Infraestructuras críticas, ¿están seguras?

Infraestructuras críticas, ¿están seguras?

El concepto de protección de las infraestructuras críticas retomó relevancia a consecuencia de los ataques terroristas en Estados Unidos, Madrid y Londres, los cuales pusieron en evidencia los riesgos y vulnerabilidades a que estamos expuestos los ciudadanos. Sin embargo, las infraestructuras críticas no solo están expuestas a ese tipo de ataques, sino también a desastres naturales, como el terremoto y tsunami de Japón en 2011 que ocasionó un colapso nuclear en la planta de Fukushima, a incidentes cibernéticos, como los ocurridos en Ucrania en 2015 y 2016, donde se afectó la red de distribución eléctrica generando un apagón de varias horas, y a incidentes físicos, como un desperfecto mecánico en el equipo que puede generar la interrupción del servicio.
Pero, ¿qué se entiende por infraestructuras críticas? Hoy día dependemos absolutamente de instalaciones (aeropuertos, puertos, hospitales, etc.), redes de distribución (agua, electricidad, telecomunicaciones, etc.) y demás activos relacionados a servicios esenciales que son necesarios para el buen y continuo funcionamiento de un país. Estados Unidos, Reino Unido y España cuentan con una organización institucional y un marco regulatorio robusto para la protección de las infraestructuras críticas, donde se identifican sectores críticos, los cuales varían de país a país según sus prioridades, y donde incluso, las instalaciones y servicios críticos son secretos por tratarse de un asunto de seguridad nacional.
Así que la protección de las infraestructuras críticas es uno de los problemas más complejos que un Estado puede enfrentar. Cada infraestructura pertenece a un sector con características peculiares (energético, telecomunicaciones, etc.) y a su vez, tienen un modo propio de operar. Algunas pertenecen al Estado y otras pertenecen o son operadas por el sector privado, todas igualmente tienen un gran impacto en el buen funcionamiento de un país o región.
Los incidentes cibernéticos son los que están generando un gran impacto a nivel mundial. El uso de Internet y las tecnologías de la comunicación y la información en los procesos de gestión, operación y control de las infraestructuras críticas hacen que los niveles de criticidad y probabilidad se hayan incrementado exponencialmente. Según el Foro Económico Mundial en sus últimos reportes “Riesgos Globales” ha identificado a las disrupciones o daños a la infraestructura crítica como uno de los riesgos tecnológicos más críticos, justamente por el impacto que podrían causar y la alta probabilidad de que sucedan.
Los incidentes cibernéticos que amenazan a las infraestructuras críticas pueden provenir de diferentes actores: cibercriminales, infiltrados, ciberactivistas, pero sobre todo de organizaciones patrocinadas por otros Estados, los cuales, mediante operaciones de inteligencia o militares, realizan este tipo de ataques para vulnerar los servicios esenciales de un determinado país, afectando su funcionamiento normal e incluso poniendo en riesgo vidas humanas que dependen de esos servicios.
Por la importancia de su preservación y buen funcionamiento, existe un creciente interés a nivel nacional y regional en desarrollar marcos regulatorios y sistemas de seguridad efectivos que garanticen su continuidad y reducir al máximo los efectos de las amenazas cibernéticas.
Ante este escenario, surgen las dudas: ¿qué tanto ha avanzado Costa Rica en la protección de las “infraestructuras críticas”? ¿qué tan seguras se encuentran nuestras “infraestructuras críticas”? Es muy probable que las organizaciones públicas y privadas por iniciativa propia estén tomando previsiones para prevenir y mitigar los efectos de incidentes naturales y físicos, pero queda la duda si también están considerando los incidentes cibernéticos. Nuestra realidad es que no existe un marco regulatorio ni mucho menos se han identificado los sectores sensibles ni las instalaciones o servicios críticos, por ende, los niveles de preparación y madurez son relativamente bajos, lo cual nos hace totalmente vulnerables a las amenazas cibernéticas.
El MICIT está trabajando en la formulación de la estrategia nacional de ciberseguridad, la cual podría definir la hoja de ruta y objetivos estratégicos para la protección de las infraestructuras críticas en Costa Rica. Sin duda, este es un asunto sensible y que merece atención inmediata por parte de nuestras autoridades y del sector privado a efectos de desarrollar un marco regulatorio adecuado y sentar las bases de cooperación público-privada para la preservación y buen funcionamiento de las infraestructuras críticas.
MSc. Lic. Óscar Noé Ávila Molina
Cybernoark Consulting