El Consejo de Seguridad Nuclear (CSN), único organismo competente en España en materia de seguridad nuclear y protección radiológica carece de un plan general de coordinación en materia de ciberseguridad para todas las instalaciones nucleares. Lo ha desvelado en el Congreso la ponencia encargada de las relaciones con el organismo que preside Fernando Marti. La ponencia, integrada por todos los partidos, ha instado al CSN a remitir un informe con nuevas medidas, su desarrollo y su coordinación antes de abril de 2019.
El CSN dispone de un departamento encargado de prevenir los ataques cibernéticos. Desde 2006 mantiene un procedimiento con condiciones específicas sobre los sistemas informáticos y de comunicaciones de las instalaciones nucleares. Las empresas están obligadas a proteger los sistemas informáticos y a mantener políticas y procedimientos escritos en un plan de seguridad física que deben remitir al CSN. Lo hacen, remiten sus planes al CSN; pero lo hacen por separado. Cada una por su lado, según admiten fuentes de las empresas.
El Congreso no está muy satisfecho con la situación. El informe aprobado por la mayoría de los grupos el 16 de mayo pasado insta al CSN a "establecer un plan general de coordinación en materia de ciberseguridad para todas las instalaciones nucleares", algo que no existe y que, en principio, debería ir más allá de las cinco centrales nucleares en operación -siete grupos en total- que están en funcionamiento.
Cada empresa con su plan
Las empresas propietarias de las centrales explican que disponen de especialistas en ciberseguridad que están en contacto permanente con las fuerzas de seguridad del Estado y el Instituto Nacional de Ciberseguridad (INCIBE) entre otros organismos. Pero admiten que cada empresa toma sus propias decisiones en los planes que envía al CSN. No existe una estructura coordinada.
El CSN no valora la petición del Congreso. Remite a la información que aporta en su página Web. Sobre ciberseguridad, en el último informe anual (2016) del organismo sólo se precisa que "en el ámbito de la ciberseguridad el CSN comparte la estrategia de ciberseguridad nacional con el fin de dar respuesta al desafío que supone la preservación del ciberespacio de los riesgos y amenazas que se ciernen sobre él. Esta estrategia está alineada con la de Seguridad Nacional de 2013 que contempla la ciberseguridad dentro de sus doce ámbitos de actuación, alguno de los cuales afecta a la misión del CSN".
"Es sorprendente que estemos hablando de una carencia de este calado en el CSN, un organismo que en los últimos años ha perdido mucha iniciativa en asuntos trascendentales" señala Nieves Sánchez Guitián, presidenta de la Asociación Profesional de Técnicos en Seguridad Nuclear y Protección Radiológica (ASTECSN). Para el coportavoz de Equo y diputado de Podemos, Juan López de Uralde, la inexistencia de un plan general de ciberseguridad nuclear es un ejemplo más de cómo trabaja un sector que tiene que avanzar todavía en transparencia.
Que el CSN no disponga de una herramienta coordinada eficaz contra los ciberataques no quiere decir que haya despreocupación, precisan fuentes empresariales y del propio CSN. En el Consejo existe un área de Tecnologías de la Información que se ocupa de la ciberseguridad y las centrales nucleares forman parte de las infraestructuras críticas cuya seguridad es prioritaria para Policía, Guardia Civil y servicios de inteligencia.
Estrategia de Seguridad Nacional
La Estrategia de Seguridad Nacional 2017 recoge como objetivos "promover la coordinación en materia de protección de infraestructuras críticas, lucha contra el terrorismo y ciberseguridad ente todas las organizaciones responsables, mejorando las capacidades de todas ellas", así como "favorecer la innovación en seguridad, equipando progresivamente a las infraestructuras críticas de sistemas y componentes de seguridad desde el diseño, y apostando por la tecnología y el desarrollo I+D+i español".
Los ciberataques son cada vez más habituales y peligrosos. En 2016, el INCIBE gestionó más de 115.000 ataques y los más peligrosos proceden en un 90% de Gobiernos extranjeros. En el sector energético, taponar cualquier posibilidad de ataque es crucial. El último gran ciberataque conocido en esta área a nivel mundial tuvo lugar en 2014. Unos hackers robaron datos de la red comercial de Korea Hydro and Nuclear Power, la empresa que opera 23 centrales en Corea del Sur. El ataque fue controlado.
Además de la seguridad en el ciberespacio, las instalaciones nucleares tienen que estar especialmente protegidas también en el espacio físico. En España se ha reforzado la seguridad dentro y fuera de las instalaciones con el despliegue de 350 guardias civiles en el interior de las cinco centrales que operan en el país.
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios