Josep Guasch: “Prop del 80% dels ciberatacs tenen a veure amb un factor humà”
Comparteix
Xerrem amb el president de l’ASCICAT, una associació nascuda per unir esforços i sumar complicitats amb l’objectiu de fer créixer la cultura de la ciberseguretat a Catalunya.
L’Associació de Ciberseguretat de Catalunya (ASCICAT) va néixer per impulsar un model col·laboratiu que connecti diferents agents per desenvolupar una cultura de ciberseguretat al país. El seu president, Josep Guasch, qui també és CEO de l'empresa Brontobyte Cloud, impulsa aliances per atreure i orientar talent, alinear la formació amb les necessitats reals i visibilitzar la importància de la ciberseguretat, amb hackatons i accions de conscienciació.
Guasch adverteix que el factor humà és clau a l’hora de protegir-se, per això reclama més inversió en formació, verificar sempre per un segon canal i disposar de còpies de seguretat, entre altres. A més, recorda que el correu electrònic és la porta principal dels atacs i que el sentit comú abans de clicar sempre és el millor escut.
Com definiries l’ASCICAT?
L’ASCICAT neix per impulsar la ciberseguretat col·laborativa a Catalunya. Des de fa anys em dedico a aquest àmbit a l’empresa Brontobyte Cloud, una de les impulsores de l’associació, i vam detectar que faltava un actor com l’ASCICAT. Quan parlaves amb l’Agència de Ciberseguretat o amb l’Institut Nacional de Ciberseguretat (INCIBE) veies que altres territoris, com el País Basc o Madrid —amb CyberMadrid—, ja el tenien i aquí no.
Quina és la vostra filosofia?
Apostem per la col·laboració publicoprivada i per la mirada del sector privat: l’associacionisme també s’articula des d’actors com les empreses i les pimes, que són el motor del país. Per això volem connectar les quatre potes de l’ecosistema —administració pública, sector privat, formació; amb instituts i universitats; i recerca i tecnologia, amb centres i clústers, com Eurecat— per tenir una visió global de com està la situació i fer avançar el sector plegats.
En què es tradueix això?
És una feina complexa i encara perfectible. Ara mateix estem engegant un grup de treball sobre talent i conscienciació, liderat per empreses i per l’àmbit estudiantil. Busquem aliances perquè sovint falta talent i, quan es forma —sigui a l'FP o a la universitat—, a les empreses no sempre els encaixa del tot. Per això impulsem una anàlisi a fons des del teixit empresarial i amb el professorat, que és on hi ha la gran mancança i on hem d’orientar l’esforç. En cap cas volem canviar els temaris; el que fem és treballar plegades per acostar la formació a les necessitats reals. I pensem que estem fent una bona feina en aquest sentit.
I organitzeu esdeveniments d’èxit.
Sí, fa poc vam organitzar una marató de hackers a la Universitat de Girona, patrocinada i impulsada per una empresa privada, i va ser un èxit rotund. Tant, que ens han contactat de la Universitat de Vic i de la Universitat de Barcelona per replicar-la. Tot plegat ha estat possible gràcies a l’aliança entre universitat, institut i empreses privades. En el fons, es tracta d’això.
A més, treballeu per retornar valor a les associades i impulsar la sobirania digital catalana.
Evidentment, es parla molt de sobirania digital i hi creiem de debò. Volem teixir un ecosistema propi a Catalunya, però sense tancar-nos portes a col·laboracions de la resta de l’Estat i de fora. M’ha passat dues vegades d’haver de buscar un proveïdor a Google i, des que soc a l’ASCICAT, he descobert molts proveïdors d’aquí que ja subministren el que necessitava i jo no ho sabia. Per això, el que hem de fer és coordinar-nos, visibilitzar el producte o, si més no, l’opció local, i col·laborar per generar més negoci entre totes.
Estem preparats com a país en l’àmbit de la ciberseguretat?
Si dic que no, malament; si dic que sí, no seria veritat. Podríem dir que anem per bon camí. Com a mínim, avui tothom parla de ciberseguretat com no s’havia fet mai. Dit això, la meva opinió és que encara no estem preparats. Ens hi estem posant i les administracions s’estan activant. La NIS2 i la resta de normatives que arriben collaran de valent. Sovint, fins que no hi ha multes o obligacions clares, moltes empreses i entitats no reaccionen. Europa s’ho està prenent seriosament i aquí, tot i que a poc a poc, anem avançant.
Queda molt camí per fer.
I tant, si mirem, per exemple, el sector sanitari, que ha de complir l’Esquema Nacional de Seguretat, diria que no hi ha ni un 25% que ho compleixi. I ja sabem què va passar a l’Hospital Clínic. Així doncs, estem preparades? Malauradament, no. Anem en la direcció correcta, però calen molts més recursos i més talent, perquè ara mateix no en tenim prou.
Amb tot, sí que s’està construint un model propi de seguretat digital.
Sí, s’està construint un model propi. Hi veig molt bona predisposició. Ara bé, encara falta molta cultura de ciberseguretat. Passa com amb les energies renovables: vam trigar a entendre-ho; amb la cultura de ciberseguretat també costarà. Així i tot, hi ha bona fe i s’està avançant.
Un dels problemes és que encara es percep la ciberseguretat com un cost, i no com una inversió de futur?
Totalment. I fins a cert punt és comprensible: com a empresari, sovint costa veure el retorn d’una despesa que aparentment no genera beneficis. Sempre poso el mateix exemple: fins que no traiem la partida de ciberseguretat de l’Excel de despeses i la passem a la columna de beneficis, no ho entendrem. Jo mateix soc proveïdor de sistemes de còpies i algunes empreses —poques— han donat de baixa el servei perquè diuen que no l’han necessitat mai. És com deixar de pagar l’assegurança del cotxe perquè no has tingut cap accident. No pots deixar de protegir-te. Falta consciència que no és una despesa, sinó una inversió per estar tranquil. Les grans empreses, sobretot les multinacionals, això ho tenen clar des de fa anys; a les petites, els costa més.
Avui, quines són les estafes o amenaces més recurrents quan parlem de ciberseguretat?
Si ens centrem en empreses i organitzacions, l’amenaça més habitual és el robatori i l’encriptació de dades. És la que més utilitzen els ciberdelinqüents perquè els dona rèdit: t’aturen l’activitat xifrant la informació i et demanen un rescat. Per això són vitals les còpies i, sobretot, poder-les restaurar. A més, sovint parlem d’una arma de doble fil, perquè et diuen —i de vegades és cert— que han extret dades i les posaran a la venda. En resum, dos impactes: no pots treballar i t’exposen la informació. Ara mateix, aquesta és l’amenaça principal.
I pel que fa a les usuàries?
Pel que fa a la ciutadania, el phishing i l’estafa per correu. Un exemple recent: el meu farmacèutic va rebre uns correus suplantant una empresa proveïdora; li van enviar factures de més de 6.000 euros i un número de compte nou. Li havien compromès el correu i va fer el pagament: diners perduts. Un altre cas proper: una família de l’escola —tenen una immobiliària— va patir una suplantació en l’operació d’unes arres de 30.000 euros. Van interceptar el correu, es van fer passar pels receptors i van indicar un compte fals. Van perdre els 30.000 euros.
També estan sorgint noves amenaces, per exemple vinculades amb les criptomonedes.
Sí, darrerament estem veient molts fraus lligats a les criptomonedes. Un cas proper és el d’una persona gran de confiança que va perdre tots els estalvis. Primer va fer una petita inversió; després li van trucar, li van dir que havia pujat molt i que guanyaria encara més si hi posava més diners. S’ho va creure i el van enganyar.
Quina és la principal porta d’entrada dels ciberatacs?
La porta principal és el correu electrònic. Després, hi ha tot el que arriba pel mòbil. Ara bé, el punt clau és el factor humà, i això és molt intentant remarcar-ho. Pots posar totes les capes i barreres que vulguis, però si qui té la clau obre, l’atac passa. La realitat prop del 80% de les estafes i ciberatacs venen d’errors humans, com manca de formació, contrasenyes febles, navegar per llocs que no toquen a la feina, connectar USB quan ens han dit que no ho fem… Tot això és factor humà.
Què podem fer per evitar-ho?
El primer és aplicar sempre un doble factor de protecció. Quan alguna cosa no quadra, hem d’activar el sentit comú i verificar per un segon canal. Si rebem un correu del banc demanant usuari i contrasenya, entrem al web oficial; i si encara no ho veiem clar, hi anem en persona. Tampoc descarreguem ni obrim arxius que no sabem d’on venen. I, sobretot, formació: les empreses han d’invertir-hi, perquè si no expliques què cal fer, el personal no tindrà eines per protegir-se.
Amb quines principals mesures, de baix cost, hauria de començar a protegir-se una entitat?
Dos punts clau. Primer, formació: petites bones pràctiques i petites formacions de cost zero o molt baix, però preses seriosament. Segon, analitzar les prioritats de l’entitat: segmentar els entorns, saber què és crític i on caldrà actuar de seguida. I afegeixo un tercer imprescindible: un bon sistema de còpia i recuperació. Pot marcar la diferència entre seguir o haver de tancar.
Hi ha molts exemples.
Pensem en una gestoria petita, amb dades de clients de fa vint anys, si els xifren tota la informació i no la poden recuperar, quan algú demani una declaració d’anys enrere i responguin que ja no la tenen, hauran de tancar l’endemà. És així de cru. I no tot ve de fora: hi ha riscos físics. Si una organització té el servidor sota la taula i algú entra i se l’endú, es queden sense res. Per tant, cal formar-se, analitzar i segmentar què és crític, i alhora garantir un sistema de còpia i recuperació sòlid.
Afegeix un nou comentari