El gobierno laborista de Keir Starmer va a presentar un proyecto de ley sobre ciberseguridad y resiliencia en la nueva legislatura, con la intención de reforzar las ciberdefensas del Reino Unido y garantizar la continuidad y protección de los servicios digitales, con un mandato propuesto sobre la notificación obligatoria de ransomware como piedra angular de la ley. Una de las muchas nuevas leyes potenciales que se insinuaron en el discurso del Rey en la apertura estatal del Parlamento, el proyecto de ley reconoce que las empresas británicas son cada vez más atacadas por ciberdelincuentes con motivaciones financieras y actores estatales por igual, y que las organizaciones grandes y pequeñas son frecuentemente atacadas. Las leyes cibernéticas existentes, dijo el gobierno, reflejan la ley heredada de la Unión Europea (UE) que ahora está siendo reemplazada por Bruselas y, por lo tanto, necesitan una actualización urgente para seguir el ritmo. El gobierno dijo que los servicios esenciales y la infraestructura nacional crítica (CNI) en particular son vulnerables a actores hostiles, como lo demuestra una letanía de ciberataques en los últimos años que afectaron a los proveedores y fideicomisos del NHS, el Ministerio de Defensa, la Biblioteca Británica, la Comisión Electoral, Royal Mail y un sinnúmero de otros organismos. En este sentido, el proyecto de ley contiene dos objetivos principales: ampliar el ámbito de aplicación de la normativa vigente y dar a los reguladores una base más sólida en lo que respecta a la protección de los servicios digitales y las cadenas de suministro, y mejorar los requisitos de presentación de informes para ayudar a crear una mejor imagen de las ciberamenazas. En el futuro, dijo el gobierno, un mayor número de organismos reguladores podrían recibir mayores poderes, incluidos, potencialmente, mecanismos de recuperación de costes para proporcionar recursos y la capacidad de investigar de forma proactiva las vulnerabilidades de los sistemas informáticos. Mientras tanto, dijo, la notificación obligatoria de incidentes ayudará al gobierno a recopilar mejores datos sobre los ciberataques, a mejorar la comprensión nacional de las amenazas a las que se enfrenta el Reino Unido y a ayudar a alertar a las organizaciones y a los individuos sobre posibles ataques ampliando el tipo y la naturaleza de los incidentes que deben ser notificados por una entidad regulada. Esto, naturalmente, incluiría los ataques de ransomware. Informes sobre ransomware Dado que parte del objetivo del gobierno es mantenerse al día con la UE, en particular ahora que se prepara para comenzar a aplicar, el 17 de octubre de 2024, la Directiva de seguridad de la red y de la información de próxima generación (NIS2), si tiene éxito en su ambición de obligar a informar sobre ransomware, el Reino Unido en realidad se adelantará a Europa en algunos aspectos, un punto señalado por los expertos en riesgos del bufete de abogados Ashurst. Matt Worsfold, socio de Ashurst Risk Advisory, dijo: «Si la legislación propuesta sigue adelante como se describe, será sorprendente ver cómo las estadísticas sobre ataques de ransomware potencialmente se disparan frente a la notificación obligatoria, dado que la opinión generalizada hasta la fecha es que las estadísticas actuales no son representativas de la realidad». Un fuerte compromiso Louise Marie Hurel, investigadora cibernética del grupo de expertos Royal United Services Institute (RUSI), dijo que el proyecto de ley era una fuerte indicación del compromiso del gobierno con el ciberespacio y contrastaba fuertemente con una sola referencia a los ciberataques en el manifiesto laborista. Hurel sostuvo que la ciberseguridad ya no es un tema de nicho, sino que ahora se ha convertido en algo «transversal para garantizar la sostenibilidad de la estrategia del gobierno en una variedad de áreas». «Si bien todavía hay una visibilidad limitada sobre el texto del proyecto de ley propuesto, el documento deberá garantizar que todos los requisitos de presentación de informes sean implementables y se realicen en un diálogo con industrias de diferentes tamaños para que sea eficaz», dijo Hurel. «Esto requerirá un delicado equilibrio entre la innovación y las actualizaciones de los datos existentes y los requisitos de presentación de informes de incidentes cibernéticos. Pero el proyecto de ley, aunque es un indicador del compromiso de garantizar una mayor resiliencia cibernética nacional, debe ser parte de una visión que integre de manera efectiva la prevención y las respuestas a las amenazas cibernéticas. «Los próximos meses mostrarán cómo el gobierno laborista buscará mejorar la capacidad del Reino Unido para combatir el delito cibernético, y especialmente el ransomware, como parte de sus menciones al fraude en línea en el manifiesto y responder a las amenazas cibernéticas afiliadas al estado, que también deberían incluirse en la próxima revisión de defensa». El director de infraestructura crítica de Illumio, Trevor Dearing, estuvo entre los muchos líderes de seguridad que elogiaron los planes del gobierno, pero lo moderó con una advertencia: “El aumento de los poderes para los reguladores y la presentación de informes será fundamental para desarrollar la resiliencia cibernética”, dijo. “Sin embargo, la regulación solo tendrá éxito si va acompañada de fondos adicionales para los organismos públicos; de lo contrario, lo único que sucederá es que las regulaciones crearán un objetivo poco realista cuya implementación es prohibitiva en términos de costos”. “También es importante que veamos un fuerte énfasis en la seguridad de la cadena de suministro, dado que los proveedores externos forman el alma de los departamentos gubernamentales. Los cibercriminales siempre irán tras el eslabón más débil de la cadena para obtener acceso a sistemas más valiosos, por lo que debemos reconocer la inevitabilidad de una violación por parte de los proveedores y mitigar el riesgo en consecuencia. Un enfoque de seguridad basado en el riesgo es clave para lograr esto, asegurándose de que los servicios más amenazados obtengan la mayor cantidad de recursos”. Lista de deseos cibernéticos Otros dijeron que deseaban que el gobierno se hubiera atrevido a ir más allá. Camellia Chan, directora ejecutiva de Flexxon, especialista en almacenamiento seguro de datos, dijo que le hubiera gustado ver que se hiciera más hincapié en la lucha contra el delito cibernético y, en particular, en mantener seguro el NHS. “La atención sanitaria, desde los servicios nacionales de salud hasta los pequeños hospitales y farmacias, es una mina de oro para los delincuentes que buscan extorsionar datos y exigir una compensación económica. Sin embargo, las consecuencias de este tipo de ataques pueden extenderse mucho más allá de las pérdidas financieras y afectar directamente a la atención al paciente”, dijo Chan. “Esto puede dar lugar a retrasos en la recepción de medicamentos vitales, resultados médicos no disponibles y cierres de instalaciones, todo lo cual podría ser fatal. En el caso del NHS, los ataques de ransomware han provocado la cancelación de citas, retrasando el tratamiento de miles de pacientes. Es hora de que las organizaciones sanitarias, incluido el NHS, y el gobierno tomen medidas y pongan en práctica sus palabras invirtiendo en las últimas innovaciones cibernéticas”. Mientras tanto, Matt Hull de NCC, hablando en su calidad de representante de la campaña CyberUp, que lleva mucho tiempo en marcha y que quiere una reforma urgente de la obsoleta Ley de Uso Indebido de Computadoras de 1990 (que corre el riesgo de penalizar la investigación legítima de amenazas con sanciones penales en su forma actual), dijo que el grupo mantendría la presión en el nuevo parlamento. «La introducción del Proyecto de Ley de Seguridad Cibernética y Resiliencia hoy será clave para mantener al Reino Unido a salvo de los crecientes ataques cibernéticos. Con el aumento de los delitos cibernéticos en casi un tercio el año pasado, es alentador ver que el gobierno prioriza las actualizaciones de nuestras leyes cibernéticas», dijo Hull. «Esperamos trabajar con el gobierno en nuevas formas de mejorar la resiliencia cibernética del país, en particular en cualquier esfuerzo por abordar la obsoleta Ley de Uso Indebido de Computadoras de 1990. «La actualización de la Ley permitirá a los profesionales cibernéticos del Reino Unido proteger mejor al Reino Unido en línea, salvaguardando la economía digital y desbloqueando todo el potencial de crecimiento de nuestra industria de seguridad cibernética», agregó.