Recientemente se ha lanzado la nueva "directiva con indicaciones para la protección cibernética y la seguridad informática nacional".
¿Era necesaria una nueva ley?
Yo diría que sí.
Tratemos de entender qué hay de nuevo y hacer algunas consideraciones personales de naturaleza general.
La "Directiva sobre las directrices para la seguridad cibernética y la seguridad nacional" es ahora el Decreto de la Presidencia del Consejo de Ministros, emitida de febrero 17 2017 y publicado en el Boletín Oficial, serie general en el número de 87 13 2017 abril.
¿Cuál es su propósito?
Primero actualice la legislación preexistente que data de hace cuatro años (DPCM 24 enero 2013), luego "volver al sistema y unir las diferentes habilidades involucradas en la gestión de la situación de crisis ..."en el campo cibernético, cuya falta (¡de unidad!) es evidentemente el origen de la dificultad de responder a un posible ciberataque en una o más infraestructuras críticas nacionales.
El artículo de 1 nos introduce al tema que indica el objeto de la Directiva (arquitectura institucional dedicada a la protección de la seguridad nacional en relación con el material crítico y las infraestructuras inmateriales ...) y las principales partes interesadas (principalmente el Ministerio de Desarrollo Económico, la Agencia para la Italia Digital, el Ministerio de Defensa y el Ministerio del Interior).
El artículo de 2 es interesante en el que recopilamos las definiciones más importantes para el campo cibernético. Necesario, sin una sombra de duda, incluso si no todos pueden ser compartidos. Hablo en particular de la definición de "espacio cibernético" y de las consecuencias que esto puede tener en el análisis del riesgo cibernético.
Vamos a empezar con la definición de la DPCM.
"Espacio cibernético: el conjunto de infraestructuras de TI interconectadas, que incluyen hardware, software, datos y usuarios, así como las relaciones lógicas, sin embargo establecidas, entre ellas.".
Ahora tomemos algunas de las definiciones de ciberespacio adoptadas por las naciones más avanzadas del sector: Estados Unidos y Rusia.
- EE. UU .: El entorno nocional en el que se produce la comunicación a través de las redes informáticas;
- Rusia: Una esfera de actividad dentro del espacio de información, formada por un conjunto de canales de comunicación de internet y otras redes de telecomunicaciones, la infraestructura tecnológica para asegurar su funcionamiento y cualquier forma de actividad humana sobre ellos (individual, organizacional, estatal);
Estas definiciones se toman del sitio web del Centro de excelencia de la Cooperativa Ciberdefensa de la OTAN ubicado en Tallin, Estonia (https://ccdcoe.org/cyber-definitions.html).
Ahora, consideremos la definición de Rusia: es fácil ver que, además de hablar de Internet y los canales de comunicación, se refiere a "infraestructuras tecnológicas que permiten el funcionamiento de las redes de comunicaciones", infraestructuras no incluidas en la definición de Estados Unidos o en el italiano
En mi opinión, la falta de esta referencia podría inducir a error a los interesados en desarrollar el análisis de riesgos cibernéticos de una infraestructura crítica, por ejemplo, haciendo que no considere la planta de energía que alimenta un centro de datos crítico.
Ciertamente, este es solo un ejemplo trivial, ¡pero a veces las banalidades pueden hacer la diferencia!
Otra definición incompleta en mi opinión es la que habla de "evento cibernético".
De acuerdo con la Directiva de un evento cibernético es un "evento de carácter significativo, voluntaria o accidental, que consiste en la adquisición y en la transferencia indebida de los datos, en su modificación o destrucción ilegal, o de un control indebido, daño, destrucción o el funcionamiento regular de bloque redes y sistemas de información o sus elementos constitutivos ".
Nuevamente, en mi opinión, falta algo: ¿cómo podríamos enmarcar un evento como el conocido como "Stuxnet", con el cual los Estados Unidos e Israel (por lo que sabemos) han saboteado la planta de energía nuclear iraní en Natanz?
En este caso, el virus dañó las centrífugas, es decir, actuó contra un elemento que no forma parte de ninguna red informática, sin embargo, no podemos considerar este evento como un "ataque cibernético".
A continuación, se muestran dos ejemplos que muestran la importancia de adoptar una legislación adecuada y definiciones correctas. Está claro que estos son puntos de vista y que destacarlos solo sirve para crear conciencia y difundir conocimientos.
Por lo tanto, ¡bienvenidos al DPCM que aún hace claridad!
Pero vayamos más allá.
El artículo de 3 describe las tareas asignadas al presidente del consejo de ministros, "responsable de la política general del Gobierno y cumbre del Sistema de Información para la seguridad de la República, para proteger la seguridad nacional también en el espacio cibernético".
El presidente del consejo se sirve del Comité Interministerial para la Seguridad de la República (CISR) para la definición del marco estratégico nacional para la seguridad del espacio cibernético.
Es interesante, en este contexto, la referencia al marco estratégico nacional que contiene las "tendencias evolutivas de las amenazas y vulnerabilidades de los sistemas y redes de interés nacional, la definición de roles y tareas de los diversos temas, públicos y privados, y los nacionales que operan fuera del territorio del país, [...] herramientas y procedimientos con los cuales se busca aumentar la capacidad de prevención y respuesta del país con respecto a los eventos en el espacio cibernético, también con el objetivo de difundir la cultura de la seguridad ".
Siempre es el PCM (basado en la resolución CISR) el que adopta el "Plan Nacional para la protección cibernética y la seguridad cibernética" que contiene objetivos y líneas de acción coherentes con el marco estratégico nacional.
El artículo de 4 trata sobre CISR, en particular el párrafo f. lee: "ejerce una gran vigilancia sobre la implementación del plan espacial nacional de seguridad cibernética".
El artículo de 5 presenta el CISR técnico, como un cuerpo de apoyo al CISR, presidido por el Director General del Departamento de Información para la Seguridad (DIS), ¡y finalmente llegamos al corazón! Es precisamente aquí que es la gran noticia de hecho.
Las atribuciones específicas al DIS se especifican mejor en el artículo de 6. de hecho
solo el DIS, en la figura de su director general, es identificado por el DPCM como el que "Adoptar las iniciativas adecuadas para definir las líneas de acción necesarias de interés general.".
El propósito de las líneas de acción es "para aumentar y mejorar los niveles de seguridad de sistemas y redes ...", en previsión de las acciones necesarias de contraste y respuesta a un posible"Crisis cibernética por parte de administraciones públicas y organismos y operadores privados ...".
En la práctica, el DIS tiene el mandato de coordinar acciones para combatir y responder a los ciberataques en Italia. Concepto claramente expresado en el artículo 7, párrafo 2, en el que se dice que el Director del DIS se encarga de la coordinación de las actividades de investigación de la información destinadas a fortalecer la protección cibernética y la seguridad informática en Italia.
El artículo de 8 introduce el "núcleo para la seguridad cibernética", establecido permanentemente en el DIS para aspectos de prevención y preparación para situaciones de crisis"para la activación de los procedimientos de alerta"Este grupo está presidido por un subdirector general del DIS y está compuesto por el asesor militar y los representantes de:
- DIS;
- AISE;
- AISI;
- Ministerio de Asuntos Exteriores;
- Ministerio del Interior;
- Ministerio de Defensa;
- Ministerio de Justicia;
- Ministerio de Desarrollo Económico;
- Ministerio de Economía y Finanzas;
- Departamento de Protección Civil;
- Agencia Digital Italiana;
- Oficina central de secreto.
El núcleo, en la mente del artículo 9, lleva a cabo funciones de "enlace entre los diferentes componentes de la arquitectura institucional que intervienen de diversas maneras en el campo de la ciberseguridad", en particular, mantiene la unidad activa para alertar y responder a situaciones de crisis, unidad activa h24, 7 días en 7.
El artículo de 10 establece la composición y las tareas de la Unidad en caso de una emergencia cibernética, con especial referencia a la coordinación que debe establecerse para la reacción y la estabilización. En la subsección 3 se dice que utiliza, para sus actividades técnicas, el CERT nacional del Ministerio de desarrollo económico y el CERT PA de la Agencia para la Italia digital. Y en este caso, estoy totalmente de acuerdo en la necesidad de unir fuerzas (¡y recursos!).
El artículo 11 impone un conjunto de reglas sobre operadores privados. Entre ellas se encuentra la obligación de divulgar "cualquier incumplimiento significativo de la seguridad e integridad de sus sistemas de información" y la obligación de cooperar en la gestión de crisis cibernética ayudando a restaurar la funcionalidad de los sistemas y redes que gestionan. En la queja de violaciónes probablemente no va a pasar nada sustancial, ya que no está definido en modo alguno a la "importancia" de un evento virtual, esto significa que cada moneda como quiera, pero es muy importante el hecho de que los operadores privados tienen que trabajar juntos, incluso a través disponible para la empresa "Security Operation Centers".
El artículo de 11, bajo el párrafo 2, indica que el Ministerio de Desarrollo Económico debería promover "el establecimiento de un centro nacional de evaluación y certificación para la verificación de las condiciones de seguridad y la ausencia de vulnerabilidades ...", en mi opinión, la tarea más adecuada para el Ministerio de la Universidad y la Investigación, bajo la supervisión del DIS.
Finalmente, echemos un vistazo al artículo de 13, disposiciones transitorias y finales.
El párrafo 1 da una idea clara de cómo se siente el problema cibernético a nivel gubernamental, de hecho, el párrafo 1 dice: "El presente decreto no deriva nuevos cargos del presupuesto estatal".
Tengo una duda: ¿es todo una broma?
¡No creo, de hecho, que el artículo de 13, párrafo 1, sea compatible con todo lo anterior!
