Remítelles un manual de instrucións para adecuarse ás novas ameazas
26 feb 2017 . Actualizado ás 14:26 h.A advertencia de Barack Obama sobre a inxerencia de piratas cibernéticos rusos nas eleccións estadounidenses e en sectores estratéxicos do país, desde hospitais a empresas eléctricas, acendeu as alarmas en España sobre a posibilidade de que un ataque informático poida pór contra as cordas a operatividade de sectores crave. Por iso, o Centro Nacional de Intelixencia (CNI) remitiu o pasado mes de xaneiro una circular a todas as empresas consideradas vitais para o funcionamento do país -compañas de subministracións de enerxía e auga, hospitais e outros centros produtivos- para que adecúen os seus sistemas de protección internos á nova ameaza.
Mediante unha carta asinada pola secretaria xeral do Centro Criptológico Nacional, Begoña Méndez de Vigo, ínstase ás empresas incluídas no censo de potenciais vítimas dos piratas do ciberespazo para que se acelere o cumprimento dun real decreto do ano 2010 no que se lembra a obrigatoriedade destas compañas de realizar medicións periódicas da eficacia e eficiencia das medidas de seguridade instaladas, do nivel de protección das interconexiones e do impacto dos posibles incidentes de seguridade rexistrados, así como a cuantificación do número de intentos de intrusión rexistrados.
Para cumprir con esa esixencia, o Ministerio de Facenda e o Centro Criptológico Nacional desenvolveron unha ferramenta bautizada como INES (Informe Nacional do Estado de Seguridade) destinada a recompiar a información relativa a calquera tipo de ameaza cibernética, analizar esa información e clasificala para devolvela ás institucións e empresas implicadas en forma dun cadro de instrucións que permita aproveitar as experiencias comúns ante os problemas derivados desta nova ameaza.
Queixas polos prazos
As principais empresas e Administracións públicas galegas suxeitas á nova esixencia de autoprotección fixada polo CNI recibiron a mediados de xaneiro a nova circular, na que se lles invitaba a completar os formularios de seguridade interna antes do 31 de xaneiro, un prazo considerado como «claramente insuficiente» polos organismos incluídos na directriz estatal.
Para iso, o Centro Nacional de Intelixencia puxo en funcionamento unha plataforma virtual o pasado mes de outubro na que se ofrecen unha serie de consellos de carácter xeral para todas as entidades afectadas, aínda que, ao mesmo tempo, recomenda a celebración dunha auditoría independente para complementar todos os datos solicitados ata o momento.
«Avísannos dun perigo inminente, pero logo dinnos que non é tan grave e que en realidade nos podemos defender con encher un formulario colgado na Rede. Non se se é para tranquilizarse ou para preocuparse máis», contaba un responsable político galego tras reunirse cun emisario do CNI no seu despacho.
Encoros, portos, aeroportos, hospitais e plantas eléctricas, as máis vixiadas
Poucos días despois da vitoria electoral de Donald Trump, en novembro do ano pasado, Barack Obama ofreceu unha rolda de prensa na que informou de que os servizos de intelixencia estadounidenses detectaran centenares de ataques contra todo tipo de servidores informáticos. Os que máis relevancia acadaron foron os que afectaron o Partido Demócrata, que se resolveron coa filtración de miles de correos electrónicos da candidata, Hillary Clinton, e do seu xefe de campaña, John Podesta. Pero tamén se constataron outras intrusiones de gran intensidade contra compañas de subministración eléctrica de Boston e outras grandes áreas urbanas, así como contra hospitais e empresas de transporte.
Ese perfil de obxectivos adáptase aos que o CNI sinalou como estratéxicos para Galicia e tamén para o resto de España. A revisión dos protocolos de ciberseguridad afecta de forma directa ás grandes infraestruturas de comunicación e transporte -os portos de interese nacional, as estacións de tren e os aeroportos-, as plantas de xeración de enerxía, como a de Cerceda, a refinería da Coruña e os encoros de auga destinada ao consumo humano. Os concellos foron os interlocutores para as instalacións de titularidade pública, mentres que no caso das firmas privadas establecéronse protocolos de colaboración para garantir a protección contra as ameazas cibernéticas.
Unidades especiais
O nivel de ameaza en España non chegou ao doutros países, como Alemaña, Francia ou o Reino Unido, que anunciaron a creación de unidades especiais para combater as ciberamenazas. «En España non hai conciencia dunha ameaza real a nivel de rúa, pero os servizos de intelixencia son conscientes de que hoxe é máis doado paralizar un país mediante un ataque de piratas informáticos que cun bombardeo», admite un experto en ciberseguridad. As fontes consultadas admiten que o nivel de preocupación acerca da ameaza de Internet creceu en todos os ámbitos, sobre todo no sector privado. «Cada vez destínase máis medios materiais e humanos a combater unha pantasma que pode custar miles de millóns a unha gran empresa ou a unha Administración pública, co agravante de que non sabes nunca de onde che chegará», afirma un técnico do sector.