• Innovació
  • Oriol Torruella: “El cibercrim és un negoci: els ‘hackers’ marxen de cap de setmana”

Oriol Torruella: “El cibercrim és un negoci: els ‘hackers’ marxen de cap de setmana”

El director de l’Agència de Ciberseguretat de Catalunya recalca la importància que les empreses comptin amb mesures per estar protegides davant del teletreball

Oriol Torruella, director de l'Agència de Ciberseguretat de Catalunya | Cedida
Oriol Torruella, director de l'Agència de Ciberseguretat de Catalunya | Cedida
Barcelona
11 de Juliol de 2020

Cap empresa no és massa petita o insignificant per ser immune als ciberatacs. Els hackers han deixar de ser una figura individual i reivindicativa per convertir-se en tota una estructura organitzada que es mou, sobretot, per diners. A la creació d’un nou model de negoci basat en el cibercrim s’hi ha d’afegir la digitalització de la societat, cada vegada més avançada, i, per tant, l’increment dels perills en l’àmbit de la ciberseguretat. Tal com explica Oriol Torruella, director de l’Agència de Ciberseguretat de Catalunya, l’augment del teletreball arrel del confinament provocat pel coronavirus ha suposat una adaptació de les pràctiques dels ciberdelinqüents i hauria de traduir-se en una major protecció per part de les empreses.

Han augmentat els ciberatacs durant el confinament?

Hem detectat una adaptació al nou entorn. Han incrementat molt les formes òptimes per atacar les empreses en aquesta situació. Hi ha hagut més malware [programari maliciós], ja que s’han posat en marxa nous dispositius i plataformes; s’ha doblat pràcticament el phishing [suplantació d’identitat online], perquè més gent amb menys coneixements s’ha posat a treballar en format digital, hi ha més gent crèdula que picarà a l’enllaç fraudulent; s’ha triplicat la suplementació del correu electrònic...

Com s’ha de plantejar el teletreball davant del cibercrim?

Si l’empresa té una bona política de seguretat i dispositius configurats perquè siguin segurs, és millor utilitzar aquests aparells que els personals. Però hi ha una altra qüestió: la introducció de dispositius personals en l’entorn corporatiu. Si l’empresa té mesures de seguretat i s’introdueix un dispositiu personal que no les té, estem augmentant el risc perquè la superfície d’exposició augmenta. Si el dispositiu està infectat, pot infectar tot el sistema.

"La informació de les empreses és valuosa i perdre dades personals o de negoci pot fer incomplir la normativa i reduir la reputació online"

Moltes empreses han entrat en un procés de digitalització forçada aquests darrers mesos a causa de la covid-19. Les presses han deixat de banda elements com la ciberseguretat?

La pressa pot haver fet reduir i baixar la guàrdia en relació al plantejament de riscos en aquesta nova forma de treballar o relacionar-se amb els clients; és mala consellera en muntar les coses bé. Qui no hagi tingut en compte la ciberseguretat, ho passarà pitjor que qui sí que ho ha fet en el procés de construcció i posada en marxa o ara, adaptant-se a la realitat.

Quins són els principals perills de la digitalització?

El procés de la digitalització aporta nombrosos beneficis, des de la continuïtat del servei a millores en productivitat, efectivitat del teletreball... És imprescindible que s’impulsi al màxim la digitalització, però evidentment, arrossega riscos. Els agrupem en cinc eixos. El programari maliciós és el primer, que pot ser un virus, ransomware, un software per minar criptomonedes... La informació de l’empresa també és valuosa i perdre dades personals o de negoci pot fer incomplir la normativa i reduir la reputació online. Els nous dispositius per treballar també són sensibles: han d’estar configurats de manera segura per eliminar riscos d’entrada per aquesta via. La continuïtat de l’activitat és un altre eix bàsic, ja que cada minut que l’empresa està aturada són pèrdues. I l’últim eix que cal tenir en compte és la confiança en l’entorn digital: com més mesures tinguem i més conscients siguem, millor podrem endinsar-nos-hi.

Com es poden prevenir els riscos?

És bàsic tenir polítiques de seguretat, mesures tècniques -com els antivirus- i organitzatives. Els treballadors han d’utilitzar els sistemes i dispositius d'una manera concreta i tenir coneixements per no generar situacions de risc.

"Un 44% dels atacs han anat a parar a l'administració pública; poques empreses tenen dades de tots els ciutadans"

Què ha de fer una empresa quan identifica un ciberatac?

El primer que ha de tenir una empresa amb presència en l’entorn digital és tenir algú que l’ajudi en la gestió dels incidents; en empreses grans és possible que tinguin un equip propi i en petites hi ha moltes empreses proveïdores de serveis en ciberseguretat. A part, l’Agència i els Mossos poden donar un cop de mà: nosaltres ajudem a minimitzar l’impacte de l’incident i els Mossos a perseguir l’infractor.

Tots els sectors estan exposats igualment al cibercrim?

El negoci del cibercrim escull els sectors en funció de la capacitat de capitalitzar les accions. Un 44% dels atacs han anat a parar a l’administració pública, bàsicament perquè té dades tan sensibles com les del servei de salut, les d’Hisenda... poques empreses tenen dades de tots els ciutadans. En funció del tipus d’atac, el target és un o un altre.

Aquests tipus d’atacs afecten tant a empreses grans com a petites?

En el món de la ciberseguretat el gran error és considerar que jo no sóc prou important o que la informació que tinc no és prou important. Són tòpics que es reprodueixen tant en el sector públic com en el privat i a tots els nivells. Tothom sempre es considera massa poc important per ser atacat. Pot ser que l’estratègia del ciberdelinqüent sigui precisament dirigir-se als més petits i com més, millor. S’ha convertit en un model econòmic per se. Fa molt temps que detectem que les activitats de ciberseguretat s’han professionalitzat molt, i davant d’un model de negoci, tothom està subjecte a la realitat.

"El gran error en ciberseguretat és considerar que jo no sóc prou important o que la informació que tinc no és prou important"

Per tant, ja no estem parlant d’un hacker que actua sol amb el seu ordinador.

El concepte de hacker romàntic, com una persona que buscava detectar errors de seguretat en sistemes aliens per l’orgull personal d’haver-ho fet, ha passat a la història. Estem parlant que és un negoci, una activitat econòmica organitzada. Ens hem trobat amb ciberatacs que paren els divendres al migdia i tornen a començar el dilluns al matí: el hacker ha marxat de cap de setmana! I veiem coses tan curioses com manifestos que per solidaritat amb la covid-19 aturaven les seves activitats.

Si el cibercrim està cada vegada més organitzat i professionalitzat, el sector de la ciberseguretat creix en paral·lel?

Les TIC cada vegada agafen més força. En números absoluts, no és un sector excessivament gran: un 1% del PIB. Viu un creixement constant des de fa anys, i en el context de pandèmia és dels que menys ha patit. Ara hi ha 356 empreses dedicades a la ciberseguretat a Catalunya, que donen feina a 6.100 treballadors i facturen 809 milions d’euros. Encara és un sector petit, però creix a doble dígit. Volem que les empreses es converteixin en 700 o 1.000 i que els treballadors es dupliquin o tripliquin. Això vol dir més gent ocupada amb nivells salarials bastant alts, ja que la mitjana és de 47.000 euros anuals a Barcelona. Cada nou treballador és un treballador amb un nivell salarial important que treballa, produeix i consumeix a Catalunya. És qualitat de vida, una millora socioeconòmica per al país.