Una jornada de Regió7 insta les empreses a avançar-se als riscos de la ciberseguretat

Avançar-se als riscos. Pronosticar per on poden venir els atacs. La previsió és fonamental per afrontar la ciberdelinqüència, una de les grans amenaces que afronten empreses, autònoms i particulars. Aquestes són les normes bàsiques de conducta que van recomanar els experts convidats a una jornada organitzada ahir per Regió7 i Prensa Ibérica amb el patrocini de Tesalia i Bitfender, la col·laboració de Control Group i amb el suport institucional de l'Agència de Ciberseguretat de Catalunya i els Mossos d'Esquadra. La jornada, matinal, es va celebrar a l'auditori Plana de l'Om de Manresa, i va aplegar una cinquantena de persones. 

«Ciberseguretat: cap a un internet més segur» va ser el títol de la convocatòria, que es va centrar en les conseqüències dels ciberatacs per a les empreses, tant pimes com grans corporacions, i què poden fer per evitar-los. Dues ponències i una taula rodona van donar forma a la jornada, que va servir per aclarir dubtes i per posar en estat d'alerta els assistents davant d'una amenaça que va en augment, com certifiquen les dades. L'any passat Manresa va registrar gairebé 800 ciberdelictes. En conjunt a Ctalunya hi va haver un increment del 30% d'aquest tipus d'atacs informàtics. A més, segons dades de l'Institut Nacional de Ciberseguretat, el 94% de les empreses espanyoles van patir algun incident relacionat amb els riscos cibernètics el 2022. Les pimes van ser l'objectiu de set de cada deu atacs, segons va recordar en la presentació de la jornada la periodista de Regió7 Queralt Casals.

Selva Orejón, directora executiva d'onBranding i pèrit judicial especialitzada en ciberinvestigació, protecció de la identitat digital i reputació online, va ser la primera en intervenir. Ho va fer amb un enregistrament, ja que no va poder assistir físicament a la jornada en ser al Brasil per qüestions professionals. Orejón va incidir en els grans problemes del sector, en les «situacions danyines diàries, el risc finacer i de reputació» que afronten les empreses. I va insistir que cal afrontar la qüestió des de diferents punts de vista, tant operacional com de gestió, perquè, va afegir, els ciberatacs suposen una responsabilitat transversal per a diferents departaments d'una empresa. 

Orejón v aexplicar que experts com ella són «catalitzadors, corretges de transmissió» en casos de crisi, en què intervenen per posar d'acord els diversos agents de l'empresa, a més de dedicar-se a la formació, clau en la prevenció dels atacs informàtics. Orejón va insistir que en cas d'atac cal detectar-ne l'origen, quina informació ha estat hackejada i esborrar-la, una feina que, va apuntar, «cal fer molt bé per evitar riscos operacionals», tot i que no evita una possible afectació en la reputació de l'empresa. 

Recursos per afrontar el risc

La ponència d'Orejón no es va poder escoltar completa per un problema de comunicació, però li va agafar el relleu, en una intervenció des de Madrid, Roberto Pérez, channel account manager de Bitdefender, una companyia especialitzada en seguretat informàtica i en oferir solucions de prevenció, detecció i resposta davant amenaces cibernètiques. Pérez, que va titular la seva ponència «L'actual superfície d'atac: l'usuari», va explicar l'origen de la seva empresa a Romania, amb una trajectòria de dues dècades, i com completa el seu operatiu des de la seva seu dels Estats Units. 

Pérez va voler llançar un missatge de «tranquil·litat» als assistents a la matinal, perquè hi ha recursos per afrontar els perills tot i que el que va anomenar «la superfície d'atac» està creixent. I ho va explicar gràficament: els entorns informàtics de les empreses, que abans eren com un castell, amb una sola porta d'entrada, «ara són com un aeroport, amb un munt de gent que entra i surt, amb moltes portes i escletxes de vulnerabilitat». Per a Pérez, «la superfície d'atac és allà on és l'usuari», des d'on es connecta. El mòbil, per exemple. 

L'especialista va explicar algunes solucions que ofereix Bitdefender per millorar «la predicció, la protecció i la resposta», perquè, ha apuntat «els antivirus tradicionals no aporten una capacitat de resposta àgil». En una intervenció molt tècnica, Pérez va repassar algunes de les eines que considera útils per tancar de forma segura els entorns de les empreses, per «reduir la superfície d'atac». Pérez va apunta que al sector hi ha una alta rotació «i un gran nivell d'estrés», per la qual cosa recomana tenir serveis externalitzats. L'expert va insistir en la necessitat de protegir els telèfons mòbils, i fer-ho en quatre factors: aplicacions, connexions wi-fi, sistemes operatius i navegació web, perquè un dels grans riscos és el phishing, en què els atacants utilitzen noms web gairebé idèntics als autèntics per atraure els usuaris.

Taula d’experts

La jornada es va completar amb una llarga taula rodona que va tenir de convidats Santi Romeu, cap de la unitat de Ciència i Analítica de Dades de l'Agència de Ciberseguretat de Catalunya; Rosa Relats, caporal de la Unitat Central dels Mossos d'Esquadra; i Andreu Bru, cap del departament de Noves Tecnologies de Pimec. 

Els tres experts van fer una descripció de l'estat de la qüestió, un panorama que genera inquietud quan s'escolta descrit amb detall i emmarcat en el coneixement que hi ha 200 estafes diàries que afecten petites i mitjanes empreses a Catalunya. Per a Romeu, cal estar molt alerta, perquè ha crescut l'espectre de dispositius a defensar i les dades cada vegada guanyen més valor, per la qual cosa cada vegada són un al·licient més atractiu per als ciberdelinqüents. En definitiva, el conjunt de ciberamenaces «creix», va dir Romeu, i a més ho fan de manera cada cop més sofisticada, amb intel·ligència artificial, suplantacions de veu o xarxes de bots. Cal estar atents, per tant, a la repetició de passwords, a l'ús d'aplicacions que provenen d'entorns de poca confiança, als sms que avisen d'una recollida d'un paquet que no s'ha demanat. L'espectre de les ciberamenaces, va insistir Romeu, és molt ampli: «de les que usen intel·ligència artificial a les més bàsiques».

Per a Andreu Bru, les dades de ciberatacs que coneixem no es corresponen, segurament, amb la realitat, perquè no tots són denunciats. N'hi ha més, per tant. Bru reclama que les empreses «prenguin consciència que es tracta d'una qüestió molt greu», per afrontar la qual el que cal primer és «sensibilitat». «Ens hi juguem l'empresa», va insistir l'expert, que va demanar traslladar aquesta «sensibilització» al conjunt de les plantilles. «Si no es fa així, no serveix de res». Bru és conscient que «no es pot demanar que les pimes siguin expertes en ciberseguretat, però sí que han de tenir-ne uns coneixements mínims». I després cal posar-se en mans d'experts, fet que, sí, val diners «però no tant com semblen: hi ha quotes com les de les alarmes», va indicar.

La caporal dels Mossos, especialitzada no tant en delictes informàtics com en les estafes en general, va recordar que la ciberdelinqüència busca el que han fet tradicionalment «els dolents», com els anomena: robar diners i ara també valuoses dades. «Tot acaba amb un frau», va dir Relats, que va recomanar no refiar-se de l'atzar: «el que no hem volgut invertir pensant que a nosaltres no ens passarà o que no som un objectiu, ho acabarem perdent multiplicat quan ens acabi passant». «Ningú no està exempt de la picaresca i l'enginyeria social», va insistir Relats, que va recordar que «no serveix de res fer una gran inversió en ciberseguretat si després contestem un correu» que forma part d’un atac informàtic. «És una qüestió de responsabilitat», ho va resumir. 

I és que «la seguretat al 100% no existeix», va dir Romeu, mentre que Relats va afegir que «el pitjor és la rutina», que ens fa abaixar la guàrdia.

Els ciberdelinqüents «són molt intel·ligents», va apuntar Bru, que recomana «cautela, tant en la vida personal com en la feina». I allunyar-se de «la desídia». Els hackers s’aprofiten de qualsevol escletxa: un software no actualitzat, per exemple. Amb tot, on hi ha intercanvi entre usuaris hi ha riscos, va insistir. Les visites de clients a les pàgines web són, en aquest sentit, també un risc. 

Qualsevol precaució és poca davant l’enorme amenaça de la ciberdelinqüència. I la víctima pot esdevenir, a més, objecte de conseqüències legals «si no ha tingut una bona pràctica, en el sistema de pagaments bancaris, en la protecció de dades», va dir Romeu, apuntant a una forma de revictimització. I és que haver caigut en mans «dels dolents» pot suposar un calvari afegit per a la víctima quan s’enfronta a la denúncia del cas. «El primer que es perd en un ciberatac és l’esperança que es pugui arribar a una resolució», va dir Relats. «Un final satisfactori és molt difícil, no és gens senzill recuperar tot el que es pot perdre en un atac. I el periple penal pot ser insalvable, un calvari civil, de jutjat en jutjat», ha explicat la caporal, decidida a «fer por» als assistents perquè extremin totes les precaucions.

Còpies i assegurances

En aquest sentit, Bru va recomanar tenir assegurats els continguts, i tenir còpies de seguretat de les dades que les empreses, autònoms i particulars volen protegir. «És gairebé segur que ens atacaran», va dir Romeu, però cal «protegir-nos abans, perquè es poden activar moltes barreres. Costa invertir en ciberseguretat, però s’ofereixen bones solucions», va continuar. Analitzar els riscos és, en aquest sentit, un bon preàmbul a qualsevol protecció global de l’empresa. Formar els treballadors, contractar eines solvents, organitzar les accions corporatives... Tot és un ajut per fer front a l’amenaça informàtica. «El 99% de la nostra feina consisteix en prevenció, preparar-nos per a l’1% que no podrem prevenir», va concloure Romeu. 

El representant de Pimec va recordar que a les empreses especialitzades en ciberseguretat els costa trobar especialistes. I va fer una recomanació: que els joves en edat d’orientar-se professionalment tinguin molt en compte aquest sector. «Ens falten milers de perfils i com més es pugui recórrer a empreses de ciberseguretat, més en baixarà el cost». Un cost que, va insistir, pot ser d’entre 15 i 20 euros mensuals per tenir protegida l’empresa. «No és car, però no es busca fins que no s’ha estat ja víctima d’un delicte», va lamentar Bru. Quant a la formació a les organitzacions, Romeu va insistir que cal que siguin «periòdiques, perquè les amenaces canvien contínuament». 

El debat es va cloure amb diverses intervencions del públic, que van explicar casos personals i van mostrar el seu temor per ser víctimes d’un delicte informàtic. Com a darrer consell als assistents, Romeu va demanar considerar la ciberseguretat com un ingredient més de l’activitat interna de l’empresa, mentre que Relats va insistir que «la millor prevenció és conèixer al què estem exposats». Bru, per la seva banda, va posar deures al públic: «si dilluns en arribar a la feina veieu que us han segrestat dades, sabreu què heu de fer?».