Se podría pensar que, dadas las potenciales consecuencias de un hackeo exitoso, los sistemas informáticos y redes de instalaciones nucleares serían las mejor protegidas contra intrusiones cibernéticas, pero esto no es así.

Según un informe de Chatham House, "la tendencia a la digitalización, cuando se combina con la falta de conciencia a nivel ejecutivo de los riesgos involucrados, significa que el personal de las centrales nucleares podría no darse cuenta de la magnitud de su vulnerabilidad cibernética, y por lo tanto, no estar preparados adecuadamente para hacer frente a posibles ataques".

Entre las cosas que los autores del informe mencionan se encuentra que, contrariamente a la creencia popular, la mayoría de las instalaciones nucleares no están aisladas del Internet público, la conectividad a Internet es simplemente un beneficio demasiado grande para eliminarlo por completo. Desafortunadamente, esto también significa que muchas veces algunos de estos componentes pueden ser identificados por atacantes que saben cómo utilizar los motores de búsqueda como Shodan.

Pero incluso cuando los sistemas son aislados por air gapping, este obstáculo para el acceso puede ser fácilmente superado por los atacantes con una simple unidad USB.

Otro gran riesgo son las vulnerabilidades de la cadena de suministro: en cualquier parte del proceso entre el momento en que se fabrica hasta el momento en que queda instalado, el equipo utilizado en una planta nuclear podría verse comprometido.

Al igual que en muchas organizaciones de todo el mundo, el personal tanto de TI como no técnico de estas instalaciones tienen dificultades para encontrar un lenguaje común. Esto, unido a la falta de formación, significa que el personal de las centrales nucleares usualmente no comprenden los procedimientos fundamentales de seguridad cibernética.

Las instalaciones nucleares también son a menudo culpables de acercarse a la seguridad informática de forma reactiva. Como señalaron los autores, esto podría conducirlos al desconocimiento de un ataque cibernético hasta que ya está en marcha. En resumen, no están preparados para una emergencia de seguridad cibernética a gran escala.

Si agregamos a todo lo anterior que los parches de software en estas instalaciones con frecuencia se evitan debido a la preocupación de que afecten al sistema o provoquen algún tiempo de inactividad significativo, la falta de procedimientos claros de divulgación de un incidente de seguridad cibernética y de intercambio de información, y un presupuesto insuficiente para seguridad cibernética, se tiene una situación que no es, de ninguna manera, buena para los defensores.

El informe y su resumen contienen recomendaciones para hacer frente a estos problemas, pero se requerirá de "una respuesta organizacional del sector nuclear, que incluye, por necesidad, un liderazgo bien informado al más alto nivel y las contribuciones dinámicas de gestión, personal y la comunidad en general de las partes interesadas, incluidos los miembros de las comunidades de seguridad y protección".