Más allá de la protección física

Desde hace casi treinta años los países recurren al Servicio Internacional de Asesoramiento sobre Protección Física (IPPAS) del OIEA para recibir asesoramiento con miras a garantizar la protección física de todo tipo de instalaciones en las que se utilizan materiales nucleares y otros materiales radiactivos, incluidas las centrales nucleares y las unidades de radioterapia de los hospitales. Sin embargo, debido a los avances tecnológicos, los sistemas digitales son actualmente esenciales para las operaciones de estas instalaciones, lo que ha planteado muchos desafíos nuevos en materia de seguridad física nuclear.

En respuesta a la amenaza real de ciberataques contra instalaciones, incluidas las instalaciones nucleares, en 2012 se incorporó al ámbito de acción del IPPAS la seguridad informática y la seguridad física de la información en aras de la protección física. Desde entonces, los países han solicitado cada vez más la inclusión de este módulo en el examen del IPPAS, con el fin de obtener apoyo en la tarea de defenderse de las amenazas a la ciberseguridad.

En cuanto componente central del programa de seguridad física nuclear del OIEA, el IPPAS es un servicio de asesoramiento que examina las prácticas existentes en un país en relación con los instrumentos internacionales pertinentes y las orientaciones del OIEA sobre seguridad física nuclear. Ayuda a los países que lo soliciten a reforzar sus regímenes, sistemas y medidas nacionales de seguridad física nuclear, brindándoles asesoramiento sobre la aplicación de los instrumentos jurídicos internacionales.

“Veintisiete años después de la primera misión IPPAS, el servicio ha evolucionado para hacer frente a los desafíos y necesidades actuales, —indica Heather Looney, Jefa de la Sección de Seguridad Física Nuclear de los Materiales y las Instalaciones de la División de Seguridad Física Nuclear del OIEA—. No se puede garantizar la protección física contra el robo, el sabotaje o el uso no autorizado de materiales nucleares y otros materiales radiactivos si no se cuenta con medidas de seguridad informática. Al invitar a una misión IPPAS los países pueden recibir asesoramiento sobre lo que puede mejorarse y cómo hacerlo”, añade.

El IPPAS sigue un enfoque modular y ofrece cinco módulos que abarcan un examen nacional del régimen de seguridad física nuclear para el material nuclear y las instalaciones nucleares; un examen de los sistemas y medidas de seguridad física en las instalaciones nucleares; un examen de la seguridad física del transporte de materiales; un examen de la seguridad física del material radiactivo, las instalaciones y las actividades asociadas, y un examen de la seguridad informática y la seguridad física de la información. Desde la primera misión IPPAS en 1996 hasta la fecha se han realizado 97 misiones, y 22 países han solicitado que se incluya el módulo de seguridad informática y la seguridad física de la información en el examen del IPPAS.

¿Qué debe esperar un país durante la evaluación de la seguridad informática y la seguridad física de la información?

Como primer paso, un grupo de expertos internacionales en seguridad física nuclear del IPPAS analiza cómo se han establecido y gestionado las políticas nacionales relativas a los programas de seguridad informática y la seguridad física de la información. A continuación, el grupo estudiará el marco legislativo y regulador comparando los procedimientos y las prácticas vigentes en el país con las obligaciones especificadas en la Convención sobre la Protección Física de los Materiales Nucleares y su Enmienda de 2005, así como con las orientaciones proporcionadas en las publicaciones pertinentes de la Colección de Seguridad Física Nuclear del OIEA. Esto permite determinar si los países cuentan con las políticas y los procedimientos necesarios para lograr una seguridad informática adecuada en las instalaciones nucleares y radiológicas críticas.

A nivel de las instalaciones, con el examen de la seguridad informática se estudiará la gestión de la seguridad informática, el programa de seguridad informática, los controles del acceso, la arquitectura defensiva de la seguridad informática, así como la detección de sucesos de seguridad informática y la respuesta a estos. El grupo también puede evaluar esferas transversales, como la gestión del riesgo, los enfoques graduados, la cultura de la seguridad física nuclear y la gestión de los recursos humanos.

El Japón recibió a una misión IPPAS y su misión de seguimiento en 2015 y 2018 respectivamente. “Para el Japón ha sido una valiosa experiencia examinar el estado actual de las medidas de seguridad informática y promover su mejora a partir de las sugerencias de los examinadores, —declara Hiroyuki Sugawara, Director de Seguridad Física Nuclear Internacional de la División de Seguridad Física Nuclear de la Autoridad de Reglamentación Nuclear (ANR) del Japón—. En respuesta a las conclusiones del IPPAS decidimos reforzar las medidas de seguridad informática y aumentar el número de inspectores con conocimientos especializados en la materia. Además, la ANR incorporó las amenazas a la seguridad informática en su evaluación de las amenazas a nivel nacional y exigió a los titulares de las licencias que adoptaran medidas sólidas de seguridad informática y que mejoraran el contenido de sus planes de seguridad informática incorporando contramedidas para repeler los ciberataques”.

Tras una misión IPPAS realizada en 2018, Francia reforzó la visibilidad de la seguridad informática en el marco nacional de seguridad física nuclear. “La misión IPPAS requirió un fuerte compromiso de las distintas partes interesadas, lo que dio a Francia la oportunidad de consolidar su régimen de seguridad física nuclear y estimular su aplicación, —indica Frédéric Boën, Jefe de Proyecto de Seguridad Informática de la Oficina de Seguridad Física Nuclear de la Dirección de Defensa y Seguridad del Ministerio de Transición Energética—. Se aumentó el número de personal especializado en seguridad informática y se establecieron directrices de reglamentación acordes con las normas internacionales y las orientaciones sobre seguridad física nuclear del OIEA”.

Desde 2016, el OIEA ha mantenido la Base de Datos sobre Buenas Prácticas del IPPAS para compartir las conclusiones de dichas misiones con la comunidad internacional de la seguridad física nuclear, mejorando así los efectos de la asistencia ofrecida por el OIEA a países de todo el mundo. “El mantenimiento de esta base de datos y la puesta en común de estos ejemplos hacen que los beneficios de las misiones IPPAS transciendan del país anfitrión a la comunidad internacional de expertos en seguridad física nuclear y se multipliquen los efectos de la asistencia ofrecida por el OIEA a sus Estados Miembros”, afirma la Sra. Looney.

La mayoría de las buenas prácticas a nivel de los Estados tienen que ver con la gestión de la seguridad física nuclear, sobre la que se apoyan la coordinación y la seguridad informática. Además, existen 40 buenas prácticas relativas a la seguridad informática, tanto a nivel de los Estados como de las instalaciones, a las que pueden acceder los Estados Miembros del OIEA a través de los puntos de contacto designados.

El OIEA sigue brindando apoyo a los países para la mejora de sus regímenes nacionales de seguridad física nuclear, y la demanda de estos para recibir misiones IPPAS en 2023 y en 2024 sigue siendo elevada.