Quan el món es mesurava per allò que podíem veure i palpar, les amenaces principals per als nostres negocis eren els robatoris físics o els atracaments més o menys violents, que preveníem amb sistemes com ara alarmes de seguretat. Ara el món és global i està a l’abast del teclat d’un ordinador o del nostre smartphone. Per això, els atacs s’han professionalitzat i són invisibles, sobretot si arriben a través de mètodes com un correu electrònic. L’ús del Covid-19 com a esquer ha generat un volum d’atacs per correu electrònic que “representa la col·lecció més gran tipus de ciberatacs” que s’han registrat sota un mateix tema “en anys o fins i tot en la història”, segons l’empresa de ciberseguretat Proofpoint.
Què és la ciberseguretat
La ciberseguretat és la pràctica de defensar i protegir els servidors, els telèfons mòbils, els sistemes electrònics, les xarxes, etc., dels possibles atacs maliciosos de virus creats per robar diners o informació. L’experta Lucía Arias, lead advisor tècnica del sector públic a la consultora en ciberseguretat Govertis, defineix la ciberseguretat com “la protecció dels processos de negoci que tenen o utilitzen tecnologies de la informació com a eines per dur a terme el seu negoci. La ciberseguretat inclou l’anàlisi dels processos, la tecnologia i les persones per mirar d’assegurar que no es produeixin incidents que afectin la seguretat de la informació, és a dir, que vulnerin la protecció de la confidencialitat, la integritat i la disponibilitat dels sistemes i les dades”.
Et pot interessar: Decisions essencials per ser una pime cibersegura
Hi ha moltes formes de ciberatac, depenent de la naturalesa i de la missió que tingui, entre les quals hi ha els malware, que són programaris maliciosos que infecten els ordinadors, i el phishing, que és la tàctica de suplantació d’identitat.
El risc creixent de patir un ciberatac
Com que el món a la xarxa va a una velocitat vertiginosa, els ciberatacs s’han convertit en tot un repte per a aquells que estudien la seguretat a Internet. De fet, l’afecció és molt alta i el seu impacte econòmic és més elevat que qualsevol altra activitat delictiva, ja que té un cost per a l’economia mundial de 600.000 milions de dòlars i genera més diners que el narcotràfic. “En una societat immersa en processos de transformació digital on tothom i totes les coses empren tecnologia, la ciberseguretat ha de garantir la supervivència de les empreses”, explica Arias. A Espanya, el cost puja a 40 milions d’euros a l’any i, segons un informe elaborat per Acierto.com, els qui més en pateixen són les petites i mitjanes empreses, que suporten gairebé el 70 % dels ciberdelictes. Això vol dir que qualsevol empresa, sigui com sigui, s’ha de preocupar per la ciberseguretat? Sí, “perquè les TIC ja no són només un suport per a les empreses, tal com passava abans, sinó que ara són eines essencials sense les quals no es poden dur a terme les activitats pròpies de qualsevol negoci. Qui no es preocupa per la ciberseguretat no té garantida la supervivència en un món interconnectat on tot passa per Internet”, afirma taxativa l’experta.
Et pot interessar: Així és la digitalització de les pimes espanyoles
Campanyes massives, el risc més important
Les amenaces més importants que una empresa o una organització de qualsevol mena pot tenir són campanyes massives d’atacs que penetren al cor de l’organització i poden paralitzar l’activitat interna a canvi de la petició d’un rescat. Aquests atacs no sempre van destinats al robatori econòmic, sinó que moltes vegades allò que interessa és la informació. També es desenvolupen per bloquejar un sistema o deixar inoperativa una entitat durant un temps.
Deepak Daswani, expert en ciberseguretat i autor de La amenaza hacker (Editorial Deusto), coincideix amb Arias a afirmar que totes les empreses i organitzacions són sensibles a aquests atacs, i apunta que el problema és que les petites i mitjanes empreses no disposen de sistemes de seguretat avançats per fer-hi front, “un e-commerce pot patir un atac automatitzat per tombar el sistema, que paralitzi la seva activitat, o pot rebre un atac de la seva competència”. La protecció és molt important, ja que si una botiga en línia, una organització o un ajuntament no disposen d’un bon sistema de seguretat l’atac es pot estendre molt, perquè “a través de vulnerabilitats es pot atacar un web per comprometre els usuaris. Tot depèn de la motivació de l’atac”. Com que els atacs van per endavant, un dels problemes principals és la detecció: “El més difícil és endevinar i saber que tens un atac, perquè a vegades els hackers es colen i estan molt temps robant informació sense que l’empresa en sigui conscient”.
En els últims anys s’ha intensificat el frau a la xarxa i, de moment, no hi ha un patró que defineixi els atacs ni els motius d’aquests atacs. Hospitals, organitzacions públiques i empreses han estat víctimes de ciberatacs recentment. De fet, el 2019 va ser un any molt convuls. Ransomware, un tipus de malware, va atacar una gran quantitat d’empreses i organitzacions, entre les quals hi havia diversos ajuntaments, centres sanitaris i companyies privades com ara la Cadena Ser, Prosegur i Everis. Aquests atacs són molt sofisticats i es van renovant cada poc temps, per la qual cosa són molt difícils de contenir. Per aquesta raó, Daswani assenyala que el millor és la prevenció: “Els reptes als quals ens enfrontem en aquesta matèria van encaminats a prevenir els atacs. Les empreses s’han de posar al dia en matèria de ciberseguretat, han de seguir el decàleg de bones pràctiques, actualitzar els sistemes, sotmetre’s a auditories de seguretat i preparar els seus treballadors perquè sàpiguen a què s’enfronten”.
Per a l’experta de Govertis, el pla de contingència ideal ha de tenir en compte diverses qüestions: “En primer lloc, ha d’identificar les necessitats i els temps màxims de supervivència d’una empresa davant d’un incident. Per tant, ha de conèixer quins són els processos crítics, quanta gent cal com a mínim per dur a terme aquests processos i quines són les aplicacions necessàries”. “El pla inclou dues qüestions bàsiques: d’una banda, gestionar la crisi, valorar el succés i prendre decisions, i, de l’altra, gestionar les activitats de contenció, resposta i recuperació”, afegeix.
Però la fase clau és la de la prevenció: “Tota bona continuïtat comença amb el procés d’anàlisi de riscos, que mira d’identificar situacions potencials i plantejar mesures preventives per evitar-les. A més, s’ha de fer una anàlisi d’impacte en el negoci per conèixer, si finalment es produeix la contingència, què és el més urgent, quina cosa ha de tornar abans a la situació de normalitat. No tot és necessari des del primer moment i, per tant, les organitzacions han de saber com s’han de restablir els processos de negoci, quan s’ha de fer i per quina part han de començar”.
Els perills del phishing
Un altre dels grans fraus en línia són els que es cometen a través del phishing, que és la suplantació d’identitat que es destina al robatori de credencials als usuaris i que permet tenir un primer accés per al robatori, o per llançar un malware. Aquesta tècnica és molt comuna i es cola en la nostra activitat diària. Moltes vegades rebem un suposat correu inofensiu d’una empresa o d’una entitat que ens sol·licita un canvi de contrasenya, informació personal o fins i tot un pagament per a una campanya, i és fals.
L’estafador utilitza el logotip de l’empresa a la qual suplanta i fins i tot un enllaç al web original. A la campanya de Nadal de l’any passat, Correus va ser víctima d’aquests fraus: els estafadors van enviar missatges per SMS i correu electrònic en els quals demanaven una petita quantitat de diners per enviar un paquet als destinataris, aprofitant l’època de gran volum d’enviaments. L’organització va emetre un comunicat alertant que els missatges eren falsos i que l’usuari els podria distingir per l’adreça de l’emissor. Per protegir-se d’aquesta estafa, es recomana no donar dades personals per correu electrònic, assegurar-nos que l’adreça des de la qual ens han enviat el correu és autèntica i ignorar tots els correus dels quals dubtem.
Et pot interessar: Les pimes i la protecció de dades
El frau a Internet i el robatori de dades són, actualment, dos dels problemes i desafiaments globals més importants. Segons l’informe anual The Global Risks Report 2019, ocupen la quarta posició, només un lloc per davant dels ciberatacs.
L’aproximació del sector ha canviat. Abans es treballava per intentar impedir els atacs i ara les organitzacions assumeixen que en algun moment seran atacades, per la qual cosa treballen per estar tan preparades com sigui possible.