“Els professionals de la ciberseguretat han de ser experts tecnològics, però també advocats i economistes”
Oriol Torruella Director de l’Agència de Ciberseguretat de Catalunya
Categories:
Els atacs de ransomware als centres públics s’han convertit en un incident cada cop més habitual. El darrer incident s’ha registrat aquest mes d’octubre amb la fuita de 54 GB de dades dels hospitals Moisès Broggi, Dos de Maig i General de l'Hospitalet de Llobregat orquestrada per un grup de pirates informàtics especialitzat en segrest de dades a canvi d’un rescat. Entre els sectors públic i privat, el 2021 es van comptabilitzar 37.000 milions de registres filtrats arreu del món en un 18% menys de ciberatacs que l’any anterior, segons el darrer informe de tendències de l’Agència de Ciberseguretat de Catalunya. “Som davant una tendència global”, explica el seu director, Oriol Torruella, qui posa sobre la taula el “procés de digitalització natural” com el principal vector que exposa les societats al cibercrim, el qual ha d’anar de la mà d’una societat amb consciència dels riscos i crítica davant els usos de la tecnologia.
Per què els hackers han posat els ulls sobre els hospitals?
Els serveis públics són els més crítics. A escala global, prop del 9% dels atacs es destinen només al govern, mentre que si hi sumem salut o educació, la xifra creix fins al voltant del 15%. Aquests serveis no poden viure una disrupció de l’activitat de manera general perquè són extensos, tenen molts usuaris i han de ser relativament estables; i tenen dades sensibles i crítiques, és evident que ha de ser un focus de la ciberdelinqüència. A banda, l’Administració a nivell global, i especialment a Catalunya, té un nivell de desenvolupament de digitalització molt alt i això és clau. No és una qüestió de ser gran o petit, sinó de ser molt o poc digital. La Generalitat ha posat especial atenció en la digitalització i això ha fet que el grau d’exposició sigui més elevat.
“No és una qüestió de ser gran o petit, sinó de ser molt o poc digital”
S’han pres poques mesures de protecció i insuficients per al grau de digitalització que s’ha adquirit?
N’hem pres i ho continuem fent, ho contempla l’Estratègia en matèria de ciberseguretat de la Generalitat de Catalunya 2019-2022. Però no podem oblidar que a mesura que ens digitalitzem, ens exposem més, i alhora l’activitat atacant va agafant més volum i provoca impactes més grans. Rere un procés de digitalització avançat sempre arriba tot seguit un procés de protecció.
De fet, entre el 2020 i el 2021 s’han registrat un 18% menys d’incidents, però el volum de dades filtrades ha estat equivalent.
Cada vegada es filtren més dades en un nombre menor d’incidents. Pot ser que els atacants siguin capaços d’extraure més informació o que circulin dades per la dark web que són compilacions de dades noves i d’altres ja publicades extretes d’atacs anteriors. Cada cop es veu més password spraying, que consisteix a utilitzar una credencial d’un lloc web i provar-la en altres espais. Així, si funcionen, és una credencial que torna a circular en aquestes compilacions. Per tant, hi ha menys incidents, però més dades exposades.
“Pot ser que circulin dades que són compilacions de dades noves i d’altres ja publicades d’atacs anteriors”
És el resultat d’una professionalització de la ciberdelinqüència?
Això ja no és un cas de quatre persones desorganitzades, això ja és una indústria i un mercat professionalitzat on s’inverteixen recursos i amb gent que té uns horaris. S’han anat publicant dades del rendiment que generen els atacs que han anat acumulant certs grups criminals i això també atrau l’atenció més gent que decideix invertir-hi. Estem veient tècniques repetides de manera constant en diversos ciberatacs, fet que demostra que la industrialització de l’activitat és total. Una persona entra en una infraestructura, busca uns determinats entorns, identifica les víctimes, extreu les dades, calcula el rescat i executa un conjunt d’activitats que estan parametritzades. Fins i tot i hi ha uns programaris establerts. Ens enfrontem a grups que operen professionalment i amb una activitat molt organitzada.
Hauríem de parlar de la ciberseguretat des de vessants que vagin més enllà de la tecnologia, com podria ser el dret?
A l’Agència de Ciberseguretat hem desenvolupat un model 360º. No només contemplem sistemes de protecció tecnològics, també mesures organitzatives i de risc posades en marxa. La ciberseguretat passa per una coordinació amb actors com la policia o el legislador perquè les mesures tinguin una translació a escala legislativa i pressupostària. Cal treballar amb el cos policial corresponent i els jutjats, o amb qui correspongui, perquè es detingui la gent que fa accions il·legals i perquè hi pugui haver una iniciativa legislativa si és pertinent. Des de l’àmbit executiu cal incentivar una visió transversal perquè la cadena funcioni. També cal incidir en l’àmbit privat. No hi prestem serveis, però com a servei públic, dinamitzem el desenvolupament d’una cultura que conegui què és la ciberseguretat i com ens impacta.
Les dades demostren que no tenim suficients professionals preparats per combatre el cibercrim.
És imprescindible que preparem la gent que ha de liderar aquest procés de forma professional. Han de ser persones expertes en el vessant tecnològic, com enginyers que donin suport als sistemes, però també advocats i economistes que ajudin a construir un model que permeti veure quan instal·lar una mesura, quin impacte pot tenir, quina pèrdua de potencial incorrem si no posem barreres, com pot afectar un canvi legislatiu... Hi ha moltes qüestions en les quals aquest model multidisciplinari és imprescindible. Estem impulsant una iniciativa que es dirà Ciber Academy per formar professionals per al futur model de ciberseguretat.
"La ciberseguretat passa per una coordinació amb actors com la policia o el legislador perquè les mesures tinguin una translació a escala legislativa i pressupostària"
Per formar-los des de zero o per dotar de coneixements professionals ja especialitzats en una àrea?
Tot plegat. Ens interessa tenir perfils que donin resposta immediata a les necessitats del present i també crear una força laboral per al futur. Ajuntarem en l’acadèmia diferents iniciatives de capacitació per donar resposta a curt, mitjà i llarg termini. Dissenyarem la work force del futur i crearem perfils per enfilar ja aquest model.
Un model on també caldran dones, que ara són minoria. Recentment, heu tancat un acord amb la Women4Cyber Spain per atraure’n.
La presència de les dones en l’àmbit és minsa i hem de potenciar aquest rol. No només és una qüestió de disciplinarietat, sinó que el model de ciberseguretat del futur també inclou diversitat de gènere. No sabem per què està tan masculinitzat el sector ja des de la part formativa. Tenim identificat que moltes dones descarten la possibilitat de formar part del sector perquè creuen que no és per a elles o que és un negoci on no encaixen. El model del futur de ciberseguretat acompanya la societat digital que volem, que ha de ser transversal, plural i inclusiva.
Estem preparats per al món hiperconnectat que ha d’arribar amb el 5G i la internet de les coses?
Tenim ja molta tecnologia i encara no som coneixedors de tots els riscos. La gent ha d’entendre què és la ciberseguretat perquè també l’ha d’aplicar al dia a dia. Per això és important la capacitació, però també ho és anar generant nou coneixement i reciclant-se, sobretot el que es va construint en matèria de ciberseguretat. Hem de transparentar què és la ciberseguretat i com impacta en el dia a dia cada col·lectiu: ciutadans, empreses i administració pública. A partir d’aquí, que cadascú implementi després les mesures i la previsió més adequada per al seu negoci o per garantir els seus drets digitals.
"Han de ser persones expertes en el vessant tecnològic, com enginyers que donin suport als sistemes, però també advocats i economistes"
Quin és el grau de maduresa de la societat catalana davant els riscos de la tecnologia?
La implementació de la tecnologia té un cicle natural. Fins que no s’implementa un cas d’ús, no s’identifiquen els avantatges i amenaces. Som en l’escenari en el qual el model de societat digital està en ple creixement i en el qual la ciberseguretat ja és un pilar. Hem d’adoptar una actitud comprensiva: sigui més o menys madura la societat, ens hi haurem d’adaptar i desplegar el nivell de ciberseguretat corresponent. No és qüestió de bloquejar totes les telecomunicacions ni de crear una internet segura i paral·lela, sinó d’anar formant i creant una cultura i una indústria d’acord amb els estàndards de ciberseguretat. Tenint això en compte, a nivell d’indicadors, estem bé. Catalunya apunta a ser una societat avançada segons el DESI i l’Índex de Ciberseguretat Global de Catalunya. Però no ens podem adormir perquè en un any podem passar a estar a la cua. Hem de continuar desplegant una digitalització massiva com a forma d’aprofitament d’oportunitats econòmiques, socials i tecnològiques.
Han augmentat un 262% les vulnerabilitats de dia zero, cibercriminals són més ràpids que els fabricants?
Les companyies es dediquen a crear software i generar negoci, i tenen serveis dedicats a la protecció, mentre que els ciberdelinqüents es dediquen a buscar vulnerabilitats per tenir un rendiment econòmic. És probable que aquesta dedicació exclusiva faci que vagin més de pressa. Però poques vulnerabilitats de dia zero, un cop s’han descobert, romanen durant molt temps. La indústria demostra que té una dedicació clara a la ciberseguretat i apliquen programes de bug bounty [pagar els usuaris per la troballa d’errades de seguretat] i capaciten els equips per identificar escletxes. És una qüestió de què les companyies vagin prenent consciència i els consumidors sàpiguen que, a vegades, cal pagar més per un servei digital segur. Aquesta acció esperona el sector TIC a treballar en els elements de seguretat.
"No és qüestió de bloquejar totes les telecomunicacions, sinó de crear una cultura i una indústria d’acord amb els estàndards de ciberseguretat"
Què passa amb la informació publicada al web fosc?
Els criminals utilitzen la dark web com un mètode per publicar informació, com d’altres l’utilitzen per vendre armes o droga. Les credencials robades es publiquen aquí i queden a l’abast de qualsevol criminal que en vulgui fer un ús il·lícit. Hem d’aconseguir que la dark web s’utilitzi legítimament per a la confidencialitat d’informació, que seria una eina adequada. Mentre s’utilitza il·legítimament per cometre delictes, no pot ser una eina autoritzada a nivell social.
L’espionatge ha estat un tema clau a Catalunya. És impossible detectar Pegasus, però és també impossible anticipar-se a aquesta mena d’espionatges?
Impossible no hi ha res. Hem d’anar millorant les capacitats de detecció d’aquesta amena de situacions. En aquest cas, de manera legítima, la companyia ha treballat perquè sigui indetectable. Pegasus és una eina que es pot utilitzar legítimament en casos de terrorisme i d’investigació del crim organitzat, que és la seva finalitat original. Aquí són els governs els qui han d’implantar mesures per assegurar que el seu ús sigui adequat i que només hi puguin tenir accés les persones legítimes. És qüestió d’anar-se formant, millorant per detectar irregularitats i d’establir unes normes legítimes.