•
•
BAKER, S.; WATERMAN, S.; IVANOV, G. McAfee. Las infraestructuras
críticas en la era de la ciberguerra. 2012.
FOJÓN CHAMORRO, E.; COZ FERNÁNDEZ, J.R.; MIRALLES LÓPEZ;
R.; LINARES FERNÁNDEZ, S. La ciberseguridad nacional, un
compromiso de todos. Spanish Cyber Security Institute. 2012
Davara Rodríguez, M.A., Manual de Derecho Informático.3ª edición,
Pamplona, Aranzadi, 2001.
http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
(Measuring the cost of cyber crime)
http://www.ponemon.org/local/upload/file/2012_US_Cost_of_Cyber_Crime_St
udy_FINAL6%20.pdf
•
http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011cost-of-data-breach-global.en-us.pdf
•
•
•
•
CASHELL B.; JACKSON WD.; JICKLING M.;WEBEL B.; The economic
impact of ciber- attacks. Federation of American Scientists. US
Congressional Research Service, Report for Congress. 2004.
SEGURIDAD
Y
CONFLICTOS:
UNA
PERSPECTIVA
MULTIDISCIPLINAR. JVGGM-UNED 2012. Ana Pilar Velázquez Ortiz.
(Consideraciones sobre los ciberataques a la ley de los principios
generales del empleo de las armas de conformidad con el Derecho
Internacional Humanitario.
CUADERNOS DE ESTRATEGIA Nº 149: CIBERSEGURIDAD, RETOS
Y AMENAZAS A LA SEGURIDAD NACIONAL EN EL CIBERESPACIO.
MONOGRAFÍAS DEL CESEDEN Nº 126: EL CIBERESPACIO. NUEVO
ESCENARIO DE CONFRONTACIÓN.
Grupo I
16
ANEXOS
Grupo I
17
http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
Grupo I
18
Documentos relacionados
preguntas de los ciudadanos y organizaciones al pleno
preguntas de los ciudadanos y organizaciones al pleno
DOBLE FONDO - Revista SIC
DOBLE FONDO - Revista SIC
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
Informamos sobre  la próxima celebración de  CyberCamp 2014
Informamos sobre  la próxima celebración de  CyberCamp 2014
Cybersecurity to rule the world
Cybersecurity to rule the world
Organización Institucional y Funciones
Organización Institucional y Funciones
Impacto regional de la Agenda Digital y el mercado único
Impacto regional de la Agenda Digital y el mercado único
Enrique Martín Gómez habla sobre los ciberataques de
Enrique Martín Gómez habla sobre los ciberataques de
Ciberseguridad. Retos y amenazas a la seguridad nacional
Ciberseguridad. Retos y amenazas a la seguridad nacional
Descargar
Anuncio
Anuncio