El sector de la ciberseguretat a Catalunya ja suma 516 empreses, un 50% més que fa cinc anys, i dona feina a 9.458 persones, segons les últimes dades presentades per l’Agència de Ciberseguretatde Catalunya. La facturació també ha anat a l’alça i ja supera els 1.200 milions d’euros. Un context que, en paraules del director de l’entitat, Tomàs Roy, situa el territori com “un pol d’inversió”. “Sempre ha sigut un entorn on la tecnologia l’ha fet destacar. Els principals centres de processament de dades eren aquí i ara tenim empreses de ciberseguretat molt bones”, assegura. I tant està format per grans companyies internacionals, com per pimes, algunes de les quals han estat presents al Barcelona Cybersecurity Congress aquests dies. Una cita que ja s’ha constituït com l’aparador per als actors del sector, un espai que Roy defineix com “d’intercanvi i visibilitat per a un sector molt ric”. Enguany, per primera vegada, s’han pogut conèixer iniciatives catalanes en un pavelló específic. “Vam pensar 16 empreses per ser-hi i ens hem quedat curts. Hem hagut de deixar companyies fora i sortejar-ho perquè hi havia més demanda que oferta de llocs. Això és un clar senyal que és un terreny que creix”, insisteix.

Creix el sector, però també els incidents. Ens estem digitalitzant massa de pressa?

El problema que els serveis digitals no es dissenyen segurs. El problema no és si aquesta digitalització va molt de pressa i aleshores no estem protegint-los, sinó que ho és el fet que aquesta digitalització ha de ser segura. La gent no distingeix o no vol escollir entre un servei digital segur i un insegur, el servei ha de ser segur. Per tant, el més important no és la velocitat, sinó el concepte. La digitalització ha de ser segura per definició i, per tant, generar ja una digitalització més resistent i resilient en la seva concepció. Després, la ciberseguretat ja gestionarà les amenaces avançades.

"La digitalització ha de ser segura per definició"

Això vol dir que la tecnologia actual no és prou segura?

Sí que es concep que els productes tinguin funcionalitats de ciberseguretat, però sovint no es despleguen, perquè es veuen a vegades com una limitació, com un fre al fet que puguis fer coses o com que cal un coneixement més expert per poder acabar configurant correctament el dispositiu. Nosaltres estem veient que bastants vectors d'atac estan utilitzant la manca de configuració de les solucions. El mòbil té moltes funcionalitats de ciberseguretat, però qui les coneix i les configura? I si les configura, podrà fer les mateixes coses? Potser no, però seran més segures. Un producte que no contempla ciberseguretat s'arrisca molt a quedar fora del mercat o del compliment regulador. Els fabricants inclouen la ciberseguretat, però no es té la capacitat de configurar la ciberseguretat correctament i la gent vol tenir l'experiència digital completa que proposa la solució. Per tant, anar a la pestanya de configuració, privacitat, seguretat, control parental, contrasenya... sembla que hagi d'anar en contra d'una bona experiència d'usuari, quan hauria de portar una experiència més positiva de benestar.

L’usuari no té la consciència de la importància d’aquestes configuracions. Pensa en programari extern quan es parla de seguretat.

Hem de ser conscients de l'ús que fem de les coses, i del fet que nosaltres comprem tecnologia i digitalització. Per tant, si nosaltres demanem ciberseguretat, el mercat ens donarà ciberseguretat. Això ho vam veure amb la missatgeria instantània. Va aparèixer Telegram i es va xifrar; després, Signal i es va xifrar; més tard, també WhatsApp. Ara tota la comunicació és xifrada perquè un usuari no entendria que una comunicació no estigui xifrada d'extrem a extrem. Però no podem pensar que l'usuari l'únic actor responsable de la ciberseguretat demanant-la. Un iPhone, que té moltes funcionalitats, t'arriba sense manual. Aleshores, com aprenem a fer-lo servir? L'usuari ha de rebre una certa adaptació, facilitats i assistència per part de la tecnologia en la seva protecció. Si un usuari té una conducta perillosa, el sistema l'hauria d'alertar i acompanyar en una configuració més adequada a l'experiència que ell vol tenir. En alguns usuaris potser no cal implementar solucions dràstiques, però si algú té aquestes conductes, hauria de tenir un assistent que l'avisés i li digués que ha vist que li agrada participar en debats, fòrums o jocs, o descarregar-se cert tipus de programari. Li podria recomanar quines mesures prendre per evitar els riscos que aquesta activitat comporta. Així potser podrà mantenir els hàbits sense posar en risc l'experiència digital, però en serà conscient. Aquest és el futur, i no pensar que l'usuari acabarà sent un hacker de la tecnologia. La tecnologia t'ha d'acompanyar una mica més en la presa de decisions, perquè no es pot delegar o esperar que l'usuari es responsabilitzi de tota la seva ciberseguretat.

Els conflictes bèl·lics i les dificultats econòmiques han intervingut en l’augment dels incidents de ciberseguretat, per què?

Rússia i Ucraïna eren grans amics del cibercrim i col·laboraven molt. Hi ha hagut una guerra entre ells dos i molts actors o cibercriminals s'han posicionat en un bàndol. Això ha fet augmentar l'activitat perquè et trobes que entitats capaces de fer denegacions de serveis, es presten a fer campanyes contra entitats estatals perquè s'han posicionat a favor dels russos o dels ucraïnesos. Aleshores, l'Estat també fa la seva ciberguerra o guerra híbrida. Diríem que ens trobem en un moment en què s'estan generant sinergies entre diferents motivacions per la ciberguerra. Pel que fa a les dificultats econòmiques, si pensem en el tràfic d'armes o en el tràfic de persones o droga, sempre trobarem alguna part de la cadena que viu amb problemes socioeconòmics. En canvi, en el cibercrim, trobem gent competent i amb capacitats avançades. Mai hi ha hagut un problema de pobresa en aquest entorn, el que ha passat és que la pobresa pot fer entri gent amb dificultats sota la figura de mula (persona que fa d'intermediària amb la motivació de guanyar diners). Ens podem trobar amb què s'utilitza la identitat o compte bancari de joves o de gent amb dificultats, o amb un crim més de proximitat de gent amb un nivell de coneixement tècnic baix perquè els cibercriminals han industrialitzat la seva activitat i l'han fet accessible a gent amb menys capacitats. Així poden, d'alguna manera, crear exèrcits o força de vendes amb menys capacitats intel·lectuals tecnològiques.

"La tecnologia t'ha d'acompanyar una mica més en la presa de decisions, perquè no es pot delegar o esperar que l'usuari es responsabilitzi de tota la seva ciberseguretat"

Aquí ha intervingut la intel·ligència artificial? Darrerament, s’ha alertat dels riscos que comporta perquè facilita l’entrada al cibercrim.

No acabo de veure-hi relació. La intel·ligència artificial també ens protegeix contra el mal ús, la podem utilitzar per depurar el codi i generar eines automàtiques per desenvolupar un codi més protegit. Totes les eines es poden utilitzar per al mal i pel bé. Certament, hem vist que hi ha un volum enorme d’atacs. El mes passat vam arribar a tenir més de 1.300 milions d'atacs. Això implica una automatització per part de l'atacant, però part nostra també tenim capacitat d'automatització i de contextualitzar, de fer patrons, de veure anomalies... és a dir, el que en diem els zero days o conductes que no són les que t'esperes en un ús d'una tecnologia. Si detectes que una eina que tens per prestar un servei s'està utilitzant per treure la teva informació, vol dir que estan convertint les teves capacitats d'administració de sistemes de processos contra el teu interès. Això sense intel·ligència artificial és molt difícil de detectar, perquè utilitzen programes legítims, amb credencials robades legítimes, amb accessos ja donats... i detectar això implica conèixer-se molt bé a un mateix. Un exemple és un usuari que està demanant 10 vegades més transaccions del que és normal, que està consumint 10 vegades més trànsit del que és normal o que està fent peticions que no ha fet mai. Això pot implicar la necessitat d'una autenticació o d'una alerta per veure o per disminuir les capacitats. Si demana tant, reduïm-li perquè pugui tenir la meitat i si continua demanant tant, encara menys. D'aquesta manera el dany es mitiga. Això serien capacitats que, sense intel·ligència artificial, no tindríem.

Quina mena d’atacs generen més beneficis per als cibercriminals?

Estem en un moment molt agressiu en termes de retorn elevat i ràpid. Van a atacar la intimitat, els serveis crítics i a l'essència del que és la societat; podríem dir que estan a prop del terror. Quan tu els compliques accedir al que volen, passen a un altre perquè no volen perdre temps amb tu si poden aconseguir el mateix amb el del costat que tampoc s'ha protegit. Hem d'intentar prendre les mínimes mesures de protecció perquè aquest cibercrim no sigui tan rendible, però en aquest moment impera la lògica de la immediatesa. Gairebé un 20% de tot el que guanyen ho reinverteixen en el seu propi negoci, en tenir més capacitats, més zero days, més capacitats de còmput al núvol, més gent enganyant i més estructura. Som davant d'un negoci molt lucratiu i que està anant per sobre del terreny de la droga. Estem parlant de la tercera economia mundial el cibercrim. Si tens un forat, segurament un robot ho haurà detectat de forma automàtica i tindràs dos o tres grups de cibercriminals preparats per atacar-te. T'atacaran, intentaràs recuperar-te i t'estaran atacant de nou uns altres. No hi ha garantia que no tornis a ser atacat. Veiem bastant reincidència.

"Si tens un forat, segurament un robot ho haurà detectat de forma automàtica i tindràs dos o tres grups de cibercriminals preparats per atacar-te"

Zero day i zero trust són dos conceptes cada cop més coneguts. En què consisteixen?

Hi ha una component molt important de la ciberseguretat, que és la confiança. Una confiança zero trust valida contínuament que la persona, el dispositiu, el programari o la xarxa és qui diu què és i que en cap cas s'ha pogut fer una suplantació. D'aquesta manera, s'aconsegueixen entorns on jo no em confio mai, perquè la confiança la dona la contínua verificació dels tokens (testimonis). És difícil estar segur que una contrasenya no ha estat robada. En canvi, si tens una contrasenya one time o d’un sol ús, saps que un cop ja l’ha usat, no es pot tornar a fer servir. Detectaries si algú ja l’ha usat. Ara ja estem veient targetes bancàries d’un sol ús o CVV temporals. Els codis dinàmics redueixen molt la finestra d’oportunitat per als criminals. I els zero days són els successos que ens passen sense coneixement previ. Quan coneixem un atac, creem unes regles o patrons per bloquejar-lo. Un zero day és un atac no detectable prèviament perquè acaba de sortir i no es pot aturar. Aquests atacs que no es poden aturar són els que donen més rendiment. Ja no pots anar amb una vulnerabilitat coneguda o un atac maliciós conegut per un antivirus, perquè es detectarà. Un zero day només el pot detectar un zero trust perquè ja parteix de la base de la no confiança.

Ha posat com a exemple les targetes bancàries. La banca és el sector més ben blindat?

La banca és un producte segur per definició. Se li exigeix una certa confiança i seguretat, a més a més, que ho demostri. La banca també és proactiva fent campanyes de conscienciació i, abans d'entrar-hi, ja t'explica que no t'enviarà mai res ni et demanarà credencials. De mica en mica, hem anat veient que s'ha afegit el doble factor en més operacions per verificar qui ets. Així, encara que es comprometi la teva credencial, cal tenir el teu mòbil o alguna altra cosa per donar confiança. També és cert que això ha creat nous atacs. Hem vist operadors en països on la legislació és més laxa que poden enviar SMS com si fos el teu banc. Avui en dia, rebre una trucada o un SMS del teu banc no és garantia de res perquè són dades que un operador podria modificar, això la gent no ho sap. Les dades que generen se'ls pot tornar a la contra, però és cert que la banca té la seguretat com a negoci. No es pot permetre cap incident, cauria en borsa i tancaria. Dit això, la setmana passada vam tenir un atac de ciberseguretat que va exposar totes les dades dels clients del Banc Santander a Espanya i part de Sud Amèrica. La seva pàgina web funcionava, els caixers funcionaven i la banca en línia funcionava, però no tota la seva cadena de subministrament. Un proveïdor que necessitava aquelles dades per fer anàlisis va perdre tota aquesta informació. Evidentment, el banc ho va dir de seguida i va restablir, i ho va denunciar les autoritats i gestionar l'incident per restablir la confiança amb els seus clients. La banca no pot garantir que el proveïdor que té la mateixa informació que ella tingui el mateix grau de seguretat. Aquest incident del Banc Santander, una empresa amb molta força i molt conscienciada en ciberseguretat, ens presentarà un nou escenari on veurem una relació diferent amb els proveïdors i amb la cadena de subministrament. A vegades, que un incident el tingui el més fort va bé, perquè sembla que patir un incident és igual a falta de protecció.

I aquí com intervé la legislació? Ara fa poc més d’un any de la directiva europea NIS2, què ha suposat?

Estem en un moment espectacular des del punt de vista de legislació. Hem deixat enrere la legislació de mentida, obsoleta i que arribava tard i malament. Tota la legislació que s'està llançant des d'Europa respon a les amenaces que s'estan donant. El NIS2 és una legislació des de l'esquema nacional de seguretat per a les infraestructures crítiques. També tenim el Cyber Resilience Act, el Cyber Solidarity Act, el Digital Act... Ens arriben una vintena de legislacions per part d'Europa, que és una bona notícia. Però és veritat que és una alerta per al mercat. Si Europa es blinda amb una regulació tan forta i algú està, en certa manera, posposant la ciberseguretat com a part del seu negoci, es trobarà fora des del punt de vista de competitivitat. Aquesta empresa no podrà vendre els seus serveis perquè no seran segurs i caldrà una auditoria o una contínua adequació, i això cada vegada serà menys acceptable. Una altra cosa que també està canviant molt és la consideració dels operadors, considerats fins ara prestadors de serveis neutres. Si t'ataquen, no poden interrompre les comunicacions i mirar els SMS que s'envien. Cal una col·laboració activa dels operadors perquè no poden continuar inundant la xarxa de tràfic il·lícit o inadequat. Això no té a veure amb el dret a la privacitat, té a veure amb el dret a tenir una experiència digital positiva. En aquest moment la legislació obliga els operadors a formar part d'un sistema de protecció i que, per tant, no siguin una part neutra. Un operador ha de donar una connectivitat segura i neta perquè si no ho és, ja no és connectivitat. Ningú vol una connectivitat bruta, és com obrir una aixeta i que surti aigua bruta. Tothom vol connectivitat potable. Això implica tenir un mercat i una legislació regular, i no un usuari que ha de defensar-se, sinó un usuari que ha de rebre uns serveis digitals de qualitat.

"Cal una col·laboració activa dels operadors perquè no poden continuar inundant la xarxa de tràfic il·lícit o inadequat"

Veurem operadores que ofereixin serveis de seguretat al catàleg per garantir-ho?

Espero que el que passi és que les operadores prestin serveis segurs. No que hi hagi la seva cartera el producte de seguretat, sinó que siguin serveis segurs. Qui vol un cotxe insegur?

Llavors, les operadores hauran d’invertir a reforçar les seves capacitats en ciberseguretat.

Així és. No es tracta de prestar el servei de donar un servei segur, sinó de prestar un servei. Crec que això vindrà de la regulació i de la competitivitat, però també vindrà dels usuaris. Per exemple, un usuari no acceptarà un servei que no sigui de qualitat per part de l’administració. La Generalitat no acceptarà serveis prestats insegurs. Tothom està fent un esforç per tenir el núvol segur, totes les firmes. Microsoft, Amazon i Google cada vegada parlen menys dels seus problemes i entenen que no poden prestar serveis insegurs. Jo vull el repte que l’administració presti serveis. Ja no vull ni dir segurs, sinó serveis, perquè això ja ha de portar implícita una qualitat per a una vida digital saludable.

Com són els serveis que presta ara l’administració pública?

En general, en tot el món digital s'estan prestant serveis que busquen l’accessibilitat per a totes les persones, i aquesta és una de les grans preocupacions avui de l'administració. Hi ha altres àmbits on no els surten els números i no inverteixen en l'accessibilitat. En canvi, l'administració, com que és una qüestió de ciutadania, vol la universalitat dels seus serveis perquè hi puguin arribar també les persones amb discapacitats visuals o auditives, per exemple. Per altra banda, és cert que la clau de la ciberseguretat no és només d'infraestructura, de credencials i de sistemes, sinó que també és de la dada i aquest és l'últim repte. Hem protegit les xarxes, hem protegit els sistemes, tenim capacitat de monitoratge, detecció i resposta d'aquest nivell, però ens cal encara tenir capacitats de protecció de la dada en tot el seu cicle de vida i de les aplicacions. Encara no tenim molts atacs a la capa d'aplicació, però hi veurem un creixement important i ens adonarem que hem descuidat una mica les aplicacions. Anem generant millores sobre sistemes i en aquest moment estem a un nivell de protecció on venim d'uns incidents molt greus de ransomware al Clínic, a la UAB i a ajuntaments que hem aconseguit aturar. Ara tenim més incidents, però amb menys afectació perquè estem desplegant un model d’administració amb més capacitats de detecció i resposta, i més a prop. La nostra estratègia no és tenir un entorn segur, perquè tot canvia molt, sinó tenir intel·ligència, detectar com més aviat millor els possibles incidents i minimitzar-ne el dany per tenir després una recuperació el més àgil possible.

"La nostra estratègia no és tenir un entorn segur, perquè tot canvia molt, sinó tenir intel·ligència, detectar com abans millor els possibles incidents i minimitzar-ne el dany per tenir després una recuperació el més àgil possible"

En el cas del Clínic van haver d’intervenir els Mossos d’Esquadra i el van poder frenar. Com és la col·laboració amb la policia?

No hem de pensar que tots els incidents són activitat de cibercrim, ni que tots els incidents posen en perill la seguretat nacional. Hem de tenir una capacitat de gestió dels delictes i, fins i tot, d'intel·ligència i col·laboració amb les forces de l'ordre quan sigui necessari, com un incident d'aquest tipus. Però el 90% llarg dels casos són incidents que, normalment, no tenen càrrega delictiva. Per exemple, si et roben una credencial i no s'ha utilitzat per cometre un delicte, els Mossos no intervindran per restablir la teva credencial. Si, com a Agència, veiem que passen coses al nostre entorn, el protegim. Si veiem una activitat que implica delinqüència, activem els Mossos. La col·laboració que tenim és excepcional i tenim molt clar quines són les capacitats que té cadascú. Els Mossos no podrien protegir tots els hospitals de Catalunya. Ara, si es genera un delicte en un entorn hospitalari, intervindran sempre, perquè és un tema judicialitzat, i cal que aquesta investigació es faci amb validesa jurídica. Tot i això, nosaltres ajudarem en la investigació, en la recuperació i en el desplegament de mesures, però no ajudarem en la persecució. A nosaltres ens interessa el com ho han fet, la intel·ligència, i a ells els interessa qui ho ha fet i la motivació. En una societat digital hi ha d'haver una component governamental de promoció de la ciberseguretat i protecció dels serveis, i una component de lluita contra el crim i de seguretat nacional.

El pròxim curs s’oferirà el primer grau especialitzat en ciberseguretat, no hi havia formacions adequades fins ara?

Sí que n’hi havia. De fet, tenim 12 màsters en ciberseguretat i 42 centres formatius que han agafat el cicle formatiu d’Administració de sistemes i l’han especialitzat en ciberseguretat. Ens faltava un grau, malgrat que Bolonya el tenia previst. Nosaltres sempre hem fet intents que es vociferés la necessitat i algunes universitats públiques ens han dit que no consideraven que la formació pogués ser un grau, perquè és com una formació avançada de seguretat de quelcom i que calia bans tenir uns coneixements bàsics d’administració de sistemes, de programació, de xarxes o, fins i tot, de processos de negoci. Jo vaig estudiar Telecomuniacions en un moent en què calia configurar xarxes. Avui això és automàtic, muntes un wifi a casa i es fa tot sol, ja no cal una carrera per a això. Potser per a la ciberseguretat no cal una carrera, però és un coneixement ampli per a un perfil necessari que després pot especialitzar-se. Volíem que hi hagués un grau, però també veiem amb molt bons ulls les especialitzacions que està impulsant Europa amb capacitats professionals específiques. Ja no parlem d’un expert en ciberseguretat, sinó de 12 àmbits d’experiència en l’àrea: un gestor d’incidents, un forense digital, un auditor, un professor, un responsable de ciberseguretat, un responsable de compliment... i així fins a 12 perfils diferents. Tenir totes aquestes formacions ens permetrà tenir perfils de ciberseguretat més d’acord amb la demanda del mercat, perquè estem parlant que falten 10.000 professionals. Una altra de les inversions que farem és la ciberacadèmia de l’Agència de Ciberseguretat. Fa un any que estem dissenyant els nostres cursos per, primer, beneficiar-nos-en nosaltres; després, els nostres proveïdors. Però després volem posar-ho a disposició del sector perquè, qui ho vulgui, es pugui formar per a un sector que avança molt de pressa.

Quin és el risc d’obsolescència del coneixement? Cal més compromís per actualitzar-se que en cap altre entorn?

És una pregunta capciosa. Totes les professions en corren el risc; els metges o els advocats poden quedar obsolets, la regulació també canvia. Em quedo amb la segona part, la de la fam de tenir una formació contínua al llarg de la professió. La voluntat és altíssima perquè cada incident és una experiència d'aprenentatge. Tota tecnologia que es desplega s'ha de dominar, de saber configurar i d'entendre, perquè es pot utilitzar malament de la mateixa manera. La clau és enfrontar la realitat com una formació, perquè si no ho fas, quedaràs tant desactualitzat com en qualsevol altre sector. O, com a mínim, podràs fer cada vegada menys coses. També cal tenir present que hi ha sistemes heretats (legacy) molt antics que encara hi són, i el talent per portar-los és molt més escàs que el de les noves tecnologies. Són perfils que tenen un valor de mercat molt alt perquè normalment estan jubilats o perquè, en el seu moment, es van externalitzar. Si un sistema funciona i és segur, no cal canviar-lo per força, i és un coneixement que es manté tot i que la tecnologia avanci.