La estrategia de Costa Rica para salir del estado de emergencia por ciberataques
El gobierno de Rodrigo Chaves lanzó una nueva estrategia de ciberseguridad que plantea cinco pilares. Uno de sus objetivos es que Costa Rica salga del estado de emergencia por los ciberataques que sufrió en 2022.
A un año y medio de que una serie de ciberataques de origen ruso llevaran al presidente Rodrigo Chaves a declarar emergencia nacional, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) presentó una estrategia que, entre sus objetivos, busca revertir la situación.
El Ministerio acaba de publicar su Estrategia Nacional de Ciberseguridad 2023-2027, con la consigna de proteger al país de los ciberataques que van en aumento y promover un ecosistema digital confiable.
La estrategia traza cinco pilares estratégicos en los que trabajará el gobierno. El primero se refiere a reforzar la gobernanza de ciberseguridad, optimizando la inversión pública y profundizando en la coordinación entre gobierno, industria, academia, sociedad y comunidad internacional.
Una de las acciones prioritarias contempladas dentro de este punto es establecer y poner en marcha una hoja de ruta para sacar al país del estado de emergencia. Fue en mayo de 2022 cuando Rodrigo Chaves declaró la emergencia nacional y ordenó a las instituciones intensificar esfuerzos para resguardar la infraestructura crítica.
Recomendamos: ‘Volvimos al papel’: ministra Paula Bogantes narra el peor ciberataque de Costa Rica
Por ese entonces, Costa Rica había sufrido varios ciberataques de ransomware atribuidos a un grupo ruso. Los ataques dejaron fuera de funcionamiento los sistemas de aduanas y la plataforma para el pago de impuestos.
Además, el gobierno se vio obligado a desactivar temporalmente el sistema mediante el cual se pagan los salarios y las pensiones de los trabajadores del sector público. Estos hechos pusieron al descubierto las brechas de ciberseguridad en el país y la urgente necesidad de actuar.
El primer pilar de la estrategia también contempla otras iniciativas como contar con un plan de inversión en ciberseguridad y diseñar estímulos para que el sector privado invierta en la materia.
Por otro lado, el segundo pilar plantea la necesidad de adecuar el marco jurídico cibernético, por lo que se prevé que se presenten iniciativas para crear leyes y marcos regulatorios relacionados con la ciberseguridad.
Como tercer objetivo, el documento señala que se fortalecerá la protección de infraestructuras y la ciberresiliencia. Esto implica contar con un marco para la gestión de riesgos; tener procesos de seguimiento y revisión periódica; contar con un Centro de Operaciones en Seguridad, y crear mecanismos de alerta.
También consulta: Esta es la visión de procuradores de justicia internacionales sobre el cibercrimen
Otro de los pilares apunta a reforzar las capacidades del ecosistema de ciberseguridad. Para lograrlo, el gobierno elaborará un plan de educación y formación en este campo; se impulsará la fuerza laboral necesaria para enfrentar los ciberataques, y se ejecutarán programas de capacitación.
El último objetivo estratégico tiene que ver con la cooperación en el entorno digital. Costa Rica promoverá iniciativa para la colaboración y asistencia intergubernamental e intersectorial; fortalecerá alianzas con el sector privado; al igual que nombrará a alguien responsable de ciberdiplomacía en el Ministerio de Relaciones Exteriores.
Durante la presentación de la estrategia, Rodrigo Chaves dijo que están “construyendo una armadura que protegerá al país de las organizaciones cibercriminales y de las personas que sin ningún escrúpulo pueden intentar atacarnos nuevamente”.
Asimismo, el mandatario aseguró que el país ha aprendido de los ataques pasados que paralizaron servicios esenciales, por lo que en los próximos años estará más preparado “con una coraza ante posibles amenazas”.
El plan tico llega en un momento en el que el gobierno enfrenta críticas por un decreto de ciberseguridad 5G, en el que excluye a ciertos proveedores de la construcción de las redes de quinta generación. Aunque la seguridad cibernética es un tema prioritario, algunos miembros de la Asamblea Legislativa advierten que las motivaciones del decreto fueron políticas y no tienen justificación técnica.