Desde campañas de desinformación con bots y deepfakes, o ataques a hospitales que pueden postergar procedimientos médicos urgentes, los ciberataques no solo afectan nuestra economía, sí no que también amenazan con el funcionamiento básico de la sociedad. Por eso, nunca ha sido tan importante proteger a todas las infraestructuras estatales que traten información clasificada y sensible.
En línea con este objetivo, España creó el Esquema Nacional de Seguridad y el Catálogo de Productos y Servicios STIC (CPSTIC), donde se listan todos los productos cualificados y aprobados.
El proceso para formar parte del CPSTIC es clave para todas las empresas que quieran incluir a sus productos y soluciones de TI, ya que tendrán que someterse a una serie de evaluaciones y certificaciones de ciberseguridad para cualificar o aprobar su producto.
¿Qué implica el proceso para inclusión en el catálogo CPSTIC? ¿Cuál es la importancia de las evaluaciones criptográficas en el proceso de aprobación? A continuación, detallamos algunos de los pasos claves para proteger la seguridad del estado dentro del ciberespacio.
Nuevas inversiones en Defensa con foco en la ciberseguridad
La situación geopolítica ha impulsado a España a duplicar su presupuesto de Defensa hasta 2029, que este 2023 alcanzará los 12.825 millones de euros, un aumento del 25.8% comparado con el año pasado.
La subida presupuestaria es una consecuencia del panorama actual. España está respondiendo a una serie de compromisos con sus aliados en la OTAN y también enfrenta, junto a la UE, otras amenazas emergentes. Pero, por otro lado, también se presenta como una oportunidad para revitalizar el fuerte componente tecnológico e innovador de la misma, comenzando con la ciberseguridad.
La ciberseguridad ya es un gran motor para el sector tecnológico español, con más de 20 años de experiencia y un respaldo de 1.600 empresas que cada año facturan 1.300 millones de euros. Dentro del desarrollo de este ecosistema, se encuentra una entidad gubernamental dedicada a ofrecer el soporte necesario para la validación y certificación de sus sistemas, el Centro Criptológico Nacional (CCN), la entidad responsable del CPSTIC.
Evaluación y Certificación de ciberseguridad en España. ¿Qué implica la inclusión en el catálogo CPSTIC?
Todos los productos que han sido cualificados y aprobados por el Centro Criptológico Nacional para la gestión de información clasificada y sensible, forman parte del Catálogo de Productos y Servicios STIC (CPSTIC). Pero antes de su inclusión, tendrán que atravesar un proceso de evaluación y aprobación, que no es el mismo para todos los productos y varían según el uso final del destinatario.
El primer paso es identificar sí el producto es cualificado o aprobado. Los productos cualificados tienen certificadas sus funcionalidades de seguridad y son aptos para ser utilizados en sistemas afectados por el ENS en cualquiera de sus categorías (Alta, Media y Básica). En cambio, los productos aprobados también tienen la capacidad para manejar información clasificada, y por ende será clave garantizar que la información solo caiga en manos de un usuario calificado.
Además de contar con la certificación Lince, Common Criteria, u otras evaluaciones específicas, los productos aprobados tendrán que someterse a un proceso de evaluación único dirigido por el CCN, basado en las condiciones del producto y la información que se gestione.
El actual proceso de evaluación y aprobación de productos TIC se encuentra en constante evolución y su adaptación puede presentar un gran desafío para las empresas españolas, especialmente cuando se trata de afrontar el proceso para productos aprobados. El Centro Criptológico Nacional, con el soporte de los laboratorios acreditados, está dando los pasos correctos para agilizar y modernizar los procesos preparándose para la creciente demanda de aprobación de productos.
La importancia de las evaluaciones criptográficas en el proceso de acreditación
La criptografía se puede entender como una herramienta encargada de estudiar los algoritmos, protocolos y sistemas empleados para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.
La evaluación criptográfica es un requisito que aplica a todos los productos que utilicen criptografía para proteger la confidencialidad, integridad, intensidad y/o el no repudio de la información nacional clasificada.
Este tipo de metodología fue empleada por primera vez en Estados Unidos a través del National Institute of Standards and Technology en estándares como el FIPS 140 (1-3). En Europa e internacionalmente ha habido distintas iniciativas en el pasado, pero sin llegar a la madurez y aceptación de Estados Unidos.
Hoy España se posiciona como pionera en la creación de una metodología de evaluación criptográfica que abarca las mejores prácticas tanto europeas como internacionales para la evaluación de primitivas criptográficas. Sus avances fueron presentados por primera vez en las últimas jornadas STIC CCN-CERT.
Esta metodología, un desarrollo del CCN con el apoyo de jtsec (empresa del grupo Applus+), puede ser una nueva alternativa europea para modernizar, agilizar y formalizar el proceso de aprobación para algunos de los productos que busquen formar parte del Catálogo STIC.
La metodología de evaluación se divide en cuatro etapas:
1. Se comprueba que el producto cumpla con los requisitos criptográficos.
2. Se verifica que los mecanismos criptográficos implementados por el objetivo de evaluación (conocido como TOE o Target of Evaluation) cumplan con las directrices en la guía CCN-STIC 221.
3. Se realizan pruebas de Conformidad.
4. Se detectan errores comunes de implementación.
Consolidar la metodología para las evaluaciones criptográficas es un paso clave para unificar los criterios de evaluación del sector, y facilitará el proceso de aprobación para laboratorios evaluadores y fabricantes.
Applus+ Laboratories, proveedor español estratégico en evaluaciones de ciberseguridad
Para resolver este reto desafiante, en Applus+ Laboratories brindamos apoyo a la industria de defensa. Nuestro objetivo es asegurar la resiliencia frente a ciberataques de hardware, software y los protocolos de comunicaciones utilizados en sistemas y vehículos de defensa.
Nuestros laboratorios están acreditados por el Centro Criptológico Nacional español para realizar evaluaciones de ciberseguridad requeridas por este organismo. Ya sea Common Criteria, LINCE u otras más específicas.
Contamos con una amplia experiencia en ataques de penetración de última generación en hardware, software y protocolos de comunicación, y somos especialistas en evaluaciones criptográficas. Combinando esta trayectoria con nuestra acreditación hoy podemos realizar evaluaciones y soporte a los fabricantes para conseguir la inclusión de sus productos en el Catálogo CPSTIC. (José Francisco Ruiz Gualda, Co-Director de jtsec, una compañía de Applus+ Laboratories)