Después de no lograr los “resultados esperados”, el Centro Nacional de Seguridad Cibernética (NCSC) de Suecia se enfrenta a una serie de reformas, incluida la de quedar bajo el control de la agencia de inteligencia cibernética y de señales del país.
Las fallas fueron evaluadas como parte de una revisión gubernamental, más que como respuesta a un solo incidente, pero se produjeron en medio de una situación geopolítica cambiante para Suecia, que se unió formalmente a la OTAN en marzo a raíz de la invasión rusa de Ucrania.
La reestructuración hará que Suecia avance hacia un modelo para su centro de ciberseguridad similar al del Reino Unido, Noruega y Dinamarca, donde esos organismos son parte del GCHQ, la Autoridad de Seguridad Nacional de Noruega y el Servicio de Inteligencia de Defensa de Dinamarca, respectivamente.
Las reformas han sido recomendadas en un informe provisional, encargado por el gobierno sueco sobre las deficiencias del centro de ciberseguridad. El informe provisional elogiaba especialmente al NCSC británico por su “perfil exterior” y sus instalaciones en Nova South en Londres, que ya habían sido criticadas anteriormente por los parlamentarios.
El NCSC de Suecia se creó en diciembre de 2020, no como una autoridad en sí misma, sino más bien como un centro de colaboración voluntaria entre un puñado de autoridades, incluida su agencia principal, el Defense Radio Establishment (FRA) y las fuerzas armadas suecas.
A estas autoridades se les encomendó la tarea de utilizar el NCSC para “coordinar el trabajo para prevenir, detectar y abordar las ciberamenazas antagónicas y otros incidentes de TI”, así como “transmitir asesoramiento y apoyo sobre amenazas, vulnerabilidades y riesgos” y “constituir una plataforma nacional”. para la colaboración y el intercambio de información con actores públicos y privados en el campo de la ciberseguridad”.
Hasta cierto punto, se trataba de actividades que ya estaban siendo llevadas a cabo por diferentes agencias, pero la estructura inicial significó que el NCSC sueco no tenía presupuesto propio, sino que los fondos provenían de las autoridades participantes.
Además de los desafíos legales que limitaron las contribuciones de las autoridades participantes a sus tareas legalmente prescritas, las limitaciones de financiamiento contribuyeron a que el NCSC no cumpliera con las expectativas del gobierno.
La investigación del gobierno encontró que el NCSC carecía de “objetivos, misiones y división de responsabilidades claros” y, en particular, apuntó a definiciones estrechas de las tareas del centro, limitándolas a abordar incidentes “importantes” en lugar de “significativos”, y “ataques cibernéticos”. de “amenazas cibernéticas”.
Sus recomendaciones, algunas de las cuales requerirán la entrada en vigor de legislación, tienen como objetivo ayudar al NCSC a lograr su objetivo general de fortalecer “la capacidad colectiva de Suecia para prevenir, detectar y gestionar amenazas cibernéticas e incidentes informáticos importantes”.
Las recomendaciones se centran en que el NCSC adopte las responsabilidades de diferentes tareas de ciberseguridad que actualmente están repartidas entre varias autoridades suecas, y que el NCSC se convierta en un organismo de propiedad exclusiva de la FRA, la agencia sueca de inteligencia cibernética y de señales, aunque las otras seis autoridades seguirán participando en Artículo.
CERT-SE, el CSIRT (Equipo de respuesta a incidentes de seguridad informática) nacional de Suecia, actualmente es operado por la agencia de contingencias civiles del país en lugar de una autoridad de ciberseguridad. La investigación recomienda que estas actividades “deberían transferirse a la [FRA] y NCSC lo antes posible”.
Se espera que se recomienden otros cambios en informes posteriores de la investigación.
Las reformas suecas, al igual que muchos países europeos, intentan lograr un equilibrio dentro de su aparato de ciberseguridad entre los servicios de inteligencia y aspectos del gobierno que están más acostumbrados a interactuar con el público y la industria.
Si bien se espera que esto suponga un desafío para la FRA, el modelo en Gran Bretaña, Noruega y Dinamarca (que el informe del gobierno elogia) sugiere que se puede hacer de manera efectiva.
