Hacken van de staat: vooruitgang, kritiek en wat het Federal Cybersecurity Agency zegt over de nationale strategie

Uit een rapport waarin verschillende vormen van cybersecuritybeleid in Latijns-Amerika worden vergeleken, blijkt dat in Argentinië "de strategieën wel goed gedefinieerd zijn, maar dat de uitvoering ervan uitdagingen met zich meebrengt vanwege een gebrek aan technische en personele middelen ." Bovendien zijn er twijfels over een presidentieel decreet dat vorige maand werd ingevoerd en dat meer bevoegdheden geeft aan het Bundesagentschap voor cyberveiligheid (AFC) , een entiteit die in juli 2024 werd opgericht binnen de kring van het Staatssecretariaat voor Inlichtingen (SIDE).

Het rapport, gepubliceerd door de niet-gouvernementele organisatie Derechos Digitales , geeft een chronologisch overzicht van het overheidsbeleid op het gebied van cyberveiligheid in Latijns-Amerika. Een van de belangrijkste stappen werd in maart 2024 door Chili gezet met de invoering van de Kaderwet inzake cyberbeveiliging en kritieke informatie-infrastructuur.

De analyse van de Argentijnse zaak draait om de zogenaamde Tweede Cybersecuritystrategie , die in september 2023 werd goedgekeurd. "De wijziging die onlangs werd ingevoerd door decreet 274/2025, dat het cyberbestuur wijzigt na de oprichting van de AFC, genereert onzekerheid over de continuïteit van de op rechten gebaseerde benadering bij de implementatie van de strategie door deze entiteit", vertelde Juan Carlos Lara, co-uitvoerend directeur van de ngo en auteur van de studie, aan Clarín .

"Hoewel de inhoud van de strategie een normatieve en discursieve vooruitgang vertegenwoordigt, blijven er aanzienlijke twijfels bestaan ​​over de praktische implementatie ervan. Bovendien delen we de zorgen die Argentijnse organisaties hebben geuit na de oprichting van de AFC, met name wat betreft de toezichthoudende bevoegdheden ", voegde hij eraan toe.

Informatiebeveiliging en hacken zijn geen onbelangrijke kwesties in Argentinië. In lijn met de wereldwijde groei van cyberaanvallen en de professionalisering van groepen die opereren met de infrastructuur van een criminele organisatie, is het voldoende om enkele hacks van de afgelopen jaren te herinneren: het Nationaal Directoraat voor Migratie , de Senaat van de Natie , PAMI en de Nationale Commissie voor Effecten waren slachtoffer van verschillende varianten van ransomware , een malware die informatie versleutelt om deze ontoegankelijk te maken en in ruil daarvoor losgeld eist.

Vorig jaar lekte de volledige Renaper-database uit , waarbij gegevens van miljoenen Argentijnen bloot kwamen te liggen. Ook werden foto's van rijbewijzen openbaar gemaakt , die te koop werden aangeboden op een Telegram-kanaal, om maar twee voorbeelden te noemen van gevallen die media-aandacht kregen.

Naast de AFC beschikte Argentinië al over twee entiteiten die deel uitmaken van de structuur die de digitale activa van de staat beschermt: CERT.ar , het team dat verantwoordelijk is voor de respons op incidenten en het monitoren van kwetsbaarheden, en het Nationale Cybersecurity Directoraat ( DNC ), dat de cybersecuritystrategie voor het hele grondgebied coördineert en ontwerpt.

"We beseffen dat er nog veel moet gebeuren. We moeten investeren in het verbeteren van de veerkracht van de kritieke infrastructuur van de staat en het versterken van de cyberbeveiliging die het land als geheel beïnvloedt", vertelden functionarissen van het Federaal Agentschap voor Cybersecurity aan Clarín .

" CERT.ar reageerde daarentegen niet op incidenten (ze kwamen maar van heel weinig relevante gebeurtenissen op de hoogte, hielpen zelden bij herstel en deden geen onderzoek); het Cybersecuritycomité kwam in 2024 niet bijeen, en daarvoor ook nauwelijks, en er was een gebrek aan investeringen , wat resulteerde in het niet in kaart brengen van kritieke infrastructuur en het ontbreken van nationale bewustmakingsactiviteiten", vervolgden ze.

De opmerking in het rapport Digitale Rechten over het gebrek aan "technische en menselijke hulpbronnen" wordt door het Agentschap bevestigd. Helaas begonnen we vorig jaar met een budget dat praktisch nul was. De vorige regering had het budget van SIDE teruggebracht van de historische waarde naar 25-30%, en daarbij was nog geen rekening gehouden met de nieuwe cybersecurityfuncties die aan de AFC waren toegewezen. We hadden minder budget dan een kleine bank om het land te beveiligen. We hebben geen firewalls of switches [apparaten om het verkeer te controleren en te beveiligen] gekocht met zo'n klein bedrag. Dit jaar is het iets gegroeid, maar het is nog steeds klein vergeleken met wat bijvoorbeeld een multinational uitgeeft," concludeerden ze.

Op 16 april kreeg dit agentschap, een noviteit voor ons land, meer invloed, en dat gebeurde niet zonder kritiek vanuit de gemeenschap. "Argentinië heeft een stap tegen de stroom in gezet, of beter gezegd, is uit de pas met de tijd, door de AFC (Vereniging van de Procureur-Generaal) van de SIDE aan te wijzen als het bestuursorgaan voor preventie en beveiliging van cyberbeveiliging, en door de meeste functies te onttrekken aan het nationale kantoor van de stafchef (Decreet 274/2025)", vertelde Marcela Pallero, een specialist in regelgeving op het gebied van cyberbeveiliging in de publieke sector, aan dit medium.

Andere bronnen uit de wereld van de staatscyberveiligheid verzekerden dit medium dat "het besluit om de AFC meer invloed te geven op de DNC aanvankelijk niet goed werd ontvangen ", omdat de AFC "veel functies" van het directoraat kopieert. Maar ze erkennen ook de opleidingen binnen het agentschap: "De mensen die op dit gebied werken, twee personen in het bijzonder, beschikken over enorm veel technische vaardigheden", verzekeren ze ingewijden.

"Het zal interessant zijn om de resultaten van het huidige experiment te bekijken, aangezien het geheime karakter van de activiteiten van de SIDE moeilijk te rijmen is met de principes van digitaal vertrouwen die worden gepromoot door internationale organisaties zoals de OESO en ECLAC en de wereld in het algemeen, vooral met het oog op dringende binnenlandse kwesties op het gebied van digitale veiligheid", waarschuwt Pallero.

Cyberveiligheid in de staat kampt met dezelfde problemen als het openbaar bestuur in Argentinië: onvoldoende of slecht bestede budgetten.

"Ik heb de afgelopen 27 jaar gewijd aan wat nu cybersecurity heet, waarvan 15 jaar in de staat. Er is een zeer capabel technisch team, maar het ontbreekt aan de benodigde materiële, menselijke of politieke middelen. Er worden fondsen toegewezen aan licenties voor 'black box'-oplossingen die veelbelovend zijn, maar certificeringen en tijd vereisen die het overheidspersoneel zich niet kan veroorloven", vertelde Arturo Busleiman, cybersecurityspecialist bij Buanzo Consulting, aan deze site.

Anderen bekritiseren het licentieproces: "Het geld is er wel, maar het wordt uitgegeven aan bedrijfsoplossingen van bevriende bedrijven . Vaak doen voormalige leidinggevenden van dezelfde technologiebedrijven mee aan het biedingsproces: Red Hat, IBM, Oracle, Microsoft, Fortinet, Cisco en anderen", zegt een voormalig contractant die twaalf jaar voor de staat heeft gewerkt en nu in de particuliere sector werkt.

In vergelijking met Latijns-Amerika loopt Argentinië een paar stappen achter , terwijl de regio zich in een embryonale fase bevindt waarin enkele koplopers zijn: "Terwijl de Europese Unie gestaag vooruitgang boekt op het gebied van wetgeving inzake cyberveiligheid en bescherming van persoonsgegevens, bevindt Latijns-Amerika zich nog in de fase van het vaststellen van nationaal beleid en strategieën door de uitvoerende macht, in grote lijnen, met uitzondering van Chili en El Salvador , die zeer recentelijk een nationale wet inzake cyberveiligheid hebben gehad", aldus Pallero.

"Wij zijn van mening dat regionale samenwerking op het gebied van cyberveiligheid niet alleen technisch gezien vooruitgang moet boeken, maar ook moet zorgen voor een aanpak die gebaseerd is op rechten. Dit vereist mechanismen voor capaciteitsdeling en wederzijdse bijstand , maar ook gemeenschappelijke principes die de bescherming van privacy, vrijheid van meningsuiting en digitale inclusie garanderen", beaamt Lara, van de ngo die het rapport opstelde.

Busleiman is van mening dat het belangrijk is om gekwalificeerde professionals aan te nemen, naast het oprichten van een school: "We moeten het programma professionaliseren, de manier waarop budgetten worden toegewezen veranderen , de drie takken van de overheid op elkaar afstemmen, mensen aannemen die echt weten wat ze doen en, bovenal, prioriteit geven aan het staatsbeleid boven partijdige logica," zegt hij.

Voor sommigen in de gemeenschap is de oprichting van een cybersecurity-overheidsorgaan zoals de AFC een stap voorwaarts. Digitale Rechten belicht in deze zin een positief aspect.

"Bij Derechos Digitales waarderen we het dat de tweede strategie van Argentinië expliciet de principes van mensenrechten, inclusie en een genderperspectief omvat, wat de strategie positief onderscheidt binnen het regionale landschap. Bovendien is het waardevol om processen zoals publieke consultatie en participatieruimtes te hebben, die lijken te pleiten voor een meer open en inclusieve aanpak, hoewel er altijd ruimte is voor kritiek op dergelijke participatie", aldus Lara.

De uitdaging lijkt te liggen in de transparantie van de AFC en haar relatie met de andere twee bestaande entiteiten, CERT.ar en DNC. De vraag is of samenwerking mogelijk is of dat het een puzzel wordt waarvan de stukjes bestaan ​​uit afkortingen die niet in elkaar passen.

In 'Cybersecurity in Latijns-Amerika: nationale strategie in 2024' wordt het publieke cyberveiligheidsbeleid van Argentinië, Brazilië, Chili, Colombia, Costa Rica, Ecuador, Guatemala, Mexico, Nicaragua, Panama, Paraguay en de Dominicaanse Republiek geanalyseerd.

Het volledige rapport kunt u hieronder of via deze link lezen.