La captura de información relacionada con la actividad científica y tecnológica de una nación compromete su estabilidad y competitividad. Mencionado durante la última cumbre de los Cinco Ojos, la protección del potencial científico y técnico de las naciones requiere medidas de ciberseguridad máximas.
Definición del potencial científico y técnico
El potencial científico y técnico de la nación constituye «el conjunto de bienes materiales e inmateriales propios de la actividad científica fundamental y aplicada al desarrollo tecnológico de la nación francesa«. En otras palabras, se trata de conocimientos y saber hacer altamente estratégicos y tecnologías sensibles, producidos y desarrollados dentro de establecimientos públicos y privados en el territorio nacional. Su acceso y su protección están formalmente regulados.
Una primera protección: el dispositivo PPST
Desde 2011, Francia ha implementado la Protección del Potencial Científico y Técnico (PPST). Este dispositivo regulatorio de seguridad, de nivel interministerial, dirigido por el Secretariado General de la Defensa y de la Seguridad Nacional (SGDSN), está distribuido en 6 ministerios diferentes:
- Ministerio de Agricultura
- Ministerio de Defensa
- Ministerio de Desarrollo Sostenible
- Ministerio de Economía y Finanzas
- Ministerio de Salud
- y Ministerio de Educación Superior, Investigación e Innovación
Su objetivo es prevenir cualquier fuga o intento de captura de esta información sensible, gracias especialmente a la creación de zonas de régimen restrictivo (ZRR). En estas, lugares de investigación o de producción, por ejemplo, de gran interés para la nación, se opera un control estricto de los accesos físicos o virtuales a la información sensible. El PPST complementa otros sistemas de seguridad como el de la protección de los Organismos de Importancia Vital (OIV) o del secreto de la defensa nacional.
¿Cuáles son los riesgos en caso de exposición de esta información sensible?
En caso de captura, esta información relativa al potencial técnico y científico de la nación puede ser desviada para fines de desestabilización o criminales. Los riesgos se clasifican en 4 categorías:
- Daño a los intereses económicos de la nación
- Desarrollo de arsenales militares
- Proliferación de armas de destrucción masiva
- Terrorismo
Sectores concernidos
Diferentes sectores científicos y técnicos están, por lo tanto, concernidos por el PPST:
- la biología,
- la medicina,
- la salud,
- la química,
- las matemáticas,
- la física,
- las ciencias agronómicas y ecológicas,
- las ciencias de la tierra, del universo y del espacio,
- las ciencias y tecnologías de la información y la comunicación
- las ciencias de la ingeniería…
Así, laboratorios de investigación, empresas y universidades deben ser protegidos de los riesgos de interceptación de datos.
Proteger el potencial científico y técnico del ciberespionaje
El acceso a las ZRR puede ser físico pero también virtual. Por lo tanto, la seguridad de los sistemas de información constituye un desafío mayor para proteger el potencial científico y técnico del ciberespionaje.
Asegurar los sistemas de información de régimen restrictivo (SIRR)
Un sistema de información de régimen restrictivo (SIRR) hace transitar información de régimen restrictivo (IRR), es decir, sensible y cuya divulgación presentaría uno o varios de los riesgos mencionados anteriormente. Su acceso constituye, por lo tanto, un acceso virtual a una zona RR. Cabe destacar que los SIRR están sujetos a la instrucción interministerial n.º 901 sobre la protección del secreto y de la defensa nacional.
En la guía de protección digital del potencial científico y técnico de la nación publicada por la ANSSI figura una lista de medidas de seguridad a implementar por las organizaciones que disponen de un SIRR. Entre ellas, el despliegue de una política de seguridad de los sistemas de información (PSSI), enumerando el conjunto de buenas prácticas y procedimientos en materia de seguridad informática a respetar por los colaboradores y otras partes interesadas.
En efecto, el SIRR engloba todo tipo de soportes y equipos electrónicos como ordenadores portátiles, USB o servidores y supone, por lo tanto, paralelamente una sensibilización a la ciberseguridad de los usuarios.
Ejemplos de medidas de seguridad a implementar:
- cifrado de comunicaciones
- cifrado de discos duros de los puestos de trabajo
- control de acceso
Velar por la seguridad de los puestos de trabajo
Los puestos de trabajo contienen cierta cantidad de información sensible que debe ser protegida. La ANSSI, a través de su guía, recuerda la importancia de eliminar la totalidad de los datos presentes en un puesto de trabajo antes de una reasignación de material. De la misma manera, es esencial eliminar los derechos de acceso a los sistemas de información tan pronto como termine el período de empleo de un usuario.
Utilizar una tecnología de cifrado de extremo a extremo de las comunicaciones
Las herramientas de comunicación desplegadas en las empresas, especialmente en establecimientos en zona RR, deben responder a un nivel de seguridad máxima. Primero, la solución utilizada debe ser Secure by design y respetar así un cierto número de criterios de seguridad, desde su concepción hasta su despliegue en la organización. Así, su impacto en la seguridad de la red de la empresa será notablemente disminuido o nulo. Por otro lado, las comunicaciones intercambiadas en mensajerías en línea o en videoconferencia son objetivo de espionaje informático e industrial. Solo una tecnología de cifrado de extremo a extremo de los flujos de comunicaciones audio, video y data puede evitar la recuperación de sus datos.
Mostrar la mayor reactividad en caso de ataque
En caso de crisis ciber, una solución de comunicación segura y de emergencia es igualmente indispensable para asegurar la continuidad de actividad del establecimiento. Debe permitir a los colaboradores continuar sus intercambios gracias a un canal de comunicación «out of band», es decir, diferente al utilizado habitualmente.
El software de videoconferencia seguro Tixeo responde a esta necesidad. Gracias a su tecnología de cifrado de extremo a extremo soberana y su despliegue altamente seguro en versión on-premise, permite acompañar a los establecimientos en su gestión de crisis y su ciberresiliencia.
Primer cumbre de los Cinco Ojos sobre el tema en 2023
El 16 y 17 de octubre de 2023 tuvo lugar por primera vez una cumbre de los Cinco Ojos sobre la temática de la protección del potencial científico y técnico de la nación. Durante esta cumbre, los 5 países de la coalición (Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda) alertaron sobre las amenazas que pesan sobre la innovación y la investigación. Más específicamente, es el gobierno chino el que fue señalado como el principal peligro para la innovación y los intereses de las naciones. «El gobierno chino está comprometido en el robo de propiedad intelectual y la adquisición de experiencia más sostenida y sofisticada, que no tiene precedente en la historia de la humanidad», declaró Mike Burgess, director general de los servicios de inteligencia australianos.
Las operaciones de espionaje industrial, de origen chino, de hecho, conocen un aumento sin precedentes. «Los sectores de la inteligencia artificial, la informática cuántica y la biología sintética están particularmente en el punto de mira en este momento, según los altos funcionarios.» Un recrudecimiento del ciberespionaje de origen estatal que no ahorra tampoco a los países europeos. El documento Cinco principios para asegurar la investigación y la innovación fue publicado al término de la cumbre y presenta varias recomendaciones para maximizar la protección del potencial científico y técnico. Entre ellas: el conocimiento y gestión de los riesgos ciber, la protección del entorno de trabajo, la sensibilización de los colaboradores o la seguridad de las asociaciones, proveedores y prestadores de servicios.