Cas Pegasus

¿Què és el Centre Criptològic Nacional, l’organisme que va alertar de l’espionatge a Sánchez i Robles?

Creat el 2004 i adscrit al CNI, coordina aquells àmbits de l’Administració que utilitzen mitjans o procediments xifrats amb l’objectiu de garantir la seguretat

¿Què és el Centre Criptològic Nacional, l’organisme que va alertar de l’espionatge a Sánchez i Robles?
2
Es llegeix en minuts

Primer van ser diversos líders independentistes, ara també Pedro Sánchez i Margarita Robles. El Govern ha denunciat que el software Pegasus va ser utilitzat el 2021 per espiar els telèfons del president del Govern i de la ministra de Defensa. Segons Félix Bolaños, titular de la cartera de Presidència, els dispositius de tots els membres de l’Executiu van ser examinats pel Centre Criptològic Nacional (CCN), un organisme adscrit al Centre Nacional d’Intel·ligència, que va descobrir les «intervencions il·lícites i externes» a Sánchez i a Robles.

Creat el 2004, el CCN és un organisme que coordina aquells àmbits de l’Administració que utilitzen mitjans o procediments xifrats amb l’objectiu de garantir la seguretat, informar sobre l’adquisició coordinada del material criptològic i formar el personal especialista.

Està adscrit al CNI i se li encomanen les funcions de seguretat en tot el tema de les tecnologies de la informació i respecte a la protecció de la informació classificada. El secretari d’Estat director té la responsabilitat de dirigir el CCN, per això comparteix mitjans, procediments, normativa i recursos amb el Centre Nacional d’Intel·ligència.

Objectius del CCN-CERT

Dins d’aquest organisme es coordina el CCN-CERT com la capacitat de resposta a incidents de seguretat de la informació. Es tracta d’un servei posat en marxa el 2006 com a CERT Governamental Nacional espanyol i les seves funcions queden recollides en diverses lleis.

La seva missió principal, per tant, és contribuir a la millora de la ciberseguretat espanyola. Funciona com a centre d’alerta i resposta nacional amb l’objectiu de cooperar i donar resposta als atacs cibernètics de manera àgil i eficient. Així, afronta de manera activa tota mena de ciberamenaces, incloent-hi la coordinació a nivell públic estatal de les diferents capacitats de resposta a incidents o centres d’operacions de ciberseguretat existents.

Notícies relacionades

El seu objectiu és aconseguir un ciberespai més segur i confiable: preservar la informació classificada i la informació sensible, així com defensar el patrimoni tecnològic espanyol. Per a això, també forma el personal expert, aplica procediments de seguretat i desenvolupa les tecnologies més adequades per a aquesta finalitat. És competència del CCN-CERT la gestió de ciberincidents que afectin qualsevol organisme o empresa pública.

Decàleg de ciberseguretat

En la seva pàgina web, el CCN publica deu normes per millorar en matèria de ciberseguretat.

  1. Augmentar la capacitat de vigilància de les xarxes i els sistemes. És indispensable comptar amb un equip de ciberseguretat adequat.

  2. Monitoratge i correlació d’esdeveniments. Ús d’eines capaces de monitoritzar el trànsit web, usuaris remots, contrasenyes d’administració, etc.

  3. Política de Seguretat Corporativa restrictiva. Adequació progressiva dels permisos d’usuari, serveis al «núvol» i la utilització de dispositius i equips propietat de l’usuari (BYOD).

  4. Configuracions de seguretat en tots els components de la xarxa corporativa. S’hi inclouran els dispositius mòbils i portàtils.

  5. Ús de productes, equips i serveis confiables i certificats. Xarxes i sistemes acreditats per a informació sensible o classificada.

  6. Automatitzar i incrementar l’intercanvi d’informació. Reciprocitat amb altres organitzacions i Equips de Resposta a Incidents de Seguretat de la Informació (CERTs)

  7. Compromís de la Direcció amb la ciberseguretat. Els càrrecs directius han de ser els primers a acceptar que existeixen riscos i han de promoure les polítiques de seguretat.

  8. Formació i sensibilització d’usuaris (la baula més feble de la cadena). Tots i cada un dels nivells de l’organització (direcció, gestió i implantació) han de ser conscients dels riscos i actuar en conseqüència.

  9. Atenir-se a la legislació i bones pràctiques. Adequació als diferents estàndards (en el cas de les administracions públiques a l’Esquema Nacional de Seguretat –ENS-)

  10. Treballar com si s’estigués compromès. Suposar que els sistemes ja estan compromesos o que ho estaran aviat i protegir els actius fonamentals.