Irlanda | Ciberseguridad

¿Cuál es la situación de Irlanda respecto a la ciberseguridad? Depende de a quién le preguntes.

Según la edición de 2017 del índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones de las Naciones Unidas, que midió a Irlanda frente a otros 194 países y territorios en todo el mundo, ocupaba el puesto 26, detrás de Alemania y el Reino Unido, pero por delante de otros países europeos como Italia.

Se clasifica como «maduro» en lugar de líder, con Estonia, Francia y Noruega liderando la porción europea del índice.

Donde se queda es en las estrategias oficiales para ayudar a educar a la población en general.

Faltan programas integrales de concienciación para ciudadanos y empresas. Aunque se ha aprobado una estrategia nacional de ciberseguridad, no hay una dirección del gobierno y conciencia sobre el tema. Eso hace que Irlanda esté por debajo de otros países europeos.

Pero no todo es pesimismo. Se avecinan cosas que están destinadas a arrastrar a todos a una era más segura en línea. La introducción del RGPD de la Unión Europea ha hecho que las empresas sean más conscientes de lo que hacen con los datos de sus clientes. El hecho de aumentar las penalizaciones por mal uso o descuido con los datos personales hace que las empresas sean mucho más conscientes sobre el tema.

Otra ley que entrará en vigor pronto es la ley de ciberseguridad de la UE. Con ella se establecerán esquemas de certificación para productos que conseguirán mayor responsabilidad de los vendedores sobre la seguridad de los dispositivos. En la actualidad, los dispositivos deben estar certificados según ciertas normas de seguridad para ser vendidos en la UE.

Indice

Legislación

Las principales leyes en Irlanda en materia de ciberseguridad son las siguientes.

Directiva de Seguridad de Redes y Sistemas de Información

La Directiva de la UE sobre la seguridad de las redes y los sistemas de información (UE) 2016/1148 (la ‘Directiva NIS’) debía implementarse antes del 9 de mayo de 2018.

El Departamento de Comunicaciones, Acción Climática y Medio Ambiente publicó un documento de consulta titulado Medidas de seguridad de la Directiva NIS e informes de incidentes para operadores de servicios esenciales el 16 de noviembre de 2017. Este documento de consulta establece un enfoque propuesto para aquellas medidas con las que ciertos operadores de infraestructura clave (Operadores de servicios esenciales) deberán cumplir si se designa como tal bajo la Directiva NIS.

Los nuevos requisitos de seguridad establecidos en el Reglamento son principios obligatorios que todos los proveedores de servicios digitales y OES deberán cumplir dentro de sus organizaciones.

Los requisitos de seguridad se basan en cinco temas centrales; Identifique, proteja, detecte, responda y recupere. Esto proporciona una visión general de la gestión del riesgo de ciberseguridad de una organización.

Cada operador debe evaluar e implementar medidas de seguridad apropiadas para abordar las cinco áreas clave, teniendo en cuenta los factores específicos del sector y los riesgos identificados de su propia organización y su entorno. Una persona culpable de un delito en virtud del Reglamento estará sujeto a una multa de hasta 50.000 euros en el caso de un individuo, o 500.000 euros en el caso de cualquier entidad.

El documento también establece un proyecto de conjunto de directrices para la notificación de incidentes. La fecha límite para la presentación de esta consulta fue el 20 de diciembre de 2017.

Estrategia Nacional de Ciberseguridad

Irlanda publicó una Estrategia Nacional de Ciberseguridad en 2018. Las medidas clave de la Estrategia incluyen:

establecer formalmente el Centro Nacional de Ciberseguridad (NCSC) que abarca el Equipo nacional / gubernamental de respuesta a incidentes de seguridad informática (CSIRT-IE);
entrega de arreglos de seguridad mejorados, en asociación con los departamentos gubernamentales y agencias clave que involucran el conocimiento de la situación y la gestión de incidentes;
introducir legislación primaria para formalizar arreglos legales y cumplir con los requisitos de la UE sobre capacidades, cooperación y presentación de informes; y
cooperar con agencias estatales clave, socios de la industria y pares internacionales en aras de proteger la infraestructura crítica, mejorar la conciencia situacional y la gestión de incidentes, además de facilitar iniciativas de educación, capacitación y conciencia pública.

Ley de Justicia Penal de 2017

La Ley de justicia penal (delitos relacionados con los sistemas de información) de 2017 da efecto a la Directiva europea sobre delitos informáticos.

En ella se regulan nuevos delitos penales en caso de actividades referidas a delitos cibernéticos, entre los que están:

acceder a un sistema de información sin autoridad legal al infringir una medida de seguridad (Sección 2);
interferir con un sistema de información sin autoridad legal para obstaculizar o interrumpir su funcionamiento (Sección 3);
interferir con datos sin autoridad legal en un sistema de información (Sección 4);
interceptar la transmisión de datos hacia, desde o dentro de un sistema de información sin autorización legal (Sección 5); y
producir, vender, adquirir para su uso, importar, distribuir o poner a disposición un dispositivo, programa de computadora, código de contraseña o datos para el propósito de la comisión de cualquiera de los delitos anteriores sin autorización legal (Sección 6).

Proyecto de ley de comunicaciones (retención de datos)

Este proyecto de ley revisará y reemplazará la Ley de comunicaciones (retención de datos) de 2011.

Las normas de este proyecto de ley se publicaron el pasado octubre de 2017, después de la publicación de la Revisión de la Ley sobre la retención y Acceso a datos de comunicaciones.

Esa revisión concluyó que la legislación de la UE excluye muchas características de la Ley de 2011. La Ley de 2011 exige que las compañías telefónicas y los ISP almacenen los metadatos de todos hasta dos años, lo que constituye » una forma de vigilancia masiva de prácticamente toda la población del Estado».

Proyecto de ley sobre ciberdelincuencia

Este proyecto de ley dará efecto a las disposiciones de la Convención sobre ciberdelincuencia de 2001 que aún no están previstas en la legislación nacional.

El programa de legislación señala que el trabajo preparatorio está en marcha, pero no hay indicios de cuándo se publicará el proyecto de ley. El año pasado, el Gobierno promulgó la Ley de justicia penal (delitos relacionados con los sistemas de información) de 2017 que crea una serie de delitos de cibercrimen.

Proyecto de ley de gestión de comunicaciones

El programa legislativo señala que este proyecto de ley proporcionará a una sola entidad para gestionar los contratos de comunicaciones comerciales del Estado, incluidos los contratos del Plan Nacional de Banda Ancha. Actuará como un centro de experiencia en relación con las actividades comerciales del Estado en comunicaciones y tendrá funciones adicionales en relación con la implementación de la política.

Proyecto de ley de derechos de autor y otras disposiciones de la Ley de propiedad intelectual de 2018

Este proyecto de ley introducirá una serie de enmiendas a la Ley de derechos de autor y derechos conexos de 2000 con el objetivo de modernizar los derechos de autor y también tener en cuenta ciertas excepciones a los mismos permitidas por la Directiva 2001/29 / CE sobre armonización de ciertos aspectos de los derechos de autor y derechos afines en la sociedad de la información.

El proyecto de ley tiene como objetivo mejorar el acceso al sistema de tribunales para reclamaciones de propiedad intelectual.

Responsabilidad de las empresas por violaciones de ciberseguridad

Una empresa que sufre una infracción de ciberseguridad puede ser responsable ante sus clientes o proveedores por contrato o agravio. Las causas de acción incluyen:

incumplimiento de contrato: incumplimiento de un término explícito o implícito de que los datos del cliente se almacenarían de forma segura y con el debido cuidado; y
negligencia: no tomar precauciones de seguridad razonables al almacenar la información del cliente.

Además, puede dar lugar a una reclamación de violación de la privacidad por parte de personas en virtud de la Constitución irlandesa, el Convenio Europeo de Derechos Humanos (CEDH) y la Carta de la UE.

También se pueden incurrir en sanciones y sanciones civiles por incumplimiento de los requisitos reglamentarios que se establecen a continuación.

Incumplimiento de contrato

Las reclamaciones por incumplimiento de contrato pueden surgir de disposiciones que requieren que una parte, como un proveedor o plataforma de servicios en línea, mantenga sistemas adecuados, funcionales y seguros. El incumplimiento puede incluir no alcanzar los niveles acordados de servicio o disponibilidad debido a una violación de seguridad cibernética.

El alcance de dicha responsabilidad puede depender de la inclusión y el efecto de una cláusula de protección que contemple específicamente el incumplimiento como consecuencia de problemas de ciberseguridad. Sin dicha protección, incluso las interrupciones relativamente menores pueden resultar en responsabilidad por incumplimiento de contrato.

Si la violación de la seguridad cibernética resulta en la pérdida o divulgación de datos personales protegidos por la legislación nacional vigente de protección de datos (a saber, las Leyes de Protección de Datos 1988 y 2003) y a partir del 25 de mayo de 2018, por el RGPD, entonces los interesados pueden tener derecho a reclamar una indemnización.

Incluso si la violación de la seguridad cibernética no conduce a la pérdida de datos del cliente, puede resultar en una exposición significativa a reclamaciones por incumplimiento de contrato si la interrupción significa que no cumplen con las obligaciones contractuales expresas no relacionadas con la seguridad cibernética.

Negligencia

La responsabilidad también puede surgir por negligencia en caso de un ciberataque exitoso. Si no se ejerce una destreza y cuidado razonables, podría ser responsable ante cualquier tercero capaz de cumplir con la causalidad y los requisitos probatorios para demostrar el daño y las pérdidas que sufrió. En este contexto, la responsabilidad puede depender en parte de contar con medidas de seguridad que reflejen la guía de mejores prácticas.

Infracción de los derechos de privacidad

Los tribunales irlandeses han reconocido continuamente que el Artículo 40.3.1 ° de la Constitución irlandesa incluye un derecho no enumerado a la privacidad.

Aunque este derecho no es absoluto, es discutible que una violación de la seguridad cibernética en ciertas circunstancias pueda ser una violación de la privacidad de una persona y, por lo tanto, de su derecho constitucional. Además, se puede presentar una reclamación en virtud del CEDH o la Carta de los Derechos Fundamentales de la Unión Europea.

Infracción regulatoria y sanción

Reglamento de las Comunidades Europeas (Redes y Servicios de Comunicaciones Electrónicas) de 2011

Establece que las empresas que brindan redes de comunicaciones públicas (PCN) o servicios de comunicaciones electrónicas disponibles públicamente (PECN) deberán tomar las medidas técnicas y organizativas apropiadas para gestionar adecuadamente los riesgos que plantea la seguridad de las redes y servicios.

En particular, se tomarán medidas para prevenir y minimizar el impacto de los incidentes de seguridad en los usuarios y las redes interconectadas y para garantizar la integridad de sus redes, asegurando así la continuidad del suministro de los servicios prestados a través de esas redes.

También requiere que estas empresas notifiquen a la Comisión de Regulación de Comunicaciones (ComReg) las violaciones de seguridad o pérdidas de integridad que tengan un impacto significativo en la operación de redes o servicios.

Cuando ComReg reciba una notificación, deberá informar al Ministro de Comunicaciones, Acción Climática y Medio Ambiente y, cuando corresponda, a la Agencia Europea de Seguridad de la Red y la Información (ENISA) y a las autoridades reguladoras nacionales de otros Estados miembros.

Cuando se considere de interés público hacerlo, ComReg, con el acuerdo del Ministro, puede informar al público en relación con la violación o exigir a la empresa que informe al público de la violación. Una empresa que no cumple con este requisito comete un delito.

Permite a ComReg emitir instrucciones para una empresa, incluidas las instrucciones relacionadas con los límites de tiempo para la implementación. ComReg también puede exigir a las empresas que proporcionen la información necesaria para evaluar la seguridad o integridad de sus servicios y redes, incluidas las políticas de seguridad documentadas, y también puede exigir a las empresas que se sometan a una auditoría de seguridad para que la lleve a cabo un organismo independiente calificado designado por ComReg.

Una empresa que no cumple con una dirección o requisito de ComReg comete un delito.

Reglamento de 2011 de las Comunidades Europeas (Reglamento de Privacidad Electrónica)

El Reglamento de privacidad electrónica da efecto a la Directiva de privacidad electrónica 2002/58 / CE de la UE (modificada).

Establece que una empresa que proporciona una PECN o PECS deberá tomar las medidas técnicas y organizativas apropiadas para salvaguardar la seguridad de sus servicios. Estas medidas garantizarán un nivel de seguridad adecuado al riesgo presentado, teniendo en cuenta el estado de la técnica y el costo de su implementación.

Las medidas deberán al menos:

garantizar que solo personal autorizado pueda acceder a los datos personales para fines legalmente autorizados;
proteger los datos personales almacenados o transmitidos contra la destrucción accidental o ilegal, la pérdida o alteración accidental y el almacenamiento, procesamiento, acceso o divulgación no autorizados o ilegales; y
Garantizar la implementación de una política de seguridad con respecto al procesamiento de datos personales.

Ley de Protección de Datos 1988 y 2003 (DPA)

La DPA confiere derechos a las personas en relación con la privacidad de sus datos personales, así como responsabilidades sobre aquellas personas que poseen y procesan dichos datos. En particular, proporcionan la recopilación y el uso de datos de manera responsable, al tiempo que proporcionan protección contra usos no deseados o perjudiciales de los datos.

Las ocho reglas de protección de datos que rigen el procesamiento de datos personales son las siguientes:

obtener y procesar los datos de manera justa;
mantener datos solo para uno o más propósitos específicos y legales;
procesar datos solo de manera compatible con los fines para los que se le entregó inicialmente;
mantener los datos seguros y protegidos;
mantener datos precisos y actualizados;
asegurar que los datos sean adecuados, relevantes y no excesivos;
retener datos no más de lo necesario para el propósito o propósitos especificados; y
entregar una copia de sus datos personales a cualquier persona, previa solicitud.

La DPA exige también que los interesados tengan un especial cuidado con sus datos. Por lo tanto, los responsables y encargados de tratamiento deben tener cuidado de que sus actividades no causen daños a los interesados.

La ley de protección de datos en Irlanda aún no se ha adaptado al RGPD.

Ley de justicia penal

Delitos de robo y fraude

La Sección 9 se refiere al uso ilegal del ordenador y establece que una persona que deshonestamente, ya sea dentro o fuera del Estado, opera o hace que se opere un ordenador con la intención de obtener beneficios para sí misma o para otra persona, o de causar pérdida a otro, es culpable de un delito. Y se le impondrá una sanción de multa o prisión por un período que no exceda los 10 años o ambos.

La Sección 25 establece que una persona es culpable de falsificación si hace un instrumento falso con la intención de que se use para inducir a otra persona a aceptarlo como genuino y por el hecho de aceptarlo, realizar algún acto o omita el prejuicio de esa persona o de cualquier otra persona.

Instrumento se define para incluir cualquier documento, ya sea de carácter formal o informal, e incluye cualquier disco, cinta, pista de sonido u otro dispositivo, en el que se grabe o almacene información por medios mecánicos, electrónicos u otros. La sanción impuesta es de multa o prisión de no más de 10 años o ambas.

Delitos relacionados con los sistemas de información

La Ley de justicia penal de 2017 ha derogado y reemplazado los delitos relacionados con la piratería y el daño penal a los datos que anteriormente figuraban en la Ley de daños penales de 1991 y crea una serie de nuevos delitos.

Una persona condenada por uno de los delitos establecidos en las Secciones 2, 4, 5 y 6 estará sujeta a una multa que no exceda de 5.000 euros y / o prisión por un período que no exceda los 12 meses.

La gravedad de interferir con un sistema de información sin autoridad legal se reconoce con multas más altas para los condenados en virtud de la Sección 3. En caso de ser considerada culpable, será responsable de una multa no superior a 5.000 euros o un máximo de 12 meses de prisión.

Los terceros también pueden ser responsables bajo la Ley 2017. Una persona que obstruye o intenta obstruir a las autoridades gubernamentales que actúan bajo la autoridad de una orden de allanamiento puede estar sujeta a una multa de 5.000 euros y / o hasta 12 meses de prisión.

Las corporaciones también pueden ser procesadas si se demuestra que el delito se cometió con el consentimiento o la connivencia o si es atribuible a cualquier negligencia intencional de una persona que fue director, gerente, secretario u otro funcionario de la corporación o una persona que pretende ser actuar en esa capacidad. En tal caso, esa persona, al igual que el cuerpo corporativo, será culpable de un delito y podrá ser procesada y castigada como si fuera culpable del delito mencionado en primer lugar.

Ley de secretos oficiales de 1963

La Ley de Secretos Oficiales de 1963 protege la «información oficial», que se define como «cualquier palabra clave secreta oficial o contraseña, y cualquier plan, modelo, artículo, nota, documento o información que sea secreta o confidencial y que está o ha estado en posesión, custodia o control de un titular de un cargo público, o al que tiene o ha tenido acceso, en virtud de su cargo, e incluye información grabada por película o cinta magnética o por cualquier otro medio de grabación».

La Ley crea un delito de divulgación de información oficial siempre que «una persona comunique información oficial a otra persona, a menos que esté debidamente autorizada para hacerlo o lo haga en el curso y de conformidad con sus obligaciones como el titular de un cargo público».

Autoridades en materia de ciberseguridad

Las principales autoridades irlandesas en materia de ciberseguridad son las siguientes.

Unidad de Investigación de Delitos Informáticos

Esta Unidad es parte de la Oficina Nacional de Delitos Económicos de Garda (GNECB), que es una oficina especializada que investiga delitos relacionados con el fraude que involucran cuestiones complejas de derecho o procedimiento penal. Está encabezado por un Superintendente Jefe de Detectives que reporta al Comisionado Asistente, Servicios de Apoyo Nacional.

CSIRT-IE

CSIRT-IE es el organismo dentro del NCSC que brinda asistencia a los constituyentes para responder a incidentes de seguridad cibernética a nivel nacional para Irlanda. El equipo tiene una circunscripción estrictamente definida que consiste principalmente en organismos gubernamentales y proveedores de infraestructura nacional crítica.

Las responsabilidades de CSIRT-IE incluyen:

Monitoreo de incidentes a nivel nacional
Proporcionar alertas tempranas, alertas, anuncios y difusión de información a las partes interesadas relevantes sobre riesgos e incidentes
Responder a incidentes
Proporcionar análisis dinámicos de riesgos e incidentes y conciencia situacional
Participar en la red CSIRTs.

Oficina de Delitos Cibernéticos de Garda

El Burda Cybercrime Bureau (GCCB) es la unidad nacional encargada del examen forense de los medios informáticos incautados durante el curso de cualquier investigación criminal. También lleva a cabo investigaciones sobre delitos penales de naturaleza significativa o compleja, incluidos:

intrusiones en la red,
daños criminales a datos y sitios web pertenecientes a departamentos gubernamentales, instituciones y entidades corporativas y
delitos en línea, incluidos fraudes, acoso o explotación infantil.

Es parte de la sección de Operaciones Especiales de Delitos de An Garda Síochána y cuenta con personal civil y miembros de Garda de varios rangos hasta el Superintendente Detective. El GCCB funciona como enlace para las investigaciones internacionales de delitos cibernéticos en conjunto con Europol, Interpol, el FBI y otras agencias de aplicación de la ley.

Comisión de Regulación de Comunicaciones (ComReg)

ComReg es el organismo estatutario responsable de la regulación del sector de comunicaciones electrónicas. Eesto incluye telecomunicaciones, comunicaciones de radio, transmisión de transmisión y servicios de tarifa premium y el sector postal. Fue establecido por la Ley de Regulación de Comunicaciones de 2002. C

omReg es responsable de facilitar la competencia, proteger a los consumidores y alentar la innovación.

Comisionado de Protección de Datos (DPC)

El DPC es la autoridad supervisora de protección de datos en Irlanda. Tiene una serie de funciones bajo el DPA que incluyen:

la investigación de infracciones del DPA utilizando avisos de cumplimiento;
prohibición de la transferencia de datos personales fuera del Estado;
el poder de requerir información; y
el enjuiciamiento de delitos sumarios.

En virtud del Proyecto de Ley de Protección de Datos (que, cuando se promulgue, adaptará el RGPD), se establecerá una ‘Comisión de Protección de Datos’ y todas las funciones del DPC se transferirán a la Comisión en una fecha aún por decidir por el Ministro de Justicia e Igualdad.

La Comisión estará compuesta por no más de tres Comisionados para la Protección de Datos que serán nombrados por períodos de entre 4 y 5 años. Tendrá poderes de ejecución adicionales en virtud de la nueva legislación de protección de datos.

Banco central de Irlanda

El Banco Central regula más de 10.000 empresas que prestan servicios financieros en Irlanda y en el extranjero. Esta regulación se lleva a cabo a través de la supervisión basada en el riesgo, respaldada por una amenaza creíble de aplicación.

Los riesgos asociados con la tecnología de la información y la ciberseguridad son una preocupación clave para el Banco Central, dado su impacto potencial en las empresas y sus clientes y los riesgos para la estabilidad financiera.

El Banco Central ha emitido una guía de la industria con respecto a la tecnología de la información y los riesgos de seguridad informática.

Principales sectores afectados por la regulación de ciberseguridad

Se consideran operadores de servicios esenciales en Irlanda determinados sectores de negocios.

Son operadores de servicios esenciales dentro de una de las siete categorías de economía y actividad social, incluida la energía, transporte, banca, mercado financiero infraestructuras, sector salud, bebida suministro y distribución de agua, e infraestructura digital.

No se incluye el sector de las telecomunicaciones, sobre la base que están regulados por separado en el área de seguridad de la información.

Los proveedores de servicios digitales, que normalmente se proporcionan una remuneración, a distancia y por medios electrónicos y al individuo.

El servicio digital debe ser proporcionado en dentro de la Unión europea, por una empresa que tiene su establecimiento principal o una representación en Irlanda, y que no es una micro o pequeña empresa.

Los DSP se dividen en las siguientes tres categorías:

Mercados en línea
Motores de búsqueda en línea
Servicios de computación en la nube.

Obigaciones de las empresas en ciberseguridad

Los operadores de servicios esenciales deben adoptar las medidas técnicas y organizativas apropiadas para gestionar los riesgos planteados a la seguridad de la red e información.

Además, se deben tomar medidas para prevenir y minimizar el impacto de cualquier incidente que afecte la seguridad de su red y sistemas de información para garantizar la continuidad del
servicio que brinda.

Se requiere que los OES notifiquen al CSIRT cualquier incidente relacionado con la seguridad de la información que tenga un impacto significativo en la continuidad de un servicio esencial proporcionado.

De manera similar, se requiere que los proveedores de servicios digitales apliquen las medidas organizativas y técnicas adecuadas para gestionar los riesgos planteados para la seguridad de la red y
sistemas de información que utilizan.

Se establece una lista de elementos que se tendrá en cuenta al implementar esas medidas:

La seguridad de sistemas e instalaciones;
manejo de incidentes;
Gestión de la continuidad del negocio;
Monitoreo, auditoría y pruebas; y
Cumplimiento con internacional de las normas

Los DSP deben notificar al CSIRT cualquier incidente que tenga un impacto sustancial sobre la provisión de un servicio digital que ofrece dentro de la UE.

Ejemplos

Estos son algunos ejemplos de ciberataques sufridos en Irlanda.

Ciberataque a páginas del gobierno irlandés

En 2016, varias páginas web del gobierno irlandés fueron objeto de un ataque DDoS que las mantuvo inoperativas durante varias horas.

Las páginas afectadas eran las del Ministerio de justicia, el Parlamento, el Servicio de los tribunales y la Oficina Central de Estadísticas, entre otras.

Se activó el plan de contingencia por parte de las autoridades para reducir al mínimo los daños causados.

Muchos creen que ese ataque fue realizado por el grupo Anonymous en protesta por la aplicación de una tasa sobre el agua de uso doméstico en Irlanda.