lunes, 28 de septiembre de 2009

Los retos de seguridad de la e-Adminstración

Ultimamente llevo publicando bastantes artículos y reflexiones sobre la Administración Electrónica. Estamos en un momento clave para el Estado, donde por primera vez se plantea el reto de utilizar eficientemente las tecnologías de la información para lograr productividad, agilidad, transparencia, ahorro económico y otras muchas ventajas más pero tengo la sensación de que estamos dejando pasar un tren que pagaremos muy caro en el siglo XXI. Este tipo de situaciones son únicas y hablar de la adecuada adaptación del Estado al uso de las tecnologías de la información tiene varios aspectos ineludibles que debieran plantearse y que quedaron reflejados en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

El problema es que la política no debe solamente preocuparse en recoger en la legislación unos preceptos sino también proporcionar recursos para que se hagan realidad. Todos los ciudadanos estamos cansados de leyes que se incumplen sistemáticamente o regulaciones que son sólo un brindis al sol. El examen real de la acción política debe ser la transformación de la realidad tras el establecimiento de la legislación. Tenemos claros ejemplos de éxito en las cifras de los accidentes de tráfico de estos últimos años. La legislación no se ha quedado en texto, ha logrado cumplir objetivos y las estadísticas (como medidoras de la realidad) demuestran con hechos la eficacia del regulador.

Leyendo el blog de Julián Valero y una noticia que me llegaba hoy por correo sobre la "inseguridad del DNI-E" se me acumulan reflexiones sobre el camino que lleva esto de la Administración electrónica.

Es curioso también ver como gremios no relacionados, como informáticos y juristas, empezamos a coincidir en el diagnóstico, cada uno desde su orilla.
  • Los jurístas están preocupados porque la transición a lo digital no pierda la seguridad jurídica del proceso tradicional. Ningún juez tiene problemas a la hora de entender y valorar que ha podido pasar en un caso relacionado con la tramitación en soporte papel.

  • Los informáticos estamos preocupados porque la transición a lo digital garantice la corrección en el procesamiento de los datos y la seguridad de la información.


Sin embargo tenemos síntomas de que esto no está siendo así en muchos casos. A ello se suma la complejidad de todo este mundo interconectado, donde por primera vez se requieren conocimientos de disciplinas muy distintas trabajando de forma conjunta para entre todos aportar una solución holística al problema.

El análisis desde la perspectiva del diseño de procesos que debe hacerse de la seguridad de la información requiere de un enfoque peculiar. Como ya comenté en su día en el post "Dentro de la Mente Torcida del Profesional de Seguridad" Bruce Schneier lo expresa muy claramente: "la seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad."

Y con esta forma de razonar, estoy sinceramente preocupado como profesional por la situación que plantea la e-Adminsitración. Quizás por venir asesorando al sector banca puedo decir que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar". Es ingenuo pensar que una vez que los procesos administrativos se canalicen por Internet no vaya a haber problemas. El ánimo de lucro es una poderosa motivación y el fraude será el origen de los males que acechen a la Administración electrónica, como ya lo es de los problemas que sufre la Administración tradicional.
¿Acaso no hay fraude en el IVA, la Renta, las subvenciones, en general en las gestiones administrativas habituales?

La Administración Electrónica puede contribuir en mucho a poner freno a estas situaciones pero tengo la sensación de que realmente parece que no queremos aprovechar estas ventajas. Es como si supieramos que estas medidas serán eficaces y que al sistema no le interese tanta efectividad. Sólo hay que ver, como prueba del éxito de los radares de tráfico cómo éstos han acabado siendo boicoteados. ¿Por qué? Porque son infalibles para el objetivo para el que han sido diseñados y por tanto, lo único que queda por hacer para vulnerar su seguridad es intentar destruirlos.

Internet no cambia los problemas, solamente los medios necesarios para causarlos.
Los técnicos que sabemos de esto nos vemos entre la espada y la pared: por un lado no queremos transmitir miedo porque si las cosas se hacen bien no tiene que haber problemas pero por otro, odiamos el absurdo juego político de vender humo cuando detrás realmente no hay ni por asomo la seguridad que se intenta vender.
De esta primera situación ya tenemos la primera víctima, el DNI-e. Aparece cuestionado como "inseguro" cuando esa afirmación no es del todo exacta.
Confundimos el todo por la parte y el mecanismo por la utilización que se hace de él.
El "USO del DNI-E" supone la relación de tres piezas: [soporte electrónico]<->[aplicación]<->[ciudadano]. Los fallos de seguridad por ahora vienen de las interacciones soporte<->aplicación y aplicación<->ciudadano. En sí mismo, la tarjeta electrónica del DNI-e si es segura, tal como demuestra la certificación ISO 15408 otorgada por el CCN. Lo que no es seguro es cómo las aplicaciones usan el DNI-e. Ya hace un par de años se hacían demostraciones técnicas de estos hechos. El tema es muy sencillo: la firma electrónica no es para nada un proceso similar a la firma manuscrita. Cuando firmamos algo, el usuario lo único que hace es indicar un pin que da acceso al sistema operativo a la clave privada del certificado para que la aplicación firme unos datos. Si la aplicación da el cambiazo a los datos, el ciudadano ni se entera.
¿Solución?
Siguiendo el principio del eslabón más debil, la seguridad debe ser igual de consistente en las tres piezas que forman parte de este proceso. En ello se trabaja desde hace tiempo.
Lo primero que se hizo es garantizar que el soporte electrónico donde se iban a guardar los datos de firma electrónica sea seguro. Pero esto es solo garantizar el buen funcionamiento de una de las piezas. Lo siguiente es ahora garantizar que deben ser seguras son las aplicaciones y el transito de información con la tarjeta electrónica. Por ello el esfuerzo del INTECO por publicar los Perfiles de protección en castellano.
Todo esto fue objeto de una explicación más extensa en los dos post ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones Parte I y Parte II. Sin embargo, ¿Quién entonces se va a molestar en garantizar que su aplicación usará bien el DNI-e?

El último de los problemas se planteará cuando siendo las aplicaciones sean seguras y el soporte también. Entonces la picaresca pondrá su objetivo en el ciudadano que no ha sido debidamente informado y formado sobre la utilización de estos medios. ¿Por qué desde el principio no se repartieron los folletos indicando en qué consiste el DNI-e?

Llevamos tanto tiempo haciendo las cosas mal que ahora va a ser muy complicado cambiar la forma de trabajar. Ni siquiera el Esquema Nacional de Seguridad puede que lo consiga. A nivel teórico es perfecto y propone un buen modelo de seguridad pero la realidad es que no dejará de ser más que un brindis al sol, como lo es actualmente el R.D. 1720/2007 en el titulo VIII de medidas de seguridad. ¿Qué consecuencias tendrá para una Administración Pública el incumplimiento del Esquema Nacional de Seguridad? ¿No tiene también consecuencias el incumplimiento de la Ley de Protección de Datos y a pesar de ello sigue sin cumplirse?

Es frustrante ver cómo si las cosas se hacen bien desde el diseño se evitan los problemas pero las miras cortoplacistas de la política no entienden estas premisas y van a apagar fuegos siempre, arreglando las cosas sobre la marcha cuando los daños ya se han sufrido.

2 comentarios:

Daryl dijo...

Yo tambien tengo mis dudas. Hay una especie de caldo, mezcla de tecnofobia y de alarmismo que hace que cualquier mínimo fallo sea amplificado al máximo. Se generan dudas sobre el uso del e-dni cuando la mayoria usa el dni normal con una alegria suicida: Entregan el dni y la tarjeta de crédito en cualquier tienda o restaurante y le pierden la pista durante segundos o minutos y nadie se molesta en estos tiempos del photoshop y escaneres varios.
Curiosamente el e-dni o en su defecto el certificado digital funciona bien en Hacienda. No hay fallos importantes y ha conseguido que la mayoria de los ciudadanos seamos "funcionarios" de hacienda pues les facilitamos mucho la recaudación de nuestro dinero. Pero mis mayores dudas están en la Justicia. Si son reacios a usar el DNI normal ¿como van a usar el e-dni?. ¿no usan el dni normal?. Pues no. En las sentencias no suele aparecer el DNI o NIF, solo el nombre y la vecindad y ello genera errores de embargos equivocados y retrasos en pagos de idemnizaciones por cualquier mínimo fallo ortgráfico. Si tienen mal implementado el uso del DNI normal (cosa que Hacienda no hace, incluso lo perfecciono imponiendo el NIF) ¿como no van a tener dudas ante implantaciones del e-DNI?

Anónimo dijo...

La cuestión no es tanto si el e-DNI y todo su entorno es seguro o no, sino si es mas o menos seguro que el DNI. Con demasiada frecuencia tengo que investigar denuncias en las que alguien utiliza los datos de otro, entre ellos el DNI, para realizar contrataciones fraudulentas, incluso con falsificaciones de firma.
Y resulta sorprendente con la facilidad que la gente da el DNI, incluso permitiendo que alguien se lo lleve para poder hacer fotocopias.
Por otro lado, cuando se utiliza en DNI para autenticar al titular de una tarjeta de crédito/debito, en el mejor de los casos comparan los nombres, pero nunca comparan la fotografia por la cara, y en muchisimas ocasiones lo único que comprueban es que tienes un DNI.

Lo perfecto es enemigo de lo bueno. Yo me conformo con mejorar.

Pit.-

 
;