A raíz de las crisis de los Balcanes, la Unión Europea (UE) procedió a desarrollar una dimensión de seguridad y defensa encaminada a dotarse de capacidades civiles y militares adecuadas para realizar operaciones de prevención de conflictos y gestión de crisis. En poco más de una década, la UE ha construido una arquitectura de seguridad y defensa susceptible de culminar en una defensa común. No obstante, estos logros en el plano institucional no se han traducido en planes de actuación coherentes y capacidades militares y civiles creíbles, y no parece probable que esta situación mejore en el corto plazo, tampoco en el ámbito de la ciberdefensa.
En febrero de 2013, Bruselas aprobaba una ambiciosa Estrategia de Ciberseguridad, que incluía entre sus principales líneas estratégicas la implementación de un Marco Político de Ciberdefensa (MPCD) que posibilitara la protección de la infraestructura de sistemas de información y comunicaciones que apoyan la estructura, misiones y operaciones de la Política Común de Seguridad y Defensa (PCSD). En este sentido, en noviembre de 2014 el Consejo de Asuntos Exteriores de la UE – siguiendo las directrices marcadas en el Consejo Europeo de diciembre de 2013 – aprobaba la implementación de este marco. Su desarrollo no sólo requiere el protagonismo de los Estados Miembros , la Agencia Europea de Defensa (EDA) y la European Union Military Staff (EUMS), sino también de la Comisión Europea – en especial, las direcciones generales de Interior y de Comunicaciones, Redes, Contenidos y Tecnología-, el Servicio Europeo de Acción Exterior (SEAE), la Agencia Europea para la Seguridad de las Redes y la Información (ENISA) y la EUROPOL.
Las principales acciones definidas en el MPC son las siguientes:
- Apoyar a los Estados Miembros en el desarrollo de capacidades de ciberdefensa en el ámbito del PSCD.
Los Estados Miembros deberán participar en el proceso de desarrollo de capacidades en el ámbito del PSCD. Sin embargo, no resultará sencillo. Por un lado, será necesario que éstos posean una visión común de la importancia estratégica de la seguridad y defensa del ciberespacio; y por otro, existen múltiples velocidades en materia de ciberdefensa: algunos países se muestran y mostrarán reticentes a revelar sus cibercapacidades, máxime cuando éstas son sensiblemente superiores a las del resto de sus socios.
Hasta el momento, la EDA ha llevado a cabo una revisión del Plan de Desarrollo de Capacidades, destacando aquellas relacionadas con la ciberdefensa, sobre todo a nivel estratégico, en particular: monitorización, conocimiento de la cibersituación, prevención, detección y protección, compartición de información, capacidades de análisis forense y de malware o lecciones aprendidas, entre otras. En este sentido, la agencia está trabajando en un conjunto de proyectos dentro del Programa Pooling and Sharing, entre los que destacan: Sistemas Multiagentes para la detección de APT’s (MASFAD), Cyber Ranges o el despliegue de Cyber Situation Awareness packages for headquarters (CySAP).
Además, la incorporación de la dimensión ciber en el sistema de planeamiento y misiones de la PSCD supondrá uno de los mayores retos a los que no solo deberá enfretarse la UE sino todos sus EEMM.
- Mejorar la seguridad de la infraestructura TIC del entorno de la PCSD en los organismos de la UE.
Algunos países están implementando políticas de ‘ciber-higiene’ destinadas a la concienciación en materia de ciberseguridad. En este sentido, SEAE y la EDA lideran un proyecto de similares características que tiene como objetivo minimizar el impacto de las ciberamenazas entre los usuarios de la infraestructura de sistemas de información y comunicaciones que apoyan la estructura, misiones y operaciones de la PCSD, así como proporcionarles directrices claras y concretas para la gestión de ciberincidencias.
- Promover la cooperación cívico-militar asi como las sinergias entre el resto de organismos de la UE y el sector privado.
La Comisión, SEAE y la EDA lideran la coordinación y búsqueda de sinergias entre los diferentes actores implicados en la implementación del MPCD. Para ello, la Comisión y la Agencia están llevando a cabo un conjunto de estudios destinados a conocer el estado de madurez de la industria europea de ciberseguridad. Además, la Comisión ha lanzado varios proyectos en materia de ciberseguridad dentro del séptimo programa marco: CAMINO, COURAGE, PANOPTESEC y CyberROAD.
- Mejorar y fomentar la formación y el adiestramiento en materia de ciberdefensa.
Muchos de los Estados Miembros han desarrollado o se encuentran inmersos en el desarrollo de programas de formación y adiestramiento en el ámbito de su ciberdefensa especifica. El Plan FORCIBE del Ministerio de Defensa español es un ejemplo.
Desde el punto de vista europeo, la EDA trabaja para el fomento de esta formación y adiestramiento. Para ello, ha puesto en marcha múltiples iniciativas, entre las que se encuentran acuerdos con empresas civiles y con otros organismos, como el Centro de Excelencia de Ciberdefensa (CCD COE) de la OTAN con los cuales ya ha llevado a cabo seminarios de ciberconcienciacion enmarcados dentro de las actividades de apoyo a la operación EUROFOR RCA.
- Mejorar la cooperación con otros actores internacionales.
Una de las prioridades estratégicas de la UE en materia de ciberdefensa es la colaboración con la Alianza Atlántica. Para ello han comenzado ya las conversaciones de alto nivel y se están llevando a cabo un conjunto de acciones. Desde el punto de vista operativo, la EDA ha asumido el rol de observador en el proyecto Multinational Cyber Defence Education and Training (MNCDE&T) –liderado por Portugal– del Programa de Defensa Inteligente de la Alianza. Igualmente, el Mando Aliado de Transformación y la Agencia de Comunicaciones e Información de la OTAN han aceptado un rol de observador en el proyecto CyberRanges liderado por la EDA. Además, se está trabajando para que el EU-CERT y NCIRC alcancen un acuerdo –mas allá de un tramite de mínimos– para el intercambio de información técnica y mejorar el proceso de gestión de incidencias. Igualmente, la EDA ha participado como observador en los últimos ciberejercicios –Cyber Coalition y LockedShields– ejecutados por la Alianza.
Fuera del ámbito de la OTAN, la UE trabaja en la promoción de acuerdos bilaterales con otras naciones cibernéticamente avanzadas como Estados Unidos, Corea del Sur, Japón, Rusia, China u ONU
En definitiva, para construir un sistema de ciberdefensa en el seno de UE será necesario algo más que ciberjercicios, adiestramiento y colaboración. Los logros en el plano institucional deberán ir acompañados de: una determinante involucración de los Estados Miembros, una definición clara de las competencias –dejando a un lado sus desavenencias– de los actores europeos implicados, el desarrollo de capacidades de ciberdefensa operativas y planes de actuación coherentes. Bruselas tiene ante sí un extraordinario reto.