Després de més d’un any de debat, aquest dimecres el Parlament de Catalunya aprovarà la creació de l’Agència de Ciberseguretat de Catalunya, un organisme públic que substituirà la Fundació Centre de Seguretat de la Informació de Catalunya (CESICAT) que fins ara es dedicava únicament al foment de la seguretat en l’àmbit de les tecnologies.
El darrer atac massiu provocat pel WannaCry ha deixat palesa la importància de tenir unes mesures que garanteixin la seguretat dels ciutadans i els actors davant les amenaces del crim a la xarxa. “Estem davant d’una realitat que ja no només trobem en forma d’estadístiques, sinó que està en el nostre dia a dia”, afirma el soci director de Font Advocats, Eloi Font. I és que després d’aquest ransomware que va afectar de forma massiva els sistemes informàtics de diversos països, el va seguir el cas de NotPetya, menys mediàtic però igual de perillós.
Fins ara el ciutadà poc podia fer davant d’aquestes amenaces. Per a Font, el CESICAT tenia unes funcions limitades i es quedava “curt” per a les necessitats actuals. Per això, la creació de la nova agència ha de tenir una tasca preventiva i defensiva com fins ara, però també ha de poder “respondre els incidents que es generin i col·laborar amb la policia i els organismes judicials per detenir els delinqüents implicats”. “Se li dóna més múscul a una entitat pública per afrontar els reptes del cibercrim”, afegeix.
Malgrat que en el projecte de llei no s’especifiquen amb exactitud les funcions –el que s’anirà veient a mesura que s’implementi-, sí que se sap què pot suposar per a la ciutadania estar sota l’empara d’aquest organisme.
Formar per prevenir les amenaces digitals
L’abast d’actuació de l’Agència de Ciberseguretat anirà més enllà de Catalunya. La funció preventiva se centrarà en les empreses i ciutadans del territori, però els atacs sorgits a l’exterior que tinguin algun tipus d’afectació al Principat també seran susceptibles de ser investigats. “No hi pot haver una territorial”, considera l’advocat, “Internet i la ciberdelinqüència no coneixen fronteres físiques i nosaltres tampoc les hi podem posar”.
"Sovint els atacs vénen per part de delinqüents que estan en el que es coneix com a paradisos virtuals"
Les estafes com el phishing o el pharming són, segons l’especialista, el principal delicte a Internet. “Tant empreses com particulars pateixen sovint atacs per part de delinqüents que estan en el que es coneix com a paradisos virtuals, és a dir, territoris on no hi ha massa control sobre els servidors”, comenta, pel que considera vital poder actuar més enllà de les fronteres. Alguns d’aquests fraus suposen la pèrdua de 200 o 300 euros, però en altres casos Font assegura que ha arribat a veure empreses que han acabat gairebé a les portes dels números vermells per haver patit estafes de més de 500.000 euros.
El problema no es troba, però, en la magnitud dels atacs ni en les habilitats dels delinqüents, sinó en les debilitats que tenen les víctimes. No tota la ciutadania és capaç d’identificar missatges sospitosos, com tampoc té els coneixements essencials per estar ben protegit. “Molts dels atacs com el WannaCry sorgeixen per la manca d’actualització dels sistemes operatius”, assenyala Font. D’aquí que una de les principals feines de l’entitat sigui fer pedagogia sobre la importància de protegir els dispositius tecnològics o fer-ne un ús racional perquè si la gent és conscient dels riscos que tot això comporta, “sabrà posar els seus propis mecanismes per minimitzar el risc”.
Un cop de mà per a la pime
Que les empreses haurien de tenir professionals especialitzats en ciberseguretat és una afirmació cada cop més habitual i que Font també defensa. Ara bé, reconeix que gran part del teixit català està representat per pimes, les quals poden no tenir la formació, els mecanismes o els recursos necessaris per disposar d'aquest equip expert en la matèria.
En aquest sentit, considera que l’agència ajudarà a difondre i conscienciar de la importància de tenir coberts els riscos que se’n deriven de la digitalització i que obligarà les empreses tard o d’hora a fer el pas. Les que tinguin menys recursos, mitjançant la funció pedagògica de l’organisme, comptaran ja amb les primeres indicacions i coneixements per reforçar la seva barrera de seguretat interna a través de l’actualització d’equips i detecció de llocs fraudulents.
Hi ha alguna contrapartida?
La creació d’entitats públiques per combatre el cibercrim és una reacció habitual en els països desenvolupats. L’Institut Nacional de Ciberseguretat és l’encarregat de vetllar pels ciutadans a Espanya, que ocupa la tercera posició del rànquing de països més atacats del món.
Això és causa, en opinió de Font, de la ràtio de dispositius electrònics per població a l’Estat espanyol –“més elevada que a altres països de l’entorn”- i a la falta de formació a l’hora de ser curosos i tenir sistemes de control i seguretat. “Confio que l’agència serveixi per fer valdre la necessitat d’implementar mesures de defensa”, apunta.
Però tota vigilància i defensa té una contrapartida, o això pot semblar. Respecte aquest dubte, l’advocat afirma que inicialment no ha de suposar que cap usuari es vegi en l’obligació de cedir més dades. “Les tasques de l’agència són defensar els ciutadans davant de possibles atacs, però no ho és investigar els seus dispositius si no són responsables d’un ciberatac”, comenta.
"La seguretat vol dir estar controlats i, per tant, hem d’aprendre a renunciar a part de la nostra privacitat”
Tot i això, també reconeix que aquesta és la “versió oficial” i que, a la pràctica, tot increment del control acostuma a anar acompanyat de més vigilància. “Al final la seguretat vol dir això, vol dir estar controlats i, per tant, hem d’aprendre a renunciar a part de la nostra privacitat”, puntualitza.