Dins del programa de Transformació Digital d’Andorra, a l’octubre del 2021 es va presentar l’Estratègia Nacional de Ciberseguretat, que va néixer amb la voluntat de desenvolupar la creació d’un marc legal i coordinar de manera proactiva la prevenció i la mitigació de les amenaces, identificant i registrant les possibles amenaces existents tant a Andorra com a l’àmbit europeu. Avui dia, l’ANC-AD és l’encarregada de planificar, coordinar, i gestionar la ciberseguretat de xarxes i sistemes d’informació del país en sentit tant nacional com a global. Hem parlat amb Jordi Ubach, responsable de l’agència nacional de ciberseguretat, sobre la importància de la seguretat informàtica al món modern, els tipus ciberatacs, el futur de la presència d’IA al nostre dia a dia i els seus principals avantatges i inconvenients.
“L’agència es va crear el 2021 a través d’un decret publicat al BOPA. La llei 2022 va definir una sèrie de tasques. El nostre dia a dia és bàsicament la ciberseguretat del país. Les tasques de l’agència són revisar que es faci el desplegament correcte de la llei que té una sèrie d’obligacions i restriccions i donar acompanyament, ser un punt únic de contacte en cas d’algun tipus d’incident i gestionar-lo. No entrem dins les empreses, fem aquesta tasca des de fora. Som el punt de contacte.
L’agència es un òrgan depenent de Govern.
Cada cop més les empreses consideren la seguretat informàtica una part molt important. Moltes empreses ja no veuen la seguretat com un pes, sinó com un actiu més de l’empresa. Tot això es el mateix que passa a França, a Espanya, a tota la resta d’Europa i a tot el món.
Generalment no podem dir que la formació dels emprenedors en aquest àmbit és suficient. La gent no té coneixements sufiecients sobre del tema de la ciberseguretat, i cal trobar personal qualificat. I per això nosaltres com una agència del govern, intentem arribar a prop de la població. Organitzem xerrades, posem les notícies a la nostra pàgina web, compartim la informació a les xarxes socials, organitzem campanyes socials, hem emès a través de seminaris web i organitzem classes a les escoles. A més, hem participat en el postgrau sobre protecció de dades a la Universitat d’Andorra.
Els ciberatacs no es poden circumscriure a les fronteres físiques perquè són virtuals. A a tot Europa actualment parlem d’uns trenta mil ciberatacs per hora. Amb les mesures preventives adequades , un alt percentatge no aconsegueixen el seu objectiu, i per això els ciberatacs que aconsegueixen l’èxit són, de fet, molt pocs.
En cas d’èxit d’un ciberatac que provoca, per exemple, la pèrdua de dades o el bloqueig d’un lloc web. Sabeu quant de temps necessita una empresa per mitigar-ne les conseqüències? Hi ha dues parts. Una és el “preatac” i l’altra és la de restauració dels sistemes o l´activitat. Els atacs no es produeixen de seguida. Si no són atacs globals i genèrics, un atac a una empresa normalment s’inicia amb un període previ, podent estar dins la infraestructura de l´empresa fins a 270 dies (aquest temps és necessari per investigar l’empresa, conèixer-ne els sistemes). No és com en una pel•lícula on toques un botó i es realitza un atac. A partir d’aquest període previ és quan comença el problema per a l’empresa des del moment en què cauen part dels seus sistemes. Si l’empresa té còpies de tots els sistemes de dades, amb 24 hores es poden tornar a restaurar els sistemes. Si les empreses no disposen d’aquestes mesures, trigaran molt a restaurar els sistemes i poden patir una pèrdua de dades, pèrdues econòmiques o reputacionals.
Les empreses d’Andorra no han patit atacs greus. Aquí parlem d’atacs a nivell mitjà. Al context d’Europa el 70% dels atacs són contra pimes (categoria de microempreses conegudes com a (PIME), és a dir, empreses que donen feina a menys de 250 persones). A Andorra són micropimes, tampoc a Andorra tenim gaires dades, ja que en matèria de cibersegretat i sobretot en l´aplicació de la llei ens trobem en un estat embrionari comparativament parlant d´altres països on ja fa anys que disposen de lleis o regulacions, però estem ben encaminats.
Per protegir les empreses i les persones, hem de fer el següent. No utilitzar el wifi públic! I això és complicat. Perquè un usuari desitja coses simples i serveis gratuïts. Àvidament, quan un servei és gratuït tots volem un accés i aleshores tenim un problema ja que facilitem accés a les nostres dades.
Hem de llegir les polítiques de seguretat abans d’acceptar un servei en línia. Cliquem en qualsevol cosa que ens arriba, acceptem sense revisar. Les xarxes wifi públiques no són segures perquè no sabem qui és el propietari d’aquestes xarxes. Els dispositius no estan actualitzats, no utilitzem antivirus als nostres mòbils. La llicència del mateix antivirus que tenim per a l’ordinador el podem fer servir en tres dispositius diferents (el teu i el dels teus dos fills, per exemple) i costa uns 10-12 euros per any. L’ordinador és més segur perquè Windows porta un paquet antivirus; per contra, el mòbil no el porta.
La gent rep per correu electrònic, WhatsApp o Instagram uns enllaços, els segueix i ni tan sols sap que en aquests moments està obrint l’accés a les seves dades.
La gent sovint pensa: “Qui vol les meves dades”? Bé, de fet, sempre hi haurà gent disposada a aconseguir-los.
Hem de revisar tot allò que rebem, llegir molt atentament el que ens demanen i mai enviar les dades bancàries.
L´ANC-AD en el seu informe anual de 2022 vàrem mostrar com més 4000 dispositius mòbils van ser afectats per un malware(RedLine) que és un programa maliciós que s´emporta totes les dades que tenim: les nostres contrasenyes, correus, missatges i fotos personals.
Les tipus d’amenaces són les mateixes, entre d’altres, el frau, el robatori de dades i l’extorsió. Abans es feien trucades i es tenien contactes directes, ara tot això s’ha traslladat al món digital. Tots tendim a ser bones persones, tots volem ajudar. Però hem d’anar amb compte amb tot això!
El 2025 Europa tindrà un dèficit de 2.000.000 d’especialistes en ciberseguretat i protecció per a tota la infraestructura digital. Tenint en compte la rapidesa amb què es desenvolupa el món digital i tenint en compte la rellevància del problema de la intel•ligència artificial i l’ampliació del perímetre de les empreses (teletreball, freelance, etc.) podem suposar que aquesta és la professió del futur .
Les tendències per al 2024-2025 a nivell europeu seran un augment dels atacs, però més dirigits a particulars i empreses però sobretot a la cadena de subministre.
I ara parlem de la presència de la IA en la societat moderna.Si posem els pros i els contres a una balança, el resultat serà positiu. Perquè la IA ens permet desenvolupar eines més potents, podent detectar qualsevol amenaça; per tant, els beneficis amb vista a l’àmbit de seguretat global seran més grans. Sí que n’hi ha una part que és tecnològica. És com si fos un ganivet de doble tall que tant el pots fer servir per ajudar-te a tallar alguna cosa com per a altres coses molt més dolentes.
Europa en aquest sentit està fent els deures a nivell de regulació es preocupa molt de la part ètica. Què cal regular i que serà beneficiós? Hi haurà pèrdua de llocs de treball? Sí! Serà una nova revolució industrial? Sí! Algunes professions s’hauran de reinventar, fer un canvi. Principalment moltes feines derivaran cap a la supervisió de tasques fetes per aquesta IA”.
