Polonia

En medio de la creciente preocupación por la ciberseguridad a nivel mundial, los gobiernos y las empresas buscan cada vez más protegerse contra los ataques cibernéticos, que utilizan códigos maliciosos para atacar a las instituciones y obtener información privada o interrumpir su trabajo.

Polonia, al igual que el resto de países europeos, ha desarrollado una estrategia de ciberseguridad durante los próximos cinco años para ayudar a proteger al país contra las amenazas digitales.

Legislación

Ley de 5 de julio de 2018 sobre sistemas nacionales de ciberseguridad en el orden legal polaco

Polonia ha implementado la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre las medidas para un alto nivel común de seguridad de redes y sistemas de información en toda la Unión, mediante la adopción de la Ley de 5 de julio de 2018 sobre sistemas nacionales de ciberseguridad en el orden legal polaco. La Ley entró en vigor el 28 de agosto de 2018 y es el único acto legal dedicado exclusivamente a la cuestión de la ciberseguridad.

De conformidad con la Ley antes mencionada, se debe crear un sistema nacional de ciberseguridad en Polonia, que cubra:

  • instituciones de administración del gobierno,
  • instituciones de administración del gobierno local y
  • sectores seleccionados de la economía.

Las disposiciones de la Ley imponen ciertas obligaciones a los operadores de servicios esenciales (es decir, entidades que brindan servicios de importancia clave para el funcionamiento de la economía y la sociedad).

La Ley sobre el sistema nacional de ciberseguridad incluye una delegación de poderes legislativos al Ministro de Asuntos Digitales para adoptar una serie de legislaciones secundarias, incluidas las siguientes sobre:

  • umbrales para considerar un incidente como mayor;
  • lista de servicios esenciales y umbrales para la materialidad del efecto disruptivo del incidente en la provisión de servicios esenciales;
  • alcance y el modo de trabajo del Tribunal de Ciberseguridad;
  • criterios para considerar una violación de la seguridad o integridad de las redes o servicios de las TIC como una violación del impacto significativo en la operación de la red o los servicios; y
  • condiciones organizativas y técnicas para las entidades que prestan servicios en el campo de la ciberseguridad, así como las estructuras organizativas internas de los operadores de servicios esenciales responsables de la ciberseguridad.

Código penal

El tema de la ciberseguridad también fue abordado por la legislatura en el Código Penal de Polonia, que establece un tipo de delito relacionado específicamente con la seguridad digital y de la información, detallado en el Capítulo XXXIII del Código Penal de Polonia.

Las siguientes categorías de delitos son penalizadas en base a esto:

  • destrucción de datos informáticos;
  • corrupción de datos informáticos;
  • interrupción del sistema de información, sistema de TIC o red de TIC;
  • creación de software adaptado para cometer un delito, así como contraseñas informáticas, códigos de acceso y otros que permitan el acceso no autorizado a la información almacenada en el sistema de información, el sistema de TIC o la red de TIC; y
  • fraude informático cometido al afectar los procesos de procesamiento automático, recopilación o transmisión de datos de TI o alterar, eliminar o introducir nuevos registros de datos de TI para obtener beneficios materiales o causar daños.

Las soluciones adoptadas en el Capítulo XXXIII del Código Penal son el resultado de la firma por parte de la República de Polonia del Convenio núm. 185 del Consejo de Europa sobre ciberdelincuencia, así como de la Decisión marco 2005/222 / JAI del Consejo sobre los ataques contra los sistemas de información.

En algunos sectores de la economía, por ejemplo, en el sector financiero, también hay regulaciones sectoriales específicas que abordan el problema de la seguridad de la información. Un ejemplo de dicha regulación es la regulación del Consejo de Ministros de 2004 sobre la forma de crear, registrar, transmitir, almacenar y asegurar documentos relacionados con actividades bancarias preparadas en un medio de datos electrónicos, que es una legislación secundaria a la Ley en la banca.

Estrategia nacional de Ciberseguridad

En 2017, el Ministerio de Asuntos Digitales adoptó un documento titulado «Estrategia de ciberseguridad de la República de Polonia para 2017-2022», que constituye una estrategia nacional en el campo de la ciberseguridad de los sistemas de TIC en el sentido de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de redes y sistemas de información en toda la Unión.

La estrategia de ciberseguridad aborda, entre otras cosas, la cuestión de aumentar la seguridad de las TIC de los servicios esenciales y digitales, así como la infraestructura crítica y el enfoque integral e intersectorial de la necesidad de garantizar la ciberseguridad en las tecnologías utilizadas por los operadores de servicios esenciales, proveedores de servicios digitales y operadores de infraestructura crítica.

Sectores más afectados por la legislación de ciberseguridad

Los sectores de energía, transporte, banca y mercado financiero, infraestructura digital y salud son los sectores de la economía más afectados por las leyes y regulaciones de ciberseguridad en Polonia.

Al mismo tiempo, estos son los sectores para los cuales el legislador usa el adjetivo «esencial» y que se enumeran en el Apéndice de la Ley sobre el sistema nacional de ciberseguridad.

Definición de ciberseguridad y cibercrimen

La definición de ciberseguridad se introdujo en el sistema legal polaco sobre la base de la Ley sobre el sistema nacional de ciberseguridad.

De conformidad con esta Ley, la ciberseguridad significa la resistencia de los sistemas de información a actividades que violan la confidencialidad, integridad, disponibilidad y autenticidad de los datos procesados ​​o servicios relacionados ofrecidos por estos sistemas.

Sin embargo, no existe una definición uniforme de cibercrimen en el sistema legal polaco. A este respecto, la referencia más frecuente se hace a las definiciones formuladas por entidades internacionales, como las Naciones Unidas, el Consejo de Europa, la Unión Europea o la Interpol.

El Código Penal de Polonia tampoco usa el término «delitos cibernéticos», y el legislador usa nombres descriptivos, como fraude informático, interrupción de un sistema de información, sistema de TIC o red de información, y otros para describir delitos generalmente clasificados como delitos cibernéticos.

Obligaciones de las empresas en materia de ciberseguridad

Como regla general, la responsabilidad de las acciones de la compañía recae en los accionistas que representan a la compañía o, en el caso de una compañía de capital, el consejo de administración de la compañía.

La responsabilidad de los accionistas y los miembros de la junta se extiende a todas las áreas de la actividad comercial de la compañía, por lo que también cubre temas de ciberseguridad.

La Ley sobre el sistema nacional de ciberseguridad introdujo la obligación para los operadores de los servicios esenciales, los proveedores de servicios digitales y las entidades públicas de designar a una persona responsable de mantener contactos con las entidades del sistema nacional de ciberseguridad y establecer estructuras internas responsables de la ciberseguridad.

El incumplimiento de los requisitos antes mencionados puede dar lugar a las sanciones financieras previstas en la Ley del sistema nacional de ciberseguridad.

La Ley sobre el sistema nacional de ciberseguridad solo introduce medidas de seguridad generales que los operadores de servicios esenciales, proveedores de servicios digitales y entidades públicas deben implementar para garantizar la seguridad de la información.

Impone a las entidades indicadas la obligación de implementar un sistema de gestión de seguridad que garantice lo siguiente:

  • evaluación y gestión sistemáticas del riesgo de incidentes;
  • implementación de medidas técnicas y organizativas apropiadas, proporcionales al riesgo estimado;
  • recopilación de información sobre amenazas cibernéticas y vulnerabilidades del sistema de información;
  • administracion de incidentes;
  • uso de medidas de prevención y mitigación para limitar el impacto de los incidentes en la seguridad del sistema de información; y
  • uso de medios de comunicación que permitan la comunicación correcta y segura dentro del sistema nacional de ciberseguridad.

Las entidades obligadas por ley a proporcionar ciertos estándares de ciberseguridad son libres de elegir medidas de seguridad específicas para lograr los objetivos establecidos en la ley.

Principales ciberactividades penalizadas

Las principales ciberactividades sujetas a penalización en virtud del Código Penal de Polonia son las siguientes:

  • acceso no autorizado a la información o al sistema informático;
  • destrucción, daño, eliminación, alteración o prevención del acceso a los datos informáticos;
  • interrupción de la prevención por el proceso automático, la recopilación o la transmisión de datos informáticos;
  • interrupción del trabajo de un sistema informático o de información;
  • creación ilegal (y actividades similares) de dispositivos o software adaptado para cometer delitos informáticos, contraseñas, códigos de acceso u otros datos similares;
  • robo y cercado de un software de ordenador; y
  • romper o eludir las medidas de seguridad para obtener acceso a los datos informáticos de otra persona o a todo o parte de un sistema informático.

Recomendaciones de las autoridades

En el documento emitido por el Ministerio de Asuntos Digitales titulado «Estrategia de ciberseguridad de la República de Polonia para 2017-2022» que constituye una estrategia nacional en el campo de la ciberseguridad de los sistemas de TIC, se prestó especial atención a la necesidad de realizar auditorías y pruebas de seguridad periódicas para evaluar periódicamente la eficacia de implementado sistemas de gestión de seguridad y la adecuación de las características de seguridad.

La estrategia de ciberseguridad también incluye el anuncio de cambios legislativos que regulan el tema de los métodos y herramientas para llevar a cabo tales auditorías de seguridad.

Autoridades polacas en materia de ciberseguridad

La legislación adoptada impone a los operadores de servicios esenciales las obligaciones relacionadas con la notificación y el manejo de incidentes, como la obligación de identificar el incidente, registrar y clasificar el incidente en función de los umbrales para reconocer el incidente como mayor e informar a más tardar dentro de las 24 horas posteriores a su detección, al equipo de servicios de respuesta a incidentes de seguridad informática (CSIRT) correspondiente.

La notificación de incidentes inicia un manejo adicional del incidente, en el cual el operador está obligado a cooperar con el CSIRT relevante y proporcionar acceso a la información necesaria sobre el incidente.

En Polonia, la entidades para el manejo y la respuesta a incidentes informáticos a nivel nacional son:

  • Equipo de Respuesta a Incidentes de Seguridad Informática que opera a nivel nacional (CSIRT GOV),
  • Sistema de Respuesta de Emergencia Informática del Ministerio de Defensa (CSIRT MON)
  • Centro Nacional de Ciberseguridad (NC Cyber ​​o CSIRT NASK).

Su tarea es:

  • contrarrestar las amenazas cibernéticas de carácter intersectorial y transfronterizo,
  • coordinar el manejo de incidentes importantes y críticos, y
  • proporcionar información sobre incidentes, tanto dentro de la red de organizaciones gubernamentales relacionadas con la ciberseguridad como con el público en general.

La Ley sobre el sistema nacional de ciberseguridad también introduce dos nuevas entidades involucradas en la coordinación de actividades relacionadas con la provisión de ciberseguridad y asegurando la coordinación de la implementación de tareas a nivel gubernamental, que son:

  • Tribunal Plenipotenciario del Gobierno de Ciberseguridad
  • Corte de Ciberseguridad.

Además, de conformidad con los requisitos del RGPD, la Ley sobre el sistema nacional de ciberseguridad establece las reglas para el procesamiento de datos personales como parte del funcionamiento del sistema nacional de ciberseguridad. Incluido el procesamiento de datos sobre incidentes.

Cooperación entre el gobierno y el sector privado

La necesidad de que el sector gubernamental coopere con el sector privado en el marco de garantizar la seguridad del ciberespacio se reflejó en las disposiciones de la Estrategia de ciberseguridad de la República de Polonia para 2017-2022.

Según este documento, el gobierno está obligado a esforzarse por construir un sistema efectivo de asociación público-privada, así como a participar en formas existentes y emergentes de cooperación pública-privada europea.

Lo anterior se implementará, entre otras cosas, a través del apoyo activo del gobierno para proyectos de investigación y desarrollo en el campo de la ciberseguridad, incluidos proyectos llevados a cabo en cooperación con empresas privadas y centros de investigación.

Sanciones

La Ley sobre el sistema nacional de ciberseguridad establece sanciones financieras por la violación de las obligaciones impuestas a las entidades.

El importe de las sanciones financieras depende del tipo de violación y varía desde una multa de hasta 15,000 zlotys hasta una multa de hasta 150,000 zlotys.

En el caso de que, como resultado del control llevado a cabo por la autoridad competente a cargo de la ciberseguridad, el operador de los servicios esenciales o el proveedor de servicios digitales infrinja persistentemente las disposiciones de la Ley, causando:

  • una amenaza cibernética directa y grave a la defensa, seguridad estatal y orden público o vida y salud humana; o
  • una amenaza de causar daños graves a la propiedad o serias dificultades para proporcionar servicios esenciales.

La autoridad tiene derecho a imponer una multa de hasta 1 millón de zlotys.

La imposición de una sanción financiera a una entidad que no cumpla con las obligaciones legales o que viole las normas de conducta aceptadas se efectuará mediante una decisión emitida por una autoridad encargada de la ciberseguridad. Los ingresos de las sanciones impuestas constituyen ingresos para el presupuesto estatal.

De conformidad con las disposiciones de la Ley sobre el sistema nacional de ciberseguridad, por incumplimiento de la obligación de informar un incidente, el operador del servicio esencial y el proveedor de servicios digitales pueden ser sancionados con una multa de hasta 20,000 zlotys por cada violación.

El incumplimiento de la obligación de cooperar en el manejo de un incidente importante y crítico con el CSIRT GOV, CSIRT MON o CSIRT NASK, el operador del servicio esencial y el proveedor del servicio digital pueden ser castigado con una multa de hasta 20,000 zlotys.

Tendencias en el futuro

Sin lugar a dudas, el desafío para las autoridades responsables de la ciberseguridad en Polonia en el futuro cercano será estandarizar el tema en términos legislativos. Las disposiciones de aplicación de la Ley sobre el sistema nacional de ciberseguridad prevén la entrada en vigor de la Ley en su conjunto en 2021.

Un aspecto importante de la ciberseguridad en Polonia también es fortalecer la capacidad de contrarrestar las amenazas cibernéticas, que deberían basarse en la cooperación transfronteriza entre las agencias de aplicación de la ley y el CSIRT.

Se presta especial atención a la creación de canales eficientes y confiables para el intercambio de información y la reacción rápida.

En los próximos años, esperamos el desarrollo de prácticas y tareas reguladas en las disposiciones de la Ley sobre el sistema nacional de ciberseguridad y la Estrategia de ciberseguridad de la República de Polonia para 2017-2022.

Ejemplos de ciberataques

Polonia también se ha visto afectada por un gran número de ciberataques. Aquí os dejamos los más importantes.

Ciberataque a varias empresas polacas

En junio de 2017, varias empresas polacas se vieron afectadas por un ataque informático que, según el gobierno, tuvo su origen en Ucrania. Fue un ataque informático masivo realizado por el virus Petya, variante de Wannacry, el ransomware que en mayo de ese año dañó miles de ordenadores en todo el mundo.

Se muestra un mensaje de extorsión en las pantallas de los ordenadores en el que se pide el pago de 300 dólares en bitcoins para que el usuario pueda recuperar su dispositivo.

Entre las empresas que habrían sufrido este ciberataque se encuentra una de las principales importadoras y distribuidoras polacas de piezas de automóviles, Inter Cars, que en un comunicado informó de que sus técnicos trabajaban para restaurar su sistema después de haber sufrido los efectos de un ataque informático.

Ciberataque contra LOT Polish Airlines

Unos ciberdelincuentes realizaron un ataque que afectó a los sistemas informáticos de tierra de LOT Polish Airlines. La compañía se vio obligada a cancelar diez vuelos, viéndose afectados más de 1.300 pasajeros.

El ataque imposibilitó que la empresa pudiera elaborar planes de vuelo y, por tanto, tuvo que cancelar todos los despegues de ese día.

El incidente solo afectó a los sistemas de tierra, por lo que los aviones que se encontraban volando en esos momentos no tuvieron ningún problema y pudieron continuar su trayecto con total normalidad.