Ciberataques: Proyecto de ley del gobierno obligará a empresas reguladas a gastar más en tecnología

A diversas exigencias, y más gastos, se verán sometidas las empresas de los sectores regulados en materia de ciberseguridad, según se desprende del cronograma de cambios legislativos que propondrá el gobierno al Congreso, y que fue presentado esta semana.

El tema se volvió prioritario luego del ataque informático perpetrado al Banco De Chile el 24 de mayo, en que se perdieron US$10 millones, y por el cual las autoridades de Hong Kong arrestaron ayer a un ciudadano chino por su eventual responsabilidad. El 26 de julio, en tanto, en un nuevo ataque se divulgaron los datos confidenciales de más de 14 mil usuarios de tarjetas bancarias.

Tras estos eventos, el gobierno comenzó a acelerar sus medidas legislativas. El lunes último compareció ante una sesión especial en la Cámara de Diputados el asesor presidencial en el tema Jorge Atton, quien adelantó allí algunos de los proyectos que se enviarán.

El ex subsecretario de Telecomunicaciones trabaja este tema junto al subsecretario del Interior, Rodrigo Ubilla.

En la sesión, Atton anticipó que se enviarán iniciativas como la nueva ley de delitos informáticos, que tipificará ilícitos hoy no considerados y buscará mejorar la prueba de éstos. También está en carpeta una ley de infraestructura crítica, que apunta a definir qué organismos públicos y empresas privadas tienen categoría de estratégicas. Además se trabajará en una ley marco de ciberseguridad.

En el papel, el segundo de estos frentes, el de la infraestructura crítica, acarreará más obligaciones y gastos a los privados. Además de definirlas, la norma planteará estándares y exigencias mínimas de ciberseguridad a las empresas de los sectores regulados.

Si bien los proyectos aún no están afinados, en el Ejecutivo estiman que dicha ley debiese abarcar -por lo menos- a las firmas relacionadas con el suministro y distribución energética (agua, luz, gas, electricidad), de telefonía e internet.

La idea es que ante un ciberataque, todas deban responder siguiendo protocolos y normas y no dejarlo a discreción de cada una. Si bien, por ejemplo, los bancos afectados por el incidente de julio informaron a sus clientes siguiendo su criterio, la idea es que dicha conducta sea una de las tantas obligaciones.

En el gobierno dicen estar conscientes de que es factible que las empresas resientan en alguna medida una norma que les obligará a incurrir en más gastos en tecnología y personal para enfrentar estas emergencias. De acuerdo a la presentación que hizo Atton el lunes, esta última iniciativa tiene como fecha tentativa el mes de junio de 2019.

En carpeta está antes el proyecto de protección de datos personales, el cual ya pidió apurar el Consejo para la Transparencia, entidad que hará las veces de agencia mandatada para investigar y sancionar.

El Ejecutivo también espera normar exigencias en la misma línea a empresas proveedoras del Estado.

En la sesión especial del lunes, la Cámara de Diputados aprobó tres resoluciones sobre la materia. Una que solicita al Presidente trabajar una política pública de carácter nacional en materia de ciberseguridad, con el objeto de dotar a las Fuerzas Armadas de un margen de acción, tanto en la defensa, como disuasión y reacción ante eventuales amenazas contra la seguridad nacional.

La segunda, pide al Gobierno promover protocolos, políticas, programas y leyes, tendientes a incrementar la seguridad virtual de los soportes electrónicos de Bancos e Instituciones Financieras; promover una mesa de trabajo tripartita integrada por el Gobierno, la banca privada y estatal, y los consumidores; y promover una serie de cambios legales.

Y la tercera, solicita a los ministros del Interior y de Defensa que adopten todas las medidas para elevar al máximo las exigencias en materia de protección cibernética en asuntos de seguridad nacional.