Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
STEVE PURSER | DIRECTOR DE OPERACIONES DE ENISA

“Europa debe temer ataques a infraestructuras críticas”

El director de Operaciones de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) advierte de los riesgos y los avances en protección informática

Steve Purser, director de Operaciones de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).
Steve Purser, director de Operaciones de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).

ENISA es la agencia europea de ciberseguridad. Steve Purser, su director de Operaciones durante más de nueve años, la define como un centro de expertos. Tiene un papel recomendador, de moderador desde el segundo plano. Pero es un organismoque está llamado a tener cada vez más importancia, en tanto así la va teniendo el problema del que se ocupa:las amenazas informáticas.

La Agencia Europea de Seguridad de las Redes y de la Información –a este nombre responden las siglas de ENISA– ha sido una de las impulsoras de la Directiva Europea NIS, la primera que legisla en materia de ciberseguridad. Cuando vence el plazo para que esta normativa se transponga al ordenamiento jurídico de los Estados miembros, EL PAÍS ha hablado con Purser sobre los retos que afronta Europa en este ámbito y las complejidades de una disciplina que “apuntala el resto de cosas que hacemos”.

Pregunta. ¿Cuál es la labor de ENISA en el marco de la ciberseguridad europea?

Respuesta. El modelo de trabajo de ENISA, para todo lo que hacemos,consiste en buscar a expertos en los Estados miembros y trabajar estrechamente con ellos. Nuestro trabajo es hacer que los expertos se pongan de acuerdo sobre cuál es el ámbito del problema y, después, cuál es el ámbito de la solución. Trabajamos en el vínculo entre lo político y lo técnico.

P. ¿Cuáles son los mayores retos en ciberseguridad a los que se enfrenta Europa?

Tal vez la tostadora pueda comunicarse con tu ordenador personal, en cuyo caso esto es una puerta de entrada a tu hogar y, de ahí, solo hay un pequeño paso para entrar en tu oficina

R. El más evidente es el incremento en el número de ataques y la cada vez mayor sofisticación de estos. Y otro de los retos que tiene Europa en estos momentos son las habilidades requeridas. Sabemos que la ciberseguridad es muy importante. Tal vez no le hemos dado la importancia que se merecía en los años anteriores y, por eso, ahora tenemos escasez de personas capacitadas.

P. ¿Algún campo concreto que preocupe especialmente a ENISA?

R. La tecnología está cambiando. Siempre lo está haciendo. Pero ahora hay un cambio verdaderamente significativo. En los últimos dos años y, con toda seguridad para el futuro, hemos visto llegar al mercado una tecnología muy escalable, Internet de las cosas. Gartner [la consultora estadounidense] prevé que para 2020 habrá 20.000 millones de dispositivos ahí fuera, que habrán llegado al mercado en poco tiempo. Así que tienes muchos millones de estos dispositivos de bajo coste que son difíciles de proteger. Si compras una bombilla conectada por cinco euros esto no te deja mucho margen para pagar por la seguridad. Y, además, tal vez la tostadora pueda comunicarse con tu ordenador personal, en cuyo caso esto es una puerta de entrada a tu hogar y, de ahí, solo hay un pequeño paso para entrar en tu oficina.

P.¿Cuál considera que es la mayor amenaza para Europa?

R. Si pensamos en algo que puede pasar mañana creo que ya lo hemos visto. Son ataques como el de WannaCry y NotPetya, que llegan muy rápido, con vulnerabilidades de día 0 (agujeros de seguridad desconocidos por los usuarios y el fabricante). Y estamos muy lejos de poder protegernos y de minimizar el daño.

P. ¿Y a largo plazo?

R. Aquí creo que el mayor riesgo es que la gente no se adapte al gran cambio que está teniendo lugar con el Internet de las cosas. Todos los procedimientos y procesos que usamos ahora no funcionan muy bien en un mundo de Internet de las cosas. Una parte importante de esto es el reto económico. Si el dispositivo vale diez euros, no tiene sentido que cueste 50 euros protegerlo.

P. ¿Estamos concienciados sobre el riesgo de no estar bien protegidos?

No hemos aprendido la lección de que la seguridad cuesta dinero. Esto es inevitable y es dinero bien invertido

R. Creo que a veces somos muy cortos de miras. Pensemos en el daño hecho por WannaCry o NotPetya. Fue enorme. A veces pensamos que cuesta mucho dinero proteger las cosas y estamos hablando de un coste mucho menor. En general, creo que no hemos aprendido la lección de que la seguridad cuesta dinero. Esto es inevitable y es dinero bien invertido.

Esto es particularmente cierto en la electrónica de consumo, donde no hemos llegado realmente a persuadir al consumidor medio de la importancia de la seguridad, así que el consumidor todavía no invierte en productos seguros. En otras palabras, si le damos la opción entre un producto seguro y uno menos seguro, pero más barato y con más funcionalidades, creo que la mayoría de los consumidores se decantarán por el producto menos seguro.

P. ¿Cuál es el camino para evitar este comportamiento?

R. La ciberseguridad es complicada. No es como estas etiquetas que tienes en los frigoríficos sobre su consumo energético, como A, A+... Esto es relativamente sencillo de entender. Es mucho más difícil hacer esto con la ciberseguridad, pero estamos buscando soluciones. Una de las cosas que estamos estudiando es cómo podemos crear un etiquetado que le hable al ciudadano y este lo entienda, de forma que diga“vale, esto es algo que puedo comprar y estaré razonablemente bien protegido”.

P. ¿Cuál es el propósito de la Directiva NIS?

R. La idea es mejorar nuestra aproximación para tratar con las infraestructuras críticas en general, con todos esos servicios que necesitas para que tu país siga operando como un país normal. Tiene cuatro pilares: mejorar las capacidades nacionales de ciberseguridad, mejorar la cooperación, exponer requisitos de seguridad y notificación para estas operaciones y para los operadores críticos y también exponer otros requisitos de seguridad y notificación, que son menos exigentes, para los proveedores de servicios digitales.

P. ¿Qué daño podría hacer un ciberataque a infraestructuras críticas?

No hay ningún proceso en estos días que pueda funcionar sin la informática y, si esta no se protege correctamente, todo ese proceso está en riesgo

R. Se llaman infraestructuras críticas por un motivo. Si fuera el sector bancario, un ataque podría tumbar la economía nacional o la economía europea. En algunos casos podría afectar a la economía mundial. Cuando hablas de Swift, Clearstream o Euroclear, estas son organizaciones que juegan un papel central en cómo fluye el dinero. Si nos fijamos en el sector sanitario, si tumbas un sistema nacional de salud, los médicos no pueden operar y los pacientes no pueden ver a sus médicos, por ejemplo. Y luego pensemos en lo que podría ocurrir si pudieras penetrar en una planta nuclear. Estamos hablando de riesgos muy altos.

P. Los hospitales son un blanco preocupante, ¿están preparados para los futuros ataques?

R. Sí y no. El sector sanitario en general está mucho más concienciado de lo que lo estaba hace un par de años. ENISA ha hecho mucho trabajo aquí. Este es uno de los sectores críticos en la Directiva NIS. Pero hay que hacer mucho más trabajo.

P. ¿Debe Europa temer ataques a infraestructuras críticas?

R. Sí, por supuesto. Y los tememos. Pero la buena noticia es que esta es una de las razonas por las que se introdujo la Directiva NIS. Yo diría que si comparamos la situación de ahora con la de hace cinco años estamos mucho mejor.

P. ¿Tienen evidencias de que grupos terroristas hayan tenido como objetivo infraestructuras críticas en Europa?

R. Esto es atribución y ENISA no hace esto. Pero diría que las posibilidades de que esto pase son muy altas. 

P. ¿Cuál es el riesgo deciberataques patrocinados por Estados?

R. No nos fijamos en esta parte tan al detalle. El análisis de riesgo que hacemos en este momento, el ENISA ThreatLandscape, consiste en identificar los 15 principales riesgos técnicos. No nos especializamos en ataques patrocinados por Estados.

P. ¿Qué deberes les queda pendientes a los Estados miembros?

R. Todos los Estados miembros tienen que ser conscientes de que la ciberseguridad es una parte muy importante de la agenda política. Porque después de todo, la ciberseguridad apuntala el resto de cosas que hacemos. No hay ningún proceso en estos días que pueda funcionar sin la informática y, si esta no se protege correctamente, todo ese proceso está en riesgo.

P.¿Cuál será elsiguiente paso tras la Directiva NIS?

Si estás en la calle y alguien te pide algunos datos tuyos no se los das, sin embargo, mucha gente arroja todos sus secretos en Facebook. Es chocante. Así que creo que el aprender este sentido común electrónico es el reto para la próxima generación

R.El próximo paso es construir sobre lo que ya tenemos. La Directiva NIS no habla de los retos de Internet de las cosas y no habla mucho de la educación general para los ciudadanos. Tenemos que llegar al punto de que el ciudadano medio haga las cosas intuitivamente. Yo lo llamo 'sentido común electrónico': si estás en la calle y alguien te pide algunos datos tuyos no se los das, sin embargo, mucha gente arroja todos sus secretos en Facebook. Es chocante. Así que creo que el aprender este sentido común electrónico es el reto para la próxima generación.

Más información