Este comentario reproduce parcialmente la posición del Real Instituto Elcano en la sesión abierta del Seminario sobre ciberseguridad entre España y Estados Unidos de 7 de marzo de 2022 en Madrid, organizado por el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación.
La cooperación público-privada en ciberseguridad vive un momento dulce en el que se conocen sus primeros resultados y se reconoce públicamente el valor que aporta a la ciberseguridad de todos. En el Real Instituto Elcano venimos ocupándonos de la ciberseguridad desde un enfoque de cooperación público-privada. Nuestra experiencia sobre esta cooperación es que funciona bien y que se ha ido ampliando y profundizando con el tiempo. La cooperación empezó a propósito de la protección de las infraestructuras críticas y ambos sectores, el público y el privado, han desarrollado juntos su curva de aprendizaje. Han compartido problemas y soluciones en mesas de diálogo que han permitido a España exportar buenas prácticas en ciberseguridad a países europeos y una eficaz protección de las infraestructuras críticas hasta ahora.
Sin embargo, el objeto de la cooperación se ha ampliado desde la seguridad, donde coinciden los intereses públicos y privados, hacia la economía, donde las posiciones ya no son tan coincidentes. A la preocupación inicial de proteger las redes e infraestructuras de información, la ciberseguridad, se añadió pronto la de facilitar los servicios y negocios, la cibereconomía, que circula por ellas. Esto obligó a cambiar el enfoque de la cooperación para llevarla a nuevas dimensiones y actores de la economía digital incluyendo aspectos como los de la cultura, la industria, la I+D+i y la regulación, entre otros. Para hacer frente a estas nuevas necesidades, el Real Instituto Elcano propuso al Departamento de Seguridad Nacional crear un foro público-privado donde se pudiera sistematizar la colaboración en todas sus nuevas formas y la Estrategia Nacional de Ciberseguridad de 2019 anunció la creación del Foro Nacional de Ciberseguridad que se constituyó en 2020. La experiencia acumulada a lo largo de este proceso nos permite señalar algunos retos para el futuro de esta cooperación y sobre las que se debe trabajar para consolidar el nivel de eficacia alcanzado.
En primer lugar, la cooperación funciona, pero puede mejorar si se anticipa en el tiempo la participación privada en el proceso de decisiones que afecta a sus intereses de seguridad y económicos. En este sentido, el Foro Nacional de Ciberseguridad acaba de poner en marcha un Grupo de Trabajo sobre Regulación para mejorar la anticipación estratégica de ambos sectores, evaluar sus consecuencias a tiempo de actuar, y reglar su colaboración desde los primeros momentos y a lo largo de todo el proceso regulatorio nacional e internacional.[1] De esta forma, ambos sectores podrán compartir información, posiciones y seguimiento de las iniciativas regulatorias de forma simultánea en lugar de sucesiva como hasta ahora.
En segundo lugar, y a pesar del buen resultado de la cooperación público-privada en materia de infraestructuras críticas, tanto las estimaciones más recientes de las autoridades de ciberseguridad de EEUU como las de España coinciden en el incremento de los ciberataques, con lo que el riesgo y el coste de las medidas de protección desbordan la capacidad económica y tecnológica de las empresas. El sector privado necesita que el sector público desarrolle una mayor capacidad de disuasión que disminuya la impunidad con la que Estados y grupos organizados multiplican sus ciberataques. Los Estados, a los que les corresponde ejercer la disuasión, disponen de medidas de ciberdiplomacia y ciberdefensa activa que no acaban de aplicar, aunque en los últimos meses se ha registrado un cambio de actitud en países como EEUU.[2] La Estrategia de Ciberseguridad Nacional de 2019 permite la ciberdefensa activa y España dispone de esa capacidad según el National Cyber Power Index 2020 de Harvard, por lo que es necesario emplearla al servicio de la disuasión para aliviar la carga de la defensa de los sectores público y privado.
En tercer y último lugar, la cooperación tiene que mejorar, además, en dos aspectos principales. Uno se refiere a la compartición de inteligencia a propósito de los ciberataques y ciberatacantes. El sector público está mejorando en su capacidad de captar y procesar inteligencia, una mejora necesaria para la ciberseguridad de las administraciones, en particular, y del conjunto de los sectores en general. El sector privado mejora en paralelo, pero podría hacerlo más de contar con un mecanismo de intercambio de inteligencia con el sector público que asegurara un mayor intercambio en ambas direcciones. Otro aspecto donde se pueden incrementar las economías de escala es el de la cooperación en situaciones de crisis, donde la gestión pública y la privada funcionan de forma paralela con distintas prioridades. Las grandes crisis de ciberseguridad ponen a prueba la resiliencia de los sectores público y privado, por lo que es necesario ampliar y profundizar la cooperación tanto en los ejercicios de preparación antes de las crisis como en su gestión compartida durante las mismas. La valoración de la cooperación sería más justa de haber dedicado más espacio del que se dispone para enumerar sus numerosos logros, en lugar de señalar los retos pendientes. Sin embargo, la necesidad de avanzar en los aspectos señalados es acuciante en un entorno de creciente rivalidad geopolítica y confrontación cibernética, tal y como se ha puesto de relieve en el Seminario bilateral. En este contexto estratégico tan complicado, la cooperación público-privada se ve obligada a realizar un nuevo salto cualitativo más allá de sus logros actuales y, precisamente, para reforzar aún más su historia de éxitos.
[1] La sistematización de la cooperación está alineada con el procedimiento en la forma de evaluar las propuestas de Reglamentos y Directivas adoptadas por la Comisión Europea aprobado por el Consejo de ministros el 23 de febrero de 2021.
[2] El general Paul M. Nakasone, responsable del Cyber Command, de la National Security Agency y del Central Security Service, ha reconocido el empleo de medidas ofensivas contra las amenazas detrás de los ciberataques de ransomware, un cambio de actitud debido a la proliferación y gravedad de los ataques. Julian E. Barnes, “US Military Has Acted Against Ransomware Groups, General Acknowledges”, The New York Times, 5 diciembre 2021.
Análisis de riesgos. Foto: Jamie Wynder (CC BY-NC 2.0).