Ciberincidentes ENISA 2017

La Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) ha publicado el informe anual incidentes de seguridad de telecomunicaciones de 2017. Éste es el séptimo informe anual sobre los incidentes de apagones significativos en el sector de las comunicaciones electrónicas de la UE. El marco legal para este proceso de notificación de incidentes es el Artículo 13a de la Directiva Marco (2009/140/EC).

Estos incidentes han sido notificados por primera vez a nivel nacional por los proveedores de telecomunicaciones a las autoridades reguladoras nacionales en los diferentes Estados Miembros de la UE como incidentes que tienen un impacto significativo en el funcionamiento de los servicios y redes de telecomunicaciones.

Los proveedores de comunicaciones electrónicas en la UE tienen que notificar incidentes de seguridad significativos a las autoridades reguladoras de telecomunicaciones nacionales en cada estado miembro de la UE. Cada año, dichas autoridades presentan resúmenes sobre una selección de estos incidentes notificados, los incidentes más importantes, basados en un conjunto de umbrales acordados. Por tanto, este informe proporciona una visión general única de los incidentes de seguridad de las telecomunicaciones en la UE.

Los informes de incumplimiento obligatorios formaron parte del marco regulatorio de telecomunicaciones de la UE desde la reforma del paquete de telecomunicaciones de 2009: el Artículo 13a de la Directiva Marco (2009/140/EC) entró en vigor en 2011. El informe de incumplimiento en el Artículo 13a se enfoca en los incidentes de seguridad que causan interrupciones significativas.

La Comisión Europea propuso recientemente una actualización de las normas de telecomunicaciones. Los nuevos requisitos de informe de incumplimiento en el Artículo 40 del Código de Comunicaciones Electrónicas tienen un alcance más amplio, que incluye no solo los incidentes que causan interrupciones, sino también las infracciones de confidencialidad. La notificación de las violaciones de seguridad también es obligatoria para los proveedores de servicios de confianza en la UE (en virtud del artículo 19 del reglamento EIDAS), para los operadores de servicios esenciales en la UE (en virtud del artículo 14 de la directiva NIS) y para los proveedores de servicios digitales en la UE (en virtud del artículo 16 de la directiva NIS).

El informe cubre 169 incidentes. Los informes provienen de los 28 países de la UE y, además, participaron 2 países de la Asociación Europea de Libre Comercio. 6 países de la UE no informaron incidentes con un impacto significativo, presentando los llamados informes vacíos.

Destacamos algunas de las conclusiones del informe:

  • La mayoría de los incidentes tienen un impacto en la telefonía móvil e Internet
  • Los incidentes con telefonía móvil e Internet móvil tienen un impacto, en promedio, en la mayoría de los usuarios
  • Las fallos del sistema son la causa principal de los incidentes reportados
  • Los errores humanos afectan a una gran cantidad de conexiones de usuarios
  • Los incidentes causados por acciones maliciosas son raros
  • Las fallos del sistema son la principal causa raíz
  • Los fenómenos naturales están causando más incidentes
  • Una quinta parte de los incidentes son fallos de terceros
  • Las estaciones base móviles y los controladores son los activos más afectados
  • Los incendios forestales causan, en promedio, el mayor impacto en tiempo de caída

La gestión de la ciberseguridad o de la seguridad de la información es una actividad crítica para asegurar la continuidad y desarrollo del negocio, el cumplimiento de la legislación vigente y generar confianza en las partes interesadas (clientes, personas, proveedores, propietarios y Sociedad).

Haga click, si desea conocer nuestros servicios de ciberseguridad o seguridad de la información.