La ciberseguretat, una assignatura pendent

Crear la figura del responsable de seguretat digital, lligada a l’estructura de direcció, és una de les claus

Esteve Giralt / Tarragona

Els ciberatacs que han patit en l'últim any grans multinacionals com la cervesera Damm, la Generalitat o la Universitat Autònima de Barcelona (UAB), han ocupat portades i obert informatius. Cada cop la societat pren més consciència de l'impacte d'un forat en la seguretat informàtica d'una organització. Però malgrat això, encara falta molta pedagogia per fer. "Tinc la sensació que les empreses aprenen molts cops a base de cops, després d'un accident", destaca el professor Jordi Castellà Roca (URV).

Al contrari del que es podria pensar, és un repte que va molt més enllà de les grans multinacionals. Les dades mostren que les pimes i negocis petits, de tota mena, com també els comerços, estan exposats als ciberatacs. El 99% de les empreses espanyoles van rebre un ciberatac l'any passat. Només un 14% estava preparada per fer-hi front. Per una gestoria, per exemple, pot suposar que els seus clients no puguin fer la declaració de renda quan i com toca. "Les conseqüències poden ser molt greus", afegeix el professor de la URV.

Un dels problemes més habituals que es troben les organitzacions és que no tenen un responsable de ciberseguretat. Els especialistes recomanen que aquesta responsabilitat estigui vinculada a la direcció per facilitar la presa de decisions que poden tenir un gran impacte econòmic si no es prenen bé o massa tard. Caldrà decidir el volum de la despesa i les inversions preventives en seguretat digital, com la compra de software o de determinats equips informàtics, i la necessitat de subcontractar alguns dels serveis.

A banda de coneixement i despesa, hi ha una altra variable que podria aplicar-se a qualsevol de les decisions que ha de prendre una empresa. "Cal molt de sentit comú, però sovint és el menys comú dels sentits", destaca Castellà Roca. Operacions tant bàsiques com tenir còpies de seguretat aïllades i protegides poden ser fonamentals per restablir un sistema després de patir un ciberatac que, repeteixen els experts, tard o d'hora acabarà arribant. Les empreses s'han de mentalitzar.

"Els atacants exploten fonamentalment el fet que les organitzacions depenen, cada dia més, de les tecnologies digitals per dur a terme la seva activitat", destaca l'Agència de Ciberseguretat de Catalunya. Fa relativament poc hagués sonat gairebé a pel·lícula americana l'existència d'organismes públics per ajudar a les empreses a protegir-se dels ciberdelinqüents; es fan periòdicament congressos dedicats només a abordar la seguretat informàtica, com el Barcelona Cybersecurity Congress. A escala estatal existeix l'Institut Nacional de Ciberseguretat (Incibe) que ofereix també assessorament gratuït.

La digitalització dels processos productius és una altra de les escletxes que utilitzen els ciberatacs per fer mal. La indústria connectada facilita la vida a les empreses des de fa anys, com una gran oportunitat per fer més eficaços i rendibles els processos productius, però també implica riscos greus. Els casos més sonats són els atacs patits per grans empreses a qui els ciberdelinqüents, amb grups criminals molts cops ubicats a l'estranger, a països com Rússia, demanen rescats milionaris. Les cadenes de producció poden quedar en l'aire. Però hi ha tota una realitat, al marge dels grans titulars, que pot afectar empreses molt més petites.

La llista de reptes és llarga i va canviant. No és estrany que es publiquin constantment noves amenaces i tendències en ciberatacs. Hi ha atacs recurrents, coneguts com els clàssics, i també nouvinguts, com l'aparició ara de l'anomenat criptojacking. Els especialistes ho expliquen com l'ús no detectat d'un dispositiu informàtic aliè, com un ordinador, una xarxa de computadores o altres dispositius com els mòbils, per extreure monedes digitals. Sembla ciència ficció però no ho és. Els hackers entren en ordinadors d'empreses, per exemple, per fer-los treballar per ells. Això suposa un consum no desitjat de recursos propis perquè els hackers obtinguin a canvi divises digitals. Com si t'entressin a la nevera de casa d'amagatotis i l'anessin buidant poc a poc, cada nit.

Els anomenats entorns multi núvol o la irrupció del 5G generen nous desafiaments; també la proliferació del teletreball per la pandèmia, amb molts equips funcionant en una mateixa xarxa de forma remota. Molts dels atacs son automàtics, sense que necessàriament hi hagi ningú físicament al darrera. Es llencen en massa amb l'objectiu que afectin un percentatge dels dispositius. És també una gran oportunitat de negoci per les empreses i els professionals que ofereixen serveis i solucions innovadores en ciberseguretat.

El cost mitjà de cada ciberatac: 20.000 euros

El cost mitjà de cada ciberatac ronda els 20.000 euros, segons les estimacions publicades per algunes de les empreses especialitzades en seguretat i per l'Institut Nacional de Ciberseguretat (Incibe). Un dels més cars és el ciberespionatge, que costa prop de 60.000 euros de mitjana, o el phishing, que serveix per robar informació confidencial de les empreses o dels usuaris, amb una factura mitjana per les organitzacions de 40.000 euros. Les autoritats alerten, per si això no fos prou preocupant, que el pagament d'elevades quantitats econòmiques "no garanteix en cap cas que et tornin o desencriptin els arxius que t'han robat".

La casuística és però diversa i són només xifres orientatives que mostren la transcendència del problema, d'abast global. Fins que no pateixen un atac cibernètic, de la mena que sigui, les pimes no són conscients de la importància de la ciberseguretat, coincideixen les empreses especialitzades.

Hi ha un altre factor, no gens menor: l'impacte sobre la imatge de l'empresa que ha patit l'atac si aquest es fa públic, com passa gairebé sempre amb les grans empreses. És una forma més d'extorsió.

Notícies relacionades