Aunque la ciberseguridad y, como tema relacionado, el cibercrimen tienen una larga historia en las normas legales austriacas, los esfuerzos por establecer reglas específicas y detalladas sobre ciberseguridad que sean vinculantes, no solo para las agencias gubernamentales y las empresas estatales sino también sector privado, son bastante recientes.
Indice
Legislación
Ley de Protección de Datos de Austria (DSG 1978)
La primera disposición legal sobre ciberseguridad en su sentido más amplio fue el artículo 10 de la entonces nueva Ley de Protección de Datos de Austria (DSG 1978), que entró en vigor en 1980.
En esta disposición, los procesadores de datos estaban obligados a establecer reglas de trabajo relacionadas con la seguridad de datos. Por ejemplo, medidas de seguridad de acceso o pruebas de software.
Aunque la disposición no contenía ningún detalle sobre las reglas requeridas y, además, tenía en cuenta la viabilidad económica y técnica, requería que estas reglas internas fueran aprobadas por la Comisión de Protección de Datos de Austria (ahora la Autoridad de Protección de Datos, o DSB).
El artículo 10, a pesar de su falta de detalles, proporcionó una base sólida para una comprensión unificada de las medidas de seguridad de datos requeridas.
Pero en 1987, esta disposición fue enmendada con consecuencias de largo alcance:
- el nuevo artículo 10 ya no requería que las medidas de seguridad de datos se compilaran en un conjunto de reglas de trabajo;
- se eliminó el requisito de aprobación por parte del ahora DSB.
Sin embargo, la disposición modificada aún tenía en cuenta la viabilidad económica y técnica de las medidas, así como su adecuación en relación con los datos procesados.
En Austria, un país dominado por pequeñas y medianas empresas, la flexibilidad del artículo 10 DSG 1978, junto con una falta de control legal y fáctico de las medidas de seguridad tomadas, ha llevado a una amplia variación de los niveles de ciberseguridad.
Las empresas muy pequeñas no tomaron ninguna medida de seguridad relevante, argumentando que no eran económicamente factibles ni requeridas por el tipo de datos procesados.
Código penal
Las primeras reglas relacionadas con el delito cibernético se establecieron en 1987 con los artículos 126a y 148a del Código Penal de Austria (StGB).
Estas disposiciones penalizan el daño de los datos y el abuso del procesamiento de datos automatizado (incluida la modificación de los datos procesados, así como el software de procesamiento), respectivamente.
Dependiendo del daño causado, estas acciones se castigaban con prisión de hasta 5 o 10 años, respectivamente.
Convención sobre Cibercrimen
En 2002, Austria adoptó la Convención sobre Cibercrimen del Consejo de Europa, modificando el Código penal para también penalizar actos como el acceso ilegítimo a un sistema informático o la interceptación abusiva de datos.
Con estas disposiciones se estableció un primer conjunto básico de reglas de seguridad cibernética. Esto obliga a las empresas a tomar medidas de protección mientras protegen sus esfuerzos y sistemas mediante el Código Penal.
Aunque no fue hasta 2014 que se anunciaron nuevas normas legales sobre ciberseguridad. Mientras tanto, las entidades privadas austriacas y el gobierno federal estaban lejos de estar inactivas.
Coordinación de respuesta a incidentes informáticos de Austria (CIRCA)
La primera iniciativa de toda la industria para recolectar y administrar de manera centralizada los incidentes de seguridad cibernética del sector privado y público fue la Coordinación de respuesta a incidentes informáticos de Austria (CIRCA). Fué establecida por la Asociación de Proveedores de Servicios de Internet (ISPA) en cooperación con la Cancillería Federal de Austria.
En 2008, CIRCA se incorporó al recién creado Equipo de Respuesta a Emergencias Informáticas de Austria (CERT), así como al Equipo de Respuesta a Emergencias Informáticas del Gobierno de Austria (GovCERT). El objetivo principal de ambas instituciones del CERT radica en la recopilación de información sobre incidentes y la coordinación de la respuesta a los incidentes.
Además de estos dos CERT más importantes, hay otros establecidos en las autoridades o empresas anteriormente estatales, como la Ciudad de Viena, A1 (el antiguo operador telefónico estatal) o el Centro de Computación Federal de Austria (BRZ), que es el antiguo centro de datos federal y ahora socio de gobierno electrónico de la administración federal en Austria. Todos están organizados en la red austriaca CERT, que se estableció en 2011.
La incorporación más reciente a las organizaciones austriacas activas en el campo del delito cibernético es el Centro de Competencia en Delitos Cibernéticos (C4), que se estableció en 2012. A diferencia de los CERT, el objetivo de C4 es combatir activamente el delito cibernético. Por lo tanto, su personal está formado por miembros de la Policía Federal de Austria y del Ministerio Federal de Asuntos Internos de Austria.
Ley de Ciberseguridad
En mayo de 2014, el gobierno austriaco anunció la introducción de una Ley de Ciberseguridad austríaca.
Este anuncio se produjo a raíz de esfuerzos similares en Europa, sobre todo la presentación de la versión borrador de una Directiva de seguridad de redes e información por parte de la Comisión Europea en febrero de 2012, mientras tanto publicada como Directiva (UE) 2016/1148 de la Comisión Europea, El Parlamento y el Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de redes y sistemas de información en toda la Unión, y de una ley alemana sobre ciberseguridad (Ley de Seguridad Informática) en marzo de 2013.
En junio de 2016, se publicó un documento que contiene recomendaciones para la prevista Ley de Seguridad Cibernética de Austria.
El gobierno austriaco ha revivido la Ley de Seguridad Cibernética como la Ley de Seguridad de Sistemas de Información y Redes (NISG) y presentó un borrador al Parlamento austríaco el 21 de noviembre de 2018.
RGPD
Otra ley se estableció como el primer acto legal para exigir a las empresas austriacas que determinen un nivel apropiado de seguridad cibernética: el Reglamento UE sobre la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos, conocido como el Reglamento general de protección de datos (RGPD).
El presente Reglamento tiene como objetivo principal proteger los datos personales (es decir, datos mediante los cuales se puede identificar a una persona física).
Sectores económicos más afectados por la regulación de ciberseguridad
La industria de la comunicación austriaca, incluidos los proveedores de servicios de Internet, ya tiene una ventaja en el campo de la ciberseguridad. Esto se debe a su participación en el CIRCA y ahora en el CERT. Lo mismo se aplica a algunas autoridades públicas.
Sin embargo, otras industrias aún necesitan mejorar en diversos grados. Por ejemplo, el sector financiero en Austria presenta algunos ejemplos de esa necesidad de mejora.
En el pasado, el sector energético austriaco se ha centrado principalmente en minimizar los riesgos potenciales de las redes eléctricas en red y la medición inteligente en los medios. El sector del transporte también ha aparecido preparado de manera desigual para enfrentar desafíos de seguridad cibernética.
En 2014, la iniciativa Trust in Cloud (www.trustincloud.org) fue lanzada por EuroCloud Austria, una organización independiente sin fines de lucro. Los participantes incluyen empresas nacionales e internacionales del sector de TI. Pero también entidades públicas y privadas de otros sectores. Aunque el objetivo de la iniciativa es promover la computación en la nube en general, la ciberseguridad es uno de los principales puntos focales.
En general, la discusión sobre ciberseguridad en los últimos años ha beneficiado a las empresas austriacas. Se pudo observar un grado significativo de mejora de la conciencia, así como de la preparación.
El gobierno austriaco afirma hoy que Austria es un ejemplo modelo de preparación para amenazas cibernéticas. Es cierto que Austria se encuentra entre los estados miembros mejor preparados de la Unión Europea.
Con la entrada en vigor del RGPD el 25 de mayo de 2018, todas y cada una de las empresas están sujetas a normas vinculantes, aunque aún no detalladas, sobre seguridad cibernética.
Obligaciones de las empresas en materia de ciberseguridad
Aunque la ley austriaca conoce el concepto de personas responsables (es decir, empleados responsables de ciertas áreas de negocios dentro de su empresa), este concepto no se extiende a la ciberseguridad o incluso a la protección de datos.
Por lo tanto, los empleados o directores gerenciales en Austria son responsables solo de acuerdo con las reglas legales generales, lo que básicamente significa que deben actuar con la debida diligencia y con el cuidado de un empresario prudente, según lo establece la ley austriaca y se detalla por las decisiones de Tribunales austriacos.
El RGPD requiere que cualquier empresa u organización verifique periódicamente la efectividad de las medidas técnicas y organizativas que han tomado y documente los resultados.
Esta obligación existe independientemente de si la empresa u organización en cuestión debe tener un oficial de protección de datos dedicado. Sin embargo, como antes de que el RGPD entrara en vigor, las consecuencias del incumplimiento generalmente son asumidas por la compañía en lugar de por cualquier empleado o director internamente responsable.
Definición de ciberseguridad y cibercrimen
La ley austriaca no establece una definición de ciberseguridad o cibercrimen.
Aunque el artículo 32 del RGPD estipula medidas de seguridad de datos, no define la seguridad de los datos, y mucho menos la ciberseguridad. Además, el StGB penaliza y define ciertos actos de delito cibernético, aunque carece de una definición general del delito cibernético en su conjunto.
En cualquier caso, la ciberseguridad en Austria es distinta de la privacidad de los datos.
Aunque ninguno de los términos está definido en la ley austriaca, a partir de las disposiciones de las leyes, sobre todo el RGPD y el StGB, se hace evidente que la privacidad de datos en Austria trata principalmente de los derechos y obligaciones relacionados con el uso de los datos obtenidos legítimamente. Mientras que el objetivo de la seguridad de los datos como un aspecto de la ciberseguridad es evitar el acceso ilegítimo y el uso o abuso de los datos.
Medidas de ciberseguridad a implantar por las empresas
El Artículo 32 GDPR requiere que cualquier controlador o procesador de datos personales implemente medidas para garantizar la seguridad de los datos. Sin embargo, tales medidas deben tener en cuenta el tipo, el alcance y el propósito de los datos procesados y la viabilidad económica.
Por lo tanto, aunque esta disposición estipula medidas de protección mínimas, no está claro cuáles pueden ser los requisitos mínimos en cada caso. Además, esta disposición solo se aplica a los datos personales en lugar de cualquier tipo de datos.
Como resultado, en el campo de la ciberseguridad, los estándares de la industria y las recomendaciones del CERT y GovCERT son más importantes en Austria que las normas legales. Esto es especialmente cierto para la tecnología relativamente nueva, como la computación en la nube o los problemas asociados con varias formas de ‘traiga su propio dispositivo’.
Por supuesto, el RGPD menciona explícitamente que la Comisión Europea, las autoridades nacionales de protección de datos y las organizaciones específicas de la industria deben definir recomendaciones y estándares para las medidas tecnológicas y organizativas apropiadas.
Estos, al final, establecerán los requisitos mínimos de seguridad cibernética que cualquier empresa deberá cumplir.
Actualmente, sin embargo, las únicas reglas y directrices vinculantes emitidas por la Autoridad de Protección de Datos de Austria son dos regulaciones sobre evaluaciones de impacto en la privacidad (PIA):
- lista de operaciones de procesamiento que no requieren que se realice una PIA (DSFA-AV , publicado el 25 de mayo de 2018) y
- operación de procesamiento de listados, que, en cualquier caso, requiere que se realice un PIA (DSFA-V, publicado el 9 de noviembre de 2018).
Principales ciberactividades penalizadas
Los principales actos de cibercrimen, relevantes para las empresas, que son penalizados por el Código penal dependiendo de la cantidad de daño causado, son:
- acceso ilegítimo a un sistema informático;
- violación del secreto de las telecomunicaciones;
- interceptación abusiva de datos;
- abuso de dispositivos de grabación o escucha de audio;
- daño de datos;
- interrupción de la funcionalidad de un sistema informático;
- abuso de software o acceso a datos;
- abuso fraudulento del procesamiento de datos; y
- falsificación de datos.
Las multas están determinadas por los ingresos del culpable. Por lo tanto, la ley austriaca no estipula una cantidad mínima ni máxima.
Estándares y procedimientos de ciberseguridad
En Austria, ÖNORM ISO/IEC 27001: 2017 07 01, así como las recomendaciones del CERT pueden considerarse como las principales normas y códigos de práctica en el campo de la ciberseguridad.
La Cámara de Comercio de Austria ha creado pautas exhaustivas que resumen las reglas y recomendaciones relevantes, así como una lista de verificación creada específicamente para empresas muy pequeñas.
Las mejores prácticas y procedimientos pueden derivarse de los estándares o recomendaciones de la industria del CERT. Pueden variar según el tipo, la gravedad y el peligro potencial de una violación. Por lo tanto, no hay reglas generales aparte de contener la violación y guardar cualquier información para su posterior análisis.
Después del incidente, se considera la mejor práctica que los datos existentes sean analizados por un tercero confiable e independiente para determinar los métodos y las razones por las cuales el sistema podría violarse y tomar medidas para prevenir tales eventos en el futuro.
Es posible que surjan nuevas recomendaciones y mejores prácticas debido al RGPD.
Cooperación entre el Gobierno y el sector privado
En el campo de la ciberseguridad, la cooperación entre el sector privado y el público tiene una larga tradición en Austria, siendo su primer proyecto altamente visible el CIRCA.
Hoy en día, la cooperación continúa principalmente dentro de la red austriaca de CERT, donde las partes interesadas más importantes de los sectores público y privado se unen directa o indirectamente a través de los CERT participantes. Dentro de esta red, no solo se intercambia la información recopilada sobre incidentes o amenazas, sino que también se coordina la respuesta a los incidentes y el asesoramiento sobre medidas de prevención.
Luego, los participantes propagan los resultados a otras organizaciones, como la Cámara de Comercio, que emiten recomendaciones a sus miembros, generalmente en forma de publicaciones.
En diciembre de 2014, Curatorship Safe Austria, una asociación independiente centrada en cuestiones relacionadas con la seguridad interna, organizó un ejercicio de ciberseguridad a gran escala centrado en las amenazas a las infraestructuras críticas, en el que participaron, entre otros, los CERT, el Ministerio Federal de Asuntos Internos y varias empresas privadas.
El objetivo del ejercicio era optimizar la comunicación entre los participantes, especialmente los interesados, así como las organizaciones que sirven como centros de información para sus respectivos sectores. Se realizaron ejercicios más pequeños anualmente en los años siguientes.
Se espera una mayor cooperación en la emisión de recomendaciones específicas de la industria de acuerdo con el RGPD.
Autoridades en materia de ciberseguridad
Actualmente, dado que el RGPD proporciona las únicas reglas regulatorias con respecto a la ciberseguridad, el DSB es el único responsable de hacer cumplir las reglas de seguridad de datos y penalizar el incumplimiento en Austria.
El OSD puede imponer una multa de hasta 10 millones de euros o hasta el 2 por ciento de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor, a cualquier negocio que no haya logrado implementar las medidas de seguridad de datos establecidas en el RGPD.
El procesamiento del delito cibernético es manejado por el C4, que actúa como una unidad especial de la Policía Federal de Austria o el Ministerio Federal de Asuntos Internos de Austria, según sea el caso.
Las infracciones del RGPD constituyen un acto de competencia desleal según la ley austriaca. Como consecuencia, las empresas pueden recurrir a los tribunales si acusan a un competidor de violar las disposiciones de privacidad o seguridad de datos.
Ejemplos
Austria, al igual que cualquier otro país, también ha sido víctima de ciberataques. Estos son algunos ejemplos.
Cuatro ciberataques a un hotel de Austria
Un hospedaje de cuatro estrellas en los Alpes de Austria fue víctima cuatro veces de un ciberataque.
Durante dos meses, fueron hackeadas las cerraduras electrónicas de las puertas del hotel y otros sistemas en cuatro ocasiones.
El ataque se produjo a través de un correo ransomware (software malicioso) que estaba oculto en una factura de Telekom Austria.
Al pinchar en el enlace de la factura quedaron inutilizadas las llaves de las puertas de su hotel. Esto también afectó a su disco duro.
El hotel pagó un rescate de dos bitcoins, que en ese momento valían alrededor de 1.882 dólares.
El hotel ha instalado sistemas de protección como un nuevo antivirus y firewall, y ha realizado formación a su personal para que reconozcan correos electrónicos de phishing (suplantación de identidad).
Además, ha vuelto a usar llaves de metal tradicionales.
Ciberataques contra la Embajada rusa en Viena
La Embajada rusa ha comunicado que desde comienzos de 2019 han recibido solicitudes de citas en la oficina consular de una gran cantidad de personas a través del sistema electrónico. Pero esas personas no aparecieron en el día solicitado. Además, se produjo un incremento considerable del número de solicitudes.
Se analizó la situación por los servicios técnicos especiales para localizar una posible manipulación exterior de las redes de información. Con este análisis lograron descubrir más de 300 solicitudes, realizadas de manera automática desde direcciones IP de varios países como Irak, Tailandia o Indonesia.
Esas peticiones fueron suprimidas y se bloquearon sus fuentes.
El embajador de Rusia en Austria indicó que eran ataques cibernéticos dirigidos a dañar el trabajo de la oficina consular de la Embajada.