AUTORIZA LA PUBLICIDAD DE ALERTAS TEMPRANAS, AVISOS E INFORMACIÓN SOBRE RIESGOS E INCIDENTES DE CIBERSEGURIDAD
Núm. 2 exenta.- Santiago, 15 de enero de 2025.
Vistos:
Lo dispuesto en la Constitución Política de la República; en la ley 21.663, marco de Ciberseguridad; en el decreto supremo N° 479, de 2024, del Ministerio del Interior y Seguridad Pública, y la resolución N° 6, de la Contraloría General de la República.
Considerando:
1.- Que la ley N° 21.663 creó la Agencia Nacional de Ciberseguridad como un servicio público descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado en materias propias de ciberseguridad, con competencia para velar por la protección, promoción y respeto del derecho a la seguridad informática.
2.- Que el artículo 24 de la ley creó, dentro de la Agencia, el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), al que, de conformidad a la letra i) de dicho artículo, le corresponde ejercer la función de difundir alertas tempranas, avisos e información sobre riesgos para la comunidad.
3.- Que, conforme el artículo 33 de la ley, se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o que pertenezcan a organismos de la Administración del Estado o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos.
4.- Que, a dicho deber general de reserva -respecto a la información que obra en poder de la Agencia- se le aplica la excepción de publicidad contenida en el artículo 35 de la ley cuando, en cumplimiento de sus funciones, la Agencia o el CSIRT Nacional deba difundir antecedentes que se encuentren sujetos a reserva, siempre que ello permita gestionar, prevenir o contener un incidente de ciberseguridad.
5. Que, en virtud de lo anteriormente señalado, corresponde emitir el presente acto administrativo que disponga la publicidad de las alertas de vulnerabilidades de ciberseguridad emitidas por el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).
Resuelvo:
Artículo primero. Autorízase al Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional) para difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.
Artículo segundo. Se encuentran comprendidos dentro de la presente autorización las alertas de ciberseguridad, los avisos y los informes técnicos sobre vulnerabilidades de ciberseguridad que divulgue el CSIRT Nacional.
Se entenderá por alerta de ciberseguridad aquella comunicación que tiene por objeto informar sobre una amenaza o vulnerabilidad específica y sobre las medidas que se deben adoptar para proteger la infraestructura de redes y sistemas informáticos. Existirán, al menos, las siguientes categorías de alertas:
i. Alertas de falsificación: información sobre sitios que se hacen pasar por otros, y que podrían intentar capturar credenciales u otra información sensible de personas.
ii. Alertas de incidentes: información urgente sobre una vulnerabilidad que está siendo explotada activamente.
iii. Indicadores de compromiso: información urgente que permite identificar con un alto grado de probabilidad cuando un sistema ha sido comprometido. Se incluye en esta categoría información sobre malware, phishing, vishing, smishing y otros.
iv. Alertas de vulnerabilidad: información sobre vulnerabilidades en software y aplicaciones utilizadas en los activos informáticos en las organizaciones.
Asimismo, quedarán comprendidos dentro de la autorización los avisos e informes técnicos, incluyéndose el siguiente listado:
i. Manuales: documentos que pueden servir de ayuda principalmente a los encargados de ciberseguridad para entender un tema específico.
ii. Guías: documentos que pueden servir al público general para entender aspectos técnicos sobre ciberseguridad.
iii. Informes mensuales o anuales sobre información estadística que pueden ser de interés del público general sobre ciberseguridad.
iv. Otro tipo de información técnica de difusión.
Los canales de difusión serán aquellos medios de comunicación manuales o automáticos que utilice la Agencia Nacional de Ciberseguridad, los que estarán disponibles en la página web oficial de la Agencia https://anci.gob.cl, y del CSIRT Nacional https://csirt.gob.cl, o aquellas que las reemplacen, además de las cuentas institucionales de redes sociales que utilice.
La autorización de publicidad solo considera la información precisa contenida en la alerta y en ningún caso podrá considerar los antecedentes y fundamentos que motivaron su emisión, salvo en aquellos casos en que el Director Nacional expresamente autorice su publicidad de conformidad a la legislación vigente.
Anótese, regístrese y publíquese.- Daniel Álvarez Valenzuela, Director Nacional, Agencia Nacional de Ciberseguridad.