Digitalizar es “solo” un cambio…
Se etiqueta la transformación digital al nivel de Revolución Industrial y parece que si no digitalizas tu planta estás desfasado. El mercado va a querer estirarnos más de lo que necesitamos, pero hemos de ser fieles a nuestra visión y ser conservadores. Como dice el gran gurú de la ciberseguridad Patrick Miller, “antes de poner una alarma, cierras las ventanas”. Una de las primeras “ventanas” que tenemos que cerrar es conseguir que todos tengamos en cuenta la ciberseguridad en el día a día. Un cambio difícil de implantar, ya que todos aceptaremos bien un cambio “a digital” que nos proporciona beneficios, pero si ese cambio “a digital” lleva asociadas consideraciones molestas, la ciberseguridad se convierte en la cara menos amable de la digitalización.
Analógico es más seguro…
Un fallo en un sistema digital tiene los mismos impactos al negocio que ese fallo en su homólogo analógico y también la misma naturaleza de amenazas. Sin embargo, un sistema digital tiene un conjunto de vulnerabilidades que aprovechan los “ciberataques”. Pero en el fondo, el más seguro será aquel en el que se gestione su Seguridad con más eficacia. En nuestras centrales tenemos algo diferenciador: el 95 % de los activos de una planta es analógico, y estos se concentran en Sistemas No Importantes para la Seguridad. Tenemos entonces la “paradoja analógica nuclear”, el diseño clásico analógico de las nucleares nos da ventaja frente a plantas modernas. Por ello es importante mantener el “core” de los sistemas Importantes para la Seguridad en su diseño analógico.
Ciberseguridad desde el diseño
Para que un proyecto de digitalización tenga éxito, es esencial diseñar con la ciberseguridad por defecto. En las centrales españolas existe un aislamiento digital completo de los sistemas de seguridad nuclear y seguridad física, como requisito del CSN en 2012. En el ámbito de los sistemas de monitorización y control, tenemos más volumen de activos digitales a proteger. Un eficaz método es incluir un segundo aislamiento con las redes corporativas, donde enfatizamos la protección de datos de carácter personal y la frontera exterior, sin utilizar servicios en la nube que necesitemos en caso de aislarnos de internet.
Mantenimiento de la ciberseguridad
Cuando se implanta un nuevo sistema o activos digitales, es fundamental generar sus procedimientos de mantenimiento en paralelo, incluyendo entre otros, rondas de mitigación de insiders y extracción de logs. Aunando esfuerzos conseguimos generar los diseños adecuados que faciliten la ejecución de las tareas precisas de mantenimiento, para que el sistema quede preparado para asumir una auditoría de ciberseguridad completa y tenga herramientas para la detección y respuesta ante incidentes.
Respuesta a incidentes y profesionales nucleares creativos.
Es requisito de Ley que tengamos mecanismos para detectar, responder y reportar los incidentes de ciberseguridad. Reportamos con un formato según la casuística del incidente. Más difícil es detectar, pues necesitamos datos para analizar y los malos intentarán no dejar rastro. Y lo más complicado es responder. El gran problema de la ciberseguridad es que no es posible procedimentar todas las actuaciones de defensa, porque no sabemos qué nuevas armas utilizarán los atacantes ni conocemos los fallos no publicados.
Para responder a un incidente, hay que ser capaz de encontrar solución a problemas desconocidos, pero también otros enfoques a problemas conocidos.