Los repetidos casos de ciberataques a empresas a nivel global (los virus WannaCry y Petya son los más recientes) han hecho que la administración española tome cartas en el asunto y elabore un borrador para un nuevo real decreto ley. En él se pretende castigar a las empresas que no informen de posibles ataques informáticos, o que no tomen medidas para remediarlos.
Los efectos de los recientes ataques de hackers a empresas no tuvieron una incidencia especialmente aguda en España (Telefónica fue la principal gran empresa afectada), pero aún así, desde el Gobierno se quiere prevenir y sobre todo alertar a las empresas para que conozcan su lado de responsabilidad en estos incidentes. En estos ataques, los sistemas informáticos de las empresas quedaban colgados y «secuestrados», afectando en gran medida al servicio.
Auditorias de seguridad informática
En un esfuerzo conjunto del Departamento de Seguridad Nacional, el Ministerio del Interior, el CNI y la Secretaría de Estado de Sociedad de la Información y Agenda Digital, se busca actualizarse a la normativa europea. En concreto, la Directiva NIS, que obliga a realizar un listado de los principales proveedores de servicios digitales, privados y públicos, ya que son los objetivos potenciales de futuros ataques.
Estas empresas recibirán un control especial en forma de auditorias para supervisar su nivel de seguridad. También podrán establecer instrucciones que les ayuden a mejorar la protección de sus sistemas informáticos. Además, las empresas deberán informar «sin dilación» de cualquier incidente que ponga en peligro el servicio prestado. Se espera que no vuelva a ocurrir algo como lo de Yahoo!, cuando en en 2016 hizo públicos hackeos producidos años atrás, en 2014 y 2013.
Sanciones por confirmar
Dentro de este borrador del Gobierno, todavía queda por confirmar cuáles serán las medidas exactas que se tomarán si las empresas no comunican a tiempo estos ataques, o si no reaccionan ante éstos a posteriori. Se espera que estas medidas vayan en consonancia con la gravedad de los ataques. Esta gravedad se determinará en relación a la cantidad de usuarios afectados, la extensión geográfica o su efecto en otros sectores relacionados. Quedamos a la espera de conocer el borrador final para conocer este punto al detalle.