Entendre + la transformació digital

La ciberseguretat en temps de pandèmia

Es calcula que aquest any hi haurà un atac cibernètic mundial cada 11 segons, quan la mitjana fa només cinc anys era de 40 segons. A Espanya, el 99% de les empreses admeten haver patit un atac cibernètic durant el 2020, i el 43% d’aquests atacs anaven dirigits a pimes. Per això el talent en ciberseguretat cotitza en aquests moments a l’alça. José Luis Rojo de Luque (EY), Manel Medina (UPC) i Jordi Serra (UOC) radiografien el sector de la seguretat digital

La ciberseguretat en temps de pandèmia
8
Es llegeix en minuts

La ciberseguretat engloba el conjunt de mesures físiques, lògiques i administratives destinades a la protecció digital de les empreses, persones i sistemes (siguin dispositius, aplicacions o dades) davant atacs digitals que puguin comprometre la confidencialitat, disponibilitat o integritat. 

Avui en dia, les empreses tenen una gran presència digital, ja sigui exposada públicament a través d’Internet o internament mitjançant sistemes informàtics per gestionar les dades i processos interns. No ser capaç de protegir-se efectivament contra les noves amenaces exposa les empreses actuals a la pèrdua d’informació confidencial, a un impacte negatiu en la marca pròpia, a la incapacitat de desenvolupar l’activitat empresarial i la vulneració de lleis específiques, com el reglament de protecció de dades, l’incompliment de la qual comporta sancions severes.

I en aquest context, el crim cibernètic està en expansió. El sector públic, el de l’energia i la indústria manufacturera han sigut els sectors que més atacs cibernètics han rebut l’últim any. Un altre sector que ha patit l’atac de ‘hackers’ arran de la pandèmia ha sigut el de proveïdors de salut.

La ‘cibernormalitat’: viatge al futur

José Luis Rojo de Luque. Soci EY Ciberseguretat / Technology Consulting

«Són les 7:04 h i mentre m’afaito sona el telèfon. És una empresa important del sector industrial. Em comenten que han patit un atac cibernètic i que tenen dues fàbriques aturades al primer torn. La incertesa econòmica de la pandèmia havia posposat els projectes de ciberseguretat i ara no saben per on començar...».

Fa poc va fer un any des que la pandèmia va explotar a les nostres vides i va trastocar tot allò que era quotidià. En aquest període, hem adoptat en el nostre dia a dia i amb molta normalitat nous hàbits digitals: videoconferències, ‘fitness’ virtual, ús extensiu de xarxes socials, ‘apps’ de mòbil, visites mèdiques virtuals, compra per internet, banca ‘online’, gestió de cites prèvies, contingut d’entreteniment i un llarg etcètera. Tots nosaltres hem sigut protagonistes d’una reevolució tecnològica i digital sense precedents que ha superat amb èxit barreres culturals i generacionals (sense incloure-hi els menors de vint-i-cinc, ells ja eren digitals). D’altra banda, el context epidemiològic ha marcat un abans i un després en el funcionament de moltes empreses. La demanda digital de consumidors i empleats, el distanciament social i la forta pressió competitiva han accelerat els plans de digitalització de totes les companyies. 

Com a societat, s’ha reevolucionat més digitalment l’últim any que el que s’havia aconseguit en l’última dècada. En altres paraules, aquesta pandèmia ens ha fet viatjar al futur digital per quedar-nos-hi i no tornar enrere. En un futur digital on l’ús de la tecnologia genera molta més informació sobre nosaltres i de més valor que mai. 

La nostra ràpida adaptació als beneficis que ens proporciona la tecnologia ha quedat demostrada. No obstant, ¿som capaços d’assimilar al mateix ritme els riscos que comporta (robatori d’informació, parada de serveis públics, etcètera)? Aquests riscos, ¿ens preocupen o realment ens ocupen? 

Fem una ullada al costat fosc. El crim organitzat aposta clarament pel mitjà digital: la ‘darkweb’ i les criptomonedes els brinden impunitat des de qualsevol geografia. Ja no som davant ‘hackers’ solitaris. El crim cibernètic va escalar al tercer lloc de les conegudes ‘economies il·legals’ (per davant del narcotràfic) abans de la pandèmia. Per aquesta raó, les organitzacions cibercriminals disposen de molts recursos i funcionen com una empresa molt innovadora: contínuament inverteixen en tecnologia i talent per evolucionar sofisticades tècniques d’atac que obtinguin el màxim èxit i rendibilitat de la nostra cada dia més valuosa informació. No ha sigut diferent durant la pandèmia. El crim cibernètic ha innovat per aprofitar totes les oportunitats de ciberatacar que ofereix la nostra digitalització. Hem vist incrementats els atacs en més del 30% (a l’estil programari segrestador o frau al CEO, entre d’altres) i els problemes notoris que han tingut les empreses. Tot fa presagiar que els incidents continuaran evolucionant i creixent com veiem als atacs basats en intel·ligència artificial, com, per exemple, la tecnologia ‘deepfake’ utilitzada a l’anunci de la resurrecció de ‘la Faraona’.

En aquesta nova cibernormalitat no hi ha opció. Serà una selecció natural. Continuaran existint dos tipus d’empreses: les que han sigut ‘hackejades’ (diverses vegades) i aquelles que ho seran (també diverses vegades). Com a usuaris no ens quedarà més remei que començar a discriminar aquelles empreses que ens ofereixin confiança en la protecció de la nostra informació i que no ens deixaran a l’estacada per un atac cibernètic. Aquestes empreses hauran d’innovar, invertir i reevolucionar el seu mapa de riscos per acostar la ciberseguretat a la seva cadena de valor augmentant la seva capacitat de protecció, detecció i resposta a les agressions del crim cibernètic.

‘Hackers’ ètics: una professió amb futur

Manel Medina. Director de l’Equip de Seguretat per a la Coordinació d’Emergències en Xarxes Telemàtiques (esCERT-inLab) de la UPC i del màster en Ciberseguretat de la UPC

Els ‘hackers’ eren tècnics amb coneixements d’informàtica i xarxes, amb ganes d’experimentar i de descobrir noves maneres d’accedir a dispositius, serveis o dades d’organitzacions. Treballaven pel seu propi prestigi i satisfacció personal. Després els delinqüents es van adonar que els ‘hackers’ podien fer-los guanyar diners segrestant servidors o dades, o revenent-los. I així van néixer els ciberdelinqüents més o menys organitzats o autònoms. 

En contraposició a aquests ‘hackers’ dolents tenim els ‘hackers’ bons (ètics), que fan algunes tasques iguals que els dolents, però sobre els seus propis sistemes o per encàrrec de la mateixa organització atacada, buscant errors de programació en les aplicacions informàtiques, errors de configuració dels servidors o els dispositius de xarxa, equips o dispositius de protecció mal actualitzats o, senzillament, treballadors o directius distrets o mal entrenats per vèncer atacs d’enginyeria social.

Cada vegada hi ha més empreses que són conscients dels riscos a què estan exposats els seus serveis i documentació confidencial o estratègica, i l’obligació legal que tenen de protegir-los. De la mateixa manera que cada vegada hi ha més empreses que volen aconseguir informació de la competència. Però no n’hi ha prou amb protegir-nos dels atacs que imaginem; el que hem de fer és demanar ajuda als ‘hackers’ ètics perquè puguin imaginar els atacs per als quals no hem posat mesures de protecció.

Són feines apassionants i molt estimulants i enriquidores. Falten molts professionals i, des de les universitats i administracions públiques, estem intentant atraure molts homes i dones cap aquest sector en què hi ha atur negatiu; sempre hi ha moltes ofertes de treball per cobrir. 

El SEPE ja va proposar formacions per a aquests professionals el 2011, l’any passat es van actualitzar els continguts i aquest any està previst que el node de ciberseguretat del nou Digital Innovation Hub de Catalunya (DIH4CAT) promogui cursos per formar experts en ciberseguretat, capaços de realitzar tant funcions de ‘hacker ètic’ (equip vermell) com de protecció de sistemes contra aquests ‘hackers’ (equip blau). En els últims anys aquestes dues funcions estan convergint (equip porpra), ja que per guanyar eficiència els atacants i defensors col·laboren, intercanviant dades sobre on és la informació i serveis que han de protegir/atacar, com es vol atacar i de quina manera estan protegits.  

Més val desconfiar que lamentar-se

Jordi Serra. Professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC

La pandèmia no només ha canviat la manera de veure la sanitat, també la manera com treballen les empreses, sobretot les persones que estan assegudes davant d’un ordinador tot el dia. Gestionant comandes, escrivint columnes i notícies als diaris, tramitant expedients, etcètera.

Totes aquestes empreses, i l’administració pública s’han adonat que es pot fer el mateix des de casa amb un ordinador i a més sent més eficient, amb menys temps i menys accidents en els desplaçaments. Això està molt bé, és rendible per a l’empresa, però té el problema d’adaptar-les per poder treballar des de casa igual que a l’oficina. Recordem els primers dies de tancament complet del país: només podien desplaçar-se els sanitaris, els policies... els essencials, deien, i dins d’aquests, sí, hi havia els informàtics que portaven els ordinadors a les cases dels empresaris i empleats, posaven línies de telefonia IP per poder treballar igual que a l’empresa.

D’aquesta manera de treballar s’ha afavorit el crim cibernètic. Moltes empreses tenien, i tenen, les dades guardades als ordinadors locals, per la qual cosa des de casa es necessita poder entrar a aquests fitxers. Això s’aconsegueix deixant una porta oberta a internet. En el pitjor dels casos, es configura el port de l’escriptori remot de l’ordinador de l’empresa per entrar-hi des de casa, i des de la del veí també... Sistemes sense actualitzar, o amb configuracions molt febles han sigut atacats amb èxit per part dels ciberdelinqüents. D’aquí la importància d’actualitzar-ho tot, fins i tot els aparells de connexió a internet, i tenir bones contrasenyes.

Però no només s’han atacat les infraestructures febles i ràpides adaptades per al teletreball, sinó que també hi ha hagut una campanya molt important d’enviament de correus electrònics amb codi maliciós adjunt, enllaços a codi maliciós, o amb ‘phishing’. Per fer-nos creure que ens envien una factura des d’un proveïdor, una informació rellevant sobre la pandèmia, noves restriccions... És molt fàcil caure-hi en aquests moments de tensió i descontrol d’informació. Com ha passat a més d’un ajuntament, hospital i empresa.

Notícies relacionades

A l’estar separats físicament dels nostres companys, no hem de confiar més en els seus missatges perquè ja només ens comuniquem per correu. Al contrari: si rebem correus amb fitxers adjunts que no són els que sempre rebem, o en el mateix format, millor no obrir-los i preguntar si realment s’ha enviat, perquè, si no ho ha fet, possiblement l’altra persona tingui algun codi maliciós. Factures a deshora, correu mal redactat o d’una direcció diferent de la de sempre ens ha de fer desconfiar i avisar

Tampoc hem de confiar en el nostre ordinador, per ser el de sempre a casa; també pot estar afectat per codi maliciós i no saber-ho. És important examinar hi ha codi maliciós amb un antivirus actualitzat i millor si podem tenir un usuari extra a l’ordinador només per a les gestions professionals, així podrem separar l’usuari de la feina de l’usuari de casa.  

Temes:

Ciberatacs