Infraestructuras críticas y prevención de riesgos – Aprendiendo de Fukushima

Siempre es fácil apreciar errores de previsión cuando las cosas ya han ocurrido. Especialmente, tras un incidente de tal magnitud como el que ha afectado a la central nuclear de Fukushima. Una vez se haya superado la actual amenaza nuclear, y tras descontar la fuerza destructora del terremoto y el posterior tsunami, el objetivo inmediato será aprender de los eventuales errores de diseño y de prevención de riesgos que se hayan podido cometer para intentar evitarlos en el futuro.

Lo que más sorprende a un profano como yo es que, el país que acuñó la palabra tsunami, y que aprendió a vivir con la constante amenaza de terremotos y maremotos, diseñase una central tan desprotegida del mar.

Viendo la fotografía aérea de la central, con el atrevimiento que da la ignorancia, y con el evidente desprecio a los costes que debe presidir la prevención de un riesgo tan grave como el nuclear, me atrevo a plantear las siguientes cuestiones:

1. La propia foto aérea de la central

Me extraña que la zona no aparezca pixelada en Google Maps. Tratándose de una infraestructura crítica y a la vez, de un objetivo militar, se supone que los gobiernos deberían preocuparse de que los suministradores de estos servicios de la sociedad de la información oculten este tipo de instalaciones y las zonas adyacentes.

2. El número de reactores

Supongo que se producirán muchas economías de escala, pero me parece excesiva la concentración de reactores en tan poco espacio. Ello tiene que incrementar el riesgo de que una catástrofe natural afecte a más de un reactor, como así ha ocurrido, y dificultar las maniobras de acceso, extinción de incendios, refrigeración de emergencia, etc. Es posible que los equipos de emergencia que están actuando a la vez en los cuatro reactores afectados estén entorpeciéndose entre ellos. Aunque también es posible que sean más eficientes trabajando juntos.

3. La alineación de los reactores

Teniendo en cuenta que la principal amenaza proviene del mar, resulta raro ver una alineación de los reactores de forma paralela a la costa. Parece que estén esperando la ola con los brazos abiertos. Tal vez una alineación perpendicular a la costa ofrecería un frente más reducido que permitiría ser protegido de manera más eficiente. En otras palabras, si yo tuviese que enfrentarme a una gran ola, preferiría ir en un barco situado con la proa contra la ola antes que en uno situado en paralelo a la ola.

4.  La ausencia de defensas

La imagen de la central es de total desamparo frente a las inclemencias del mar. Los diques no parecen diferentes de los que podría tener cualquier puerto del Mediterráneo. Pero aquí la diferencia es que la central se encuentra en una de las zonas con mayor probabilidad de tsunami del mundo. Ante una ola de diez metros de altura poco se puede hacer, pero con una alineación perpendicular a la costa y un frente máximo de 200 metros, tal vez hubiese sido posible construir un dique más alto y en forma de cuña que desviase la fuerza del agua hacia los lados. Repito que es pura intuición basada en el diseño de los barcos, en la estructura del blindaje frontal de los carros de combate y en los muros en forma de estrella de las antiguas ciudadelas militares, destinados a resistir el impacto directo de la artillería.

5. La paradoja de una planta generadora de electricidad que se queda sin electricidad

A un profano como yo le resulta difícil de creer que una central destinada a generar electricidad pueda quedarse sin la energía que ella misma genera. Si los submarinos nucleares tienen una autonomía que se cuenta en meses, ¿cómo puede una central nuclear tener una autonomía que se cuente en horas si la principal amenaza es conocida, está prevista y se conoce su techo máximo?. Debido a la parada de emergencia, la central no producía electricidad, y los generadores resultaron dañados por el tsunami, pero la energía eléctrica necesaria para la bomba de refrigeración se puede acumular para seguir teniendo suministro eléctrico por un tiempo muy superior a las 8 horas.

6. Baterías insuficientes y enchufes no normalizados

Como he dicho, parece ser que las baterías que debían alimentar las bombas de refrigeración tenían una duración máxima de 8 horas y cuando se agotaron se recurrió a generadores móviles, que inicialmente no pudieron ser conectados porque los conectores eran diferentes a los de las bombas de refrigeración.

7. Ausencia de generadores eléctricos subterráneos

Antes de recurrir a las baterías, las bombas del circuito de refrigeración se habían quedado sin electricidad porque los generadores habían sido afectados por el tsunami. Eso significa que estaban en la superficie, ya que si hubiesen estado protegidos en un búnker subterráneo, tan blindado y hermético como merece el último recurso energético existente para mantener baja la temperatura del núcleo, no habrían sufrido un impacto directo de la ola.

8. Desprotección de las instalaciones críticas para la seguridad de la central

Con la debida prudencia, concluiría que lo ideal habría sido mantener todas las instalaciones implicadas en la seguridad del reactor en una sala subterránea y blindada, protegida frente a terremotos y maremotos, que formase una sola pieza con el búnker del reactor, y que dispusiese de los mismos elementos de seguridad. ¿De qué sirve que el reactor esté protegido por una cúpula capaz de resistir el impacto directo de un misil si el circuito de refrigeración, los generadores que permiten su funcionamiento y los restantes elementos de seguridad tienen un nivel de protección inferior?. Una cadena es tan fuerte como el más débil de sus eslabones, y en este caso, el eslabón más débil parece que fue la protección de los generadores de electricidad.

La enseñanza de este accidente, aplicable a la prevención de cualquier tipo de riesgo, está ya definida en la llamada ley de Murphy, y consiste en asumir que, ante una lista de posibles fatalidades, existe la opción de que todas ellas tengan lugar de forma coetánea o secuencial.

En un diseño de defensa en profundidad como el de Fukushima, las amenazas superaron una sucesión de bastiones y líneas de defensa que parecían insuperables en su conjunto:

  1. La seguridad de la central de Fukushima fue diseñada para aguantar un terremoto de una potencia 8,2 y el terremoto fue de 8,9.
  2. Ante el terremoto, se produjo la parada de emergencia de los reactores y las turbinas dejaron de producir electricidad.
  3. El circuito de refigeración dejó de recibir suministro eléctrico.
  4. Se pusieron en marcha los generadores diésel externos.
  5. Entonces vino el tsunami y averió los generadores externos.
  6. La última línea de defensa eran las baterías, que funcionaron ocho horas antes de agotarse.
  7. Entonces se recurrió a los generadores móviles, cuyos conectores no coincidían con los de las bombas de refrigeración.
  8. Cuando se consiguió recuperar el circuito de refrigeración, había pasado un tiempo precioso.

Todas las líneas defensivas fueron superadas por una cadena de fenómenos naturales previsibles, pero con una magnitud y una sucesión en el tiempo que resultaron letales. Si ante acciones de la naturaleza, y por lo tanto no provocadas intencionadamente por el hombre, el efecto es tan devastador, la pregunta inmediata es: ¿qué sucedería ante un ataque intencionado que tuviese en cuenta todas estas vulnerabilidades, algunas de ellas apreciables a través de Google Maps?

Teniendo en cuenta la progresiva implantación de los protocolos TCP/IP en los sistemas de control SCADA, ¿podría tener éxito un ataque a través de Internet orientado a producir una parada de emergencia del reactor, dejar el circuito de refrigeración sin energía, impedir la puesta en marcha de los generadores externos e interferir las comunicaciones de los equipos de emergencia?

A principios de los ochenta, tuve la suerte de visitar las obras de la central nuclear de Ascó II y pasé un buen rato bajo la cúpula que más tarde albergaría el núcleo del reactor. La emoción que sentí fue parecida a la del que está en un lugar que nunca ha pisado el hombre. Pero en aquel momento único, la emoción venía dada, en realidad, por la absoluta certeza de estar en un lugar que nunca más volvería a pisar el ser humano.

 

 

 

 

Venta de productos con datos personales en grandes superficies

Es la tercera vez que me ocurre y evidencia una mala gestión de las devoluciones por parte de las grandes superficies.

La primera vez fue un smartphone. Un cliente lo había comprado antes que yo y lo había devuelto sin borrar sus datos. La gran superficie se había limitado a ponerlo de nuevo en la vitrina, y ahí se quedó hasta que lo compré. Era el último que quedaba. En su interior había datos suficientes para saber lo que el anterior usuario había hecho durante los cinco días que lo tuvo en su poder. Las fotos y vídeos de su viaje a Palma de Mallorca, la agenda, los contactos, las llamadas realizadas y recibidas. Todavía ahora estaría avisándome del cumpleaños de una tal Marta si no fuese porque borré todos los contenidos. Al no devolverlo ni protestar por el incidente me sumé a la lista de clientes conformistas que hacen que tengamos los proveedores que nos merecemos.

La segunda vez fue un disco duro multimedia. Estaba lleno de películas familiares y fotos de un matrimonio con tres hijos.

La tercera vez (ayer) fue un disco duro de red. Había pertenecido a una empresa de electrodomésticos muy conocida. En la configuración de la red había los siguientes datos:

  • Dominio y contraseña de acceso del servidor corporativo.
  • Direcciones MAC de los ordenadores autorizados a acceder.
  • Nombres de los usuarios y derechos de acceso a las carpetas.
  • Cuota de disco de cada usuario.
  • Registro de la actividad del servidor.
  • Casi 1 TB de documentos borrados perfectamente recuperables.

No hace falta ser un experto para sacar algunas conclusiones de estas tres experiencias:

  1. Absoluta despreocupación de los dos usuarios domésticos por los datos incluidos en el producto que devolvieron.
  2. Conducta negligente de la empresa que devolvió el disco duro de red sin borrar adecuadamente los datos. Si hacen lo mismo cada vez que cambian los sistemas informáticos al acabar el renting, no podrán quejarse si alguien recupera esos datos y busca la forma de conseguir algún rendimiento económico con ellos.
  3. Gestión nefasta, por parte de las grandes superficies implicadas, de los productos devueltos, cuando éstos tienen capacidad para almacenar información.
  4. Escasa precaución del comprador al no comprobar si la caja ha sido abierta previamente. En mi caso, las tres cajas estaban precintadas pero se notaba que habían sido abiertas previamente. El problema es que, a veces, todas las cajas disponibles están igual, o bien es la última que queda y no puedes esperar. En una ocasión, la persona que me atendió se justificó diciendo que el fabricante les había pedido que actualizaran el firmware!! (sic). Si aún así acabas quedándote el producto, no es que no sepas comprar, es que no puedes reprimir la impaciencia y confías en que la tienda no te va a suministrar un producto en mal estado.

La política de aceptar devoluciones es buena porque garantiza la satisfacción del cliente que realiza la primera compra, pero, mal gestionada, genera un gran rechazo en el cliente que realiza la segunda compra, porque piensa que se trata de un producto de segunda mano que le han vendido como nuevo.

Me ahorro los comentarios relativos a la LOPD por ser más que evidentes.

 

Guía de buenas prácticas y Argumentario

El pasado 3 de diciembre tuvo lugar, en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la sesión de trabajo sobre uso legal del software en las empresas. BSA y PricewaterhouseCoopers acaban de publicar dos documentos que recogen los principales puntos de las ponencias y el debate. También se recogen las conclusiones de las jornadas de Barcelona y Sevilla, celebradas los días 1 y 2 de diciembre, respectivamente.

El primer documento es una Guía de Buenas Prácticas, y va dirigido al CIO y, en general, a los departamentos que gestionan las TIC en las empresas.

El segundo documento es un Argumentario que incluye los argumentos legales, reputacionales y de seguridad que la asesoría jurídica interna o el CIO pueden utilizar para sensibilizar a la Dirección General sobre la necesidad de adecuar el presupuesto de la empresa a las necesidades reales de software existentes.

Ambos documentos se encuentran en el blog creado con motivo de las sesiones de trabajo, en el que se recopilan los riesgos, los argumentos y las buenas prácticas que se debatieron en las sesiones de trabajo. El blog permite realizar aportaciones y comentarios que serán incorporados en las sucesivas ediciones de la guía y del argumentario.

Evaluación de la seguridad física

Los distintos niveles de robustez y fiabilidad de los productos destinados a la seguridad física no son siempre fáciles de determinar. En unos casos existen normas y procedimientos de homologación que permiten conocer el nivel de resistencia de un cristal, una cerradura, una puerta o una cámara inífuga a las distintas amenazas a las que se halla expuesta. En otros casos hay que atender a las especificaciones técnicas del material (dureza del acero, temperatura de fusión, etc.) o a los niveles de resistencia establecidos unilateralmente por el fabricante.

Por ejemplo, en el caso de cerraduras y candados, hay fabricantes que acuden a homologaciones y otros que establecen su propia escala de seguridad. En un caso concreto, analizado en una auditoría, el fabricante había establecido una escala del 1 al 15 y aseguraba que el producto ofrecía los siguientes niveles de resistencia:

– Nivel 13 de resistencia a la congelación y fractura mediante gas licuado.
– Nivel 14 de resistencia al corte mediante sierra convencional.
– Nivel 15 de resistencia al corte mediante cizalla o herramienta similar.
– Nivel 15 de resistencia a la acción de un taladro sobre el bombín.
– Nivel 15 de resistencia al uso de ganzúas o llaves falsas.

Algunos fabricantes acuden a la homologación A2p (APSAD) y a las normas VDMA, NFPA, etc.

En cualquier caso, hay que reconocer que, mientras en el análisis de la seguridad lógica el auditor puede realizar pruebas directamente sobre el sistema (análisis de la robustez de las contraseñas, comprobación de privilegios, pruebas de intrusión, etc.) en el análisis de la seguridad física el margen de maniobra es menor y hay que acudir a información facilitada por el fabricante. Ante la dificultad para realizar pruebas de resistencia sin destruir o dañar el material instalado, deberán tenerse en cuenta las homologaciones, normas técnicas, certificaciones y especificaciones facilitadas por el fabricante, así como el nivel de confianza que ofrece la marca.

Algunos datos publicados en el ISMS Forum

1. En septiembre entró en vigor en Inglaterra una nueva normativa que permite realizar transferencias rápidas de dinero. El número de correos electrónicos de phishing se multiplicó inmediatamente por 10. En España, este año se ha duplicado.

2. Paypal ofreció seguridad de doble factor a sus clientes mediante un generador de claves aleatorias y muy pocos se adhirieron al nuevo sistema de autenticación para no renunciar a la comodidad del sistema actual de pago mediante dos clics. Ello hace prever una escasa aplicación del DNI electrónico al comercio B2C en Internet.

3. Hay más de 2.000 millones de dispositivos móviles en el mundo. Todos ellos tienen datos personales que pueden ser objeto de apropiación con suma facilidad. Ello obliga tanto a empresas, gobiernos y particulares a extremar la seguridad de estos dispositivos.

Seguridad y comodidad

A veces, la buena intención del fabricante de un producto para ofrecer una mayor comodidad en su uso puede afectar gravemente la seguridad. Voy a poner un ejemplo de seguridad analógica que tiene un evidente paralelismo con la seguridad digital. Mi mujer tiene un scooter con una caja trasera en la que guarda un casco auxiliar. La caja puede abrirse con la llave de contacto de la moto, lo que permite no tener que ir con dos llaves distintas. La semana pasada se encontró la caja forzada. Se habían llevado la cerradura pero habían dejado el casco. En el taller le dijeron que era una técnica habitual. Al tener la cerradura de la caja podían obtener un duplicado de la llave de la moto y robarla de forma más fácil que cargándola a una furgoneta. Las medidas que ha adoptado ahora han dejado la comodidad en un segundo término.

El año de los PIGS

Ha sido entretenido ver el uso que se ha hecho en los últimos meses  de la palabra PIG.  El primer uso ha sido para recuperar, en el artículo "Pigs might fly" (PDF) de Andrew Clare, el acrónimo utilizado en los años ochenta para los países del sur de Europa: Portugal-Italy-Greece-Spain (PIGS). La polémica se avivó con el artículo "Pigs in the muck" publicado en el Financial Times, que tuvo su respuesta con la carta publicada en el mismo periódico por el presidente de Dircom. El segundo uso ha tenido lugar en el debate político norteamericano con la polémica originada por la frase de Barck Obama: "You can put lipstick on a pig, but it´s still a pig" frase equivalente a la española "aunque la mona se vista de seda, mona se queda". Los repúblicanos entendieron que el término PIG iba referido a Sarah Palin que había dicho previamente: "The difference between a pitbull terrier and a hockey mom like myself is lipstick". El tercer uso es mucho más coloquial y menos "off topic" para este blog.  Corresponde a la respuesta que podría darse al acrónimo PIGS utilizado por los ingleses al referirse a los países del sur de Europa. En este caso, podría denominarse PIGS a las personas incapaces de generar seguridad o a las personas insensibles ante la gravedad de la seguridad, a la vista de las reiteradas pérdidas de datos que se producen en el país que acuñó el primer acrónimo. De hecho, es habitual utilizar el término PIG al hablar de seguridad informática. Un ejemplo es la expresión "Dancing pigs" utilizada para referirse a la actitud de los usuarios informáticos en relación a la seguridad. Otro es el término "piggyback", tradicionalmente utilizado para referirse a los accesos no autorizados realizados "a cuestas" del usuario legítimo, y recientemente aplicado al acceso a Internet a través de redes inalámbricas ajenas.

Publicado en el BOE el Reglamento de la LOPD

Hoy se publica en el BOE el Reglamento de desarrollo de la LOPD (PDF), que entrará en vigor dentro de tres meses. La principal novedad es la extensión de las medidas de seguridad al soporte papel. Mañana iniciaré la publicación en este blog de una serie de presentaciones multimedia que explicarán el contenido de esta norma y su impacto en las empresas.

Acceso al Reglamento (PDF)

 

Conclusiones del desayuno de trabajo de Madrid

El pasado jueves se celebró en Madrid el desayuno de trabajo sobre control empresarial del correo electrónico, al que asistieron más de 100 empresas. Los resultados del sondeo indicaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total = 0%
2. Uso moderado =   95%
3. Sin restricciones =  5%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación = 7%
2. Comunicación + aceptación expresa del trabajador = 93%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta =  21%
2. Información datos de contacto del sustituto = 6%
3. Autorización para acceder a la cuenta = 3%
4. Combinación de las anteriores = 42%
5. No tiene protocolo = 28%

Nuevo modelo de informe anual de buen gobierno

El BOE de hoy publica el nuevo modelo de informe anual de buen gobierno que las sociedades anónimas cotizadas deben utilizar para comunicar a la CNMV el nivel de cumplimiento del Código Unificado de Buen Gobierno Corporativo. Sigo pensando que tanto el código como el informe anual deberían contener una sección dedicada al buen gobierno de las tecnologías de la información y de las comunicaciones. Las razones para ello son claras:

  1. Nivel de dependencia de estas tecnologías.
  2. Influencia en la continuidad de la empresa.
  3. Alineamiento con los objetivos del negocio.
  4. Carácter estratégico de las TIC.
  5. Contribución al principio de imagen fiel del estado financiero de la sociedad.
  6. Influencia en la confianza de los stakeholders y especialmente de los accionistas.
  7. Extensión progresiva del modelo SOX.

Acceso al modelo (PDF)