El OIEA brinda asistencia a los países africanos para la elaboración de reglamentos sobre seguridad informática

En los próximos años se prevé un incremento de la demanda de radioisótopos por parte de África a medida que más países hacen un mayor uso pacífico de la tecnología nuclear. El aumento de las tasas de cáncer ha dado lugar a una mayor demanda en la esfera de la radioterapia, la radiología y la medicina nuclear. El grado en que la industria, la agricultura y la ciencia dependen de las aplicaciones nucleares ha ido a más, y eso ha hecho que se demande una mayor producción de radioisótopos en los reactores de investigación. Estos reactores esenciales funcionan con sistemas informáticos que podrían ser vulnerables a los ciberataques. Al igual que las centrales nucleares, los reactores de investigación son instalaciones nucleares que requieren planes de protección similares para prevenir, mitigar posibles ataques dolosos y para responder a ellos. La protección de todo tipo de instalaciones nucleares frente a posibles ataques de este tipo es un elemento esencial del uso tecnológica y físicamente seguro de la tecnología nuclear en África.

Para contrarrestar estas amenazas, muchos países africanos están aprendiendo de la experiencia de Egipto, Ghana y Nigeria, cada uno de los cuales posee y opera un reactor nuclear de investigación. Con el apoyo del OIEA, estos tres países están elaborando y reforzando sus reglamentos sobre la seguridad informática y aplicando programas para proteger adecuadamente sus instalaciones contra actos informáticos dolosos que podrían repercutir en la seguridad nuclear tecnológica y física de las instalaciones.

“La seguridad informática sigue cobrando importancia a medida que las tecnologías digitales y los sistemas de base informática se integran en la seguridad tecnológica nuclear, la seguridad física nuclear y los aspectos operativos de las instalaciones y operaciones con materiales nucleares y otros materiales radiactivos, —afirma Trent Nelson, Oficial Superior de Seguridad Informática y de la Información de la División de Seguridad Física Nuclear del OIEA—. El OIEA trabaja con los países de África para desarrollar, examinar y mejorar los reglamentos sobre seguridad informática”.

En Egipto, el OIEA colabora con la Autoridad Reguladora Nuclear y Radiológica de Egipto (ENRRA) para examinar la normativa vigente sobre seguridad informática y colmar posibles lagunas en los aspectos de reglamentación. En 2022 se organizó un curso nacional de capacitación para aumentar la capacidad de los países de llevar a cabo inspecciones de seguridad informática en instalaciones nucleares. Por medio de las orientaciones sobre seguridad física nuclear del OIEA y las técnicas a disposición de los inspectores, los participantes del curso recibieron los conocimientos y la experiencia práctica necesarios para evaluar mejor la eficacia de la seguridad informática en las instalaciones nucleares y radiológicas.

Nadia M. Nawwar, ingeniera informática de la Instalación de Producción de Radioisótopos (RPF) de la Autoridad de Energía Atómica de Egipto, figuró entre los 22 participantes en el curso. “Aprendí cómo realiza el órgano regulador las inspecciones de seguridad informática y cuáles son las disposiciones de seguridad informática necesarias de que debe disponer el operador —explicó—. Desde que participamos en el curso hemos podido examinar y validar los elementos del reglamento sobre seguridad informática con mayor efectividad. El curso nos ayudó a desarrollar y aplicar un programa de seguridad informática para proteger la información sensible de las instalaciones y los activos digitales de carácter estratégico vulnerables a los ciberataques”.

En abril de 2023 el OIEA llevó a cabo una misión de expertos en Ghana con el objetivo de evaluar la actual normativa nacional de seguridad informática y el programa de inspecciones de la Autoridad Reguladora Nuclear de Ghana.

“El desarrollo de la seguridad informática en Ghana planteó varios desafíos, entre ellos la falta de conocimientos técnicos a escala local sobre la materia, la fusión de las cuestiones jurídicas y los conocimientos técnicos, y la forma de gestionar los recursos necesarios —explica Nelson Kodzotse Agbemava, Jefe de Equipo de la Sección de Ciberseguridad Nuclear de esa Autoridad—. Durante el proceso de elaboración del reglamento se solicitó el apoyo de expertos del OIEA y de otros países para garantizar un enfoque completo y sistemático de la seguridad informática”.

Asimismo, el OIEA llevó a cabo una misión de expertos en Nigeria en octubre de 2022. “La necesidad de un marco legislativo y regulador eficaz para la seguridad informática fue identificada en 2019 a partir del examen del Plan Integrado de Apoyo a la Seguridad Física Nuclear (INSSP) liderado por el OIEA en el país —dice Ethel Ofoegbu, Oficial Superior de Reglamentación de la Autoridad Reguladora Nuclear de Nigeria (NNRA)—. En consecuencia, el OIEA evaluó el reglamento nacional de seguridad informática, detectó lagunas y proporcionó el asesoramiento necesario. Uno de los resultados fue la elaboración del proyecto de reglamento sobre seguridad informática de Nigeria para instalaciones y actividades nucleares y radiológicas”. En la actualidad, Nigeria está examinando el proyecto de reglamento y planificando un curso de capacitación sobre inspecciones informáticas.

Teniendo en cuenta el creciente número de solicitudes de asistencia de los países, el OIEA está elaborando un documento técnico para ayudar a los países a establecer los elementos clave de la reglamentación de la seguridad informática. Asimismo, el OIEA está preparado para ayudar a muchos más países a redactar reglamentos en el ámbito de la seguridad informática cuando se ponga en marcha el Curso de Redacción de Reglamentos sobre Seguridad Informática del OIEA, en agosto de 2023. El objetivo del Curso es ayudar a varios países a elaborar simultáneamente sus reglamentos nacionales específicos de seguridad informática, en lugar de que el OIEA preste asistencia a los países de forma individual. Tras el taller inicial de agosto, el Curso se dictará con carácter semestral en todas las regiones. A través del trabajo conjunto, los participantes tendrán la oportunidad de redactar su estrategia nacional de seguridad informática, que constituye la base reglamentaria de un programa de seguridad informática robusto.