Desde el pasado fin de semana las instituciones públicas y privadas consideradas como prestadores de servicios esenciales y operadores de importancia vital deben reportar sus ciberincidentes al CSIRT Nacional de la ANCI.
El pasado viernes 28 de febrero y sábado 1 de marzo, fueron publicadas en el Diario Oficial de la República dos nuevas normativas que complementan la ley marco de ciberseguridad: el Reglamento de Reporte de Incidentes de Ciberseguridad y la Taxonomía de Incidentes de Ciberseguridad.
Las medidas buscan mejorar la capacidad de respuesta ante incidentes que puedan comprometer la seguridad digital del país y establecen mecanismos para la notificación de ataques informáticos.
En cuanto al reporte de incidentes, y tal como lo establece la ley, a partir del pasado sábado, todas las instituciones públicas y privadas que presten servicios esenciales (PSE) o sean calificadas como operadores de importancia vital (OIV) estarán obligadas a reportar incidentes de ciberseguridad con efectos significativos al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática).
El reglamento de reporte de incidente (CVE 2617387) establece que cualquier incidente con impacto significativo deberá ser informado en un plazo máximo de 3 horas desde su detección, seguido de un segundo reporte en 72 horas, en el que se deben incluir detalles sobre el incidente, sus efectos y las medidas de mitigación adoptadas. Finalmente, un informe final deberá ser entregado en un plazo de 15 días, consolidando toda la información y proponiendo acciones correctivas.
Por su parte, el viernes 28 de febrero fue publicada la Taxonomía de Incidentes de Ciberseguridad (CVE 2617388), norma en la cual se desglosa en cuatro áreas de impactos y once efectos observables.
De acuerdo con lo anterior, se considera como impacto en el uso legítimo de sistemas, los accesos no autorizados, los ataques de fuerza bruta, el phishing, el uso indebido de credenciales y la ejecución de código malicioso; como impacto en la confidencialidad de la información se contemplan las filtraciones de datos, la exposición de credenciales, la pérdida de información sensible y la divulgación de código fuente; se incluye dentro del impacto en la disponibilidad de servicios esenciales a los ataques de denegación de servicio (DDoS), la sobrecarga de redes y los sabotajes que impidan la operatividad de sistemas críticos; mientras que los impactos en la integridad de los datos incluyen la alteración de registros, la manipulación de configuraciones, los cambios en políticas de seguridad y la eliminación de logs de auditoría.
Para garantizar la correcta implementación de estas medidas, se ha habilitado una plataforma de notificación disponible 24/7 (https://portal.anci.gob.cl), a través de la cual las instituciones podrán reportar incidentes en tiempo real.
La Agencia Nacional de Ciberseguridad, creada por la Ley N° 21.663 y que comenzó a funcionar el pasado 1 de enero, es la entidad encargada de fiscalizar el cumplimiento de estas normas, asegurando que los prestadores de servicios esenciales y operadores de importancia vital informen de manera precisa y oportuna cualquier incidente de ciberseguridad. Por su parte, es responsabilidad del CSIRT Nacional analizar los reportes y coordinar las respuestas necesarias para mitigar los riesgos y daños asociados a ataques cibernéticos.