ENTREVISTA
Tomàs Roy: “El grau d’exposició actual és alt, però en pocs anys veurem un entorn digital segur”
Tomàs Roy (Barcelona, 1972) és el director de l’Agència de Ciberseguretat de Catalunya, un organisme dissenyat per –i destinat a– tenir un paper cada vegada més important en la nostra vida quotidiana. Les administracions, les empreses i la ciutadania en general encara som molt vulnerables en el món digital, per això hem d’aprendre a protegir-nos d’amenaces que poden venir de qualsevol lloc.
Dotar el país d’un paraigua en l’àmbit digital és una de les tasques principals de Tomàs Roy, enginyer en Telecomunicacions i Electrònica de l’Agència de Ciberseguretat, amb vint anys d’experiència en ciberseguretat, al sector privat i al públic. Recentment s’ha reunit amb entitats de l’anomenat tercer sector, conegudes com a associacions de caràcter no governamental i sense ànim de lucre.
Les entitats no governamentals també poden ser víctimes dels ciberdelinqüents? Com en el sector sanitari, posen les persones al centre, tracten amb dades sensibles i la seva activitat sol implicar tot l’entorn familiar. A més, han construït confiança i reputació, un objectiu que els atacants busquen. No és només capturar les dades, sinó capturar la institució o entitat i fer-se passar per ella per obtenir fons.
I això vol dir que necessiten treballar més l’aspecte de la ciberseguretat? Com tothom. Estan en la transformació digital però és complicat per a ells tenir un pressupost destinat a ciberseguretat. O els pot semblar que manllevarien diners d’altres accions més prioritàries. Tenen les mateixes amenaces que tothom, però sovint els falta la capacitat pressupostària per fer-hi front. Tenen un repte complicat.
Han de fer pedagogia entre els usuaris que tutelen? És necessari un acompanyament Són persones amb els seus drets, inclosos els digitals, que han de poder exercir. I també hem de dir que aquestes persones poden fer aportacions en l’àmbit de la ciberseguretat, que pot ser un camí d’inserció laboral.
Tots podem ser víctimes d’un atac digital? Tothom hi està exposat. Tots som a un clic de tenir una mala experiència: un robatori, un abús, un frau, una pèrdua de dades o de la teva intimitat.
La missió de l’Agència de Ciberseguretat de Catalunya és anar ampliant el seu paraigua de protecció a tots els sectors? Quins són prioritaris? Com a agència, som competents en tot el territori, i no només a l’administració pública. Evidentment, som els responsables de la seguretat digital d’aquesta i del seu entorn, però a través del programa Internet Segura fem capacitació a tota la ciutadania. Ens adaptem no només al risc, sinó a l’amenaça. Pensi que estem gestionant un incident cada dues o tres hores.
Un incident què vol dir exactament? Estem parlant d’un intent d’entrar en un sistema? No. Rebem milers i milions d’atacs a l’any. I només uns dos mil es concreten en incidents. És a dir, un fet que requereix que les persones assignades hàgim d’intervenir. Són els que gestionem cada dos hores. I dins d’aquests, en tenim uns vuit a l’any que són greus i dos de molt greus. L’objectiu és no tenir-ne cap.
I com s’aconsegueix, això? Quan hi ha un incident vol dir que no falla només una cosa, sinó més d’una. Hem de tenir moltes capes de protecció. Per això ara hem accelerat un pla de protecció especial de l’entorn sanitari. A final d’aquest any hem de poder protegir totalment els 68 hospitals del sistema públic: els de l’Institut Català incorporem tota la xarxa.
El cas del ciberatac de Ransom House a l’Hospital Clínic els va posar en estat d’alerta? Hem tingut aquest cas, i hem de garantir que no es repeteixi. I si més no, que no tingui la mateixa gravetat. Era un centre de referència també tecnològic, en un altre centre potser hauria estat pitjor. Allà va quedar restringit en un entorn de sistemes d’informació, no va atacar els altres sistemes del mateix hospital ni a d’altres... perquè hem de pensar que la xarxa sanitària és un sistema interconnectat. Hi havia una còpia de seguretat offline i per això les dades no es van perdre, malgrat que van ser capturades. L’autonomia de recuperació del Clínic, amb el nostre suport, va ser ràpida.
Que diferent de quan vèiem internet com un espai de llibertat, cooperatiu. És clar que d’això ja fa uns quants anys. Venim de la cultura de col·laborar, de prestar serveis i ajudar. És una cultura humana. I internet quan es va crear era així. Ara, però, necessitem que el correu arribi a qui ha d’arribar, però sabent que l’origen sigui cert, i que l’adreça que em dones vingui d’una autoritat i d’algú que et pugui desviar. Cada vegada més, la transformació digital inclou que sigui una experiència segura. No s’entendria que tot l’esforç que estem fent no comportés seguretat, perquè llavors la gent deixaria d’utilitzar l’entorn digital.
Sense tenir por, però hem d’estar més previnguts com a societat... El grau d’exposició ara és elevat. Però estic segur que en un termini relativament breu, i parlo de cinc o deu anys, veurem un entorn digital totalment segur.
Però els dolents també aprenen. En el cas registrat al Clínic, vostès mateixos deien que s’havien sorprès del nivell de sofisticació dels atacs. I tant. Amb tècniques diferents de les que utilitzava el mateix atacant: quan vam determinar qui era, vam descobrir que havien evolucionat. És un sector que inverteix en ell mateix i es transforma. Però la nostra defensa ja els va obligar a modificar la forma en què publicaven la informació robada, i a endarrerir- la. I invertir en més recursos. No escatimen en inversions, però comencem a plantar cara.
No hi ha cap ètica, és ben bé com en el pitjor món criminal? Robaven dades de malalts! No hi ha una ètica del hacker, en casos com aquest. Són capaços d’atacar els més vulnerables, faran el que sigui per obtenir rendiment econòmic. No parlem de Robin Hoods o d’activistes, sinó de cibercriminals. Nacions i empreses en són víctimes.
I els més petits es pregunten què poden fer? Entenc el desànim, però primer de tot han de saber que no estan sols. A Catalunya hi ha un ecosistema de ciberseguretat molt potent, amb més de 400 empreses que facturen a l’entorn de 10.000 milions d’euros. Sí que el 85% són pimes o autònoms, però hi ha 1.100 professionals del sector. Hem de saber demanar a aquestes empreses serveis de ciberseguretat. Quan el ciutadà demanda serveis segurs, les empreses els ofereixen. Hem de preguntar a l’administració, a les empreses o als nostres proveïdors què faran quan tinguem un incident. Perquè el tindrem! El que ens ha d’importar és com estiguin de capacitats per gestionar-lo. I aquí hi ha mesures tècniques o també ciberassegurances. Ningú vol tenir un incendi a casa, però té una assegurança. Ningú vol tenir un accident però porta el cotxe al mecànic, oi?
Hem parlat del món sanitari, però un altre incident greu el va tenir la Universitat. Un atac que va arribar a paralitzar tota l’Autònoma! Aquesta és una altra de les nostres grans prioritats: el món universitari, de recerca i d’educació en general. Pel seu propi dinamisme de recerca, té necessitat de compartir dades, resultats... i hi havia entorns que quedaven exposats. A la Universitat es conviu a vegades amb entorns amb obsolescència o perímetres de seguretat menys definits. Es pot haver penjat un arxiu per enviar- lo a una altra universitat... mil coses que no han passat per un filtre de rigor. La Universitat està fent un grandíssim esforç, a través del Consorci de Serveis Universitaris de Catalunya (CSUC) que es recolza en nosaltres. Hi ha hagut altres universitats que han patit atacs, com la Universitat Oberta de Catalunya, però en aquest cas va tenir un impacte baix i una recuperació molt ràpida de tots els arxius.
Si els Mossos van contraatacar els hackers del Clínic, vol dir que tenim una policia cada cop més preparada tecnològicament? Ells estan preparats, i molt. A vegades els que no ho estem som no-saltres de cara a la policia. Quan hi ha un incident, molta gent té vergonya de denunciar-ho, però ens hem de treure això de sobre. Només denunciant podrem treure a la llum el fenomen de la ciberdelinqüència. També és cert que l’administració ha de millorar en generació de confiança i gestió dels procediments, potser vostè va a denunciar un delicte informàtic en una comissaria i qui l’atengui primer no estigui prou preparat. Pensi que allò és la finestreta i que hi ha al darrere una Unitat de Delictes Informàtics, una Comissaria Virtual... Els que persegueixen el delicte són els Mossos, no nosaltres. L’Agència de Ciberseguretat està interessada a entendre com es comet i la motivació, però no qui el comet. Per part nostra, és imprescindible la col·laboració amb ells, que estan més que capacitats. I no només estudien el fet del crim, sinó també la victimització, la capacitat d’escoltar i protegir la víctima.
I arribem a l’àmbit individual. Tenim tots un mòbil a les mans i no sé si som prou conscients de com fer-lo servir perquè sigui segur als atacs dels quals parlem. A vegades es diu que la baula més feble de la cadena és l’usuari, i a mi em sembla injust carregar- li tota la responsabilitat d’un fenomen tan complex com el cibercrim mundial. Als que tenen recursos i poder se’ls ha d’exigir més. Ara bé, hi ha dos coses en què els usuaris s’han de convertir en activistes. Una d’elles és la seva identitat digital, amb la credencial com a màxima expressió. Sé que és difícil gestionar-ne tantes, amb tants passwords diferents, amb contrasenyes complicades... però podem utilitzar clauers per guardar-les. Si mirem el nostre mòbil, veurem que les guarda i que ens pot dir, a més, quantes de les contrasenyes no són prou segures i estan compromeses. El que ens està dient és que aquestes (normalment, una mateixa contrasenya reutilitzada) és coneguda! Aquella que vols creure que ningú no coneix, potser ja està publicada.
O sigui, que ja podem córrer a canviar-la? Si mai no l’has canviada, segur que ja està publicada, que algú la coneix. Si la canvies cada sis mesos... bé, és una molèstia per als delinqüents. En alguns entorns de feina, t’obligaran fins i tot a fer-ho. Si vostè em diu que ha anat a una web estranya, que ha tingut una trucada sospitosa, que ha clicat un enllaç que no havia de clicar... el primer que li diré és: canviï la contrasenya! Ja no tindran la seva credencial, i vostè començarà des de zero. És el seu acte de sobirania digital. Ah, i no els regali els passwords.
Què vol dir, que no els regali? Podem anar a una web per baixar- nos un lector de PDF, per inscriure’ns en un congrés... i ens hem de registrar. Hi posem el nostre correu, i una contrasenya que puguem recordar, oi? I per què ho fem, si allà hi hem entrat només una vegada i tampoc cal recordar-la? Aquella credencial és justament la que ha d’oblidar: posi-n’hi una que sigui impossible de recordar, no la del seu correu. Aconsegueixi el que vol, i ja està. Si mai ha de tornar a aquell lloc, que ho dubto, només ha de clicar allà on diu “he oblidat la contrasenya” i tornar-ne a fer una de nova. Hem de minimitzar les contrasenyes que cal recordar, i tendim a l’inrevés, a maximitzar-les. La contrasenya és el nostre tresor!
I l’altre consell que ens havia de donar? Tenim antivirus, oi? Si els posem molt sensibles, ens salten les alarmes constantment. Hi ha qui, per no complicar-se la vida, posa un llindar baix. Novament, és una decisió sobirana. Hem de tenir el llindar que correspon al nostre coneixement de l’amenaça que tenim. Si a través meu es pot arribar a altres persones que vostè ha de protegir, com a particular o empresa, vagi amb compte. Si té relació amb el món sanitari, educatiu o assistència, el llindar ha de ser encara més alt. Perquè forma part d’un entorn que últimament està sent atacat. I potser d’aquí a poc ho poden ser l’entorn del sector alimentari, i el de l’aigua.