Article
La seguretat digital: amenaces i solucions
Una anàlisi dels principals riscos per a empreses, administracions públiques i ciutadania
Amb permís de l’internet de les coses, en els darrers mesos el tema que més interès està generant en l’entorn dels avenços tecnològics és la ciberseguretat. Notícies i estudis coincideixen en alertar dels riscos i la urgència de prendre mesures davant el pes més gran dels recursos digitals a les empreses i a la societat en general. Només a Espanya es calcula que els atacs van costar 14.000 milions d’euros el 2015.
Les amenaces tenen una dimensió global i poden afectar qualsevol persona o organització connectada a internet a qualsevol lloc. A més, són difícils d’eradicar per l’absència de mecanismes legals eficients en el ciberespai. I evolucionen al mateix ritme que els avenços digitals, dificultant la seva prevenció.
Per entendre l’abast analitzarem els principals riscos, amenaces i tipus de resposta en tres àmbits: empreses, administracions públiques i ciutadania.
L’empresa
Detectar amenaces, contenir el seu impacte i entendre el seu funcionament per prevenir atacs són les claus per augmentar la confiança
“La delinqüència cibernètica és la principal amenaça per a totes les professions, totes les indústries i totes les empreses al món”, assenyala Ginni Rometty, CEO d’IBM, en relació a l’amenaça del cibercrim sobre les dades, “el nou recurs natural del món”.
Els sectors amb més risc d’atac són l’aeroespacial, el tecnològic i la banca. Però l’amenaça és transversal a tota la indústria. La digitalització està transformant processos i per tant també els converteix en vulnerables a ciberatacs si no es prenen les mesures adequades. En l’àmbit de l’empresa, el robatori de la propietat intel·lectual o la seva destrucció és l’atac més habitual.
L’estratègia de defensa no s’ha de basar només en la protecció, sinó en en la monitorització per tal de prevenir atacs i en la definició de mecanismes de resposta que minimitzin l’impacte.
Una causa de risc molt important és la que s’atribueix a factors humans. El comportament dels professionals de l’empresa que utilitzi sistemes i serveis digitals sense un coneixement adequat en seguretat és un dels principals riscos detectats.
Un exemple de les solucions que s’estan adoptant per protegir les empreses és la contractació de proveïdors de serveis de seguretat gestionada (MSSP), que aporten des de la protecció enfront de spam i virus fins a la gestió de xarxes privades virtuals (VPN) o la actualització de sistemes.
Una altra opció és contractar serveis de seguretat basats en el núvol per a reforçar l’accés al correu electrònic i l’administració d’identitats, així com a l’encriptació de dades.
La combinació de big data i analytics també pot contribuir a augmentar la seguretat si s’utilitzen les dades per identificar activitats anòmales i predir atacs.
Una altra estratègia de protecció és el hacking ètic, que consisteix en realitzar tests de penetració en els sistemes amb l’objectiu de cercar vulnerabilitats. La simulació d’aquests incidents és una de les formes més eficients per millorar la defensa i prevenir respostes.
IBM proposa que l’empresa disposi d’un software de monitorització contínua de seguretat, que es comparteixin les incidències per elevar la protecció del sector, identificar béns i desenvolupar un pla per a cada un basat en el nivell de risc, i incloure la ciberseguretat com a part fonamental dels processos de negoci i la presa de decisions.
En l’informe anual sobre seguretat de Cisco s’assenyala la tendència a externalitzar, sobretot auditories i serveis de resposta a incidents, sent el límit pressupostari la principal barrera per implementar estratègies de defensa. Detectar amenaces, contenir el seu impacte i entendre el seu funcionament per prevenir futurs atacs són les claus per augmentar la confiança en la seguretat de l’empresa.
Els usuaris
L’internet de les coses es basa en la interconnexió d’objectes intel·ligents i l’accés fraudulent a aquests sistemes pot servir per manipular l’ús dels serveis
En relació al risc del factor humà a l’empresa, la tendència del BYOD (bring your own device), per la qual els empleats disposen dels seus propis dispositius, és una amenaça compartida amb els usuaris fora de l’entorn laboral, degut a l’ús massiu d’aplicacions i serveis connectats. Els dispositius mòbils són sensibles als ciberatacs en si mateixos, en utilitzar apps, i en accedir a continguts o xarxes si no es prenen les mesures de protecció adequades. La majoria dels casos se solucionen amb una actualització del fabricant, sempre que aquest disposi del coneixement i la solució davant les bretxes de seguretat, o dependran del proveïdor de serveis, d’aquí la necessitat d’anticipar riscos i assegurar comunicacions infal·libles en sectors especialment sensibles com la banca, les telecomunicacions o el retail.
D’altra banda, l’internet de les coses es basa en la interconnexió d’objectes intel·ligents, i l’accés fraudulent a aquests sistemes pot servir per monitoritzar dades i activitat dels usuaris i manipular l’ús dels serveis. Això pot produir-se no només a la llar o en vehicles (s’ha detectat la possibilitat d’apagar el cotxe mentre es condueix), sinó en xarxes de ciutats intel·ligents (smart cities), de manera que l’abast d’aquesta amenaça és altíssim. Les vies d’entrada per a aquests atacs són vulnerabilitats (errors no coneguts pel fabricant) de software i protocols, i mala configuració del servidor. Només en 2016 l’ús d’aquests dispositius serà un 30% més gran que l’any anterior, segons Gartner.
Les recomanacions habituals per a l’usuari es basen en la protecció amb antivirus, millorar les contrasenyes per fer-les més segures, i no instal·lar programes de desenvolupadors desconeguts. Els principals sistemes operatius i navegadors ja suggereixen mesures en aquesta direcció.
Els sistemes d’identificació personal, una tendència clau per l’oferta creixent de serveis a través de dispositius mòbils, com els mitjans de pagament, avancen per garantir, no només la seguretat de les transaccions, sinó també de l’ús de wearables o el control de la llar intel·ligent. Hi ha models d’identificació basats en dades biomètriques com l’empremta dactilar o el reconeixement facial, i solucions innovadores com la lectura de venes que proposa VISA.
L’Estat
“Les lleis sempre van per darrere de la realitat quan es tracta de tipificar i perseguir els delictes informàtics”
Un atac massiu a infraestructures crítiques, com xarxes d’energia, transports o sistemes financers, pot causar una crisi social i econòmica en paralitzar serveis fonamentals. La ciberguerra és el major temor a nivell estatal però hi ha altres riscos, menys fatalistes però amb conseqüències greus, derivats de l’ús de l’administració electrònica i els serveis telemàtics.
Els països estan adoptant estratègies de defensa i definint la col·laboració entre organismes per fer front als ciberatacs i el ciberterrorisme. El Govern dels EUA compta amb el NCTC (National CounterTerrorism Center) i amb un centre específic per a la integració d’intel·ligència contra l’amenaça cibernètica (CTIIC), la funció del qual és coordinar actuacions i compartir informació.
Espanya, a més del Comandament Conjunt de Ciberdefensa de l’Exèrcit, disposa de diverses organitzacions que treballen en aquest àmbit: el CERT (Capacitat de Resposta a incidents de Seguretat de la Informació), el INCIBE (Institut Nacional de Ciberseguretat) i el CCN (Centre Criptològic Nacional).
En l’informe sobre Estat de la Ciberseguretat (O-Tad, 2015) assenyalen com un factor fonamental per fer front als riscos el compartir informació entre organitzacions, administracions públiques i ciutadans, proporcionant un marc legislatiu adequat.
La Fiscalia, a la seva Memòria Anual, destaca que la reforma del Codi Penal per la Llei Orgànica 1/2015 suposarà una persecució més activa d’aquest tipus de delictes, tot i advertint que “l’afirmació que les lleis sempre van per darrere de la realitat es fa encara més palpable quan es tracta de tipificar i perseguir els delictes informàtics”, tot i assenyalant la importància per als professionals del Dret d’estar contínuament actualitzats respecte als avenços tecnològics.
En definitiva, l’administració ha d’impulsar iniciatives, coordinar la informació i la resposta, regular el marc legislatiu i protegir a través dels cossos i forces de seguretat de l’Estat.
En aquesta línia, la Unió Europea treballa en una directiva pendent de ser aprovada durant la primavera de 2016 per imposar un nivell mínim de seguretat de les tecnologies, xarxes i serveis digitals en tots els Estats membres.
Conceptes clau
BYOD (bring your own device): l’ús de dispositius personals en l’entorn laboral, com ara dispositius mòbils, afegeix vulnerabilitats a la seguretat de l’empresa.
Smart grid: les xarxes elèctriques intel·ligents, connectades a Internet, requereixen anàlisi de risc concrets per a prevenir talls d’electricitat i espionatge del consum.
SCADA (supervisió, control i adquisició de dades): protegir aquest software de control de processos industrials a distància és una necessitat prioritària per prevenir el control remot, per exemple, de sistemes de producció, comunicacions via satèl·lit, o infraestructures públiques.
Malware: els programes maliciosos que malmeten els sistemes informàtics, en la modalitat coneguda com ransomware, poden segrestar l’accés a documents i alliberar-los a canvi d’una suma econòmica.
Phishing: la suplantació d’identitat, per exemple d’un proveïdor de serveis, per robar contrasenyes o identificacions bancàries ha evolucionat fins al spear phishing. D’aquesta manera els atacants aprofiten informació pública de l’usuari, per exemple a través de xarxes socials, per a realitzar l’engany amb major versemblança.