El problema es que la política no debe solamente preocuparse en recoger en la legislación unos preceptos sino también proporcionar recursos para que se hagan realidad. Todos los ciudadanos estamos cansados de leyes que se incumplen sistemáticamente o regulaciones que son sólo un brindis al sol. El examen real de la acción política debe ser la transformación de la realidad tras el establecimiento de la legislación. Tenemos claros ejemplos de éxito en las cifras de los accidentes de tráfico de estos últimos años. La legislación no se ha quedado en texto, ha logrado cumplir objetivos y las estadísticas (como medidoras de la realidad) demuestran con hechos la eficacia del regulador.
Leyendo el blog de Julián Valero y una noticia que me llegaba hoy por correo sobre la "inseguridad del DNI-E" se me acumulan reflexiones sobre el camino que lleva esto de la Administración electrónica.
Es curioso también ver como gremios no relacionados, como informáticos y juristas, empezamos a coincidir en el diagnóstico, cada uno desde su orilla.
- Los jurístas están preocupados porque la transición a lo digital no pierda la seguridad jurídica del proceso tradicional. Ningún juez tiene problemas a la hora de entender y valorar que ha podido pasar en un caso relacionado con la tramitación en soporte papel.
- Los informáticos estamos preocupados porque la transición a lo digital garantice la corrección en el procesamiento de los datos y la seguridad de la información.
Sin embargo tenemos síntomas de que esto no está siendo así en muchos casos. A ello se suma la complejidad de todo este mundo interconectado, donde por primera vez se requieren conocimientos de disciplinas muy distintas trabajando de forma conjunta para entre todos aportar una solución holística al problema.
El análisis desde la perspectiva del diseño de procesos que debe hacerse de la seguridad de la información requiere de un enfoque peculiar. Como ya comenté en su día en el post "Dentro de la Mente Torcida del Profesional de Seguridad" Bruce Schneier lo expresa muy claramente: "la seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad."
Y con esta forma de razonar, estoy sinceramente preocupado como profesional por la situación que plantea la e-Adminsitración. Quizás por venir asesorando al sector banca puedo decir que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar". Es ingenuo pensar que una vez que los procesos administrativos se canalicen por Internet no vaya a haber problemas. El ánimo de lucro es una poderosa motivación y el fraude será el origen de los males que acechen a la Administración electrónica, como ya lo es de los problemas que sufre la Administración tradicional.
¿Acaso no hay fraude en el IVA, la Renta, las subvenciones, en general en las gestiones administrativas habituales?
La Administración Electrónica puede contribuir en mucho a poner freno a estas situaciones pero tengo la sensación de que realmente parece que no queremos aprovechar estas ventajas. Es como si supieramos que estas medidas serán eficaces y que al sistema no le interese tanta efectividad. Sólo hay que ver, como prueba del éxito de los radares de tráfico cómo éstos han acabado siendo boicoteados. ¿Por qué? Porque son infalibles para el objetivo para el que han sido diseñados y por tanto, lo único que queda por hacer para vulnerar su seguridad es intentar destruirlos.
Internet no cambia los problemas, solamente los medios necesarios para causarlos.
Los técnicos que sabemos de esto nos vemos entre la espada y la pared: por un lado no queremos transmitir miedo porque si las cosas se hacen bien no tiene que haber problemas pero por otro, odiamos el absurdo juego político de vender humo cuando detrás realmente no hay ni por asomo la seguridad que se intenta vender.
De esta primera situación ya tenemos la primera víctima, el DNI-e. Aparece cuestionado como "inseguro" cuando esa afirmación no es del todo exacta.
Confundimos el todo por la parte y el mecanismo por la utilización que se hace de él.
El "USO del DNI-E" supone la relación de tres piezas: [soporte electrónico]<->[aplicación]<->[ciudadano]. Los fallos de seguridad por ahora vienen de las interacciones soporte<->aplicación y aplicación<->ciudadano. En sí mismo, la tarjeta electrónica del DNI-e si es segura, tal como demuestra la certificación ISO 15408 otorgada por el CCN. Lo que no es seguro es cómo las aplicaciones usan el DNI-e. Ya hace un par de años se hacían demostraciones técnicas de estos hechos. El tema es muy sencillo: la firma electrónica no es para nada un proceso similar a la firma manuscrita. Cuando firmamos algo, el usuario lo único que hace es indicar un pin que da acceso al sistema operativo a la clave privada del certificado para que la aplicación firme unos datos. Si la aplicación da el cambiazo a los datos, el ciudadano ni se entera.
¿Solución?
Siguiendo el principio del eslabón más debil, la seguridad debe ser igual de consistente en las tres piezas que forman parte de este proceso. En ello se trabaja desde hace tiempo.
Lo primero que se hizo es garantizar que el soporte electrónico donde se iban a guardar los datos de firma electrónica sea seguro. Pero esto es solo garantizar el buen funcionamiento de una de las piezas. Lo siguiente es ahora garantizar que deben ser seguras son las aplicaciones y el transito de información con la tarjeta electrónica. Por ello el esfuerzo del INTECO por publicar los Perfiles de protección en castellano.
Todo esto fue objeto de una explicación más extensa en los dos post ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones Parte I y Parte II. Sin embargo, ¿Quién entonces se va a molestar en garantizar que su aplicación usará bien el DNI-e?
El último de los problemas se planteará cuando siendo las aplicaciones sean seguras y el soporte también. Entonces la picaresca pondrá su objetivo en el ciudadano que no ha sido debidamente informado y formado sobre la utilización de estos medios. ¿Por qué desde el principio no se repartieron los folletos indicando en qué consiste el DNI-e?
Llevamos tanto tiempo haciendo las cosas mal que ahora va a ser muy complicado cambiar la forma de trabajar. Ni siquiera el Esquema Nacional de Seguridad puede que lo consiga. A nivel teórico es perfecto y propone un buen modelo de seguridad pero la realidad es que no dejará de ser más que un brindis al sol, como lo es actualmente el R.D. 1720/2007 en el titulo VIII de medidas de seguridad. ¿Qué consecuencias tendrá para una Administración Pública el incumplimiento del Esquema Nacional de Seguridad? ¿No tiene también consecuencias el incumplimiento de la Ley de Protección de Datos y a pesar de ello sigue sin cumplirse?
Es frustrante ver cómo si las cosas se hacen bien desde el diseño se evitan los problemas pero las miras cortoplacistas de la política no entienden estas premisas y van a apagar fuegos siempre, arreglando las cosas sobre la marcha cuando los daños ya se han sufrido.