El equipo del proyecto piloto de investigación e innovación CyberSec4Europe (Cyber Security Network of Competence Centres for Europe), liderado por la Universidad Johann Wolfgang Goethe de Frankfurt (Alemania), ha probado y demostrado estructuras de gobernanza para la Red Europea de Competencia en Ciberseguridad. Entre otras cosas, se ha desarrollado un caso de uso en el ámbito de las ciudades inteligentes para el intercambio seguro de datos personales entre la población y otras partes interesadas de la ciudad.
Con un presupuesto de 15.999.981,25 euros financiado por la Unión Europea, el proyecto CyberSec4Europe se desarrolló de febrero de 2019 a diciembre de 2022 y ha publicado este año sus resultados. Ha contado con la participación de 43 socios de 22 Estados miembros de la UE y países asociados, entre los que se encuentran la Universidad de Murcia y la de Málaga.
El trabajo realizado se ha estructurado en cuatro pilares: gobernanza, diseño y piloto; de la investigación y la innovación a la industria, educación, formación y estandarización; y comunicación y construcción de comunidad.
Esta iniciativa ha recibido numerosas cartas de adhesión y compromisos de cooperación de administraciones públicas, organizaciones internacionales y asociaciones de todo el mundo, incluyendo Europa, Asia y Norteamérica.
Reforzar la ciberseguridad en la UE
La digitalización ofrece múltiples oportunidades y soluciones a los problemas que afronta Europa, pero expone a la economía y a la sociedad a ciberamenazas. Ante los retos cada vez mayores en este sentido, la Unión Europea está mejorando su sensibilización y respuesta ante los ciberataques dirigidos a los Estados miembros y sus instituciones.
En esta coyuntura, la Unión Europea ha adoptado la Ley de Cibersolidaridad con el propósito de fortalecer las capacidades de ciberseguridad de los Estados miembros, fomentando la resiliencia y la capacidad de respuesta a esta problemática.
En esta misma línea ha trabajado el proyecto CyberSec4Europe, con la finalidad de reforzar la ciberseguridad en la UE, incluidas medidas de protección y defensa, al mismo tiempo que salvaguardar los valores europeos y el respeto a las normas e instituciones que preservan estos valores.
CyberSec4Europe nació para mejorar las defensas dentro de los sectores verticales de las ciudades inteligentes, la infraestructura digital, las finanzas, el gobierno, el transporte y la sanidad. La experiencia práctica adquirida se ha utilizado para desarrollar una hoja de ruta especializada y recomendaciones para la puesta en marcha de la Red de Centros Nacionales de Coordinación (NCC, por sus siglas en inglés).
El objetivo principal de CyberSec4Europe y de los tres proyectos asociados Concordia, Echo y Sparta, era servir como prueba piloto para el Centro Europeo de Competencia en Ciberseguridad (ECCC) de Bucarest (Rumanía) y la Red de NCC. Estos centros constituyen el nuevo marco europeo para apoyar la innovación y la política industrial en materia de ciberseguridad.
Enfoque y modelo de gobernanza
El trabajo realizado por el consorcio a cargo de CyberSec4Europe ha permitido desarrollar un enfoque guiado por la comunidad para el ECCC y un modelo de gobernanza que complementa y ajusta la propuesta de Reglamento europeo por el que se establecen el ECCC y la Red de NCC para cumplir con los requisitos jurídicos.
En resumen, se ha planteado un enfoque combinado y la incorporación a la red europea de una serie de centros comunitarios de conocimientos especializados en ciberseguridad.
Asimismo, se ha promovido la introducción de una subestructura para el ECCC, la creación de un consejo de partes interesadas como elemento adicional y una modificación de la estructura de gobernanza existente para la red. Mediante este modelo, se facilita que las partes interesadas informen con franqueza sobre problemas de ciberseguridad sin temor a no ser escuchadas o a repercusiones.
Casos de uso
El proyecto CyberSec4Europe ha desarrollado casos de uso demostrativos para adaptar los requisitos de las aplicaciones a tecnologías de seguridad innovadoras en diversos ámbitos.
En el caso de uso en materia de smart cities, se conectan los desafíos de ciberseguridad en un entorno de mercado abierto basado en las necesidades de las ciudades y sus comunidades. Incluye un ecosistema para compartir nuevas ideas, necesidades, mejores prácticas, lecciones aprendidas y otra información.
En el ámbito de la banca abierta, se abordan los riesgos y vulnerabilidades del malware, phishing o ingeniería social; se protegen las políticas de gestión de los bancos y sus debilidades en el diseño o implementación de APIs, se previene el fraude y la pérdida de datos en relación con transacciones realizadas por terceros en un entorno abierto, y se brinda confianza y seguridad a los usuarios.
Por su parte, el caso de uso de la cadena de suministro proporciona un modelo para múltiples sectores caracterizado por la trazabilidad de todos los componentes para asegurar la calidad y la integridad, por la detección de errores o manipulaciones y por una respuesta rápida.
La gestión de la identidad para preservar la privacidad permite que una plataforma distribuida administre la identidad y los servicios autenticados con el fin de brindar un control de los datos. De este modo, se consigue un intercambio de información fiable entre organizaciones oficiales, una conciencia transversal sobre cómo preservar la privacidad y un aumento de la confianza en los servicios online.
Para la notificación de incidentes en finanzas se ha desarrollado una plataforma para compartir y reportar incidentes con diferentes procedimientos y métodos de manera segura. El intercambio de datos es bidireccional, en un entorno centralizado o descentralizado, fiable y seguro.
En cuanto al caso de uso referente al intercambio de datos sanitarios, se ha trabajado en la seguridad y confiabilidad del intercambio de esta información involucrando a varios actores y con diferentes objetivos y requisitos en términos de seguridad, protección de datos y confianza, en consonancia con la legislación y las políticas vigentes.
Por último, se han identificado los desafíos de ciberseguridad en el ámbito del transporte marítimo que cubren todo el ecosistema, incluido el puerto, con el propósito de detectar amenazas, desarrollar modelos y responder a las mismas.
Resultados de CyberSec4Europe
En el marco de CyberSec4Europe se ha creado un portal con herramientas de código abierto y sistemas operativos como Cyber Sandbox Creator, que puede generar archivos de definición portátiles y crear entornos virtuales con VirtualBox.
Igualmente, se han elaborado dos libros. Por una parte, el Blue Book, que presenta un conjunto de planes de acción y desafíos en materia de ciberseguridad para investigadores y responsables políticos. Por otra parte, Stories ofrece el relato de la comunidad europea de ciberseguridad creada por el proyecto.
En el evento de presentación de resultados se mostraron a modo de ejemplo seis activos y soluciones explotables. Abordan la mejora en la lucha contra el fraude bancario asegurando el cumplimiento del Reglamento General de Protección de Datos (GDPR) y el secreto bancario, la respuesta ante un incidente de ciberseguridad, un paquete de datos personales basado en el consentimiento para gestionar información personal de acuerdo con el GDPR, la inteligencia en las plataformas de intercambio de datos para la detección de amenazas, el análisis de documentos de certificación de seguridad y la réplica de enclaves SGX en la nube.
En definitiva, el trabajo de CyberSec4Europe demuestra cómo los responsables políticos, el mundo académico y la industria pueden colaborar para maximizar el potencial de la Red de Centros Nacionales de Coordinación.
Tras la finalización del proyecto, una serie de iniciativas posteriores dan continuidad al trabajo realizado. Es el caso de EU-Check (Centro de Experiencia en Conocimientos en Ciberseguridad de la Comunidad Europea), que celebra reuniones periódicamente para explorar cómo llevar la colaboración más allá.