Tomàs Roy (Barcelona, 1972) és el director de l’Agència de Ciberseguretat de Catalunya, un organisme destinat a tenir un paper cada vegada més important en la vida quotidiana de les administracions, les empreses i nosaltres com a ciutadans
Som vulnerables en el món digital i hem d’aprendre a protegir-nos. Dotar el país d’un paraigua en aquest àmbit és una de les tasques d’aquest enginyer en Telecomunicacions i Electrònica, amb vint anys experiència en ciberseguretat, al sector privat i al públic. Recentment va ser a Vic, a la seu de l’associació Sant Tomàs, per reunir-se amb entitats del tercer sector agrupades a Sinergrup, que també han de posar-se al dia en la protecció digital.
Ha parlat amb les entitats del tercer sector. Poden ser víctimes també dels ciberdelinqüents?
Com en el sector sanitari, posen les persones al centre, tracten amb dades sensibles i la seva activitat sol implicar tot l’entorn familiar. A més, han construït confiança i reputació, un objectiu que els atacants busquen. No és només capturar les dades, sinó capturar la institució o entitat i fer-se passar per ella per obtenir fons. Per la seva manera de fer, són relacionals, i no trobaríem tan estrany que contactessin amb nosaltres. Un hospital, potser sí, però una entitat del tercer sector no.
I això vol dir que necessiten treballar més l’aspecte de la ciberseguretat?
Com tothom. Estan en la transformació digital com un procés positiu, però és complicat per ells tenir un pressupost destinat a ciberseguretat. O els pot semblar que manllevarien diners d’altres accions més prioritàries. És molt important, per exemple, que els seus proveïdors els prestin serveis segurs. Tenen les mateixes obligacions i amenaces que tothom, però sovint els falta la capacitat pressupostària per fer-hi front. Tenen un repte complicat, però en són conscients.
Han de fer pedagogia entre els usuaris que tutel·len, sovint més desprotegits?
És necessari un acompanyament. Són persones amb els seus drets, inclosos els drets digitals, que han de poder exercir: la seguretat, i també la privacitat. I també hem de dir que aquestes persones poden fer aportacions a l’àmbit de la ciberseguretat, que pot ser un camí d’inserció laboral. Col·laborem amb una ONG, Good Job, que es focalitza en la discapacitat per generar talent en aquest àmbit.
Tots podem ser víctimes d’un atac digital?
Tothom hi està exposat. Tots som a un clic de tenir una mala experiència: un robatori, un abús, un frau, una pèrdua de dades o de la teva intimitat. Jo mateix en seré víctima en algun moment, segur. I és fàcil dir: s’ho ha buscat. Doncs no, ningú no s’ho ha buscat. La víctima ha d’anar defensada i protegida, no acusada, el que ha d’anar acusat és el delinqüent.
La missió de l’Agència de Ciberseguretat de Catalunya és anar ampliant el seu paraigua de protecció a tots els sectors? Quins són prioritaris?
Com a agència, som competents en tot el territori, i no només a l’administració pública. Evidentment, som els responsables de la seguretat digital d’aquesta i del seu entorn, però a través del programa Internet Segura fem capacitació a tota la ciutadania. Ens adaptem no només al risc, sinó a l’amenaça, a saber què està passat, quin interès té l’atacant. Pensi que estem gestionant un incident cada dues o tres hores.
Un incident què vol dir, que és un intent d’entrar en un sistema?
No. Rebem milers i milions d’atacs a l’any. I només uns dos mil es concreten en incidents, és a dir, un fet que requereix que les persones assignades haguem d’intervenir, fer accions. Són els que gestionem cada dues hores, com li deia. I dins d’aquests, en tenim uns vuit a l’any que són greus i dos de molt greus. No n’hauríem de tenir cap, per anar bé, els hauríem d’evitar.
I com s’aconsegueix això?
Quan hi ha un incident vol dir que no falla només una cosa, sinó més d’una. Hem de tenir moltes capes de protecció. Per això ara hem accelerat un pla de protecció especial de l’entorn sanitari, que ja estava previst, però que anirà més de pressa. A final d’aquest any hem de poder protegir totalment els 68 hospitals del sistema públic: els de l’Institut Català de la Salut (ICS) ja ho estaven i ara incorporem tota la xarxa. És una prioritat.
El cas del ciberatac de Ransom House a l’Hospital Clínic els va posar en estat d’alerta?
Hem tingut aquest cas, i hem de garantir que no es repeteixi. I si més no, que no tingui la mateixa gravetat, malgrat tot el que el Clínic va fer bé. Era un centre de referència també tecnològic, en un altre centre potser hauria estat pitjor. Allà va quedar restringit en un entorn de sistemes d’informació, no va atacar els altres sistemes del mateix hospital ni a d’altres… perquè hem de pensar que la xarxa sanitària és un sistema interconnectat. Hi havia una còpia de seguretat off line i per això les dades no es van perdre, malgrat que van ser capturades. L’autonomia de recuperació del Clínic, amb el nostre suport, va ser ràpida.
Que diferent de quan vèiem Internet com un espai de llibertat, cooperatiu. És clar que d’això ja fa uns quants anys.
Venim de la cultura de col·laborar, de prestar serveis i ajudar. És una cultura humana. I Internet quan es va crear era així: pregunta’m com s’hi va que et respondré, si vols una pàgina web doncs aquí la tens, i necessites un document te’l poso en un correu. En aquest moment, necessitem que el correu arribi a qui ha d’arribar, però sabent que l’origen sigui cert, i que l’adreça que em dones vingui d’una autoritat i d’algú que et pugui desviar. Cada vegada més, la transformació digital inclou que sigui una experiència segura. No s’entendria que tot l’esforç que estem fent no comportés seguretat, perquè llavors la gent deixaria d’utilitzar l’entorn digital, que és on estem portant la nostra vida.
Sense tenir por, però hem d’estar més previnguts com a societat…
El grau d’exposició ara és elevat. Però estic segur que en un termini relativament breu, i parlo de cinc o deu anys, veurem un entorn digital totalment segur. Ens costa d’imaginar, perquè només veiem la vulnerabilitat. Però hi haurà un esforç dels grans perquè els petits tinguin experiències satisfactòries.
Però els dolents també aprenen. En el cas del Clínic, vostès mateixos deien que s’havien sorprès del nivell de sofisticació dels atacs.
I tant. Amb tècniques diferents de les que utilitzava el propi atacant: quan vam determinar qui era, vam descobrir que havien evolucionat. És un sector que inverteix en ell mateix i es transforma. Però la nostra defensa ja els va obligar a modificar la forma en què publicaven la informació robada, i a endarrerir-la. I invertir en més recursos. No escatimen en inversions, però comencem a plantar cara.
No hi ha cap ètica, és ben bé com en el pitjor món criminal? Robaven dades de malalts!
No hi ha una ètica del hacker, en casos com aquest. Són capaços d’atacar els més vulnerables, faran el que sigui per obtenir rendiment econòmic. No parlem de robin hoods o d’activistes, sinó de cibercriminals. Nacions i empreses en són víctimes.
I els més petits es pregunten què poden fer?
Entenc el desànim, però primer de tot han de saber que no estan sols. A Catalunya hi ha un ecosistema de ciberseguretat molt potent, amb més de 400 empreses que facturen a l’entorn de 10.000 milions d’euros. Sí que el 85% són pimes o autònoms, però hi ha 1.100 professionals del sector. Hem de saber demanar a aquestes empreses serveis de ciberseguretat. És com quan la missatgeria de Whatsapp era insegura: va aparèixer el Telegram o el Singal… i què va fer Whatsapp? Que la gent valorava la seguretat. Ara tots estan igualment protegits. Quan el ciutadà demanda serveis segurs, les empreses els ofereixen. Hem de preguntar a l’administració, a les empreses o als nostres proveïdors què faran quan tinguem un incident? Perquè el tindrem! El que ens ha d’importar és com estiguin de capacitats per gestionar-lo. I aquí hi ha mesures tècniques o també ciberassegurances. Ningú vol tenir un incendi a casa, però té una assegurança, ni ningú vol tenir un accident però porta el cotxe al mecànic, oi?
Hem parlat del món sanitari, però un altre incident greu el va tenir la Universitat. Un atac que va arribar a paralitzar la UAB!
És l’altra de les nostres grans prioritats, la segona. El món universitari, de recerca i d’educació en general. Pel seu propi dinamisme de recerca, té necessitat de compartir dades, resultats… i hi havia entorns que quedaven exposats. A la Universitat es conviu a vegades amb entorns amb obsolescència o perímetres de seguretat menys definits. Es pot haver penjat un arxiu per enviar-lo a una altra universitat… mil coses que no han passat per un filtre de rigor. La Universitat està fent un grandíssim esforç, a través del Consorci de Serveis Universitaris de Catalunya (CSUC) que es recolza en nosaltres. Hi ha hagut altres universitats que han patit atacs, com la UOC, però en aquest cas va tenir un impacte baix i una recuperació molt ràpida.
Si els Mossos van contraatacar als hackers del Clínic, vol dir que tenim una policia cada cop més preparada tecnològicament?
Ells estan preparats, molt. A vegades els que no ho estem som nosaltres de cara a la policia. Quan hi ha un incident, molta gent té vergonya de denunciar-ho, però ens hem de treure això de sobre. Només denunciant podrem treure a la llum el fenomen de la ciberdelinqüència. També és cert que l’administració ha de millorar en generació de confiança i gestió dels procediments, potser vostè va a denunciar un delicte informàtic en una comissaria i qui l’atengui primer no estigui prou preparat. Pensi que allò és la finestreta i que hi ha al darrera una Unitat de Delictes Informàtics, una Comissaria Virtual … Els que persegueixen el delicte són els Mossos, no nosaltres. L’Agència de Ciberseguretat està interessada en entendre com es comet i la motivació, però no qui el comet. Per part nostra, és imprescindible la col·laboració amb ells, que estan més que capacitats. I no només estudien el fet del crim, sinó també la victimització, la capacitat d’escoltar i protegir la víctima.
I arribem a l’àmbit individual. Tenim tots un mòbil a les mans, i no sé si som prou conscients de com fer-lo servir perquè sigui segur.
A vegades es diu que la baula més feble de la cadena és l’usuari, i a mi em sembla injust carregar-li tota la responsabilitat d’un fenomen tan complex com el cibercrim mundial. Als grans, als que tenen recursos i poder, se’ls ha d’exigir més. Ara bé, hi ha dues coses en què els usuaris s’han de convertir en activistes. Una d’elles és la seva identitat digital, amb la credencial com a màxima expressió. Sé que és difícil gestionar-ne tantes, amb tants passwords diferents, amb contrasenyes complicades… però podem utilitzar clauers per guardar-les. Si mirem el nostre mòbil, veurem que les guarda i que ens pot dir, a més, quantes de les contrasenyes no són prou segures i estan compromeses. El que ens està dient és que aquestes (normalment, una mateixa contrasenya reutilitzada) és coneguda! Aquella que vols creure que ningú no coneix, potser ja està publicada.
O sigui, que ja podem córrer a canviar-la?
Si mai no l’has canviada, segur que ja està publicada, que algú la coneix. Si la canvies cada sis mesos… bé, és una molèstia per als delinqüents. En alguns entorns de feina, t’obligaran fins i tot a fer-ho. Si vostè em diu que ha anat a una web estranya, que ha tingut una trucada sospitosa, que ha clicat un enllaç que no havia de clicar… el primer que li diré és: canvia la constrasenya! Ja no tindran la seva credencial, i vostè començarà des de zero. És el seu acte de sobirania digital. Ah, i no els regali els passwords.
Què vol dir, que no els regali?
Podem anar a una web per baixar-nos un lector de pdf, per inscriure’ns en un congrés… i ens hem de registrar. Hi posem el nostre correu, i una contrasenya que puguem recordar, oi? I per què ho fem, si allà hi hem entrat només una vegada i tampoc cal recordar-la? Aquella credencial és justament la que ha d’oblidar: posi-n’hi una que sigui impossible de recordar, no la del seu correu. Aconsegueixi el que vol, i ja està. Si mai ha de tornar a aquell lloc, que ho dubto, només ha de clicar allà on diu “he oblidat la contrasenya” i tornar-ne a fer una de nova. Hem de minimitzar les contrasenyes que cal recordar, i tendim a l’inrevés, a maximitzar-les. La contrasenya és el nostre tresor!
I l’altre consell que ens havia de donar?
Tenim antivirus, oi? Si els posem molt sensibles, ens salten les alarmes constantment. Hi ha qui, per no complicar-se la vida, posa un llindar baix. Novament, és una decisió sobirana. Hem de tenir el llindar que correspon al nostre coneixement de l’amenaça que tenim. Si a través meu es pot arribar a altres persones que vostè ha de protegir, com a particular o empresa, vagi amb compte. Si té relació amb el món sanitari, educatiu o assistència, el llindar ha de ser alt. Perquè forma part d’un entorn que últimament està essent atacat. I potser d’aquí a poc ho poden ser l’entorn del sector alimentari, i el de l’aigua.
{{ comment.text }}