Darrerament, els atacs a sistemes informàtics de particulars i empreses són notícia cada vegada més freqüent i, lamentablement, sembla que és una tendència que no canviarà en el futur. Òbviament, ha de ser una prioritat de les empreses prevenir i, si s'escau, mitigar, les eventuals conseqüències d'una intrusió malintencionada en els seus sistemes informàtics i de control. És per això que Yolanda Mateo, consultora de seguretat de procés a Dekra, va participar en la jornada Reptes de futur per a la seguretat industrial: ciberseguretat organitzada per la Comissió d'Indústria Química d'Enginyers Industrials de Catalunya. En aquesta entrevista, Mateo explica que han de fer les empreses i les indústries per millorar la seva ciberseguretat.
Fa setmanes que es parla de Pegasus, ha quedat demostrat que tothom és vulnerable i fins i tot a estar infectat sense saber-ho?
Així és. A més, quan parlo d'aquest tema sempre intento enfocar primer que som aquí per tots els atacs que s'estan produint i contra qui ens estem enfrontant. M'agrada recordar que inicialment els virus, els troians, els cucs que infectaven als particulars anaven directament a les vulnerabilitats dels sistemes operatius dels ordinadors. Ara la problemàtica és que, com Pegasus, existeixen un tipus de malwares que t'estan espiant per a vendre la teva informació i tu no els estàs detectant.
Aquest atac específic està més relacionat amb l'espionatge, les empreses també poden sofrir atacs similars? O quan s'ataca una empresa l'objectiu és un altre?
Per a la indústria o el sector empresarial hi ha un cas pitjor que el robatori d'informació, el rootkit. Aquest programari maliciós t'espia de la mateixa manera, però alhora pot tenir accés remot als teus equips i a la teva instal·lació. Això els permet modificar pressions, cabals, alimentacions de matèries primeres, catalitzadors… quan afecten el procés és molt més perillós. Si ningú s'adona que estan variant paràmetres del procés, es poden originar una sèrie d'accidents catastròfics que poden deixar l'empresa destrossada i que no es pugui tornar a aixecar, amb les pèrdues humanes i econòmiques que això comporta.
Què s'ha de fer per a garantir la seguretat d'una empresa?
El primer que han de fer és saber quin nivell de seguretat tenen ara. Veure quins accessos als seus sistemes tenen des de l'exterior, és a dir, quins equips s'estan connectant de manera remota o quins són de la seva companyia i quins són de tercers. Ara els treballadors que es connecten amb la VPN des de casa també representen un accés per als hackers. D'altra banda, després cal avançar-se una mica i compartimentar les comunicacions perquè, per exemple, la zona 4 on es connecten els contractistes externs tingui unes mesures de seguretat específiques, utilitzant una xarxa i uns ordinadors específics per a posar les barreres de seguretat necessàries. Posteriorment, veure com aquesta zona es comunica amb la resta de zones. D'aquesta forma cal perimetrar totes les connexions perquè aquestes comunicacions es quedin on s'hagin de quedar. Si s'ha de comunicar la zona 4 amb la 3 que no sigui la zona 4 amb la 3 i amb totes les altres. Quan es coneix el procés i per on es poden produir tots aquests contactes amb l'exterior, s'és més conscient de tot el que es pot venir i totes les barreres que es poden posar. També s'ha de fer una anàlisi del risc de quins accidents es poden produir en la instal·lació si alguna cosa falla per a veure quins salvaguardes i quines contramesures es tenen actualment, i si són suficients o no per a arribar al nivell de seguretat que es vol aconseguir.
Les empreses han de frenar el seu procés de digitalització si aquest no va acompanyat alhora d'una bona ciberseguretat?
Per als treballadors el teletreball ha estat un avenç brutal i gràcies a la pandèmia en aquest país hem pogut avançar en la digitalització a una velocitat molt més ràpida. Més que plantejar-se acabar amb tot això fins no tenir el nivell de ciberseguretat adequat, caldria analitzar la situació actual de cada empresa al més aviat possible per a poder posar, si és necessari, les contramesures necessàries. La digitalització ja és aquí i si no la implementes, et quedes enrere. No pot frenar-te aquest escenari, cal ser conscient i treballar.
Fa falta una conscienciació de les pimes per a dedicar part del pressupost exclusivament a la ciberseguretat?
Destinar part del seu pressupost exclusivament ho hauran de fer pimes i grans empreses. Cal ser conscient que la seguretat ara costa diners, però t'estalvia molts diners a futur. La ciberseguretat no és un cost, és un benefici. El que passa amb les pimes és que a les notícies surten els atacs a multinacionals o grans empreses i moltes vegades no surten els atacs soferts per pimes perquè directament no ho han pogut solucionar i han hagut de tancar. Això sí, cal graduar en quina situació es troben per a determinar la seguretat que necessiten perquè no serà la mateixa que necessiten les grans empreses. Per això és fonamental que les pimes també es vagin conscienciant en aquest tema perquè tot i que els atacs són cada vegada més específics dels usuaris, no significa que per ser pime no t'estiguin estudiant a tu. Les pimes no estan fora de joc en això, al final, tots som un objectiu, tots, i com som persones usen moltes vegades l'enginyeria social per a poder arribar a aquesta informació. Per exemple, ens arriba un correu d'hisenda en el treball, l'obrim i realment no era d'hisenda, era d'algú que es volia colar en el nostre ordinador a veure què treia.
Com has comentat ara, l'imaginari col·lectiu fa referència a un atac per un correu maliciós, és aquest el principal mètode o hi ha més formes que desconeixem o de les quals no es parlen?
Aquest és un exemple perquè si poses uns altres molt complexos, perds l'atenció de la gent i sobretot les ganes d'implementar-lo en el seu dia a dia. Cal anar donant petites píndoles d'informació per a conscienciar als treballadors, així que l'exemple dels correus és molt fàcil de veure perquè tots hem rebut un que s'assembla a Hisenda, a la policia, o als bancs i no ho són. Una altra manera de poder accedir i es desconeix més és mitjançant un USB o memòria externa de publicitat. A tu et regalen una pel carrer, quan vas a una fira, a un congrés, i la insereixes directament al teu portàtil. Per aquí ja et poden estar ficant un virus i és una molt bona manera d'entrar a la teva organització perquè no salta tant a la vista. Un altre exemple podria ser uns suposats operaris que es presenten a la teva empresa que no té departament d'informàtica i tecnologia i diuen que han de revisar algun error i se'ls deixa un ordinador per a connectar-se. Cal conscienciar a la gent que si ve algú que no es coneix no s’ha de donar-li accés a res, ni a la Wi-Fi ni donar-li un cable de xarxa, ni que es connecti a un dels teus ordinadors perquè pot ser qualsevol que s'està fent passar per una empresa.
Una vegada s'ha sofert un atac es poden aplicar mesures per a recuperar o pal·liar els danys?
Sí clar, però en aquest sector s'hi dedica una altra gent experta. Hi ha tècnics especialistes en el desenvolupament d'aquesta mena de malware. També estan les figures que usen les mateixes tècniques o metodologies que els ciberdelinqüents, però per ajudar les empreses a estar més protegides. Alguns no sols ho fan per a treballar, sinó pel repte de superar un nou tipus de malware. Aquest tipus de figures també actuen en aquests moments en els quals s'ha perdut informació o s'ha sofert un atac i es necessita a algú que retorni la informació quan el rescat és impossible de pagar. Potser es pot donar amb la persona que pugui ajudar, però tampoc són tècniques legals. L'altra opció, en aquesta mena de situacions, és la de pagar el rescat i que es retorni tota la informació. Quan els atacs no són per a demanar un rescat, sinó perquè la teva instal·lació no sigui operativa i es tanqui el negoci, com per exemple tots els atacs que estem rebent ara a causa de la guerra entre Ucraïna i Rússia, s'ha de buscar a algú que entengui del malware que s'acaba de colar o s'acabarà tancant.
