‘Infraestructuras
críticas’: ¿Qué pasa si un día falla todo?
El Centro
Nacional de Infraestructuras Críticas (CNPIC) trabaja con la hipótesis de un
cataclismo. La amenaza terrorista incorpora 54 nuevos elementos al "mapa
de riesgos"
Presa de Santo Estevo, en el Sil (Ourense). / NACHO GÓMEZ
¿Qué podría
ocurrir si un día no funcionase nada, no hubiese luz, la comida se echase a
perder, no se pudiera sacar dinero del cajero, ni pagar con tarjeta, ni cargar
el móvil...? El Centro Nacional para la Protección de las Infraestructuras
Críticas (CNPIC) se ocupa de proteger los puntos determinantes del sistema, los
que podrían instaurar el caos si fallasen. Ante la amenaza terrorista, el Ministerio del
Interior ha señalado 54 nuevos “operadores críticos”, empresas que dan
servicios esenciales. El mapa de alto riesgo de España está formado hoy por 93.
Una treintena de
personas, ingenieros, informáticos, químicos,hackers, con una media de
edad de 40 años, y con un teniente coronel de la Guardia Civil al frente,
controlan y protegen —desde las anodinas instalaciones de unas antiguas
oficinas de la Dirección General de Tráfico— la seguridad de los puntos más
determinantes del sistema, todas aquellas infraestructuras que hacen que
nuestra vida sea como es. Es decir, que cuando se apriete un interruptor se
encienda la luz, o que al abrir el grifo salga agua, pero también que se pueda
sacar dinero de un cajero o pagar con una tarjeta en un comercio. Operaciones
aparentemente sin importancia. Pero qué pasaría si un día no funcionase nada.
Qué pasaría si, por ejemplo, se fuese la luz de manera masiva. El Centro
Nacional para la Protección de Infraestructuras Críticas (CNPIC), creado en 2007 y que depende directamente
del Secretario de Estado de Seguridad, Francisco Martínez, trabaja
constantemente con esa clase de hipótesis catastróficas para cubrir los huecos
de seguridad de un sistema cada vez más interconectado —más allá de las
fronteras españolas— en el que cualquier disfunción podría provocar un efecto
dominó y hacerlo colapsar.
P.O.D.
Se denomina CERT
(Computer Emergency Response Team, Equipo de respuesta ante emergencias
informáticas) a un conjunto de medios y personas responsables del desarrollo de
medidas preventivas y reactivas ante incidencias de seguridad en los sistemas
de información. Pretende mejorar la coordinación de las acciones de los Fuerzas
y Cuerpos de Seguridad del Estado en este ámbito. Cuenta con una Oficina de
Coordinación Cibernética (OCC) en el CNPIC, punto de contacto del Ministerio de
Interior para lo relativo a la ciberseguridad.
El
establecimiento del nivel cuatro de amenaza terrorista ha llevado al Ministerio
del Interior a reforzar esos planes estratégicos de protección. Actualmente en
España hay 93 “operadores críticos”, o sea empresas que ofrecen servicios esenciales
a la sociedad. De los que recientemente, y tras la llamada “Ley PIC” de 2011
que reguló su protección, se han designado 54 nuevos en los sectores del agua y
el transporte. Previamente, en 2014, se señalaron en el sector eléctrico,
nuclear, el del gas, el petróleo y en el sistema financiero. Y próximamente le
tocará al sector alimenticio y al sanitario.
El documental American
Blackout, realizado por National Geographic, ficciona —basándose
en estudios y testimonios científicos— el caos y la devastación que puede
seguir a un apagón de las dimensiones de todo Estados Unidos. Lo que
inicialmente la gente se toma como una broma y graba con sus móviles en la
oscuridad, se convierte en un desastre progresivo que desencadena accidentes,
agresividad, saqueos y, en definitiva, un estado de terror generalizado en diez
días. El impacto —se simula lo que sucedería si se tratase de un ciberataque que cortase la electricidad—,
se propaga en progresión geométrica, y acaba siendo similar al que podría
producir un desastre natural como un gran terremoto o un huracán o un atentado
brutal.
Uno de los
principales refuerzos que ha realizado el Ministerio del Interior es
precisamente en materia de prevención de los ciberataques en las
infraestructuras críticas. “El hecho de que todo funcione de manera
computerizada es una ventaja por comodidad y rapidez pero incrementa
ostensiblemente los riesgos del sistema”, reconoce Fernando Sánchez, director
de CNPIC. “Nuestra sociedad es ahora, por ese motivo y por la dependencia de las
tecnologías, mucho más interdependiente y menos autónoma que hace décadas”,
reconoce.
Punto de
inflexión
El punto de
inflexión, de toma de conciencia de los grandes riesgos, fue el 11-S y después
el 11-M. Hasta entonces, la protección de las llamadas infraestructuras
críticas —en su mayoría (un 80%) empresas privadas, que prestan servicios
esenciales— dependía exclusivamente de sus propietarios. Pero el hecho de que
fuesen las responsables de nutrir al sistema y de mantener el correcto
funcionamiento de la sociedad por el tipo de servicio que prestaban, las
convertía también en un asunto de Estado. Por esa razón se creó el CNPIC y por
eso se empezaron a incluir esos “operadores críticos” en una lista en los
planes de protección, dando lugar a una especie de mapa de riesgos, que
permanece “a buen recaudo”.
Se trata de una
colaboración público-privada: “Por una parte las empresas incluidas en ese
listado tienen que cumplimentar una serie de requisitos de seguridad porque son
auditadas por Interior, y por otro lado entran en una plataforma en la que se
establece su protección prioritaria y donde comparten y tienen acceso a
información sensible”, explica Sánchez.
La idea es que ese mapa de alto
riesgo se vaya completando progresivamente y sean cada vez más las empresas
incorporadas y mayor la protección de esos servicios esenciales. Cuantos más
elementos incluya ese plano crítico, más seguro será el país al que
corresponda.
Publicado por El País, 21 de
septiembre 2015)
No hay comentarios:
Publicar un comentario