El nuevo gobierno de Israel y sus retos nos preocupan a todos. Se tienen en cuenta todos los aspectos de la vida: sanidad, economía, seguridad nacional, transporte, etc. Sin embargo, habrá un reto importante al que se enfrentarán todos los nuevos ministros, que ha permanecido oculto y sin abordar durante demasiado tiempo: la protección de la infraestructura digital de Israel.
En las últimas décadas, Israel ha experimentado un rápido proceso de digitalización, incluida la informatización de todos los sistemas de información. No cabe duda de que los beneficios han sido inmensos. Sin embargo, nos hemos vuelto cada vez más vulnerables a los ciberataques contra infraestructuras críticas (electricidad, agua, transporte). Además, ha permitido el uso de gran cantidad de información personal para muchas actividades delictivas (robo de identidad, fraude con tarjetas de crédito, fraude electoral).
Estos ataques están ganando en alcance, número y daños financieros, así como en sofisticación de las organizaciones criminales y los Estados hostiles que están detrás de ellos. Y, por desgracia, una y otra vez resulta que las defensas con que cuentan los sistemas digitales de Israel son escandalosamente inferiores.
Hace apenas unas semanas, el Contralor del Estado publicó un informe inquietante. Un problema importante gira en torno a los sistemas de información de las FDI, que almacenan información biométrica como huellas dactilares, palmares, registros dentales y muestras de ADN. No existe un proceso ordenado para proteger esta información.
El ejército no ha cumplido ni siquiera las normas más básicas de protección de datos. Las órdenes permanentes del Estado Mayor de las FDI sobre la protección de la información privada no se han actualizado en 26 años. La información sobrante no se elimina; ningún organismo coordinador examina todos los depósitos de información y es responsable de su protección.
Supongamos que las FDI, un gigante del ciberespacio, tienen problemas; ¿qué pasa con la empresa nacional de aguas Mekorot, el Ministerio de Educación, el de Transportes y la Agencia Tributaria?
Mekorot se considera una “infraestructura nacional crítica” y, por tanto, la Dirección Cibernética Nacional se ocupa directamente de ella. Pero, ¿qué pasa con las agencias regionales de agua responsables del suministro de agua a nuestros hogares?
Actualmente, no existen requisitos de defensa contra posibles ciberataques, la compañía nacional de aguas no aprueba planes de arquitectura de seguridad de datos y ninguno de los sistemas informáticos pertinentes está conectado al Centro de Control de la Dirección Cibernética Nacional. Nadie parece tener prisa por tomar las riendas, y las empresas regionales de agua “obtuvieron una mala calificación en cuanto a su preparación para la ciberdefensa”, escribió el Interventor del Estado.
Un anticuado sistema de seguridad protege la importante red de gestión de la información del Ministerio de Educación, ya que el puesto de jefe de ciberdefensa lleva meses vacante. Los datos médicos, educativos y personales de los niños israelíes están en peligro.
Los ciberataques a las redes de transporte pueden causar estragos
¿Hay que preocuparse más? Los ciberataques a las redes de transporte pueden causar estragos, desde la paralización de los puertos del país, pasando por importantes atascos, hasta accidentes con numerosas víctimas. De hecho, el Ministerio de Transporte creó una división cibernética encargada de proporcionar directrices a los miles de organismos y empresas de transporte pertinentes. Sin embargo, aún queda por completar el trabajo administrativo necesario.
Tiene que haber un mapeo ordenado de los activos informativos de la Autoridad Fiscal, que posee amplia información sobre todos los ciudadanos israelíes, contribuyentes y trabajadores autónomos. En consecuencia, es necesario un plan de seguridad adecuado para cada uno de los activos de información de la autoridad. No existe ningún sistema de gestión de riesgos ni se exige a la autoridad que informe a los organismos pertinentes en caso de que se produzca una violación cibernética.
El informe actual se suma a otras advertencias del año pasado sobre fallos de ciberseguridad en la Corporación Eléctrica de Israel y el Comité Electoral Central. No era necesario emitir un informe sobre los hospitales: el reciente ciberataque al Centro Médico Hillel Yaffe, que causó daños físicos y emocionales a los pacientes, fue una espeluznante demostración del estado de las cosas.
Existe un problema sistémico en la preparación de Israel para la ciberdefensa. La mayoría de los fallos en la seguridad de los datos identificados en el informe se deben simplemente a la negligencia: falta de planificación de los sistemas defensivos, falta de control sobre el almacenamiento de la información, fallos en la actualización de los sistemas operativos y el software, contraseñas débiles, enfoques caóticos en la gestión del acceso a los sistemas y fallos en la creación de sistemas de copia de seguridad de la información que estén desconectados del sistema normal, en caso de que se produzca un desastre.
El núcleo de los problemas radica, por un lado, en la enorme ignorancia digital sobre la importancia de la ciberprotección y, por otro, en la falta de incentivos y sanciones para promover la creación de mecanismos de defensa contra los ciberataques.
Aunque la Dirección Nacional Cibernética publicó un documento titulado “Ciberdefensa para organizaciones”, es necesario un manual práctico para ayudar a los directores de empresas y organizaciones a desarrollar un plan de ciberdefensa. Sin embargo, la Dirección no tiene poderes de ejecución sin un marco legislativo adecuado.
Entonces, ¿por qué no existe todavía una ciberley? Es una buena pregunta, y la respuesta es sencilla. El proyecto de Ley Cibernética pretendía situar toda la supervisión cibernética bajo la autoridad de la Dirección Cibernética Nacional, una agencia secreta de defensa similar al Shin Bet (Agencia de Seguridad de Israel).
Atrajo así una feroz oposición del sector público civil y del sector privado. Ciertamente, los ciberataques pueden proceder de Estados enemigos, pero los motivos criminales y financieros impulsan a la mayoría de los piratas informáticos. Por lo tanto, el enfoque de la ciberdefensa (excepto las infraestructuras críticas) debe basarse en la concienciación activa, la responsabilidad legal y la gestión de riesgos públicamente transparente, en lugar de en la pasividad por defecto y la creencia de que “los servicios de seguridad nos protegerán”.
La ciberseguridad de Israel es una bomba de tiempo
La ciberseguridad de Israel es una bomba de relojería; nadie sabe cuándo ni cómo explotará ni qué instituciones se verán afectadas. Pero está claro que ocurrirá en algún momento y que los daños serán graves y aterradores. Por eso, el interventor del Estado tiene razón al insistir en la importancia de aprobar una ley cibernética que defina un marco de supervisión y aplicación.
Las agencias secretas de defensa deberían quedar al margen de estas competencias, ya que vigilarían empresas, sistemas de transporte y transacciones con tarjetas de crédito. En su lugar, la supervisión de la ciberseguridad del país debería confiarse a una agencia gubernamental fuerte con poderes significativos. También debería exigirse a todos los ministerios del gobierno que tomaran medidas para mejorar sus conocimientos, concienciación y experiencia en el campo de la ciberdefensa.
Además, el refuerzo de nuestro sistema de ciberseguridad sólo estaría completo con cambios significativos en la Ley de Protección de la Privacidad y el apoyo a la Autoridad de Protección de la Privacidad, que permitirán exigir responsabilidades a los responsables de proteger nuestra información privada por su grave negligencia.
La escritora es miembro sénior del Instituto Israelí para la Democracia. Su nuevo libro, con Rachel Aridor, es Regulating Cyberdefense in Israel.