“Fa 12 anys ningú sabia el que era el cibercrim ni es parlava de crisis que afectaven les empreses a escala global. En canvi, avui estem prenent consciència i sabem que casos com el recent atac de WannaCry es poden repetir. Tot i això, fa molts anys que vivim incidents, probablement més greus que aquest, i no han transcendit fins que no ha afectat de manera tan massiva”. Aquesta és la conclusió que extreu el director de ciberseguretat d’Indra, Manuel Escalante, sobre el recent pirateig mundial que ha afectat tant empreses com particulars. Un episodi que, malgrat que a Espanya no ha afectat la societat civil, sí que ha viscut casos més extrems als Estats Units, el Regne Unit o Alemanya, on s’ha hagut de paralitzar l’activitat d’hospitals i transports ferroviaris.
Per tot això, el soci responsable de la pràctica d’IT Risk d’Ernst & Young a Barcelona, Xavier Ferré, considera que l’atac ha estat infravalorat: “S’ha demostrat que hi ha un risc real i global que pot tenir un impacte molt important. Serà el darrer gran atac o el primer de molts? Genera molts dubtes”.
Però en tot això hi ha un detall, com molt bé explica en una jornada sobre ciberseguretat organitzada pel Grupo Set, i és que es tractava d’un ransomware, encriptava ordinadors i demanava un rescat, que l’agència americana de seguretat ja tenia detectat i que feia pocs mesos que s’havia filtrat que utilitzava. “Quin paper juguen els governs en tot això?”, es qüestiona.
Perills de l’ús creixent de la tecnologia
El govern nord-americà hauria d’haver avisat de la vulnerabilitat que havia detectat en els sistemes de Windows i que el WannaCry va aprofitar per propagar-se? Cap dels dos experts té una resposta al 100%, però sí que comparteixen la idea que, per ètica i per evitar grans drames, el més adequat és avisar. El problema rau en el fet que, segons Ferré, els estats han entrat en el joc del cibercrim, però en forma d’espionatge. “Es diu que els hackers russos han afectat les eleccions americanes, que el WannaCry era utilitzat pels Estats Units... per tant, queda clar que els governs s’espien”, afirma, i afegeix que la ciberseguretat s’ha convertit en una línia més al clàssic “per terra, mar i aire” que els exèrcits controlen.
Ferré: “Les dades i la informació són una mercaderia que genera molts diners”
Que els incidents de seguretat es multipliquin anualment és, per al soci d’Ernst & Young, una mostra de com tot plegat s’ha convertit en un negoci que ja supera el narcotràfic. “Les dades i la informació són una mercaderia que genera molts diners”, explica. Una realitat que s’ha agreujat a causa d’una transformació digital “massa ràpida” que ha fet que els ciutadans hagin perdut la seva sensació de privacitat. “Abans teníem la nostra informació més controlada i ara està en molts llocs i el perímetre de seguretat ha canviat. És més difícil controlar-ho tot. Si ho ajuntes amb uns actors que intenten extreure benefici dels riscos que suposa, veus que hi ha un negoci amb malwares i bandes criminals organitzades, no de hackers que ho fan tot des de casa”, afegeix.
Ferré, Vilanova i Escalante durant la sessió | Cedida
De fet, ja és possible contractar pirates perquè accedeixin a la informació de la competència. Tenim gadgets connectats a la xarxa, creix l’IoT, la intel·ligència artificial es consolida... cada petit avenç fa que la societat estigui cada cop més connectada i, per tant, més a l’abast dels cibercriminals. “El dia que puguem donar ordres als robots, que ens escoltin i ens vegin, qui ens assegura que no hi haurà algú darrere piratejant la tecnologia i veient-ho i escoltant-ho tot?”, es pregunta Ferré.
Una Unió Europea que es desmarca
El pròxim 2018 la Comissió Europea ha d’aplicar una directiva en matèria de seguretat a la xarxa per regular aquest buit que s’està generant a mesura que la tecnologia es va introduint a casa nostra.
Això, però, té un problema: només la Unió Europea té aquesta obsessió per la privacitat dels seus ciutadans. “Els Estats Units també estan preocupats, però tenen una normativa molt més suau; als països del sud d’Amèrica, molts no tenen ni normativa”, compara Ferré, que constata així que tot depèn del punt de vista que se li doni. Per aquest motiu, considera que el principal hàndicap al qual s’enfrontarà el debat és la interpretació local que se li doni a conflictes que són globals, com ho poden ser les denúncies europees a Google o Facebook per eliminar informació. Mentre el ciutadà es regirà per una normativa de la UE, l’empresa seguirà la llei nord-americana.
Vilanova: "Pretendre rebre les ofertes de música i cinema que t'interessen i no assumir el risc que les teves dades es facin públiques, és una incoherència”
Davant d'aquest context, la presidenta d’Atrevia, Nuria Vilanova, considera que el debat s’ha d’emprendre des de diferents perspectives. “Si vols que t’arribin les ofertes de música o cinema que t’interessen, has de permetre que sàpiguen qui ets. Pretendre això i no assumir el risc que les teves dades es facin públiques, és una incoherència”, assenyala. Per a ella, els governs no poden protegir la privacitat de la ciutadania al 100% si aquesta vol continuar gaudint dels beneficis que aporta la connectivitat i la xarxa. I tot i que veu amb bons ulls que la UE creï el seu marc legal, també considera que no es poden posar traves als negocis.
Com hi ha de fer front l’empresa?
Una cosa és veure el cibercrim des de la perspectiva del ciutadà, però una altra és fer-ho des de l’òptica d’una companyia; una feina que s’ha fet més que necessària si es té en compte que Espanya és el tercer país més atacat del món i amb un augment de hackejos del 130% entre el 2015 i el 2016.
Vilanova: “El 90% de les empreses tenen imprès el pla de comunicació de crisi, però ningú recorda on està guardat”
Com ha d’actuar l’empresa davant d’un atac? Ha d’amagar-ho o dir-ho? D’entrada, tot això està pautat en el que s’anomena el pla de comunicació de crisi, un manual que, afirma Vilanova, “el 90% de les empreses tenen imprès, però ningú recorda on està guardat”. “El WannaCry demostra que és una realitat per la qual hem d’estar absolutament preparats i que el concepte de crisi ha d’evolucionar, s’ha d’assumir i s’ha de deixar de debatre què fer i com fer-ho”, continua.
En aquest sentit, apunta cap a la figura de l’empleat, un actor molt involucrat en la crisi i que les empreses sovint obvien. Segons la presidenta d’Atrevia, són pocs els negocis que realment els consideren ambaixadors i que saben que tot allò que dius al treballador és informació que facilites al món. “Amb les xarxes socials es poden penjar fotografies i fer comentaris que poden revelar qualsevol informació corporativa. El món avui és vulnerable i el consumidor no tolera que se li intenti amagar, cal fer un canvi de mentalitat”, constata. Una idea que reforça afirmant que a escala corporativa s’ha d’acceptar aquesta vulnerabilitat i convertir-la en una eina de diàleg i transparència.
A aquest ànim comunicatiu el soci d’Ernst & Young hi afegeix un altre detall: “Les empreses han de parlar també entre elles. Si es descobreix una vulnerabilitat o es pateix un atac, cal avisar les autoritats i les altres companyies”. Una acció que, amb la nova directiva europea, serà obligatòria i que suposarà el pagament d’una dura sanció per a aquelles corporacions que intentin amagar informació.