Rusia

El tema de la ciberseguridad se está volviendo cada vez más importante en las discusiones rusas.

El primer problema que viene a la mente es el supuesto pirateo ruso de las elecciones presidenciales de los Estados Unidos. Los medios estadounidenses informaron que la administración estadounidense contempló una acción secreta cibernética sin precedentes contra Rusia en represalia por la presunta interferencia rusa en las elecciones presidenciales estadounidenses.

Según los medios, se le ha pedido a la CIA que entregue opciones a la Casa Blanca para una operación cibernética diseñada para hostigar y ‘avergonzar’ al liderazgo del Kremlin.

Otros problemas de ciberseguridad infames fueron los ataques de ransomware WannaCry y Petrwrap / Petya. Las principales compañías rusas y occidentales que trabajan en Rusia quedaron paralizadas por los ataques durante varios días.

Especialmente en las grandes ciudades de la parte occidental del país, la conectividad a internet rusa es buena y generalizada. Los rusos confían en Internet para compras, negocios, viajes y otros fines cotidianos tanto como cualquiera en cualquier otro país tecnológicamente desarrollado.

Al igual que cualquier otro país, Rusia quiere garantizar que Internet, en el que se basa gran parte de la economía de un país contemporáneo, esté protegida. Explicaremos aquí las leyes principales existentes en Rusia en materia de ciberseguridad.

Normativa de ciberseguridad

Todos estos problemas de seguridad han respaldado los pedidos de protección de la infraestructura de Internet de Rusia. Como consecuencia, se han aprobado en el país distintas normas que regulan la seguridad en la red.

Ley Federal N ° 187-FZ sobre la seguridad de la infraestructura de información crítica de la Federación de Rusia

La ley, aprobada en julio de 2017, establece los principios básicos para garantizar la seguridad de la infraestructura de información crítica, los poderes relacionados de los organismos estatales rusos, así como los derechos, obligaciones y responsabilidades de las personas que poseen instalaciones con infraestructura de información crítica, proveedores de comunicaciones y sistemas de información que proporcionan interacción.

Se entiende que los elementos de la infraestructura de información crítica son:

  • sistemas de información,
  • redes de telecomunicaciones de las autoridades estatales,
  • sistemas y redes para la gestión de procesos tecnológicos que se utilizan en la defensa del estado,
  • asistencia sanitaria,
  • transporte,
  • comunicación,
  • finanzas,
  • energía,
  • industrias de combustible,
  • industria nuclear, aeroespacial, minería, metalmecánica y química.

Todas estas industrias se consideran críticas para la economía y deben protegerse contra cualquier amenaza cibernética.

La ley requiere la implementación de medidas de protección, asignando la categoría de protección (de acuerdo con los estatutos) y luego registrándose en el Servicio Federal de Control Técnico y de Exportación, que estará a cargo de la supervisión en este campo.

Las empresas actualmente tienen muchas preguntas para las autoridades sobre esta ley. Lo más pertinente es si la ley se aplica al negocio relevante o no, ya que incluso las redes LAN internas bajo sus reglas generales pueden considerarse infraestructura de información crítica. Sin embargo, las autoridades dicen que esta es una interpretación incorrecta. La falta de práctica de cumplimiento tampoco ayuda a aclarar la situación.

Ley Federal Nº 152-FZ sobre datos personales

La Ley de datos personales, aprobada en julio de 2006, cubre casi todos los aspectos de la protección de datos. Por ejemplo,

  • qué se considera datos personales,
  • qué tipos de datos se pueden recopilar y procesar,
  • cómo y en qué casos se pueden recopilar y procesar datos, y
  • qué medidas técnicas y organizativas deben ser aplicado por empresas o individuos que recopilan datos.

A diferencia de la legislación europea, la Ley de datos personales no distingue entre controladores de datos y procesadores de datos. Por lo tanto, cualquier persona o entidad que trabaje con datos personales se considera un operador de datos personales y se rige por la regulación de la Ley de Datos Personales.

También hay varias regulaciones específicas, aclarando las disposiciones de la Ley de Datos Personales. Dichas regulaciones son emitidas por el gobierno ruso, la autoridad de protección de datos rusa (el Servicio Federal de Supervisión en la Esfera de Comunicación, Tecnología de la Información y Comunicaciones Masivas) o las autoridades responsables de varios problemas de seguridad en Rusia, como el Servicio Federal de Control Técnico y de Exportación (FSTEK) o el Servicio Federal de Seguridad (FSB).

En 2014, el parlamento ruso adoptó enmiendas a la Ley de datos personales (conocida como Ley de localización de datos) que requieren que los operadores de datos que recopilan los datos personales de los ciudadanos rusos almacenen y procesen dichos datos personales utilizando bases de datos ubicadas en Rusia.

La Ley de localización de datos fue muy criticada por las empresas y los medios de comunicación, pero entró en vigor en septiembre de 2015. Si bien esta ley generó una gran ganancia para los centros de datos rusos, también generó altos costes para las empresas, que debieron rediseñar sus infraestructura de almacenamiento de datos.

Ley Federal No. 149-FZ sobre Información, Tecnologías de la Información y Protección de la Información (la Ley de Información)

Esta ley se fortaleció sustancialmente con algunas enmiendas adicionales y afecta a las industrias de telecomunicaciones e Internet de Rusia.

En particular, los operadores móviles necesitarán almacenar las grabaciones de todas las llamadas telefónicas y el contenido de todos los mensajes de texto durante un período de seis meses, lo que conlleva enormes costes.

Además, exige que dichos operadores proporcionen dichas comunicaciones a la policía y la inteligencia rusas a petición suya e instalen sistemas especiales utilizados para fines de investigación o concilien el uso de software y hardware con las autoridades. Y proporcionar a las autoridades de seguridad las claves de descifrado si los mensajes están encriptados.

Otras normas

Otra iniciativa legislativa en Rusia fue la prohibición de los servicios de redes privadas virtuales (VPN) que no cooperan con el gobierno, por ejemplo, en relación con los derechos de autor, la protección de datos u otras infracciones de la ley. A partir del 1 de noviembre de 2017, Rusia promulgó el nuevo proyecto de ley sobre este tema.

Los objetivos principales del proyecto de ley son, obviamente, notorios anonimizadores como Tor. Sin embargo, el negocio ordinario también puede verse afectado.

Una de las principales preguntas aún por aclarar es si las VPN utilizadas por las empresas también estarían restringidas en su uso. El proyecto de ley contiene una exención que puede interpretarse como que si una entidad usa una herramienta VPN, la entidad necesita definir los usuarios de la herramienta (por ejemplo, qué empleados pueden usar la herramienta, como en una política interna de TI) solo para los fines de su negocio.

Si esta interpretación es correcta, entonces esta exención puede ser útil para la comunidad empresarial. Hasta ahora, la ley nunca ha sido aplicada en la práctica por las autoridades y, por lo tanto, las preguntas aún permanecen.

También hay otras diversas iniciativas relacionadas con la regulación de Big data e incluso la creación del Código de Infocomunicación, que codificaría los aspectos relevantes de la ley de información, incluidas las cuestiones de ciberseguridad que actualmente están reguladas esporádicamente por diferentes leyes.

Notificación de brechas de seguridad

Las reglas de notificación de violación de datos rusas aquí difieren de las reglas europeas.

En general, la ley de protección de datos rusa se inspiró en gran medida en las leyes europeas. Sin embargo, parece que el concepto de notificación de violación de datos fue mal interpretado por los legisladores rusos.

Como resultado, no existe un requisito de notificación de violación de datos bajo la ley rusa, al menos como se entiende en algunas otras jurisdicciones.

Como parte de la ley rusa de protección de datos, existe el requisito de notificar a las personas y a la autoridad de protección de datos sobre la violación resuelta si una persona o la autoridad de protección de datos encontraron una violación y solicitaron que se resuelva. Los operadores de datos deben notificar a las personas cuyos datos se violaron o a la autoridad de protección de datos.

Esto significa que la autoridad o el individuo necesita saber que hubo una violación. ¿Y qué pasa si no lo saben? Hablando en términos prácticos, esto significa que las empresas pueden relajarse y no hacer nada, al menos a este respecto, a menos que la autoridad o un individuo les soliciten que les notifiquen la violación resuelta.

Actuaciones de las empresas en caso de sufrir un incidente de seguridad

Los mayores problemas no son multas u otras consecuencias regulatorias, como algunos podrían suponer.

Tratar con la autoridad rusa de protección de datos en caso de un incidente de seguridad de datos puede ser engorroso y resultar en multas.

Obviamente, la mayor amenaza es un daño potencial a la reputación. En mayo, el ataque WannaCry infectó a miles de ordenadores en todo el mundo, y algunas firmas de abogados comenzaron a compartir su experiencia en el cumplimiento de la seguridad cibernética, ofreciendo soluciones para las empresas afectadas.

Después del mencionado ataque de Petya contra un importante bufete de abogados de los EEUU, es muy posible que los clientes en el futuro piensen dos veces antes de pedirle asesoramiento sobre seguridad cibernética. El daño a la reputación de la empresa es obviamente considerable y, sin embargo, debe cuantificarse.

Por otra parte, es obvio que en el mundo moderno es prácticamente imposible mantenerse 100% protegido de cualquier amenaza de ciberseguridad. Incluso las empresas que consideran la ciberseguridad de suma importancia siguen siendo vulnerables a los ataques de ciberseguridad simplemente porque usan la tecnología de la información en sus negocios diarios.

Buenas prácticas de ciberseguridad en Rusia

Como regla general, las empresas rusas deben asegurarse de que sus sistemas cumplan con los requisitos técnicos del Servicio Federal de Seguridad de Rusia (FSB) y el Servicio Federal para el Control Técnico y de Exportación de Rusia (FSTEC).

Normalmente, es aconsejable que la formación de un entorno de TI y los procedimientos de cumplimiento de TI relacionados se implementen con la asistencia de una empresa rusa especializada en seguridad de TI y con una licencia FSTEC para realizar trabajos relacionados con la seguridad de datos (protección de información confidencial).

Una empresa de seguridad de TI también puede ayudar a preparar un conjunto de documentación interna:

  • documentos internos sobre cuestiones técnicas de protección de datos personales,
  • descripción de la infraestructura de seguridad de TI y
  • medidas que debe tomar la empresa para evitar violaciones de datos (por ejemplo, modelos de amenazas, tareas técnicas).

También podrían aconsejar sobre qué hardware y software debe instalarse para garantizar la seguridad de los datos.

Obviamente, en esta etapa de desarrollo de la tecnología de TI, es muy recomendable no confiar en los propios recursos de TI, sino llamar a un proveedor externo de servicios de seguridad de TI y dejar que los profesionales construyan los ‘muros’ de seguridad de datos de la compañía.

Preocupación por las ciberamenazas y el cibercrimen

El gobierno ruso está muy interesado en combatir el delito cibernético. Incluso está imponiendo varias reglas en las leyes destinadas a aumentar la seguridad cibernética de las empresas.

Por ejemplo, todas las empresas que manejan datos personales deben aplicar ciertas medidas técnicas y organizativas destinadas a proteger los datos y también utilizar software certificado por las autoridades rusas.

Cualquier fraude informático, acceso no autorizado a datos o creación de software malicioso puede dar lugar a responsabilidad penal. Sin embargo, el número de casos reales de piratas informáticos condenados es bastante bajo. La razón de esto no está clara y ciertamente da lugar a especulaciones.

Rusia se negó a ratificar la Convención sobre Cibercrimen del Consejo de Europa. Los funcionarios del gobierno ruso afirmaron que no están de acuerdo con las disposiciones de la convención que prevén el acceso sancionado de un estado miembro a los datos informáticos almacenados en el territorio de otro estado miembro sin el consentimiento previo de este último. Esto se justifica por razones de seguridad nacional.

El enfoque de Rusia para combatir el delito cibernético consiste en la cooperación rápida y adecuada de las autoridades policiales de diferentes países. Además, las autoridades creen que Rusia está considerando promover un enfoque que prevea el desarrollo de una convención mundial sobre la lucha contra los delitos en el ámbito de la información en lugar de la Convención de Budapest, que solo se aplica a nivel regional y no será totalmente efectiva.

Rusia ya tiene Internet propia

Rusia ha empezado a probar un sistema nacional de Internet que será utilizado como una alternativa a la web más amplia, según informes de noticias locales. Aún no se sabe con claridad en qué etapa se encuentra el país, pero se está buscando la obtención de un Internet sólido, y seguramente más sencillo de controlar.

Internet, por supuesto, está formado por una red global de infraestructura que debe interactuar física, virtualmente y, cada vez más, políticamente con los países con los que se conecta. Hay países, como China, que han decidido regular cuidadosamente esa interfaz, controlando a qué sitios web, aplicaciones y servicios es posible acceder desde el lado local de la misma.

Rusia se ha inclinado cada vez más hacia ese enfoque , con el presidente Putin firmando una ley a principios de este año, Runet, que construiría la infraestructura necesaria para mantener un Internet interno separado en caso de que tal cosa sea necesaria (o conveniente).

Runet está dirigido solo a prevenir las consecuencias adversas de la desconexión global de la red global, que está controlada en gran medida desde el extranjero. Este es el punto, esto es lo que es la soberanía: tener recursos propios que puedan activarse para evitar la desconexión.

Informes más recientes indicaron que este esfuerzo ha ido más allá de lo teórico a lo práctico. Se realizaron pruebas sobre la vulnerabilidad del llamado Internet de las cosas, que debe haber sido desalentador si los dispositivos IoT rusos tienen prácticas de seguridad tan pobres como las estadounidenses. También se analizó si la red local podría resistir las «influencias negativas externas», cualesquiera que sean.

Desafío técnico

No es una tarea pequeña, lo que Rusia está intentando. Y aunque se habla aparentemente de soberanía e infraestructura robusta, las tensiones entre EEUU, Rusia, China, Corea del Norte y otros países con capacidades avanzadas de guerra cibernética también son parte de ella.

Una Internet rusa desconectada del mundo probablemente en este momento sería casi no funcional. Rusia, como todos los demás, depende de recursos ubicados en otras partes del mundo. Y la duplicación de muchos de esos recursos sería necesaria para que Internet funcione de manera normal, en caso de que el país decida retirarse a su caparazón por lo que sea razón.

Sería necesario un sistema DNS separado, al igual que la infraestructura física que conecta partes del país directamente con el resto, que en la actualidad debe hacerlo a través de conexiones internacionales. Y eso es solo para crear la posibilidad básica de una intranet rusa que funcione.

Es difícil oponerse a la idea de una «Internet soberana» robusta en caso de que tal cosa sea necesaria. Pero es difícil no pensar en ella como una preparación para el conflicto en lugar de una simple inversión en infraestructura nacional.

En qué se convertirá Runet y cómo se usará todavía es una cuestión de especulación hasta que recibamos informes más específicos de sus capacidades y propósitos previstos.