A mediados del mes de Agosto 2022, fue presentado por parte de la fracción del Partido Liberación Nacional con representación del diputado Sr. Jose Joaquín Hernandez Rojas el proyecto de ley expediente #23.292 denominado LEY NACIONAL DE CIBERSEGURIDAD, llegando a completar años de trabajo por parte de cientos de especialistas costarricenses para llevar al plenario un documento que lograra modernizar el abordaje actual de la ciberseguridad en Costa Rica y subir las capacidades de defensa ante ciber ataques especialmente luego de los incidentes sufridos durante los meses de abril, mayo y junio de este año 2022, a casi una treintena de instituciones públicas. Esta situación provocó una declaratoria de emergencia nacional de parte del Poder Ejecutivo, que en ningún otro país en la región o el mundo se había dado. Hechos que aún continuan generando pérdidas multimillonarias a todos los costarricenses y que seguirán en el futuro siendo un recordatorio del costo que se debe pagar un país por no estar preparado para enfrentar los desafíos tecnológicos modernos.
De esta forma el documento presentado por el diputado Hernández plantea un cambio importante en el abordaje hasta al fecha de la política nacional hacia el tema de los ciber delitos tomando en cuenta que, según el Reporte “Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y El Caribe” de 2021, elaborado en conjunto por el BID y
la OEA, se estimó que los daños por delitos cibernéticos alcanzarían los US$6000 millones para el 2021, lo que equivale al producto interno bruto (PIB) de la tercera economía más grande del mundo. Además del costo financiero, el cibercrimen y los ciberataques socavan la confianza de los usuarios en la economía digital e incluso superan en tamaño de mercado al narcotráfico actualmente.
Así es como esta propuesta de ley aborda el problema creando una "Agencia Nacional de Ciberseguridad" o ANC por sus siglas. La cuál según cita el texto del proyecto "...será la responsable de elaborar y ejecutar la política, los Planes Nacionales y la Estrategia Nacional de Ciberseguridad. Además, funcionará como un centro de operaciones de seguridad tecnológica (“G-SOC”) y estará encargada de coordinar todo lo relativo a la ciberseguridad y protección de infraestructuras críticas del país"
Esta nueva agencia estará también a cargo de desarrollar un régimen de protección hacia las infraestructuras críticas nacionales (ICI), esto anteriormente no existía, no se tenía una guía sobre qué es y qué no es una ICI e incluso la ANC estará a cargo de velar por la protección de las ICI de forma permanente a través del desarrollo de procesos de acreditación y certificación de entidades reguladas, es decir, esta agencia podrá emitir una certificación a una entidad pública o privada garantizando que dicha entidad ha pasado por todos los procesos de evaluaciones, pruebas, auditorías y que efectivamente cuenta con las capacidades para administrar infraestructura crítica para el país. Así mismo podrá retirar los permisos correspondientes a quienes incumplan con las normativas dispuestas por la agencia e incluso colaborar con entidades judiciales para llevar adelante investigaciones que giren alrededor de hechos de negligencia por el no cumplimiento normativo.
La ANC será la pieza central que tendrá a su cargo la actualización continua de la estrategia nacional de ciberseguridad, podrá colaborar con entidades como la Contraloría General de la República (CGR) para establecer los estándares futuros necesarios para mitigar los riesgos tecnológicos en los órganos del sector público y difundir en conjunto guías, normas, procedimientos y entrenamiento a las instituciones que así lo requieran y de forma continua, todo esto se establece en el capítulo 5 al respecto de las obligaciones mínimas de gestión de la seguridad de la información que deberán cumplir las instituciones en adelante y que serán vigiladas por la ANC. Asimismo, se establecerán las sanciones por el incumplimiento, creando también una serie de multas que deberán ser pagadas a la Agencia y que junto a donaciones internacionales y también la contribución obligatoria de un porcentaje anual del presupuesto de cada institución pública regulada se crearán líneas de financiamiento para garantizar la independencia de la ANC y así no afectar al aparato estatal con otra institución que dependa del presupuesto del gobierno central y los contribuyentes.
Es importante destacar que según el texto, la Agencia contará con un Director que será designado por el Poder Ejecutivo mediante concurso público previa demostración de idoneidad, esto quiere decir que, quién dirija la agencia deberá comprobar sus atestados y no puede ser asignado por influencia política o por ocurrencia. Como mínimo será un profesional graduado en ingeniería de sistemas, con al menos ocho años (se sugiere aumentar a diez) de experiencia en puestos de dirección de entidades relacionadas a la ciberseguridad y deberá presentar todos sus atestados, estudios y certificaciones para poder ser considerado como experto en la materia antes de poder concursar para la oportunidad (se pide incluir dominio del idioma inglés de forma avanzada). También la dirección estará acompañada por un Consejo Asesor, este último compuesto por un grupo de instituciones de apoyo quienes actualmente son citados como representantes de SUTEL, ARESEP, CONASSIF, OIJ, CAMTIC, INFOCOM y CPIC. Algunos como el Ministerio de Justicia y Paz y la Dirección de Inteligencia y Seguridad no están citados pero deberían ser incluidos durante las rondas próximas de revisión del documento.
Por último esta nueva agencia estará dividida en tres órganos internos en lo que se conoce como un modelo DELTA conocidos como:
El Centro Integrado de Monitoreo o CIMR: Este es el componente preventivo de la organización desarrollando iniciativas de concientización y monitoreo continuo de las redes del país en busca de anomalías.
El Centro de Respuesta a Incidentes o CSIRT: Este es el componente reactivo que entra en funcionamiento cuando una organización sufre de algún incidente y requiere del apoyo del CSIRT para la coordinación de las acciones y la resolución en el menor tiempo y con el menor daño posible.
El Centro de Inteligencia de Datos o CID: Este es el componente proactivo, es decir, el encargado de la predicción de futuras amenazas a las ICI y encargado de las simulaciones que permitan obtener con anticipación información para la defensa de la infraestructura tecnológica.
Todo esto concuerda con un modelo moderno de abordaje a las amenazas actuales y lleva a nuestro país a ser un ejemplo para el resto de Latinoamérica e incluso para otros aliados internacionales en otras partes del mundo quienes podrán aprovechar esta plataforma para aumentar su nivel de seguridad, sin mencionar la gran tranquilidad que llevará a todos los sectores productivos quienes actualmente viven una gran incertidumbre al no saber qué es lo que el gobierno puede hacer para ayudarles contra el ciber crimen mundial.
Un gran error debe corregirse
Hemos resumido hasta el momento las bondades del proyecto pero la lucha apenas empieza para lograr un texto que responda a las necesidades del país. A continuación listamos algunas de las preocupaciones principales que tenemos al realizar un primer análisis del texto del proyecto:
El proyecto de ley adscribe la ANC al Ministerio de Ciencia, Tecnología y Telecomunicaciones.
¿Por qué es esto un problema?
Primero porque todo el texto de la nueva ley propuesta está realmente basado en concebir a la ANC como una institución de seguridad nacional y no de ciencia e innovación, como lo es MICITT.
La ley 7169 Promoción Desarrollo Científico y Tecnológico y Creación del MICYT(Ministerio de Ciencia y Tecnología) es la ley que crea el MICITT pero que en ningún lugar de su artículo 3 le asigna facultades de protección o de seguridad a la ciudadanía solo se enfoca en los objetivos para el desarrollo científico y tecnológico. Esta ley crea una institución con capacidades de promoción, coordinación y asesoramiento en materia tecnológica lo cual esencialmente hace que MICITT sea una institución "incubadora" y de "incentivo y fomento educativo e investigativo" permitiendo a sectores como el académico o el productivo mejorar sus capacidades y tener acceso a financiamiento para proyectos de innovación científicos. Pero nunca habla de capacidades para la defensa del territorio nacional o sus ciudadanos.
El decreto que crea el CSIRT-CR #37052 Crea Centro de Respuesta de incidentes de Seguridad Informática CSIRT-CR fue un decreto creado durante la administración de doña Laura Chinchilla Miranda en el año 2012 luego que Costa Rica sufriera los embates de grupos incipientes de cibercriminales como "Anonymous" o "Lulzsec", dicho decreto pretendía en su momento en las funciones detallas por el artículo 5 en resumen son tres: 1. Asesorar al Consejo Director (El cual nunca fue formado realmente, nunca existió), 2. Fomentar las buenas prácticas de la ciberseguridad y 3. Apoyar en la atención a incidentes informáticos dentro de las capacidades limitadas del mismo ministerio pero nunca se creó este decreto con la intención de dejarlo permanente en MICIT ni mucho menos de darle a MICIT poderes de seguridad nacional. De hecho se asignó al MICIT (antiguo Ministerio de Ciencia y Tecnología) en ese momento bajo un criterio de oportunidad pues ninguna otra institución se postuló debido al enorme desconocimiento de estos temas en su momento. Se asignó al MICIT para que esta institución realizará el proceso de asesoramiento que por ley tiene asignado y citado previamente y procurará la creación de los primeros mecanismos para atender la situación que en su momento era desconocida por la mayoría. Actualmente es claro que la situación es completamente diferente.
En cambio, en Costa Rica sí existe una ley que se ajusta al requerimiento internacional y esa es la ley 7410 Ley General de Policía, esta es la ley que crea al Ministerio de Seguridad Pública que en su mismo nombre identifica sin duda alguna su función constitucional y sus deberes. Así es como en su primer artículo #4 indica "Las fuerzas de policía estarán al servicio de la comunidad; se encargarán de vigilar, conservar el orden público, prevenir las manifestaciones de delincuencia y cooperar para reprimirlas en la forma en que se determina en el ordenamiento jurídico". Siendo que el ciber crimen es una fuente de delitos cibernéticos según el ordenamiento jurídico actual es entonces deber del MSP según lo indica la Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal que tipifica este tipo de delitos aplicar todo el peso de la ley y proteger a la población y al país de esta amenaza.
Es entonces como el primer error que se identifica en el texto como una decisión desinformada y de naturaleza política y no técnica, que comienza a deteriorar la potencia de la ley nacional de ciberseguridad, pone en riesgo todo el proyecto y limita de forma inmediata la aplicación de los deberes constitucionales pues se asigna una responsabilidad a una institución que no cuenta con los principios, presupuesto, jerarquía ni preparación para asumir la protección de la ciudadanía costarricense. Es decir es como si Costa Rica hubiera asignado la rectoría de la pandemia del COVID-19 en lugar del Ministerio de Salud al Ministerio de Agricultura y Ganadería lo cual es un total disparate.
Ya vivimos recientemente todos los costarricenses las consecuencias de asignar este rol a una institución cuyo presupuesto anual ronda los $10 millones de dólares contra un MSP que puede acumular más de $350 millones de dólares anuales y que de hecho en estos momentos está, dicho sea de paso, muy necesitado de nuevos recursos para combatir al crimen organizado (agregando ahora al ciber crimen organizado).
¿Qué beneficios representa la ubicación adecuada de la ANC dentro del MSP?
A diferencia del Ministerio de Ciencia, Tecnología y Telecomunicaciones, el Ministerio de Seguridad Pública cuenta con una estructura robusta y bien definida, también una academia nacional la cuál puede ser preparada en cuestión de pocos meses para entrenar y certificar una nueva generación de ciber cadetes. Esto sería una nueva carrera dentro de la carrera policial en Costa Rica abriendo a miles de funcionarios la posibilidad de complementar su actual conocimiento en criminología, seguridad física, investigación y otros agregando una nueva especialización en ciberseguridad acreditada por la academia nacional de policía para preparar recursos especializados no solo para la Fuerza Pública sino para todas las policías del país.
Además el MSP obtendría recursos económicos nuevos de inmediato para su presupuesto que de entrada el proyecto actual asigna un 1.5% de todas las instituciones públicas agregando una nueva partida por servicio de protección cibernética en su contabilidad (ver imagen de presupuesto 2022 del MSP para 2022) , dicho porcentaje de 1.5% puede incluso aumentar luego de la revisión en el plenario y que junto a otros rubros más como 1. el cobro de multas, 2. las donaciones internacionales 3. la emisión de certificaciones ICI pueden elevar de manera cuantiosa el presupuesto anual del ministerio de inmediato contribuyendo al combate contra el crimen en todas sus formas
Otro beneficio importante es que la puesta de la ANC en el Ministerio de Seguridad Pública activa de inmediato a la red de inteligencia internacional e incluye al MSP en un nuevo paradigma de colaboración en seguridad, ahora entregándole los beneficios de pertenecer a una red global de SOC gubernamentales y organismos de defensa cuyos departamentos de ciberseguridad pueden colaborar e incluso albergar funcionarios de las policías nacionales mediante convenios directos para entrenarles y especializarles aún más. Es decir se apertura todo un nuevo capítulo profesional para la policía costarricense. Esto no puede lograrlo el MICITT pues los funcionarios del MICITT no son parte de la comunidad internacional de defensa y no cuentan con la disciplina, entrenamiento o ecosistema para desarrollar temas de seguridad internacional con expertos alrededor del mundo. Las experiencias y el lenguaje de una organización de seguridad nacional no pueden adquirirse de la noche a la mañana y el solo hecho de poder asignar la rectoría correcta permite que todos los funcionarios actuales y futuros tengan una oportunidad de brillar a nivel internacional en los foros más importantes del mundo, incluso permite de inmediato al MSP aprovechar las alertas de inteligencia para enriquecer sus investigaciones especialmente ahora que la división de Migración y Extranjería será fusionada con el MSP, esto puede significar una ventaja para la lucha contra el narcotráfico y el terrorismo por ejemplo.
La ventaja es que este error conceptual es de sencilla solución, si los diputados introducen una moción cambiando el nombre del MICITT por el de MSP, ya que toda la ley está conceptualizada para temas de seguridad. La propuesta es que el MICITT sí participe de la ANC pero como miembro permanente del Consejo Asesor interno con un representante donde ahí sí podrá sin duda aportar como es debido y ayudar en sus misiones de promoción, coordinación y asesoramiento, dentro de sus capacidades y objetivos verdaderos dejando la seguridad nacional a los expertos en el tema.
¡Convirtamos la ciberseguridad en un asunto de seguridad nacional!
Adjunto texto del proyecto EXP 23.292