Tomàs Roy: “Només que canviéssim contrasenyes de tant en tant, seríem més resistents”
Arran de la pandèmia, els atacs informàtics han crescut arreu del món, també a Catalunya. La transformació digital de les empreses i el teletreball han donat una situació propícia per als ciberdelinqüents però segons Tomàs Roy, director d'estratègia de l'Agència de Ciberseguretat de Catalunya, la causa n’és l’augment del ”valor digital” ja que un ciberdelinqüent busca “un retorn immediat de la seva inversió”. Què poden fer les empreses i què podem fer els particulars per evitar-ho? En el marc del Dia de la Internet Segura, des de Fulls d’Enginyeria hem conversat amb Roy qui aconsella principalment accions de prevenció i sobretot, canviar sovint les contrasenyes. “Seríem més resistents”, assegura.
Aquest dimarts es commemora el Dia de la Internet Segura. En un moment que tot es pot fer a través de la xarxa, la seguretat és el major repte que tenim al davant?
Per mi, el major repte és la transformació digital que han de fer les empreses i la ciutadania. És a dir, com aconseguim treure el màxim de valor d’aquests mitjans? A tots ens queda molt recorregut per poder aprofitar els beneficis que s’esperen i que justifiquen aquesta transformació digital. El principal repte és, doncs, no quedar-nos enrere i tampoc no deixar ningú enrere. No només intentar ser dels primers sinó també intentar que també hagi també els joves, les empreses petites, adults, la gent gran, les dones... Tothom. Per tant, fer una societat digital més capaç.
I la ciberseguretat quin paper té en aquesta societat digital?
La transformació comporta un increment de valor de tot el món digital i la protecció d’això és cabdal. La ciberseguretat, per tant, forma part del projecte i farà possible aquesta transformació digital que alhora, ens obliga a reaccionar i tenir capacitats de recuperar els danys que es poden generar. Tenim, doncs, les dues vessants: la de prevenció i disseny del món digital segur per gaudir i donar-li el màxim de valor i la d’estar preparats al fet que sabrem que rebrem atacs precisament perquè estem incrementant el valor de les coses digitals. No podem esperar tenir bona sort i esperar que no ens passi res sinó que hem de tenir capacitat de detecció i recuperació de serveis, dades, etc.
Justament els darrers mesos s’han donat a conèixer atacs informàtics a institucions i empreses importants. Quina és la causa que detecteu si és que n’hi ha una de sola?
Diríem que la principal és aquest valor digital que comentem. Un cibercriminal busca un retorn immediat en diners de la seva inversió. Com més valor tens a la dada i al negoci, i més benefici té per a tu aquesta digitalització, més números tens de ser objecte d’un atac. Pel motiu que sigui: econòmic, de reputació, d’activisme... Però en una gran majoria és purament econòmic. També es pot dir que l’oportunitat o necessitat de digitalització de la pandèmia o de malenteses modes ha pogut precipitar i fer algunes digitalitzacions sense tenir en compte certes mesures. I això potser ha algunes vulnerabilitats. Per exemple, en l’entorn empresarial podem felicitar d’haver consumit en poc temps projectes de teletreball però hem vist atacs especialitzats en aquestes situacions com ara amb atacs a VPN que ara usa tothom i que abans només feien servir els proveïdors, o atacs d’enginyeria social aprofitant, per exemple, l’ús de la tecnologia SMS, no del tot segura. L’oportunitat ha donat la causa. I la causa n’és també l’enorme adaptabilitat del ciberatacant. El cibercrim té un volum de negoci superior al narcotràfic i és ràpid anant a l’oportunitat. És un sector intel·ligent, adaptatiu, amb innovació i amb inversió.
La pandèmia hi ha influït? Per una digitalització i una transformació feta de pressa i corrents?
Com en tot a la vida. No tothom ho ha fet de pressa i corrents però hem obert perímetres per permetre una major connectivitat i la vigilància ha esdevingut més complexa. No vull dir que la digitalització s’hagi fet de pressa i corrents però si que els recursos que calen per fer una digitalització segura, a vegades, no s’han tingut en compte. S’ha prioritzat la digitalització i en canvi, la ciberseguretat no s’ha considerat en la fase de disseny i s’ha hagut de considerar en la fase de resposta. Aleshores és quan surt car. A vegades és per desconeixement i s’acaba aprenent en base a incidents. Malgrat tot, el pressupost en ciberseguretat en pandèmia ha crescut, no s’ha descuidat. Però requereix molta atenció i recursos i molta integració. La cirberseguretat no és només responsabilitat d’aquesta àrea sinó que és compartida.
I creus que les PIMES queden al marge d’accions de grans empreses que poden ser inassumibles?
Si ja per les empreses grans resoldre aquests problemes amb recursos és complex, per les Pimes més, evidentment. El que hem d’evitar és que les amenaces ens paralitzin i pensar que no ho podrem resoldre. Perquè hi ha mesures bàsiques, no excessivament costoses, de consciència i d’activisme en ciberseguretat que eviten la majoria dels atacs. Els atacs no comencen amb una acció que per aturar-la cal una intervenció milionària, sinó que molts cops comença amb un clic mal fet, una política de contrasenyes no adequada, còpies de seguretat ineficients, falta de formació en el personal o proveïdors... La ciberseguretat ha de ser cultural, tota l’empresa ha de fer les accions bàsiques per evitar autolesionar-se. I és que per evitar estafes molt sovint només cal estar alerta i ser-ne conscients. Hem de participar tots de la nostra autoprotecció i només amb això hi hauria molta cobertura. Després hi ha l’exigència de preguntar als proveïdors si tenen incidents, estan certificats, etc. El que pot acabar fent mal a una PIME és un gestor de tecnologia que en entorns compartits no ha protegit els servidors. I aquí entren atacs a tota la cadena de subministrament. Com a clients, les empreses han d’aprendre a exigir productes segurs i saber-lo valorar.
Amb el que expliques, el sector de la ciberseguretat té un futur prometedor...
El present i el futur de la ciberseguretat és prometedor. A Catalunya tenim més de 360 empreses donen serveis de ciberseguretat. Per tant, ens sentim en un sector molt potent. Molts d’ells són Pimes i l’hem de potenciar. Però també crec que hauríem d’intentar transformar-lo perquè la feina de la ciberseguretat no sigui reactiva sinó que tingui capacitat per prevenir, detectar i tenir reacció ordenada. Quan hi ha un incident, si reacciones malament fas més mal del que t’ha atacat. Però sí, el sector té molt futur, i té requeriments de talent impressionant, masculí i femení. Animem els estudiants que inverteixin en estudis de ciberseguretat, que les empreses trobin espais en l’entorn perquè és molt demandat i difícil de cobrir amb talent i que les que ja hi són, s’adonin que s’han de transformar i innovar perquè els atacants sempre estan adaptant i innovant. Per tant, si que té futur però voldríem que fos un futur no tant d’apagar focs sinó de construir un món digital i un país més cibersegur. I arribar en una ciutadania més segura. És apassionant. Feina n’hi ha molta.
Hem parlat força de les empreses però a nivell particular cal també canviar les dinàmiques?
Absolutament. A mi m’agrada molt la paraula activista. M’agradaria molt tenir activistes de la ciberseguretat i que la gent assumeixi la seva participació, conscient i tranquil·la. Són temes complicats però hem d’acceptar que ens toca assumir-los igual que els tràmits de casa, els estalvis o la família. El món digital forma part de la nostra vida immediata. Si algú pensa ‘jo no tinc res a protegir’, s’equivoca. Per començar tu has de protegir la reputació, i els que estan propers perquè pots ser el canal i formar part de les eines que es poden utilitzar per atacar els vulnerables. El lema d’enguany precisament és ‘Entre tots construïm una internet millor’ i cal fer aquesta cura; cal fer aquesta cura. Canviar contrasenyes, per exemple, és com tenir vides infinites. I ja sé que fa mandra. Però només que canviéssim contrasenyes de tant en tant, seriem més resistents. Si volem viure i socialitzar en el món digital ens hem de protegir. I la ciutadania ha d’activar-se i dins les seves capacitats, explorar, entendre i cuidar-se.
I per acabar, dona'ns un consell per als usuaris.
El principal, per a mi, és aprofitar aquesta oportunitat. Això passarà si o sí. Són coses que han vingut per aportar-nos molt beneficis, i hem d’evitar quedar-nos fora. Aprofitem el nebot, el company, o un curs per aprendre i evitem quedar aturats o amb por en aquesta situació. Provem-ho i formem part d’això que està passant, que és apassionant.