Así se protege una central nuclear de un ataque digital en España

Secreto de estado. Preguntar por la seguridad tecnológica y cibernética de las centrales nucleares en España es, prácticamente, toparse con un muro.

Las centrales nucleares no contestan como tampoco los Ministerios de Seguridad e Interior (a quien, por ejemplo, nos remitió el Centro Nacional para la Protección de las Infraestructuras Críticas). Las compañías energéticas remiten al Foro Nuclear y éste apenas aporta algo de luz a un tema tan sensible como crítico. Más en un momento en el que la alerta terrorista está marcada en un nivel 4 sobre 5 máximo.

Tampoco desde el INCIBE (Instituto Nacional de Ciberseguridad), del que depende el CERTSI (Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior) han dado respuestas a nuestras preguntas.

Y eso que indagamos semanas antes de que Telefónica y otras compañías se vieran afectadas por un ataque ransomware mundial.

Central Nuclear de Trillo

“Es lógico que no quieran dar información, porque afecta a la seguridad y en estos temas todo el mundo calla”, justifica Eugeni Vives, portavoz de la Sociedad Nuclear Española. “Tus preguntas son contrarias a la seguridad”, ironiza.

¿Se puede ciberatacar una central nuclear?

Si la seguridad completa no existe, ¿se puede atacar una central nuclear de manera digital? “Si se hacen las cosas bien, no debería poderse, o tendría que ser muy difícil”, señala Lorenzo Martínez, experto en seguridad y CEO de Securizame, empresa entre cuyos clientes también se encuentran infraestructuras críticas.

Los sistemas informáticos administrativos y de gestión están separados física y digitalmente de los que se encargan de las operaciones de cada central nuclear

Para ello, y según explica Vives, las centrales nucleares tienen que tener la red de gestión totalmente independiente de los sistemas de operación. “No tienen ningún contacto, ni físico ni técnico”, por lo que “no existe la posibilidad de que puedas entrar en la parte operativa de una central a través de sistemas informáticos” al no estar conectados.

Esta parte de gestión administrativa sí está conectada a Internet pero según el Foro Nuclear, los sistemas relacionados con la seguridad nuclear se basan en tecnologías analógicas, por lo que, “en el caso del mayor ataque cibernético posible, la planta no vería afectada su integridad, ni se provocarían emisiones nocivas al exterior”.

También hay sistemas de control basados en tecnologías digitales, como PLC y SCADAS, que se encargan de los sistemas de soporte para la operación de la central. Estos sistemas están aislados de las redes de gestión y solo pueden enviar datos informativos al exterior.

Central Nuclear de Ascó

La conexión a Internet es escasa y limitada

Además de esta separación entre los sistemas de gestión y de operación, existen otras medidas adicionales en relación a la conexión a Internet. Así, por ejemplo en la mayoría de plantas se “restringe el uso de conectividad Wi-Fi y se exige a suministradores y empresas externas el cumplimiento de controles y medidas de seguridad digitales que limiten el grado de exposición de los activos de una central nuclear a posibles ataques dirigidos”, detalla el Foro Nuclear.

En 2015 hubo en España 130 ataques a infraestructuras críticas, 5 de ellos a nucleares

En la parte en la que estas centrales se conectan a Internet, y al ser infraestructuras críticas, las nucleares reciben el apoyo del gobierno para su seguridad. El CERT del Incibe y el del Centro Criptológico Nacional, que pertenece al CNI, les dan este soporte.

Se trata del CERT de Seguridad e Industria (CERTSI_), o la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Industria, Energía y Turismo y del Ministerio del Interior y organismo competente en la prevención, mitigación y respuesta ante incidentes cibernéticos, tanto para las empresas como ciudadanos y operadores de infraestructuras críticas.

Además, desde la aplicación de la Ley 8/2011, los operadores de infraestructuras críticas, públicos o privados, tienen en el CERTSI_ su punto de referencia para la resolución técnica de incidentes de ciberseguridad que puedan afectar a la prestación de los servicios esenciales.

Central Nuclear de Lemoniz

“Se les da la oportunidad de que utilicen sondas de detección de intrusos, con soporte para la instalación y el afinamiento de los eventos detectados”, explica Lorenzo Martínez.

Es decir, utilizan una sonda personalizada para cada infraestructura crítica. “Esta sonda suele estar basada en software libre y tiene ciertas reglas que van publicando y desplegando periódicamente. A partir de ahí, los CERT ayudan en la monitorización y, si se detecta un movimiento sospechoso, se comunican con la infraestructura crítica o quien lo esté gestionando para alertar de este posible incidente de seguridad”, detalla este experto en seguridad.

130 incidentes en un año, 5 en nucleares

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano del Ministerio del Interior encargado del impulso, la coordinación y supervisión de todo lo relacionado con la Protección de Infraestructuras Críticas en el territorio nacional.

La seguridad operativa de las centrales se basa en tecnologías analógicas

Este organismo tuvo que gestionar, según los datos facilitados por el Ministerio del Interior, 63 incidentes “de alto nivel” contra las infraestructuras críticas durante los 10 primeros meses de 2015. Entre ellos, el más importante fue una “delicada amenaza de seguridad en el sector energético” que, de haberse producido, podría haber afectado a un servicio esencial consumido en miles de hogares y empresas españolas, con sus correspondientes pérdidas económicas, según este mismo informe.

Al acabar 2015, el número de incidentes gestionados en las Infraestructuras Críticas (IICC) fue de 130, el 0,35% del total en Industria nuclear (es decir, 5 incidentes, uno más que en 2014).

Central Nuclear de Vandellos

La Sociedad Nuclear no tiene constancia de los ataques. “Conocemos el concepto básico pero, al no ser operadores, no tenemos estos datos y tampoco si hay más intentos de ataques físicos que digitales”, detalla Vives, quien remarca que los sistemas informáticos que tienen “actuación sobre la generación de la nuclear no tienen relación con otros sistemas”.

Todo atado desde el punto de vista normativo

La seguridad digital de las centrales nucleares, como la del resto de infraestructuras críticas, está regulada tanto a nivel europeo como local.

Fue en 2008 cuando la Unión Europea aprobó la Directiva 2008/114/CE para la identificación y la designación de las Infraestructuras Críticas Europeas (ICE), y propone un planteamiento para la mejora de su protección.

Se entiende por Infraestructura crítica un elemento o sistema esencial para el mantenimiento de las funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar económico o social de la población.

Central Nuclear Cofrentes

Las centrales nucleares son una de estas infraestructuras críticas, junto con otra áreas del sector eléctrico, sanitario, financiero, el agua, las propias TIC (Tecnologías de la Información), transporte, administración o espacio.

El texto europeo que tiene su réplica española en el Real Decreto 704/2011, y con él se establece el diseño de la estrategia para prevenir y proteger las infraestructuras críticas de las amenazas que tienen su origen y aplicación a través de las tecnologías de la comunicación.

Quién es quién en la seguridad cibernética nacional

Además del El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y del CERTSI_, la Oficina de Coordinación Cibernética (OCC) es el órgano técnico de coordinación del Ministerio del Interior en materia de ciberseguridad. Se encarga de los incidentes de seguridad informática relacionados con potenciales amenazas provenientes de grupos criminales organizados, terroristas y ciberdelincuentes que pretenden vulnerar cada día los sistemas de información.

El CNPIC es el encargado de establecer el nivel de alerta terrorista y de poner en marcha diversas iniciativas y proyectos, como las métricas de Ciberresilencia o ICARO, (servicio de compartición de información sobre ciberamenazas).

Ver todos los comentarios en https://www.xataka.com

VER 6 Comentarios

Portada de Xataka