Buscar

Plaza Pública

Soberanía digital, una necesidad urgente

Joseba García

Las revelaciones primero, en 1976, de la red Echelon y las de Edward Snowden en 2013, pusieron a la vista de todos el poder de los programas de vigilancia americanos y, más ampliamente, la vulnerabilidad de los Estados y de los ciudadanos ante la interconexión global de internet.

Más recientemente los ataques informáticos presunta o demostradamente orquestados por gobiernos (se apunta a Rusia y China cuando servicios europeos son los afectados, aunque son muchos más los países que utilizan servicios propios e interpuestos para tales ataques), han hecho popular la preocupación por la seguridad de los datos de las personas, de las empresas y también por unas infraestructuras de todo tipo, desde la gestión de la energía y del agua, hasta la de las prestaciones sociales, vulnerables ante esas intromisiones. Súmense las denuncias de manipulaciones de la opinión pública y de los propios procesos electorales y veremos un panorama sombrío que alcanza hasta los teléfonos móviles y la seguridad de nuestras calles.

Tan grave como el robo de datos es el borrado de los mismos, que impide el ejercicio de derechos y el uso de herramientas que pueden ser clave para la toma de decisiones de gobierno y de estrategias empresariales, pero la denegación de servicio, la no disponibilidad de sistemas de información y de gestión digitales, implica también no poder realizar actuaciones tan críticas como gestionar prestaciones sanitarias, de empleo, de asistencia para estados de necesidad o para renovar documentación esencial para el ejercicio de otros derechos.

La soberanía digital como causa del riesgo y como solución al mismo

El concepto de soberanía digital toma fuerza a partir del siglo actual. El Senado de Francia, en su Rapport sur la souveraineté numérique define la soberanía digital como la “capacidad del Estado para actuar en el ciberespacio”. Es la contraparte política de la ciberseguridad.

Las infraestructuras de internet están hoy, mayoritariamente, en manos chinas (BATX: Baidu, Alibaba, Tencent y Xiaomi) y norteamericanas (GAFAM: Google, Amazon, Facebook, Apple y Microsoft), sobre ellas se basan los servicios que utilizamos en nuestras vidas privadas, pero también hay una tendencia a apoyarse en ellas las administraciones públicas. La disputa de estas compañías por esos datos es a veces encarnizada, lo que demuestra su valor, es más, hasta las administraciones públicas acaban pagándoles por esos datos generados por sus ciudadanos.

Está en juego la democracia tal y como la entendemos, Europa ha de reaccionar y dotarse de capacidad para tener un control de las herramientas tecnológicas de las redes. Así se puso de manifiesto en la Conferencia de Seguridad de Munich, en su sesión de febrero de 2020.

Desde el otro lado China tiene claro su objetivo de soberanía digital y no lo oculta.

Europa, impulsado sobre todo por Francia y Alemania, ha lanzado el proyecto de un ecosistema propio que permita a los operadores europeos no depender de los entornos controlados por empresas norteamericanas (y/o chinas) y que permita a las empresas y a la ciudadanía europea en general operar bajo las garantías de ciberseguridad y de protección de datos personales acorde con la normativa y estándares europeos: el Proyecto Gaia X, con la participación en su lanzamiento de 22 empresas europeas (ninguna Española).

Se ha anunciado el hub español de Gaia X, pero sigue en pie el problema complementario de dar solución a la gestión, en semejante contexto, de los sistemas y de los datos responsabilidad de las Administraciones Públicas en el Estado Español. Se observa una tendencia a la externalización de almacenamientos de datos y de gestión de los sistemas, en la mayor parte de los casos sin necesidad de justificarlo, “porque es tendencia” se llega a decir. No se justifica, en el caso de entidades administrativas, ni una economía de escala ni una mayor garantía de las prestaciones. Para un centro medio/grande, el coste del almacenamiento y de los servicios asociados, a medio/largo plazo, es mayor. Evidentemente para tener medios propios hace falta una fuerte inversión inicial, si se carece de un centro de datos y procesos, pero volveremos sobre este punto.

Francia, la Direction Interministérielle du numérique, dio instrucciones para que los funcionarios públicos no utilicen los programas de Office 365 de Microsoft en la nube porque “no cumplen con la doctrina de la nube en el centro” (Cloud au Centre) y les pide que utilicen la nube interna nacional (dos nubes interministeriales tiene Francia disponibles y Alemania también trabaja en su G-Cloud conocida como Bundes-Cloud) o sistemas con la etiqueta “SecNumCloud”. En realidad es un reacción, también en otros países, a la Cloud Act norteamericana de 2018 que exige a los proveedores de servicios norteamericanos (como Microsoft) que, independientemente de la ubicación de sus sistemas, revelen los datos que poseen si las autoridades de EEUU lo solicitan, lo que ya cuestionó el European Data Supervisor en 2019 (aunque el pecado no es solo norteamericano).

España cuenta con una certificación de conformidad con el Esquema Nacional de Seguridad (ENS), que incluye sistemas en la nube, expedida por el Centro Criptologico Nacional (CCN) y respaldada por AENOR (están certificados servicios de Google y de Microsoft entre otros). Lo cierto es que, siendo una buena base, ha aportado también despiste en los gestores. La certificación no garantiza sino las instalaciones y cierta gestión de la empresa certificada, pero no exime a la administración licitante de establecer los procedimientos concretos que el ENS y el Reglamento Europeo de Protección de Datos (RGPD) exigen que establezcan los responsables de los datos, especialmente cuando de datos objeto de alta protección se trata. Aspectos como la total trazabilidad de los accesos a lo datos (y a sus soportes), la ubicación de las copias y la identificación de quiénes acceden a ellas y a su manipulación, son casi de imposible cumplimiento en la práctica cuando se trata de un gran centro de Servicios en la nube.

Por una G-Cloud

De lo que no dispone el Estado Español es de esas infraestructuras en nube que veíamos en los casos francés y alemán (también Gran Bretaña trabaja en la misma dirección) a disposición de todas las administraciones públicas. Existen potentes infraestructuras (AEAT, Seguridad Social, Dirección General de Policía…) con seguridad perfectamente homologada, en algún caso con espacio físico disponible (aunque sin gestión), incluso alguna periódica la promesa de otro futuro gran centro de la Administración General del Estado, al menos como infraestructura.

No existe un organismo para la gestión de datos y sistemas, al menos de la Administración General del Estado, tal vez la futura Agencia TIC prevista en la Ley de Presupuestos para 2022 (materialización de una idea que ya iba a poner en marcha CORA en 2012) asuma algún papel al respecto.

La otra opción es dotarse de una empresa pública capaz de desarrollar tal papel. Ya existió la empresa pública para estas tecnologías, INDRA, (escorada hacia la Defensa) pero no se lanzó en la dirección de fomentar la soberanía digital, se vendió.

Es vital la soberanía digital, como protección de los datos de las personas, en especial de los que tienen en su poder las administraciones públicas, pero también para garantizar que software, algoritmos y su uso respondan a los fines legítimos, empezando por la protección de los derechos fundamentales, para llevar a facilitar su ejercicio e impedir su manipulación. La soberanía digital ha de conllevar su democratización, la participación y transparencia para las personas que componen el pueblo soberano.

La Agencia TIC de la AGE, si se prefiere ese modelo, debería pilotar e impulsar la digitalización de las Administraciones Públicas, mejorando su eficiencia y capacidad. Ha de estar dotada de capacidad suficiente, con capacidades tecnológicas basadas en la captación de talento propio, no subcontratado, y en la potenciación de la soberanía digital, basada en sistemas sobre código abierto, de producción europea, creando infraestructuras de G-Cloud, como han hecho Francia (con dos grandes centros para las Administraciones Públicas), Alemania, Gran Bretaña y otros países e impulsa la Unión Europea. También tendría mucho que decir en la creación de ecosistemas digitales alternativos a los norteamericanos y chinos, como impulsa Gaia X de la UE y que se plasmen en plataformas ya operativas como el Proyecto Andrómeda de Francia.

La base existente más similar al G-Cloud son los centros de la Agencia Española de Administración Tributaria, de la Seguridad Social o la Dirección General de Policía, pero son entornos sectoriales, aunque colaboren en algunos servicios horizontales para las Administraciones Públicas como los servicios de autenticación del DNI y de Cl@ve o Notific@. La Secretaría General de Administración Digital proporciona también aplicativos para la administración electrónica (registro electrónico, Portafirmas, carpeta ciudadana, gestión de notificaciones…) y la tímida experiencia de la red SARA, cuyos Servicios (Registro, Carpeta Ciudadana, Plataforma de Intercambio, INSIDE, ARCHIVO, Nómina NEDAES, Portafirmas…), a veces no bien conocidos dentro de la propia AGE, plantean problemas de capacidad y fiabilidad notables, desde hace años, muy lenta y parcialmente corregidos.

Estamos lejos de los servicios que precisa esa G-Cloud:

  • Infraestructura como servicio (IaaS).
  • Plataforma como servicio (PaaS).
  • Software como servicio (SaaS).
  • Proveedor de servicio de cloud especializada.

Más lejos aún de una solución como la del proyecto francés Andrómeda, que busca crear la alternativa francesa a los servicios de las GAFAM para evitar que datos sensibles sean albergados en otros países. Claro que se ha planificado invertir para ello cientos de millones de euros a fin poder contar con centros de datos, preferentemente situados en Francia y en todo caso en Europa, que marcan un punto seguro para las empresas que temen por su seguridad y su privacidad y no quieren ver viajar sus datos por servidores situados fuera de la UE. Se invierte en cloud computing “para conjurar el riesgo de que actores no europeos (al gestionar esta tecnología) tengan acceso a datos estratégicos de las compañías francesas y europeas y asumir la responsabilidad de la seguridad y fiabilidad de nuestros sistemas”; se crea una entidad independiente, con control público (al menos el 33% de la entidad), con el objetivo de “proyectar, construir y gestionar la infraestructura de una central digital”, con vocación europea. La participación española en GAIA X está pendiente de “manifestaciones de interés” para el HUB nacional sobre temas de Inteligencia Artificial, pero ninguna noticia de proyectos similares a Andrómeda.

En la Ley General de Presupuestos para 2022, en la Disposición adicional centésima novena, se crea la Agencia Estatal de Administración Digital, con una redacción que poco nos dice respecto de lo anterior y, en paralelo, la tramitación de un gran contrato para la SGAD de más de 25 millones de euros para 33 meses, parece un vaticinio nada halagüeño: Objeto del contrato: “el apoyo técnico para la gestión e implantación de proyectos de transformación digital en el marco de la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025. Las funciones (…) que habitualmente se conocen como de “Oficina de Gestión de Proyectos”, permitirán que desde la SGAD se centralicen y unifiquen el reporte, la comunicación y la coordinación del porfolio de proyectos transversales que conforman el Eje 1 del Plan de Digitalización de las Administraciones Públicas 2021-2025, así como la organización, los procesos y el seguimiento y control del Plan en general”.

“Llevar a cabo, de acuerdo a las indicaciones de la Subdirección General de Planificación y Gobernanza de la Administración Digital de la SGAD, encargada de la coordinación del Plan, y reportando a la Dirección de ésta, las diferentes tareas que permitirán ese control y reporte centralizado. Se tratará por tanto de equipos de trabajo, dedicados específicamente al Plan de Digitalización de las Administraciones Públicas y cuyas funciones serán independientes del resto de proyectos y actividades que se desarrollan en la SGAD. Su actividad se limitará por tanto también en el marco temporal al periodo de ejecución del Plan”.

Es decir que se externaliza la planificación y seguimiento de la digitalización de las Administraciones Públicas, con lo que supone de orientación hacia la externalización de lo que de ahí se derive, supeditando los recursos tic de esas administraciones a las directrices de la o las empresas privadas contratadas, con un coste de gestión evidentemente más elevado, máxime cuando se está dispuesto a pagar por talento externo lo que no se está dispuesto a pagar para su captación en el sector público, como demuestran las tablas aportadas para el cálculo de costes, insultantes para los más altos y experimentados funcionarios.

Otros aspectos de la soberanía digital

El ámbito educativo, la tecnificación de la enseñanza, que bien merece un análisis específico, es un buen ejemplo, en este contexto, de como la renuncia a la soberanía digital supone una serie de peligros, en este caso para una parte muy sensible de la sociedad y su futuro, las personas menores de edad y su formación, y una asunción de costes para las arcas públicas en buena medida innecesarios.

En nuestro entorno el impulso de la inserción en escuelas e institutos de dispositivos y herramientas digitales, incluso argumentos para la sustitución de la enseñanza presencial, se ha acelerado ante las urgencias de confinamiento impuesto por el covid-19

En nuestro entorno próximo el impulso hacia la inserción en escuelas e institutos de dispositivos y herramientas digitales, incluso argumentos para la sustitución de la enseñanza presencial, se ha acelerado ante las urgencias del confinamiento impuesto por el covid-19. El efecto ha sido la adquisición masiva de dispositivos, sobre todo portátiles y tablets, con sistemas operativos propietarios (iOS y Windows) y herramientas igualmente comerciales para conectarse a aplicaciones de e-learning y plataformas en la nube de las grandes corporaciones.

La orientación puede verse fácilmente en lo que recoge Red.es como proyectos para Educación, se habla de conexiones, nada de herramientas para escuelas o institutos.

Pero lo cierto es que Red.es absorbió, en 2013, una fundación, el CENATIC (Centro Nacional de Referencia de Aplicación de las Tecnologías de la Información y la Comunicación), promovido por el Ministerio de Industria, Turismo y Comercio (a través de la Secretaría de Telecomunicaciones y para la Sociedad de la Información y la entidad pública Red.es) y la Junta de Extremadura, en el que participaron las comunidades autónomas de Andalucía, Asturias, Aragón, Cantabria, Cataluña, Illes Balears y País Vasco, además de la empresa Telefónica, que fue pionero en desarrollo de software libre, sobre sistemas operativos abiertos (Linux y Ubuntu), para centros escolares. El primer sistema fue LinEx, en Extremadura, de él se derivó para Andalucía Guadalinex y siguieron otros: Lliurex en Valencia, Molinux en La Mancha, Max en Madrid, Galinux Galicia. Todos mantenidos y actualizados por el CENATIC, hasta que Red.es descontinuó ese mantenimiento. Hoy tan sólo quedan como desarrollo de aquella herencia Lliurex y Max y, en Andalucía, en sistemas abiertos, pero con desarrollo propio, EducaAndOS.

El negocio en el ámbito educativo, como vemos mucho más fácilmente reconducible al uso de sistema abiertos, herramientas de libre disposición y programación sobre lenguajes abiertos, ha quedado en manos de las grandes multinacionales, lo que supone una hipoteca de futuro frente a la soberanía digital porque:

  1. Los datos de las interacciones con las plataformas se almacenan en la nube (los discos de almacenamiento de las GAFAM) y pasan por los registros de esas corporaciones, aún anonimizados tienen un valor comercial para futuras planificaciones de esas empresas que se adapten a los gustos y comportamientos de los futuros adultos (que a su vez también tratarán de condicionar).
  2. Los sistemas operativos propietarios y las herramientas comerciales que utilicen los escolares supondrán un evidente mercado de futuro, de ellos como consumidores y de los que se captarán en su entorno.
  3. Se garantizan años de dinero público para el mantenimiento y actualización de esas plataformas.

Los desarrollos propios de la AGE (y de otras administraciones públicas) están fuertemente condicionados por los marcos utilizados para ellos, las plataformas de base sobre las que se apoyan. No hay una apuesta por evitar las herramientas de desarrollo propietarias y exigir la utilización de estándares en los desarrollos. Los entornos ministeriales son un puzzle de lenguajes y librerías que dificultan la interacción, a pesar del intento que supuso y supone el Esquema Nacional de Interoprabilidad (ENI), la compartición y reutilización de aplicativos. Hay cuestiones viables que fácilmente podrían hacerse: establecer que los desarrollos web se hagan sobre estándares abiertos en vez de para gestores de contenidos o suites de marcas determinadas; en lugar de servidores de aplicaciones propietarias establecer el uso de alternativas de código abierto de probado rendimiento y menor precio; desarrollos en Java estandarizado (o en Phyton, cuando sea aplicable) y SQL todo lo estándar se pueda; utilización como gestor de base de datos de PostgreSQL, al menos en sistemas no críticos, en lugar de gestores de bases de datos propietarios, empezando por el casi monopolístico (y muy caro) Sistema de Oracle (esto vale también para Microsoft SQLServer o DB2 de IBM); reflexionar sobre la necesidad de implementar sistemas tan complejos y costosos como SAP u otros de ese tipo en el entorno de la gestión pública, al que además se adaptan con muchas dificultades…

Otros entornos técnicos, a pesar de ser muy dependientes de grandes corporaciones, son más difíciles de sustituir por alternativas. Es el caso del uso de Teradata para la gestión de grandes volúmenes de datos, de software estadístico como SAS y SPSS, muy ligado a la analítica predictiva.

Este tipo de casuística requeriría de una reflexión y, probablemente, de una negociación, para optimizar la utilización (y por tanto los costes) de tales herramientas, a partir de una visión global de la AGE en su conjunto. Instrumentos como la compartición de herramientas, la creación de entornos que las ofrezcan como servicio, conseguirían economías de escala y también una mejora de la gestión al permitir que no sólo los grandes centros de tecnología puedan trabajar con herramientas y datos en entornos de Big Data, potentes estadísticas, analítica predictiva o inteligencia artificial.

Otras cuestiones que debemos plantearnos para la soberanía digital de ámbito al menos europeo y que afectan a cada usuario de los entornos de Internet:

  • La dependencia y el condicionamiento a los que nos someten los navegadores, en la práctica tres: Google, Safari y Edge.
  • Deciden qué podemos ver de la información disponible en Internet y con qué relevancia, tan es así que las compañías propietarias de los mismos negocian con los gobiernos que exigen recortes al acceso a la información disponible configuraciones que garanticen la prohibición impuesta a los ciudadanos correspondientes.
  • Condicionan nuestros accesos a servicios de Gestión electrónica al decidir unilateralmente sobre los sistemas de autenticación que consideran seguros. La lista de Entidades de Certificación de Confianza embebida en los navegadores nos dice si considera un sitio que visitamos seguro o no y si nuestro certificado personal para autenticación y firma lo ha emitido alguien de fiar. Pues bien, esa lista que tantas alarmas genera en las personas usuarias no se basa en ningún sistema estándar, no se alimenta de la lista de Proveedores de Confianza de la UE, sino que requiere que la entidad que ahí quiera aparecer se someta a los procesos (y pagos) establecidos por esos fabricantes, así la FNMT, principal emisor de certificados en el Estado Español (como muchos otros de la lista europea) no aparece por defecto y el ciudadano que accede a un servidor autenticado como de confianza con un certificado de la FNMT o que se autentica con un certificado personal de esa entidad, verá en pantalla un aviso de peligro totalmente injustificado.
  • Los algoritmos que utilizan los programas de gestión de las redes sociales y la información de nuestro uso de las mismas que manejan, con muy escasa transparencia y apoyándose en última instancia en unas condiciones, aceptadas expresamente por el usuario, pero cuya complejidad, extensión y carácter obligatorio en su integridad, o lo toma o lo deja, equivalen en la práctica a la garantía de que nadie se lo ha leído.

Tareas Urgentes para la Soberanía Digital

  • Disponer de una G-Cloud, una nube privada de las administraciones públicas, con tantas instancias como se considere, bajo el control de técnicos propios. Es imposible en la realidad garantizar la seguridad si no hay un control exhaustivo del acceso físico a las instalaciones. Ése es un primer punto que de ninguna manera está garantizado cuando ni siquiera sé dónde está físicamente dicho centro. El que Microsoft o Amazon me garanticen el acceso físico a instalaciones, que pueden estar en Utah, pero donde, en todo caso, no solamente están mis datos sino los de miles de otras empresas e instituciones, es el equivalente a un certificado PDNJ (Palabrita Del Niño Jesús).
  • Mejorar la fiabilidad, prestaciones y usabilidad de los entornos de administración electrónica.
  • Crear un espacio para que las empresas, especialmente PYMEs y autónomos, dispongan de un potente espacio de herramientas de gestión hoy sólo al alcance de las grandes corporaciones, con plenas garantías sobre la protección de los datos de sus clientes y de su gestión empresarial bajo estándares europeos.
  • Establecer normas internas que impulsen todo lo posible el uso de sistemas de código abierto (vimos que el entorno educativo es, por ejemplo, especialmente abordable, lo que es extrapolable a otro sistemas de formación), estándares a todos los niveles, incluida la programación, con un cronograma de migración.
  • Reforzar la protección de datos personales, estratégicos y los sistemas, con una concienciación y formación, desde los procesos selectivos a la formación continua de la AGE y reforzando los medios de el CCN y del INCIBE para la prevención y apoyo en temas de ciberseguridad.
  • Reconsiderar el papel de la AGE frente a las multinacionales TIC para que asuma el liderazgo de la soberanía digital frente a los intentos monopolísticos, la imposición de criterios comerciales frente a los estándares técnicos y manejando su capacidad negociadora para defender las inversiones TIC en base a criterios técnicos y de economía de escala.
  • Establecer medidas (acceso básico a datos para todos, ancho de banda mínimo garantizado, alfabetización digital…), con un cronograma para acabar con las brechas digitales, sociales y territoriales.

___________________________

Joseba García es responsable de Soberanía Digital de Podemos y ex subsecretario del Ministerio de Derechos Sociales y Agenda 2030

Más sobre este tema
logo infoLibre

Suscríbete para que podamos seguir investigando y haciendo periodismo de calidad

Hazte socia/o
stats