Suecia

La transformación digital es un fenómeno global, que afecta básicamente a cada parte de sociedad. Nos presenta grandes oportunidades, pero también riesgos.

Los riesgos inherentes a la transformación digital tienen un impacto significativo en nuestra capacidad de mantener y mejorar tanto nuestra prosperidad como nuestra seguridad.

Hoy, la seguridad cibernética concierne a toda la sociedad. Todos necesitan tomar responsabilidad por problemas de seguridad cibernética si queremos lograr una seguridad y gestión de la información efectivas.

En en particular, la necesidad de colaboración entre los sectores público y privado está creciendo en importancia. Los desarrollos tecnológicos están esencialmente impulsados ​​por las partes interesadas del mercado privado y estas también poseen y dirigen partes importantes de esta infraestructura crítica.
Los desafíos del área de ciberseguridad se comparten con otros países. Para esto, las soluciones estratégicas también deben desarrollarse a través de colaboración y diálogo sobre medidas preventivas, tanto dentro de la UE como en otros organismos internacionales.

El desarrollo y los cambios en el uso de nuevas tecnologías y nuevas innovaciones crean amenazas más difíciles de detectar, riesgos más difíciles de evaluar y dependencias más difíciles de encuestar.

La transformación digital es uno de los mayores cambios de nuestro tiempo, y el rápido desarrollo de la tecnología de la información y las comunicaciones tiene un gran impacto en nuestro futuro.

Suecia está a la vanguardia del desarrollo tecnológico. La corriente expansión de las redes de fibra y una mayor cobertura móvil representan actualizaciones de redes de comunicaciones electrónicas. Por lo tanto, el desarrollo digital será cada vez más capaz de contribuir al empleo, la innovación, la eficiencia y el crecimiento en Suecia.

Veamos cuál es la regulación de ciberseguridad en Suecia.

Legislación

Las principales normas en materia de ciberseguridad en Suecia son las siguientes.

Directiva sobre seguridad de redes y sistemas de información (2016/1148) (NIS)

El gobierno sueco decidió el 31 de marzo de 2016 designar un investigador especial con la tarea de implementar NIS en la ley sueca.

En abril de 2017 se presentó una propuesta de ley y un informe de la implementación sueca de NIS (SOU 2017: 36). La propuesta de ley basada en dicha investigación fue remitida al Consejo de Legislación para su consideración el 15 de febrero de 2018 e incluye la siguiente legislación sugerida: Propuesta de Ley (2018: 000) y Reglamento (2018: 000) sobre Seguridad de la Información para algunos proveedores de servicios sociales y digitales.

La legislación propuesta está destinada a implementarse de una manera que se corresponda estrechamente con las disposiciones de NIS.

Algunos sectores cubiertos por NIS, como el sector bancario y financiero, ya están cubiertos por estándares de seguridad considerados conformes con NIS.

Directiva sobre delitos cibernéticos (2013/40 / UE)

El gobierno sueco ha estimado que la legislación ya existente cumple con los requisitos de la Directiva de Delitos Cibernéticos, con la excepción de que la violación de los datos debía considerarse un delito penal según la legislación sueca.

En 2014, Suecia modificó el Código Penal sueco (1962: 700), Capítulo 4, párrafo 9c). Los cambios significaron que el Código Penal sueco actual debía complementarse con una escala de penalización específica (prisión de un mínimo de seis meses a un máximo de seis años) por delitos graves de violación de datos.

Al estimar si el delito es grave, se debe considerar especialmente si el acto ha causado daños graves o si se ha dedicado a una gran cantidad de tareas o ha sido de otra manera particularmente peligrosa.

Ley de Protección de Seguridad (2018: 585)

La Ley de Protección de Seguridad, que fue aprobada el 16 de mayo de 2018, entró en vigor el 1 de abril de 2019.

Se aplica a cualquier persona, que lleve a cabo actividades que se consideran esenciales para la seguridad de Suecia o de las obligaciones internacionales que implican actividades sensibles a la seguridad para Suecia.

La protección de seguridad se refiere a la protección de actividades sensibles a la seguridad contra el espionaje, el sabotaje, los delitos terroristas y otros delitos que pueden amenazar las actividades y la protección de la información clasificada.

La nueva legislación de seguridad reemplaza a la legislación anterior de 1996. Una diferencia importante con la ley de seguridad actual es que el término «información secreta» se reemplaza por información clasificada en las cuatro clases de información: «Alto secreto», «Secreto», «Confidencial» y «Restringido», en el marco de la Ley de enjuiciamiento público y la Ley de secreto (2009: 400) (OSL).

Otro concepto que se ha agregado es «Otras actividades sensibles a la seguridad» que incluyen sistemas de TI que son de importancia central para una sociedad en funcionamiento, por ejemplo en el sector de la salud, el suministro de energía y el transporte.

El término se refiere a los sistemas de TI que son tan importantes para las actividades sensibles a la seguridad que deben estar cubiertos por una protección de seguridad con respecto a la accesibilidad y precisión de la información.

Cualquiera que sea responsable de las operaciones sensibles a la seguridad para Suecia, deberá asegurarse de:

  • Investigar la necesidad de protección de seguridad en un análisis de protección de seguridad en el que se incluyen amenazas, posibles consecuencias y vulnerabilidades.
  • Toman medidas de precaución y verificar el cumplimiento de las normas.
  • Proporcionar información de acuerdo con la obligación de informar a la autoridad supervisora ​​designada.
  • Hacer un inventario y clasificar sus activos de información y sistemas de TI de acuerdo con los principios básicos de seguridad de la información, confidencialidad, integridad y disponibilidad.

Estrategia nacional de ciberseguridad

El Gobierno de Suecia aprobó una Estrategia nacional de Ciberseguridad como expresión de sus prioridades generales y pretende constituir una plataforma para el trabajo de desarrollo continuo de Suecia dentro del área.

Los objetivos principales de la estrategia son ayudar a crear las condiciones a largo plazo para que todas las partes interesadas de la sociedad trabajen de manera efectiva en la seguridad cibernética y elevar el nivel de conciencia y conocimiento en toda la sociedad.

Mediante la estrategia, el Gobierno también quiere apoyar los esfuerzos y el compromiso que ya existen en la sociedad para mejorar la seguridad cibernética. La estrategia abarca, por lo tanto, a toda la sociedad, es decir, autoridades del gobierno central, municipalidades y consejos de condado, empresas, organizaciones y particulares.

Los objetivos de esta Estrategia son:

  • Abordar el delito cibernético
  • Equilibrar la seguridad con la privacidad.
  • Conciencia ciudadana
  • Protección de infraestructura de información crítica
  • Desarrollar planes nacionales de contingencia cibernética.
  • Participar en la cooperación internacional
  • Establecer una asociación público-privada
  • Establecer una forma institucionalizada de cooperación entre agencias públicas.
  • Fomentar la I + D
  • Organizar ejercicios de seguridad cibernética.

Ley de Protección de Datos (1998: 204)

El RGPD introduce leyes más detalladas y explícitas, en términos de seguridad cibernética y preparación para la seguridad cibernética.

La brecha entre la implementación sueca de la Directiva de Protección de Datos (95/46 / EC) y el RGPD es básicamente la misma en términos de medidas de seguridad requeridas, que los requisitos de la Ley de Protección de Datos (1998: 204).

El RGPD y el debate en curso sobre la protección de datos que ha generado (y, por supuesto, las sanciones más severas), sin embargo, significan que las obligaciones legales se tomarán mucho más en serio.

Una violación de la seguridad cibernética puede causar responsabilidad a terceros en el contrato o agravio debido al incumplimiento del contrato (en particular, si se incumple un término expreso o implícito para implementar ciertas medidas técnicas y organizativas) o, posiblemente, por negligencia. Sin embargo, no existe una jurisprudencia establecida sobre infracciones de ciberseguridad en Suecia.

Cuando una violación de la seguridad cibernética resulta en la pérdida o divulgación de datos personales protegidos por la Ley de Protección de Datos (1998: 204), los sujetos de datos pueden tener derecho a reclamar una indemnización en virtud de dichas legislaciones. A partir del 25 de mayo de 2018, se aplica el RGPD.

Código penal

En el Código penal sueco existen una serie de actividades penalizadas que afectan a la ciberseguridad:

  • violación del secreto postal o de telecomunicaciones (sancionable con una multa o con prisión de hasta dos años);
  • participación en la preparación de una violación del secreto postal o de telecomunicaciones (punible con una multa o con prisión de hasta dos años); y
  • violación del secreto de los datos (sancionable con una multa o con prisión de hasta dos años y, si es grave, con prisión de un mínimo de seis meses a un máximo de seis años).

Sectores más afectados por la regulación de ciberseguridad

La sociedad democrática abierta depende de la capacidad de mantener la deseada confidencialidad, integridad y disponibilidad al manejar información. Esto significa que tanto la información en sí misma como los sistemas utilizados para almacenar y transferir esa información deben ser protegidos.

Los esfuerzos de seguridad cibernética son una actividad necesaria para salvaguardar la calidad y efectividad de las funciones sociales y un prerrequisito para ser capaz de aprovechar las oportunidades de transformación digital. Tales oportunidades involucran desde servicios públicos digitales desarrollados hasta servicios conectados y vehículos automáticos y fábricas.

En definitiva, la ciberseguridad implica salvaguardar valores y objetivos sociales fundamentales, como la democracia, los derechos humanos y libertades, seguridad y derecho a la autonomía de Suecia, crecimiento y estabilidad economica.

Parte de la información en la sociedad es sensible y, por lo tanto, debe protegerse. Si la información confidencial se pierde, roba, manipula o difunde a personas no autorizadas, esto puede tener graves consecuencias.

Ejemplos de información sensible tienen que ver con la aplicación de la ley, productos tecnológicos, negocios, defensa total o circunstancias relacionadas con otros estados.

Hoy en día, los sistemas de manejo de información se basan principalmente en información digital y tecnología de comunicaciones. Dichos sistemas deben estar asegurados.

Además, muchas actividades sociales se basan en sistemas de información y control digital que funcionan manejando continuamente grandes cantidades de información confidencial, por ejemplo,
distribución de electricidad, suministro de agua, transporte, infraestructura de transporte o equipamiento hospitalario. Las actividades industriales como la ingeniería y el procesamiento también
dependen del funcionamiento de los sistemas digitales de información y control en la actualidad.

Incidentes y ataques con respecto al comercio y la industria suecos pueden tener un gran alcance y consecuencias, tanto para empresas individuales como para cadenas de valor completas.

Obligaciones de las empresas en materia de ciberseguridad

Las empresas deben utilizar diferentes medidas de seguridad cibernética para mantener sus datos comerciales, su flujo de caja y sus clientes seguros en línea. Estas medidas deben apuntar a prevenir riesgos de varias fuentes, incluyendo:

  • ataques transmitidos por Internet, por ejemplo, spyware o malware
  • debilidades generadas por el usuario, por ejemplo, contraseña fácilmente adivinada o información extraviada
  • fallos y vulnerabilidades inherentes al sistema o software
  • Subvertir el sistema o las características del software

Los siguientes procesos y herramientas son bastante fáciles de introducir, incluso para las empresas más pequeñas. Combinados, estos le proporcionarán un nivel de seguridad básico contra los riesgos de TI más comunes.

Utilizar contraseñas seguras

Las contraseñas seguras son vitales para una buena seguridad en línea. Haga su contraseña difícil de adivinar:

    • usando una combinación de letras mayúsculas y minúsculas, números y símbolos
    • haciéndolo entre ocho y 12 caracteres
    • evitando el uso de datos personales
    • cambiándolo regularmente
    • nunca usarlo para varias cuentas
    • utilizando autenticación de dos factores

Crear una política de contraseña para su negocio ayudará al personal a seguir las mejores prácticas de seguridad. Busque diferentes soluciones tecnológicas para hacer cumplir su política de contraseña, por ejemplo, restablecimiento de contraseña programado.

Control de acceso

Las empresas deben asegurarse de que las personas solo puedan acceder a los datos y servicios para los que están autorizados. Para ello pueden:

  • controlar el acceso físico a las instalaciones y la red de computadoras
  • restringir el acceso a usuarios no autorizados
  • limitar el acceso a datos o servicios a través de controles de aplicaciones
  • restringir lo que se puede copiar del sistema y guardar en dispositivos de almacenamiento
  • limitar el envío y la recepción de ciertos tipos de archivos adjuntos de correo electrónico

Los sistemas operativos y el software de red modernos ayudarán a lograr la mayor parte de esto.

Instalar un cortafuegos

Los cortafuegos son efectivamente guardianes entre el ordenador e Internet, y una de las principales barreras para prevenir la propagación de amenazas cibernéticas como virus y malware. Es necesario asegurar la configuración en los dispositivos de firewall correctamente o pueden no ser completamente efectivos.

Usar software de seguridad

Debe usarse software de seguridad, como programas anti-spyware, anti-malware y antivirus, para ayudar a detectar y eliminar código malicioso si ataca a la red.

Actualizar programas y sistemas regularmente

Las actualizaciones contienen actualizaciones de seguridad vitales que ayudan a proteger contra errores y vulnerabilidades conocidas. Se debe mantener el software y dispositivos actualizados para evitar ser víctimas de delincuentes.

Monitorizar la intrusión

Pueden usarse detectores de intrusión para monitorizar el sistema y la actividad inusual de la red. Si un sistema de detección sospecha una posible violación de seguridad, puede generar una alarma, como una alerta por correo electrónico, en función del tipo de actividad que ha identificado.

Aumentar la conciencia

Los empleados tienen la responsabilidad de ayudar a mantener el negocio seguro. Es necesario que comprendan su función y las políticas y procedimientos relevantes, y dispongan de información y capacitación sobre seguridad cibernética.

Autoridades de ciberseguridad

La principal autoridad de Suecia en materia de ciberseguridad es el CERT-SE.

CERT-SE es el CSIRT (Equipo de respuesta a incidentes de seguridad informática) de Suecia con la tarea de apoyar a la comunidad en su trabajo de gestión y prevención de incidentes de TI.

Las tareas incluyen:

  • Actuar con prontitud en caso de incidentes de TI mediante la difusión de información y, si es necesario, trabajando en la coordinación de medidas y participando en el trabajo requerido para remediar o mitigar los efectos del incidente.
  • Interactuar con las autoridades con tareas específicas en el campo de la seguridad de la información.
  • Ser el punto de contacto de Suecia para las funciones correspondientes en otros países y desarrollar la cooperación y el intercambio de información con estos.

La Autoridad de Protección de Datos de Suecia (Datainspektionen) es responsable de hacer cumplir las leyes y regulaciones relacionadas con los requisitos de protección de datos relacionados con la seguridad cibernética. Esta autoridad puede usar los poderes de ejecución de acuerdo con el RGPD (por ejemplo, para llevar a cabo investigaciones en forma de auditorías de protección de datos e imponer multas).

La Autoridad Sueca de Correos y Telecomunicaciones (PTS) monitoriza las comunicaciones electrónicas y los sectores postales en Suecia y puede usar sus poderes de ejecución en términos de emisión de órdenes e imposición de limitaciones. Sus poderes deben extenderse para imponer también multas administrativas.

Las autoridades responsables de la aplicación de las leyes y reglamentos propuestos para implementar NIS pueden emitir órdenes e imponer multas administrativas. Entre esas autoridades se encuentra la autoridad de supervisión financiera de Suecia (Finansinspektionen), que actualmente supervisa los requisitos de seguridad cibernética de las empresas en el mercado financiero. Finansinspektionen puede emitir órdenes, imponer limitaciones y  multas administrativas.

Estándares y procedimientos de certificación

ISO 27001 es el estándar internacional bien establecido cuando se trata de seguridad de la información.

Está optimizado para todo tipo de empresas, tanto grandes como pequeñas. El estándar está escrito por expertos y proporciona requisitos relacionados con el establecimiento, la introducción, el mantenimiento y la mejora constante del sistema para administrar la seguridad de la información.

Se divide en varias secciones que cubren diferentes áreas, tales como: orientación (27002), gestión de riesgos (27005) y gestión de incidentes (27035). La primera sección, ISO 27001, incluye los requisitos que deben cumplirse para certificarse contra la norma.

La certificación todavía es bastante rara en Suecia, pero a menudo es un requisito para realizar negocios relacionados con TI en el extranjero. Para lograr la certificación ISO 27001, Se debe realizar una auditoría independiente para garantizar que la organización ha cumplido los requisitos pertinentes. Secure State Cyber ​​no puede certificar, pero ofrece servicios para ayudar a su organización a identificar e implementar una solución de seguridad de la información personalizada que se base, entre otras cosas, en ISO 27001.

El Sistema de gestión de seguridad de la información (LIS) es un término sueco común que significa un sistema de gestión establecido que guía el trabajo de seguridad de la información dentro de la organización. El diseño del SGSI determina cómo evalúa y protege la información a la que tiene acceso. Un SGSI bien diseñado conduce al cumplimiento de los requisitos establecidos en ISO 27001.

Ejemplos de ciberataques

Estos son algunos de los ciberataques sufridos en Suecia.

Ciberataque a la Agencia de Transportes sueca

Las autoridades de transporte suecas fueron golpeadas por un ciberataque en octubre de 2017, un día después de que los trenes se retrasaron como resultado de otro ataque contra los sistemas informáticos que monitorizan el tráfico ferroviario.

El sitio web de la Agencia de Transporte de Suecia estuvo parcialmente cerrado el jueves por la mañana, según la agencia, probablemente como resultado de un ataque DDoS.

Durante un ataque DDoS (Denegación de servicio distribuida), un sitio web es bombardeado con solicitudes de comunicación para que los servidores se sobrecarguen y el sitio falle.

Los operadores de transporte público Västtrafik en el oeste de Suecia también se vieron afectados por dos ataques de sobrecarga similares el jueves, que bloquearon brevemente su aplicación de reserva de boletos y su planificador de viajes en línea.

Ciberataque a medios de comunicación suecos

En marzo de 2016 se produjeron ciberataques en al menos nueve sitios de los medios de comunicación más grandes de Suecia.

El ataque cibernético se produjo en un momento en que el gobierno sueco estaba debatiendo si aprobar un tratado de cooperación con la OTAN, del que Suecia no es miembro, pero que ha trabajado más estrechamente en los últimos años.

Se sospecha que los actores rusos están detrás de los esfuerzos recientes para infiltrarse en Suecia con información distorsionada y falsa sobre la OTAN en la prensa sueca y en las redes sociales.

Los ataques (en los sitios de noticias suecos) no fueron sofisticados: fueron simplemente una Denegación de servicio distribuida (DDoS), que sobrecarga una red con demasiado tráfico, evitando que pueda cargarse. Pero fueron lo suficientemente potentes como para evitar que los lectores accedan al menos a nueve de los sitios de noticias más grandes del país.

Cerraron parcial o totalmente los sitios de Dagens Nyheter, Svenska Dagbladet, Expressen, Aftonbladet, Dagens Industri, Sydsvenskan y Helsingborgs Dagblad.