Sergi Gil: “Les màquines no haurien de tenir accés directe a internet”

Enginyers Industrials de Catalunya està rellançant el Grup de Treball de Ciberseguretat, emmarcat dins la Comissió de Societat Digital. El presideix l’enginyer industrial Sergi Gil que veu que en el sector empresarial cal potenciar la figura dels enginyers en processos industrials i també ciberseguretat. Mentre fa una crida a professionals i empreses a unir-s’hi, Gil recalca que la prevenció és la millor manera de lluitar contra una ciberdelinqüència creixent i cada cop més professional. Conscienciar treballadors és un primer pas per evitar mals majors però també, a nivell industrial, és evitar la connexió directa a les indústries. “Les màquines no haurien de tenir accés directe a internet”, diu Gil en aquesta entrevista a Fulls d’Enginyeria on repassa els riscos i els deures en aquesta matèria que creu que s’ha d’entendre “com una manera de reinventar el funcionament intern de les empreses”.

 

Estem en un moment en que els ciberatacs estan a l’ordre del dia sobretot a empreses i sobretot després de l’auge del teletreball. Com s’hi ha de lluitar?

És un tema complicat, però jo crec que primer de tot el que cal és prendre consciència que qualsevol pot ser objecte d’un ciberatac. Moltes vegades, sobretot les pimes, el que costa és que prenguin aquesta consciència. Encara hi ha la creença que això és una qüestió de grans empreses però avui dia, qualsevol, fins i tot autònoms i particulars, podem ser objecte d’un ciberatac. De fet, cada dia tots som objectes d’atacs, simplement, amb qualsevol correu tipus ‘phishing’, sense anar més lluny. I si algú cau, caiem tots, independentment del sector. I perquè funcioni qualsevol plantejament de ciberseguretat cal que la direcció s’ho cregui i deixar de pensar que és un tema exclusiu dels informàtics. S’hauria de veure la ciberseguretat com una manera de reinventar el funcionament intern de les empreses. Tenim molts procediments que no tenen en compte aquest risc i s’ha de veure com una eina més per reestructurar els processos o les males pràctiques. A vegades no cal fer gran despesa amb eines sofisticades, sinó que amb sentit comú es pot repensar si el que fem en cada moment pot comportar cert risc o no.

Hi ha una feina individual de cada treballador i sobretot de prevenció, doncs?

Correcte. Hem de pensar que qualsevol empresa o qualsevol persona amb qui tingui relació a través d’un ordinador o dispositiu mòbil pot ser el desencadenant d’un phising, que és el ciberatac més habitual i el que ens fa caure més fàcilment. Hi ha phishings molt barroers però cada vegada se’n veuen de més avançats, dirigits a persones concretes. Moltes vegades ja no es fan passar per empreses conegudes sinó que el correu prové d’un compte de correu concret sense que el propietari ho sàpiga. Aquesta és la tendència i és el més complicat de detectar perquè supera tots els punts tècnics detectats fins ara.

Per tant, s’ha de pensar tres vegades abans de fer un clic?

Exactament, tres o quatre. El consell és aquest. El meu principi és que qualsevol cosa que rebem d’entrada és dolenta. Cal vigilar els adjunts i, si tenim dubtes, trucar el remitent i comprovar que ens ha fet arribar aquest correu. També és el millor en altres tipus d’estafa com són ara les falsificacions de factures, cada vegada més habituals. Reps una factura exactament idèntica que la del teu proveïdor però on hi ha canviat el número de domiciliació bancària. Estan caient moltíssimes empreses amb imports de milers d’euros; hem vist casos greus.

S’ha professionalitat la ciberdeliqüència?

Sí, i va a més. Nosaltres anem darrere d’ells. Els ciberatacs són molt més sofisticats que fa cinc anys, són més difícils d’aturar... Hi ha gent especialitzada. Abans, en un phishing, vèiem faltes d’ortografia, en un idioma no habitual, mal escrit... Ara ja no és així. Els atacs massius potser sí, però els que van dirigits a una persona es poden trobar amb un català perfecte i sense cap errada. En la idea de prevenció, una part molt important és la formació del personal, la conscienciació, que realment no és fer-los experts en ciberseguretat però si que aprenguin els perills i a què ens estem enfrontant, sobretot enginyeria social o altres, saber-los detectar i frenar-los. S’estima que podem passar uns 200 dies fins que moltes empreses s’adonen que alguna cosa està passant. I això és molt de temps, perquè més enllà d’antivirus, hi ha empreses que no tenen altres eines.

És possible ser immune?

La seguretat total no existeix, això ho hem de tenir clar. Al 100% no hi arribarem per molts diners que invertim. Hem de tendir-hi. És important posar pals a les rodes, però la idea és que la seguretat total no existeix. Ni tallafocs ni programes sofisticats, el factor humà sempre hi és, i sempre es troben les maneres de saltar-se aquests paranys tècnics. A més, encara que estiguem preparats, sempre apareixen noves vulnerabilitats, com ara els Zero-Days, que són les més perilloses, vulnerabilitats que ni el propi fabricant dels equips coneix. Són doncs, les que poden explotar tot aquest tipus de vulnerabilitats perquè no es podran detectar. Són el que s’han fet servir amb temes com el Pegasus. Per tant, poden explotar aquest tipus de vulnerabilitats, que és el que feien

Què ha de tenir en compte una empresa per complir en aquest aspecte i què creus que fan malament, des de la teva experiència? Perquè n’hem vist moltes aquest any, per exemple...

Moltes el que hauríem de fer és tractar tres fronts: les qüestions tècniques, les persones i els processos, a nivell de funcionament intern. Són tres pilars. Tècnicament, l’idear seria començar amb una auditoria o diagnòstic per detectar les males pràctiques que es veuen a simple vista. A nivell de personal caldria formació en conscienciació i sobretot la gestió de les contrasenyes. És el primer objectiu que tindrà un ciberdelinqüent i per això cal utilitzar-les segures, complexes, amb tot tipus de caràcters, no repetir-les en diferents serveis. Sobretot cal tenir cura de la contrasenya del correu electrònic perquè és el primer objectiu per tenir accés a nosaltres i tenir accés a la llista de contactes i fer atacs dirigits.

La digitalització que s’ha donat arran de la COVID-19, a vegades a marxes forçades, en un creixement dels atacs i que les empreses prenguin més consciència?

Sí, i diria que espero que sí. Arran del teletreball, moltes empreses van començar a fer el que podien per funcionar de manera remota. I vam trobar empreses que ja tenien treballadors de forma remota i d’altres que no sabien ni com començar. Moltes vegades van habilitar sistemes d’accés remot i moltes ho van fer sense tenir en compte els paràmetres de seguretat. Com obrint ports al router per a que els treballadors hi puguin accedir. És una mala pràctica perquè sempre és millor a través de les VPN que tot i que no és infal·lible s’intenta evitar que qualsevol pugui intentar atacar o monitoritzar.

I les indústries?

Aquí estaríem parlant de la ciberseguretat industrial que és un tema delicat. Sobretot en industria 4.0 que es busca extreure dades de maquinària busquem que les maquines siguin segures però les dotem de connexió directa a internet. I això, en entorns de producció, és un risc. Hem de vigilar amb la unió dels mons IT i OT que haurien d’estar separats amb una comunicació limitada i controlada. La teoria diu que les màquines no haurien de tenir accés directe a internet; és un perill. Si cal, és millor fer-ho a través de màquines intermèdies, situades en el que s’anomenen zones desmilitaritzades. El recomanable és, doncs, començar també per una auditoria, veure com està configurada la xarxa, qui hi té accés i per detectar connexions i males pràctiques. I cal intentar fer la segmentació en zones i conductes, és a dir, intentar que si tenim un problema no es pugui escampar a la resta de processos industrials que hi hagi a la nostra fàbrica.

Creus que les indústries catalanes estan preparades? Hi destinen prou inversió?

Tot és pressupost, clar. Crec que les mitjanes i grans empreses són conscients del problema malgrat no ho tinguin del tot resolt. Però les petites ho tenen realment malament, perquè no són conscients del perill i confien en els integradors de sistemes, que generalment no tenen en compte la ciberseguretat, sent molt habitual trobar-nos equips amb les credencials per defecte. No és tant la inversió en equips tècnics sinó saber on estem i tenir visió de la situació per avaluar com fer-ho de la millor manera. Simplement conscienciant treballadors ja guanyes moltíssim en seguretat.

Presideixes el grup de treball de ciberseguretat d’Enginyers Industrials de Catalunya que s’acaba de rellançar precisament per donar importància a aquest sector. Què voleu aconseguir?

És un grup de treball que ha tingut alts i baixos. Ha estat complicat de rellançar però creiem que és un tema important i necessari per qualsevol empresa, industrial o no. L’objectiu és impulsar la importància dels enginyers industrials en el camp de la ciberseguretat. Normalment és un tema oblidat i en ciberseguretat es té més en compte els informàtics, però a la vessant industrial fa falta el perfil híbrid, és a dir, que tingui coneixements de processos d’enginyeria, automatització, etc. i coneixements de xarxes, de configuració d’equips i la problemàtica de ciberseguretat. Costa trobar perfils híbrids. Per exemple, els enginyers informàtics no saben què és un PLC o un sistema d’automatització industrial i quines necessitats especials tenen i, per contra, els que responsables del manteniment d’instal·lacions o maquinària, no solen conèixer res de xarxes i connectivitat. Les consultores estan intentant que uns aprenguin dels altres, però realment, la ciberseguretat industrial caldria incloure-la als plans d’estudi.

Sou molts ens enginyers industrials que us dediqueu al sector?

Sincerament no t’ho sabria dir. N’hi ha, però és més habitual trobar a enginyers informàtics o de telecomunicacions especialitzats en ciberseguretat IT que acaben assumint la ciberseguretat OT, però que desconeixen les particularitats dels processos industrials i que si no les tenen en compte i apliquen, tal qual, les tècniques habituals de IT el més probable és que acabin afectant a la producció i a la seguretat La veritat és que el sector de la ciberseguretat industrial està en creixement i que caldran molts professionals amb un perfil híbrid IT/OT en els propers anys.

El contingut d'aquest camp es manté privat i no es mostrarà públicament.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.