“Los ciberataques nos tomaron desarmados, desprevenidos y desarticulados. La solución no es salir a conseguir antivirus regalados, tomar funcionarios prestados de otras instituciones ni montar un call center atendido por estudiantes. El camino para construir herramientas que le permitan al país protegerse comienza por el diseño de un andamiaje institucional, una gobernanza de la ciberseguridad en el país”.
De esta forma se dirigió a los diputados el presidente de la Fundación Privacidad y Datos, Mauricio París Cruz, uno de los principales impulsores del proyecto de ley que busca crear una Agencia Nacional de Ciberseguridad en el país. París compareció el pasado 23 de febrero en la Comisión de Ciencia, Tecnología y Educación de la Asamblea Legislativa junto al experto en ciberseguridad, Esteban Jiménez Cabezas, para explicar los alcances del plan.
El especialista criticó fuertemente el papel de la administración pasada y la actual para atender los ataques del grupo criminal ‘Conti’ y posteriormente de su subdivisión ‘Hive’. Por ejemplo, la decisión de limitarse a proteger los equipos de las instituciones públicas del país con un software de protección donado por España llamado microCLAUDIA, el cual, según expertos, ni siquiera era una solución de último nivel, ni daba una protección real.
Comentó que si en 50 años algún historiador se interesara por entender en qué consistieron los ciberataques que vulneraron más de 30 entidades nacionales, sería una tarea compleja, “ya que, pese a haber sido la mayor afrenta a la seguridad del país en el presente siglo, nadie lo investigó. No lo hizo el Poder Judicial, no lo hizo este Congreso, no lo hizo nadie. Pareciera que se ha entendido que lo ocurrido fue un ‘acto de dios’ o un asunto de fuerza mayor, contra el que no podíamos hacer nada”.
LEA MÁS: ‘Equipo SWAT’ del Gobierno lleva un mes sin concretar plan contra ciberterroristas
El impulsor de la ley alegó que a la fecha no se sabe con exactitud qué fue lo que pasó, qué datos fueron sustraídos, si los sistemas institucionales se han recuperado, cuánto ha costado esa recuperación y, peor aún, si al menos se sentaron responsabilidades locales, principalmente porque el pasado 16 de mayo el presidente Rodrigo Chaves dijo que había gente en Costa Rica que colaboraba con los ciberdelincuentes.
“¿Quién ignoró las alertas? ¿Dónde estaban los responsables de esas alertas? ¿Cuál fue la cadena de mando? Esto es especialmente curioso cuando incluso el presidente de la República habló de que en el país había colaboradores del grupo criminal que nos atacó. Todas estas preguntas no solo no tienen respuesta, sino que ni siquiera se formularon. Ha resultado sencillo excusarse en la seguridad nacional no solo para no responder, sino para no preguntar”, dijo París.
Los expertos indicaron al Congreso que aunque esas responsabilidades no se investigaron o no se sentaron, lo cierto es que el país necesita con urgencia hacer algo en materia de ciberseguridad y ciberdefensa, y por esta razón impulsan este proyecto de ley, presentado por el Partido Liberación Nacional bajo el expediente 23.292.
Alcances de la propuesta
Según el documento, la finalidad de la propuesta es establecer las reglas, la gobernanza e institucionalidad necesarias para proteger, mediante componentes preventivos, reactivos y proactivos, las infraestructuras críticas de información del país y, con ello, la seguridad nacional. Su principal aporte sería crear una nueva agencia que se encargue de atender amenazas como la que sufrió el país con el grupo Conti, por ejemplo.
Además, de aprobarse, los funcionarios que se encargan de administrar los sistemas informáticos de las instituciones públicas podrían enfrentar multas de hasta 15 salarios base (alrededor de ¢7 millones) por incumplir sus deberes o descuidar los datos sensibles de los ciudadanos.
Las multas se clasificarían en faltas leves, graves y gravísimas. Algunas de las infracciones mínimas son incumplir el deber de notificar los incidentes de ciberseguridad a las personas afectadas, no establecer mecanismos técnicos y procedimentales para detectar amenazas, no llevar a cabo inventarios de los equipos y no remitir resultados de auditorías o evaluaciones de riesgos cibernéticos.
Esteban Jiménez explicó que la agencia tendrá la responsabilidad de investigar, procesar y mantener el registro de incidentes, con el fin de tener un compendio de alertas e indicadores que puedan servir de soporte a las instituciones para tomar decisiones basadas en datos estadísticos, los cuales serán incluidos dentro de la emisión de reportes, boletines de alerta y la generación de campañas de concientización en ciberseguridad para toda la población.
Agregó que la agencia podrá efectuar los análisis necesarios para asesorar a las organizaciones o instituciones del Estado en el manejo adecuado de los equipos informáticos, advertirles de riesgos de manera preventiva y apoyar en la creación de políticas, guías y procedimientos para el manejo correcto de los equipos.
“Lo que le pasó al país el año pasado nos enfrentó a una realidad que quizá nos tomó desprevenidos. Sin embargo, consideramos que, si esto vuelve a suceder sin que se tomen medidas suficientes, estaremos frente a un acto de negligencia y de incumplimiento de deberes. Debemos primero vencer el enemigo interno de la falta de visión, la mediocridad y la improvisación, para que el país pueda defenderse del enemigo externo”, finalizó París.
La realidad
Al presentar la propuesta, uno de los principales reclamos es que la ciberseguridad del país esté –por decreto– asignada a “la cenicienta del Estado”, el Ministerio de Ciencia, Innovación, Tecnología y Comunicaciones (Micitt), que según París es la cartera con menos músculo para defendernos, con un “presupuesto de $10 millones de los que logra en el mejor de los casos ejecutar $5 millones″ y bajo el supuesto errado de que la ciberseguridad es un asunto de tecnología, cuando en realidad se trata de seguridad nacional.
Por eso, consideran que el proyecto Ley de Ciberseguridad es un punto de partida adecuado para la toma de decisiones en esta materia y que en esta discusión el Poder Ejecutivo debería tener un papel protagónico, comenzando con algo tan básico como haber convocado el proyecto en extraordinarias. De hecho, criticaron que ya habido reacciones negativas de parte del Gobierno respecto a la iniciativa.
“Pareciera que hay una visión en donde: no se quiere que haya un rector en la materia, no se quiere que ese rector tenga competencias robustas, nadie quiere pagar la ciberseguridad que necesitamos, se teme más a un rector en la materia que a los propios cibercriminales y se quiere que la ciberseguridad se quede en el ciber, porque la seguridad, por algún motivo, resulta que no es democrática”, mencionó París.
LEA MÁS: Conti usó a Costa Rica para crear nuevos grupos de ‘hackers’
LEA MÁS: Plan propone multas de hasta ¢7 millones por descuidos en ciberseguridad de entidades