Het RIIA kwam onder meer tot deze bevindingen: - de cybersecurityrisico's worden in de nucleaire industrie over het algemeen slecht ingeschat; - de nucleaire industrie zou hier minder ervaring mee hebben dan de meeste andere sectoren, en zou pas laattijdig IT-tools in gebruik hebben genomen; - de meeste centrales werden ontworpen in een tijd waarin er nog geen cybersecurityrisico's bestonden, en hun ontwerp zelf zou onveilig zijn; - uit overwegingen van geheimhouding zouden ervaringen inzake cyberaanvallen onvoldoende worden uitgewisseld; - in veel gevallen zou het personeel van de kerncentrales onvoldoende opgeleid zijn
, en vaak zouden de personeelsleden geen inzicht hebben in ...[+++] de risico's; - doordat er prioriteit werd gegeven aan de fysieke nucleaire risico's (de inrichtingen), zou er vaak minder aandacht zijn besteed aan cybersecurityrisico's; - bovendien zou het aanpassen en verbeteren van de ICT-systemen sterk bemoeilijkt worden doordat de centrales ononderbroken in bedrijf moeten blijven; - de risico's zouden zijn toegenomen door het gebruik van commerciële computersystemen (off the shelf) in plaats van de specifieke en logge, maar beter afgeschermde systemen van weleer; - er zou op dit gebied onvoldoende internationale samenwerking bestaan.Quelques constatations selon le RIIA: - la perception du risque informatique serait en général faible dans l'industrie nucléaire; - l'industrie nucléaire possèderait moins d'expérience en la matière que la plupart des autres secteurs. L'adoption des instruments informatiques aurait été tardive; - la plupart des centrales ont été conçues à une époque où le risque informatique n'existait pas. Elles seraient "insécures par design"; - le souci de maintenir le secret entraînerait une carence en diffusion des expériences liées à des attaques; - dans de nombreux c
as, la formation du personnel des centrales nucléaires serait insuffisante. Il
...[+++] existerait souvent une incompréhension des enjeux; - la priorité donnée au risque nucléaire physique (les installations) aurait souvent eu pour conséquence de moins cibler le risque informatique; - les adaptations et renforcements du système informatique seraient en plus rendus fort complexes par la nécessité de maintenir un fonctionnement continu des centrales; - le risque aurait été accru par le recours à des systèmes informatiques commercialisés (off the shelf) à la place des systèmes lourds, dédiés, mais plus isolés de naguère; - il existerait une faiblesse de la coopération internationale dans ce domaine.