Oriol Torruella: “Els ciberatacs a les pimes creixen dia a dia; són objectius lucratius i, arran de la pandèmia, les empreses s’han digitalitzat sense tenir en compte la ciberseguretat”

Entrevista al director de l’Agència de Ciberseguretat de Catalunya

L’Agència de Ciberseguretat de Catalunya va iniciar la seva activitat l’1 de gener de 2020 amb l’objectiu d’implementar l’Estratègia de Ciberseguretat 2019-2022 de la Generalitat de Catalunya per tal de desplegar el servei públic, impulsar una cultura de ciberseguretat, fer segures les administracions catalanes, i potenciar el sector econòmic de la ciberseguretat mitjançant polítiques d’innovació, creació de talent i dinamització del sector productiu.

Com pot afectar una empresa la ciberdelinqüència?

La probabilitat que una empresa es vegi afectada per la ciberdelinqüència creix dia a dia. Les empreses són els objectius més lucratius i, arran de la pandèmia, s’han vist obligades a transformar-se digitalment per mantenir l’activitat a distància i, sovint, han deixat en un segon terme les pràctiques de ciberseguretat més adequades.

Les afectacions són essencialment econòmiques i poden comprometre seriosament la seva supervivència, i comportar un perjudici econòmic directe a causa d’un frau o una extorsió, o costos indirectes originats en les tasques de recuperació. És cert que les grans empreses són objectius més suculents per als ciberdelinqüents que les pimes, però també disposen de més i millors mesures de ciberseguretat.

Quins són els ciberatacs més comuns dins les empreses? Quines conseqüències poden tenir?

Amb el teletreball s’ha incrementat l’ús d’Internet i del correu electrònic i el phishing s’ha disparat a la recerca de víctimes entre els teletreballadors per robar-los les credencials corporatives i infectar el seu equip amb un programari maliciós adjunt. D’altra banda, amb la dependència dels sistemes d’informació, cada vegada proliferen més els atacs de programari de segrest o ransomware, on els atacants s’introdueixen als sistemes d’informació de l’empresa per xifrar la informació i exigeixen un rescat a canvi de recuperar-la. Les conseqüències poden ser molt greus, des de l’aturada temporal d’aquests sistemes fins a la seva pèrdua definitiva si no es disposa de còpies de seguretat.

Com poden protegir-se les pimes d’aquests atacs?

Les mesures de protecció han de ser adequades a cada empresa i realitat. No obstant això, cal trencar amb el criteri que és la mida de l’empresa la que condiciona aquesta proporcionalitat en les mesures o, fins i tot, el que condiciona que una empresa hagi de prendre mesures o no. El criteri més important és el nivell de digitalització i dependència del negoci respecte d’aquestes tecnologies. Totes les empreses estan subjectes al risc de patir un ciberatac, cal identificar de quins actius d’informació es disposa, quines obligacions té l’empresa amb els clients o a nivell de regulació i efectuar una anàlisi de riscos. Un cop identificats els riscos i les necessitats, cal adequar els recursos necessaris i desenvolupar plans d’implementació i d’aplicació contínua. És fonamental la protecció del personal i de l’entorn de treball, així com implementar mesures per garantir-ne la continuïtat (BCP).

Què poden fer les empreses després de patir un ciberatac? 

Dependrà del ciberatac, però, d’entrada, cal analitzar la situació i cercar la informació necessària per conèixer al màxim el context: magnitud, vector, objectiu i impacte possible. Si l’empresa ha considerat les mesures que hem apuntat i disposa de recursos destinats a la ciberseguretat, podrà abordar la situació amb coneixement i desplegar mesures de contenció per aïllar les còpies de seguretat, desconnectar equips infectats, etc. També podrà desplegar mesures per pal·liar els efectes de l’atac, tot identificant-ne el vector amb l’objectiu d’evitar que persisteixi o es repeteixi i, finalment, recollir evidències i deixar els sistemes nets.

Consells per a les pimes i els autònoms

Quina és la millor contrasenya per als diferents comptes d’una empresa? Principalment, la contrasenya ha de ser d’ús personal i intransferible, no s’ha de compartir amb ningú. Molts problemes de contrasenyes també provenen de la similitud dels comptes de la vida personal i la professional, i cal evitar-ho. Per tenir dades segures calen contrasenyes llargues i ben custodiades. Ens hi pot ajudar un gestor de contrasenyes.

Quines aplicacions tenen les pimes a l’abast per poder protegir-se? Hi ha una bona quantitat d’aplicacions gratuïtes, sobretot antivirus, antimalware o gestors de contrasenyes. Però, ara com ara, la clau de la ciberseguretat no és un tema d’aplicacions. Abans que res, cal conscienciar i formar el personal sobre els riscos de fer clic a enllaços i arxius adjunts que porten els correus de phishing. També cal establir criteris per restringir els accessos remots als actius d’informació i eliminar aplicacions prescindibles i, per a les que siguin imprescindibles, gestionar els usuaris que hi tenen accés i els permisos que s’atorguen per assegurar les dades. A més, cal estar alerta: es treu molt de profit d’estar informats sobre les novetats o avisos de seguretat, com els que fem des de l’Agència.

Com poden els treballadors i treballadores d’una empresa protegir-se des de casa en la pràctica del teletreball? Aquest aspecte és molt rellevant, ja que el perímetre de seguretat que teníem previst a l’empresa ha quedat desplaçat a les cases dels treballadors. Els antivirus, filtres de navegació i l’accés via VPN a la xarxa corporativa ajuden a protegir-se, però també cal limitar el que poden fer els treballadors amb els equips corporatius o, fins i tot, amb els seus dispositius propis utilitzats per a la feina (BYOD). D’altra banda, durant la pandèmia s’han incrementat molt els mecanismes d’autenticació multifactor per evitar que, amb el robatori de les credencials d’un professional, aquestes puguin ser utilitzades per comprometre els recursos corporatius.

Dades d’interès

Quants ciberatacs es produeixen a Catalunya a l’any? Quants d’ells tenen lloc en pimes? Un recent informe de Check Point assenyalava que, el 2020, cada empresa catalana ha rebut una mitjana d’aproximadament 450 atacs. Si a Catalunya hi ha 600 mil empreses i fem matemàtiques, es podria estimar que el 2020 el nombre de ciberatacs contra les empreses catalanes podria haver estat de l’ordre de 27 milions. D’aquests, precisament, alguns estudis indiquen que entre el 60 i el 70% són contra pimes, les quals són l’objectiu principal dels ciberatacs.

Xifra de pèrdues econòmiques que suposen aquests atacs a les empreses. Un estudi del 2020 estimava que el cost mitjà per restablir l’activitat després d’un incident fruit d’un ciberatac va ser de 66.800 euros, un 30% per sobre de la mitjana de la resta del món. El mateix estudi constata que això és símptoma de la falta de preparació que tenim davant d’un ciberatac. En qualsevol cas, l’import pot suposar un impacte crític per a algunes empreses i és significatiu el fet que encara tenim molt marge de millora.

Nombre d’empreses que han hagut de tancar o aturar l’activitat a conseqüència dels ciberatacs. Sense disposar d’una xifra clara, alguns estudis estimen que aproximadament 3 de cada 4 pimes que han patit un atac i han hagut de fer front a les seves conseqüències econòmiques no ho poden superar i tanquen abans d’un any.

 

Altres xifres d’interès. Des del març de 2020, amb la declaració de pandèmia, les temàtiques úniques dels correus de phishing s’han triplicat i les pàgines web de phishing pràcticament s’han quadruplicat.

Els atacs de BEC, que suplanten un treballador, un alt càrrec o un proveïdor per sol·licitar un pagament o la redirecció d’una factura, han crescut un 155% durant el tercer trimestre.

Des del desconfinament global, a final del 2n trimestre, el nombre d’atacs de ransomware ha mantingut una tendència a l’alça, amb l’excepció del període de vacances (juliol-agost). A l’Estat, el 3r trimestre els atacs es van disparar un 160%

Les credencials d’accés remot per a usuaris amb privilegis poden tenir un valor habitual d’entre 600 i 3.000 euros, en funció de la importància de l’actiu al qual permeten tenir accés.

Deixa un comentari

Your email address will not be published.

*

Previous Story

Digue’m com etiquetes i et diré com ets

Next Story

El Tribunal Suprem estableix que l’arrelament laboral per poder obtenir la residència temporal a Espanya es pot acreditar per qualsevol mitjà de prova vàlid

Latest from Consells empresarials