El estado general de disrupción digital durante la crisis sanitaria de la COVID-19 ha hecho que las empresas, los hospitales y las instituciones públicas sean especialmente vulnerables a los ataques informáticos. Más que nunca, el papel de las empresas de ciberseguridad ha sido crucial para proteger estos servicios vitales que son tan esenciales para el funcionamiento de un país. Pero, ¿significa esto que el sector tiene una misión de servicio público?
El cambio generalizado al teletrabajo, a menudo en situaciones de urgencia y falta de preparación, por no hablar de la desorganización digital general, ha creado un entorno perfecto para los ciberdelincuentes. Y esto ha sido así en todo el mundo. En los EE.UU., el FBI ha visto multiplicarse por cuatro el número de informes de ciberataques. Mientras tanto, en Francia, la página web Cybermalveillance.gouv.fr ha notado un aumento del 400% en su tráfico durante las dos primeras semanas de bloqueo.
Ciberseguridad: una necesidad de interés público
"Los tres meses que acabamos de pasar han demostrado que la tecnología digital es el alma de la sociedad y la economía actuales", observa el director de marketing de Stormshield, Matthieu Bonenfant. También han demostrado que el paso a las tecnologías totalmente digitales (uso de equipos informáticos en el hogar del empleado, videoconferencias, mayor uso de la nube, etc.) no es algo que se pueda emprender sin preparación, y proteger estos procesos es esencial. Esta crisis ha puesto de manifiesto que la ciberseguridad es una parte esencial de la salvaguarda de los activos y de la continuidad del negocio en las empresas y organizaciones. Este papel esencial es aún más evidente en sectores de actividad sensibles, como la distribución de agua potable, la producción de energía y la regulación del sector del transporte. En esos entornos, las consecuencias de los ciberataques pueden ser catastróficas y dañar la integridad de los activos y las personas".
La tecnología digital está en todas partes. Su protección se ha convertido en un tema crítico y clave.
Matthieu Bonenfant, Director de Marketing de Stormshield
Por supuesto, los gobiernos eran conscientes de la importancia de la ciberseguridad antes de COVID-19. Su papel fundamental fue reconocido oficialmente por la Unión Europea en la directiva de Seguridad de las Redes y de la Información (SRI) de 2018, que se inspiró directamente en la Loi de programmation militaire (ley de planificación militar) de Francia. Esta directiva reconoce que es de vital importancia asegurar la ciber-protección de los Operadores de Servicios Esenciales (OES), ya que las interrupciones o fallos en sus servicios podrían tener consecuencias para la vida humana y el medio ambiente.
Sin embargo, la crisis ha servido para elevar el perfil público de esta cuestión. "El público en general se ha dado cuenta de que los servicios públicos, como los hospitales, también podrían verse afectados, y que las consecuencias podrían ser graves", señala Manon Deveaux, responsable de las cuestiones de ciberseguridad en el equipo de Asuntos Públicos de TECH IN France. Además de los hospitales, las organizaciones gubernamentales locales también fueron atacadas durante la pandemia. En particular, la ciudad de Marsella (Francia) quedó paralizada durante varias semanas por el rescate. El incidente tuvo varios paralelismos con los sucesivos ataques a 22 municipios americanos en 2019. Y está en consonancia con una tendencia de los titulares de los últimos años: la perturbación de la vida democrática y los frecuentes ciberataques durante las campañas electorales.
Durante la crisis, el sector cibernético se mantiene firme contra los ataques maliciosos
Dado que proporcionan soluciones para proteger servicios tan vitales como un hospital o un sistema de votación, ¿significa esto que las empresas de ciberseguridad tienen un papel de facto de interés público, o incluso de servicio público? Durante la pandemia, la comunidad cibernética se ha tomado muy en serio su papel protector; como, por ejemplo, el fabricante TheGreenBow, que ha puesto sus productos a disposición de las empresas que desean proteger a sus teletrabajadores de forma gratuita. Y muchos otros actores del sector han ofrecido su ayuda a hospitales y empresas sin ninguna recompensa financiera. "En estos extraordinarios tiempos actuales, las organizaciones necesitan más que nunca una infraestructura segura de TI y OT. Por esa razón, regalamos licencias para nuestros dispositivos virtuales a todas las empresas. Más de sesenta se aprovecharon de ellas. Al mismo tiempo, creamos cursos de formación a distancia, para reemplazar nuestra formación presencial, y ofrecimos condiciones especiales para la actualización de los cortafuegos", explica Matthieu Bonenfant.
En el Reino Unido, los investigadores en ciberseguridad formaron el grupo Cyber Volunteers 19. Su objetivo era reunir a las instituciones que habían sido víctimas de ciberataques y a los actores del sector cibernético que trataban de prestar asistencia voluntaria. "El mensaje que estamos enviando a los ciberdelincuentes es que estamos al lado de nuestros servicios públicos. Atacar un hospital es vergonzoso en cualquier momento, pero durante el caos de una pandemia, es repugnante", explicó Lisa Forte, la creadora de Cyber Volunteers 19 a la revista Wired.
Esta ola de solidaridad es una respuesta puntual a una situación de crisis. Sin embargo, parece demostrar que el sector de la ciberseguridad ejerce de hecho un papel de interés público.
¿La creación de servicios cibernéticos públicos y el derecho a la ciber-protección?
Aunque esta función no está oficialmente recogida en ningún estatuto jurídico, es una función que esta embebida en la propia cultura de las empresas de ciberseguridad. "Los actores de la ciberseguridad son conscientes de su misión, señala Manon Deveaux. Y eso es algo que no se encuentra en muchos otros sectores. Ese tipo de conciencia está ciertamente conectado a la cultura de la ciberseguridad; donde, por ejemplo, se pueden encontrar grupos de hackers éticos, y al hecho de que los problemas a los que se enfrenta este sector son cuestiones de defensa y política nacional, en el sentido de ayuda a la ciudadanía".
¿Cómo se manifiesta este sentido de misión fuera de un momento de crisis? "La forma en que hemos tenido en cuenta la cuestión del interés público ha sido a través del desarrollo acelerado de nuestras ofertas a las empresas del sector de operaciones industriales, incluidas las que proveen servicios clave a los ciudadanos, explica Matthieu Bonenfant. Les ofrecemos tranquilidad desde el punto de vista cibernético, permitiéndoles cumplir su misión de servicio público". Pero, aun así, las empresas de ciberseguridad no disfrutan del estatus de servicio público. No se les exige que proporcionen un servicio que sea accesible a todos, igual para todos y disponible de forma continua. "Un papel de servicio público tiene una definición muy concreta que resulta difícil de aplicar a las empresas del sector –, ya que se trata de un servicio prestado por el Estado o por un organismo que actúa bajo el control del Estado, señala Jean-Jacques Latour, experto en ciberseguridad de Cybermalveillance.gouv.fr. Sin embargo, se puede argumentar que las empresas cibernéticas tienen una misión de interés público, ya que su papel consiste en contrarrestar los ataques contra los ciudadanos o la soberanía de un país".
Se puede argumentar que las empresas cibernéticas tienen una misión de interés público, ya que su papel consiste en contrarrestar los ataques contra los ciudadanos o la soberanía de un país.
Jean-Jacques Latour, experto en ciberseguridad de Cybermalveillance.gouv.fr
Varias empresas francesas ejercen precisamente esa misión; por ejemplo, se han unido a la Agrupación de Interés Público (GIP) de la ACYMA, que dirige el sitio web Cybermalveillance.gouv.fr desde 2017. Sensibiliza a los ciudadanos y a las empresas sobre los riesgos cibernéticos, asiste a las víctimas y las pone en contacto con los proveedores si es necesario. "Hasta hace poco tiempo, existía una brecha entre las principales organizaciones protegidas por la agencia francesa ANSSI y todas las demás ciber-víctimas (empresas muy pequeñas, pymes y particulares), que no siempre sabían con quién hablar", explica Jean-Jacques Latour. "En Stormshield, nos unimos a la GIP ACYMA, junto con unos cincuenta miembros más, porque creemos que estamos involucrados en una misión, un impulso colectivo de sensibilización; y esto trasciende las cuestiones comerciales", dice Matthieu Bonenfant. Y este papel es aún más esencial dado que las cuestiones cibernéticas se consideran a menudo de naturaleza puramente técnica. El público en general – e incluso las empresas – se resisten a veces. "La ciberseguridad sigue siendo considerada como una limitación", confirma Jean-Jacques Latour.
¿Una cuestión de derechos humanos?
Pero, ¿es suficiente un grupo de interés público para continuar esta misión de concienciación y protección? ¿Deberíamos considerar empresas públicas de ciberseguridad? Matthieu Bonenfant tiene dudas. "Una estructura centralizada no me parece una buena idea. Necesitamos un ecosistema heterogéneo y diverso para mantener la agilidad en el desarrollo de las tecnologías, sugiere. Además, una estructura de ese tipo no proporcionaría una supervisión de la ciberseguridad en toda Europa. Creo más en el modelo de "agencia nacional", como la ANSSI en Francia, que proporciona soporte y asistencia, y asegura la existencia de un ecosistema viable, supervisando iniciativas como Cybermalveillance.gouv.fr... en lugar de una estructura estatal más engorrosa".
¿Y qué hay del derecho del individuo a la ciber-protección? Ciertamente hay llamamientos de ONGs como Human Rights Watch para que la ciberseguridad sea clasificada como una cuestión de derechos humanos. Después de todo, algunos ciberataques constituyen violaciones de derechos básicos como la protección de la privacidad, el acceso a la información e incluso la libertad de expresión – como demuestra ahora el RGPD. Los derechos humanos están en juego cuando se sospecha que Arabia Saudita ha hackeado los teléfonos móviles de periodistas y activistas, o de sus asociados.
Un "derecho a la ciber-protección" sería sin duda difícil de concebir y aplicar, porque sería "muy amplio", según Manon Devaux. Sin embargo, el reconocimiento de este hecho podría en cualquier caso impulsar una mayor conciencia de la importancia de la ciberseguridad dentro de las empresas, y para los individuos.
