Segueix-nos a:

Blogs

Institut Internacional d'Innovació, IT Management i Emprenedoria. Serveis sobre models de negoci, ecosistemes i transformació digital.

14 juny 2021 | Publicat per cristofor.fernandez

Oriol Torruella reflexiona sobre ciberseguretat en el PETD per a municipis

La transformació digital és una realitat en tots els àmbits, inclús en l’administració pública. Catalunya fa 10 anys que treballa en aquest sentit, presentant cada vegada més serveis en l’entorn digital per als seus ciutadans. A mida que la digitalització avança, i cada vegada més ciutadans, empreses i institucions implanten noves solucions a les activitats, és lògic que apareguin noves solucions i noves companyies que busquin donar resposta a aquesta creixent i a aquesta demanda digital. És per això que el sector de l’oferta de ciberseguretat està en constant evolució. Segons un estudi anual del sector de la ciberseguretat, impulsat per l’Agència de Ciberseguretat de Catalunya conjuntament amb ACCIO, en la darrera edició s’han identificat 361 empreses que presten serveis de ciberseguretat a Catalunya, ocupant unes 7000 persones i amb una facturació aproximada de 820M d’Euros. Per a entendre com evoluciona aquest sector, convidem a l’Oriol Torruella, director de l’Agència de Ciberseguretat de Catalunya i advocat expert en noves tecnologies fa més de 15 anys, perquè ens parli sobre el tema.

“La qüestió rellevant és que a dia d’avui potser no estem generant prou oferta per atendre la demanda real i, sobretot, la potencial. La manca de talent i el fet que la oferta de ciberseguretat (sobretot en producte) encara prové majorment d’altres països fa que no estiguem aprofitant totes les oportunitats per construir un teixit empresarial potent en el sector de la ciberseguretat. Per això, el Govern es va marcar aquest element com a prioritat en l’estratègia aprovada el 2019 i, malgrat la pandèmia, veiem en les dades que el creixement del sector és una realitat“, explica l’Oriol Torruella.

Ciberatacs, cibercrims i ciberdelictes

Pel que fa al concepte més genèric dels ciberatacs, es podrien definir com aquelles actuacions que realitzen tercers per amenaçar una infraestructura, uns actius o persones mitjançant l’ús d’aquestes eines. Aquests ciberatacs es cataloguen com a delictes si compleixen els requisits establerts a la legislació penal. El cas és que malgrat ser conceptes que tenen connotacions diferents, es barregen i confonen molt sovint, com explica Torruella: “Si bé és cert que els conceptes de ciberdelicte i cibercrim responen a una mateixa realitat, que és la comissió d’actes tipificats en l’àmbit penal mitjançant l’ús de sistemes d’informació o tecnologies de la informació o comunicacions (TIC), també ho és que hi ha delictes de tota la vida (estafes, robatoris, etc.) que han traslladat l’escenari a l’entorn del ciberespai i d’altres delictes que només poden ser comesos en aquest espai. D’altra banda, el concepte més genèric de cibercrim ens apunta un fet ja molt evident, i és que el ciberdelictes que es perpetren en l’actualitat ja no corresponen majoritàriament a activitats esporàdiques de subjectes individuals, sinó a activitats organitzades per grups professionals amb elevades capacitats i coneixements”.

Alguns d’aquests atacs són fàcilment identificables, ja que el seu objectiu pot ser paralitzar l’activitat d’una organització. En d’altres casos, els ciberatacs són més sigil·losos i es poden haver produït sense que les víctimes ho sàpiguen, com per exemple ha succeït amb les filtracions de dades que s’han fet públiques un temps després de l’atac efectiu. Col·loquialment sempre es diu en el sector de la ciberseguretat que hi ha dos grups d’empreses o entitats: les que han estat atacades i les que ho seran. “Malauradament, la realitat és més complexa avui i les podem dividir en més grups o més subgrups: les que han estat atacades i ho tornaran a ser, les que han estat atacades i no en són conscients, les que ho seran i difícilment podran continuar les seves operacions, etc”, explica el nostre convidat, qui afegeix: “Periòdicament, l’Agència emet informes de tendències de les principals amenaces i ciberatacs que impacten a Catalunya. En l’última edició de l’informe anual referent al 2020, seguim veient com els principals ciberatacs que tenim catalogats es mantenen en les primeres posicions: l’extracció i filtració de dades personals, els atacs de ransomware, el codi maliciós en general, o el phishing són les realitats que més estem patint en l’actualitat.“.

Depenent de la tipologia de ciberatacs, els objectius a que es dirigeixen poden anar variant. Tot i que els atacs que han obtingut més atenció mediàtica, com per exemple els de ransomware, han viscut una tendència de targetització en destinataris rellevants (entorns de salut o infraestructures crítiques) o amb un gran volum de negoci, la realitat és que tot tipus d’entitats poden ser víctimes d’aquests ciberatacs. “De fet, cal conscienciar a les entitats i empreses que, el principal element a tenir en compte per valorar el risc de la ciberseguretat no és tant la grandària com el nivell de digitalització de l’entitat”, explica Torruella. 

Administració pública i la ciberseguretat

Durant la pandèmia els atacs han augmentat perquè el volum d’ús de les tecnologies, els dispositius connectats, les eines emprades i la gent que en fa ús han augmentat. El cibercrim ja organitza les seves activitats atenent al context i, per tant, aprofita les noves situacions que es van generant (canvis d’infraestructura, vulnerabilitats, desconeixement dels usuaris, canvi d’eines, etc.). Durant aquest període de teletreball massiu l’explotació de vulnerabilitats en infraestructura de treball remot s’ha multiplicat. “Les Administracions Públiques haurien de tenir en compte que el procés de digitalització dels seus serveis públics és una necessitat per a garantir una millor atenció als seus ciutadans. Però aquesta digitalització ha d’anar acompanyada de l’adequada securització”, assegura Torruella.

En aquest sentit, l’Agència de Ciberseguretat de Catalunya ha estat treballant un model de ciberseguretat per a l’administració local de Catalunya, que, segons explica el seu director, es composa de tres gran blocs de serveis. Un primer bloc de governança i coneixement, que s’articula principalment en un portal de ciberseguretat en el que les entitats podran trobar eines per construir un programa de ciberseguretat i millorar la seva maduresa. Un segon que es composa d’una plataforma al cloud finançada per l’Agència de Ciberseguretat per millorar el desplegament de capacitats de ciberseguretat de les infraestructures i el lloc de treball, que anomenem CATALONIA-SOC. I un tercer bloc que són els serveis de resposta a incidents de ciberseguretat articulats a través de l’equip de resposta a incidents, el CATALONIA-CERT. 

Dintre d’aquest propòsit d’oferir als municipis catalans eines que facilitin el seu procés de transformació digital, La Salle Campus Barcelona i Localret van llançar la primera edició del Programa Executiu en Transformació Digital – Edició Especial Municipis, en què l’Oriol Torruella va impartir recentment una sessió sobre ciberseguretat enfocada en qüestions de l’administració pública, que ha viscut un procés de digitalització creixent i que, per aquest motiu, també s’ha convertit en un destinatari d’atacs, tant targetitzats com massius. “Els riscos principals acostumen a versar sobre processos de digitalització que no han tingut en compte la ciberseguretat, la manca de recursos o coneixements per disposar de solucions adequades o la manca de formació del personal”, comenta Oriol Torruella. 

La millor manera d’evitar o de gestionar un incident és estar preparat amb anterioritat. Si una organització o entitat és conscient del que implica la ciberseguretat i s’ha preparat correctament, la gestió del incident o d’un ciberatac és posar en marxa les eines i procediments previstos. En aquest escenari la possibilitat d’èxit augmenta notablement. La gestió d’un incident en cas contrari és molt complexa o pràcticament impossible. En qualsevol cas, comptar amb suport (intern o extern) professional per poder respondre a l’incident i amb el suport d’entitats com l’Agència de Ciberseguretat, és imprescindible per a poder-ho fer. Els procediments i actuacions a desenvolupar dependran de la tipologia d’atac i de la seva severitat“, assegura el director de l’Agència de Ciberseguretat.

Sobre tot això, Torruella conclou que “cal planificar i tenir en compte les principals amenaces i riscos per a desenvolupar un programa de ciberseguretat que permeti gestionar els riscos i adoptar l’entorn digital amb plena confiança. Aquest programa de ciberseguretat hauria de contemplar el conjunt de mesures previstes, que poden incloure mesures organitzatives (polítiques, normes, procediments, rols, ciberassegurances, etc.), mesures tecnològiques (infraestructura, eines, etc.) i serveis de ciberseguretat (anàlisi de riscos, formació, operacions de seguretat, etc.). És evident que no totes les administracions disposen dels mateixos recursos i, per aquest motiu, s’haurà de plantejar de construir aquest programa disposant d’eines, serveis i suport propis i d’altres que puguin posar a disposició entitats com l’Agència”.

Share