L'Agència de Ciberseguretat de Catalunya ja no és només un somni digital sinó una realitat de drets digitals. "No neix com un bolet, no és una iniciativa a corre-cuita... Portem fent feina des de fa anys", comença a explicar el conseller de Polítiques Digitals i Administració Pública, Jordi Puigneró, en una trobada amb mitjans a la seu de la Conselleria a Via Laietana. Tot va començar el 9 de Novembre de 2014 amb la celebració de la consulta quan Catalunya va patir "un gran ciberatac" que va "posar contra les cordes" les seves institucions i serveis bàsics com, per exemple, la recepta electrònica, els serveis mèdics d'urgència o les centraletes dels Mossos que estaven col·lapsades pels serveis IP. La creació d'aquesta Agència de Ciberseguretat ha anat molt lligada al context del procés polític de Catalunya, però es tracta sobretot d'una política de país digital. "Sorpresa estratègica", que diria el professor Xavier Ferràs.
"Llavors vam prendre consciència que era necessari dotar-nos d'un servei públic competent i amb pressupost", recorda Puigneró. Així doncs, el Govern ha aprovat aquest dimarts durant el seu consell executiu els estatuts i l'estratègia de Ciberseguretat de la Generalitat i per tant, l'Agència de Ciberseguretat de Catalunya ja està en marxa. Ara bé, no serà fins a l'1 de gener del 2020 quan estigui "plenament operativa". El seu pressupost és de 14 milions d'euros per al 2020, una xifra que preveu incrementar-se sempre i quan s'aprovin els nous pressupostos i s'evitin noves pròrrogues.
Puigneró: "Amb el ciberatac del 9N vam prendre consciència que era necessari dotar-nos d'un servei públic de ciberseguretat"
Com també és el cas del pressupost prorrogat del Centre de Seguretat de la Informació de Catalunya (Cesicat) que és de 7,5 milions d'euros per any des del 2017. Ara bé, el secretari general de la Conselleria de Polítiques Digitals i Administració Pública, Xavier Gatius, afirma que "no deixarem una agència a mitges en cas que no tinguem un pressupost". El director general del Cesicat, Oriol Torruella, ha detallat que al llarg d'aquests dos mesos es treballarà en "estructura i capacitat" i insisteix que l'objectiu d'aquesta estratègia és aconseguir "un país cibersegur".
El sisè exèrcit d'Obama
A tall d'anècdota (o no) d'història mundial, una de les primeres decisions que va prendre l'expresident Barack Obama quan va arribar a la Casa Blanca va ser crear el sisè exèrcit que és el de la ciberseguretat o seguretat digital dels Estats Units. Sí, el sisè. En el cas de Catalunya, la llei de creació de l'Agència de Ciberseguretat es va aprovar per dos terços del Parlament a només dos mesos vista de la celebració del referèndum de l'1 d'Octubre de 2017. Només es van abstenir el PP i la CUP.
"El mateix dia que s'aplicava l'article 155 a Catalunya, la llei de creació de l'Agència de Ciberseguretat arribava al Tribunal Constitucional"
Més paral·lelismes polítics. El mateix dia que s'aplicava l'article 155 de la Constitució espanyola a Catalunya, la llei de creació de l'Agència de Ciberseguretat arribava al Tribunal Constitucional (TC). "En vam sortir molt ben parats. Els hi va ser molt difícil declarar inconstitucional una llei que és del segle XXI", explica el conseller de Polítiques Digitals. En el món digital, els camins són també inescrutables i encara hi ha molt camp per córrer... En aquest sentit, Puigneró defensa que "si volem ser un país digitalment avançat i tenir una economia i una societat connectades, ens cal tenir instruments per protegir tots aquests actius imprescindibles per a l'avantguarda a escala global".
L'Agència de Ciberseguretat de Catalunya és l'organisme que desenvoluparà el servei públic de ciberseguretat i vetllarà per garantir la protecció, la prevenció i la governança de la Generalitat així com augmentar el nivell de seguretat de les xarxes i els sistemes d'informació a Catalunya. Es tracta no només de crear una estructura de confiança digital amb ciberespais segurs, sinó també de crear, captar i retenir -en la mesura del possible- el talent digital que emergeixi en l'àmbit de la ciberseguretat. "A vegades hem tingut un punt naïf a l'hora d'afrontar temes de seguretat a Catalunya", diu Puigneró.
Drets digitals i estratègia cibersegura
La nova estratègia política i digital consta de diferents eixos: el servei públic de ciberseguretat, l'administració cibersegura amb més seguretat de les xarxes i els sistemes d'informació, la cultura de la ciberseguretat i la innovació, el talent i l'activitat econòmica de la ciberseguretat. "El nostre objectiu és que el talent radiqui aquí i no acabi a Califòrnia desenvolupant noves tecnologies", afirma Torruella. La vida serà digital o no serà, si és que no ho és ja... I és que es calcula que un 90% de la vida ja està digitalitzada a través d'equipaments com mòbils o ordinadors.
Torruella: "Volem que el talent en ciberseguretat radiqui aquí i no acabi a Califòrnia desenvolupant noves tecnologies"
"Tenim dret a defensar-nos des del Govern de qualsevol amenaça que es pugui produir a Catalunya en l'àmbit digital", reivindica el conseller. L'incident del 9N va ocupar el top 5 de ciberatacs a escala mundial, però no és l'únic i és que Catalunya va patir 350 milions de ciberatacs durant el 2018, dels quals 1.200 van produir un ciberincident en el qual el Govern va haver d'intervenir per resoldre-ho. La resta van resultar alertes que no van sobrepassar les línies de defensa. "Aquí no tenim un entorn de risc zero. Som molt més vulnerables en l'entorn dels petits i mitjans Ajuntaments que han patit molt i tindrem capacitat per donar resposta en el món local", afegeix. En les últimes setmanes, diversos ajuntaments, instituts, escoles o consorcis santiaris i laboratoris, han patit a Catalunya atacs de malware amb l'objectiu d'obtenir dades personals i financeres.
Alhora, el secretari general Xavier Gatius ha explicat que la potestat sancionadora de l'agència no està desplegada o desenvolupada, però sí que ho està el control, la inspecció o fins i tot, la investigació i l'anàlisi dels ciberatacs. Per exemple, hi ha l'atac de segrest de programari (ransomware) que pot tenir "conseqüències catastròfiques" o el ciberatac de caràcter geopolític que provoca una saturació de servei sense voluntat estricte de cobrar res.
Les relacions amb Interior o el CNI
"La ciberseguretat passa a ser una política de país per defensar-se davant les amenaces digitals", reivindica Puigneró. El torn de preguntes de la presentació de la nova agència ha donat per a molt... Un periodista pregunta si l'Estat és una amenaça per a Catalunya? El conseller ho té clar: "L'Estat no hauria de ser una amenaça per a Catalunya. Tenim dret a protegir-nos de qualsevol amenaça, vingui d'on vingui". I encara afegeix: "Aquesta agència no neix per atacar ningú, sinó per protegir-nos dels ciberatacs i les ciberamenaces que existeixen". Alhora, també insisteix que no es vol "interferir en el mercat" ni "fer negocis, sinó sobretot crear "un ecosistema de ciberseguretat".
Puigneró: "L'Estat no hauria de ser una amenaça per a Catalunya. Tenim dret a protegir-nos de qualsevol amenaça"
Dos dels temes estrella que es posen sobre la taula són la relació que tindrà amb el Departament d'Interior de la Generalitat o el Centro Nacional de Inteligencia (CNI). Primer plat: Interior formarà part del consell d'administració de l'agència per estar "plenament alineats" en seguretat pública. Segon plat: "Mantenim relació amb el CNI, però aspirem a més". Un entremig: "Els mecanismes de coordinació són imprescindibles". Ara bé, en qualsevol cas, Puigneró aposta per la independència digital en la mesura del possible: "No volem que ningú faci les competències de ciberseguretat per nosaltres".
I en temps afegit, el conseller parla de drets digitals com el d'accés a Internet, el de la ciberseguretat o el de la identitat digital. Puigneró conclou que "si aquest país assoleix la seva independència, el servei de ciberseguretat ja estarà fet... El nostre objectiu és disposar d'un país digital i d'avantguarda. Alguns diran que això és fer República digital, doncs sí. Per garantir un país d'avantguarda en aquesta nova era digital."