Entrevista exclusiva per a la Festibity

Tomàs Roy és l’actual director de l’Agència de Ciberseguretat de Catalunya. Enginyer Superior en Telecomunicacions a la UPC, Enginyer Superior en Electrònica al Politècnic de Torí, llicenciat en Ciències de l’Educació a la UNED, màster en Administracions Públiques per ESADE, Analistes d’Intel·ligència per la UAB i en Innovació pel MIT dels EUA.

L’Agència de Ciberseguretat és l’organisme públic encarregat de la protecció, prevenció i governança en matèria de ciberseguretat dels drets de la ciutadania i el creixement econòmic a Catalunya.

—

Una internet més segura

En la teva opinió, com ha de ser una Catalunya més segura? Com valores el panorama actual de la ciberseguretat a les organitzacions a Catalunya?

La ciberseguretat ha de garantir el benestar digital. Una Catalunya més segura és un ecosistema digital on tothom, especialment els proveïdors, es compromet a construir, configurar i mantenir els sistemes, xarxes i aplicacions segons les bones pràctiques. Molts atacs que pateixen les organitzacions a Catalunya no són realment problemes de ciberseguretat, són de mala gestió. Els accessos remots sigui a les xarxes (VPN) que als dispositius (escriptori remot) no estan correctament configurats, actualitzats i monitorats. Els sistemes estan obsolets, mal configurats, amb serveis actius innecessaris i, per tant, vulnerables. I les aplicacions presenten llibreries que ningú manté i tenen vulnerabilitats. Tots aquests problemes estan previstos en els contractes, però poques vegades aquestes tasques es porten a terme. Els únics entorns on es té cura sistemàtica de la provisió amb qualitat d’aquests serveis és en el núvol dissenyat amb seguretat. Fins que les organitzacions pugen al núvol sistemes i aplicacions vulnerables, obsoletes, mal configurades…

La ciberseguretat no pot ni ha de substituir les responsabilitats de qualitat dels serveis IT o OT. La ciberseguretat ha de protegir, detectar i respondre a atacs anomenats “zeroday”, desconeguts, que no es poden gestionar, gràcies a l’estudi dels adversaris i a la intel·ligència operativa.

“La ciberseguretat ha de protegir, detectar i respondre a atacs anomenats zeroday, gràcies a l’estudi dels adversaris i a la intel·ligència operativa.”

Com has utilitzat els teus coneixements com a enginyer de Telecomunicacions al llarg de la teva trajectòria laboral? I actualment a l’Àgència de Ciberseguretat?

A la UPC vaig fer el meu projecte de final de carrera sobre IPv6, amb especial atenció a les funcionalitats de ciberseguretat o qualitat del servei. Allò em va permetre endinsar-me amb tot detall en els protocols de les 7 capes de l’ISO-OSI. Després a Itàlia, quan vaig fer electrònica, vaig especialitzar-me, per tant, tot i no tenir present la ciberseguretat, em va permetre entendre i aprofundir en els protocols, el seu funcionament i sobretot en la seva enorme orientació a prestar servei, més que a prestar ciberseguretat. I… D’aquelles noces, aquests confits. La majoria d’atacs encara avui exploten la manca d’autenticació i seguretat de protocols com el NTP, DNS, BGP, UDP, SYN, ICMP, GET/POST, IP, SYN-ACK, SSDP, TCP SYN… Molta gent que es dedica a la ciberseguretat, en els seus orígens era programador. Jo era “protocolista”.

Actualment, crec que l’enorme capacitat de concebre conceptes abstractes complexos, així com el plaer per l’estudi i conèixer gent diferent i brillant que vaig tenir l’oportunitat de trobar a la carrera, continuen sent quelcom que aprecio molt. El talent. Soc una persona que admiro les capacitats dels altres i penso de forma sistèmica, cercant equips i connexions entre gent diferent. Els hackers (ètics, sobretot!) són la versió brillant i talentosa dels freakies. A Telecos vaig conèixer molts hackers. A l’Agència també. M’hi sento molt còmode entre ells.

L’Agència és el lloc de referència per conèixer les tendències actuals, de fet, cada any feu un informe anual, què ens podries avançar d’aquest any 2023?

Correcte. Des de l’Agència comptem amb una unitat específica que se n’ocupa d’analitzar i generar informes de tendències, indicadors i ciència analítica que ens ofereix un servei de gran valor, ja que ens indica a quins reptes ens enfrontem, quina situació ens envolta i com estem respecte al nostre entorn.

Una de les tendències d’enguany, i que estan essent públiques i notòries, són els atacs de ransomware. Durant la primera meitat de 2023 hi ha hagut els mesos amb més incidents de ransomware de la història.

Tot i que cada vegada menys víctimes de ransomware paguen el rescat, els guanys obtinguts pels criminals cibernètcs dedicats a aquesta activitat durant la primera meitat del 2023 han arribat al mateix nivell que en tot el 2022.

Les amenaces cibernètiques canvien a partir del que canvien els entorns organitzatius, entorns de treball, l’aparició de noves tecnologies i l’esclat de conflictes geopolítics que traslladen la seva activitat a la xarxa. I per exemple, l’any passat vam veure com les campanyes de ciberespionatge es veu incrementat donat el conflicte entre Ucraïna i Rússia (un 3% més d’incidents durant el 1r trimestre de 2023 que en tot el 2022), i amb els nous conflictes com el d’Israel i Palestina això pot continuar creixent exponencialment.

Cal destacar també l’impacte de les tecnologies emergents pel que fa a tendències en amenaces cibernètiques on podem trobar la revolució de la IA que s’utilitza per protegir-se però també per a realitzar ciberatacs. Entre les xifres que hi veiem, tenim que el 46% s’ha vist afectat per frau d’identitat sintètica (identitat fraudulenta que barreja informació falsa i real), el 37% ha experimentat un frau de deepfake per veu i el 29% ha experimentat un frau de vídeo per deepfake.

“Les amenaces cibernètiques canvien a partir del que canvien els entorns organitzatius, entorns de treball, aparició de noves tecnologies i l’esclat de conflictes geopolítics.”

La ciberseguretat és un sector en creixement, quins objectius i reptes teniu des de l’Agència?

El nostre model de Ciberseguretat es basa en els pilars de la prevenció, la protecció, la formació i la resposta. En aquest sentit, parlant d’amenaces cibernètiques, el nostre sistema de prevenció i protecció es basa en un model “threatcentric” és a dir que gestionem la Ciberseguretat tenint a l’amenaça en el centre. D’aquesta manera podem anar iterant els nivells de prevenció en la línia de l’evolució de l’amenaça i d’aquesta manera no quedem desfasats, i ens enfoquem a aquelles amenaces que representen el top pel que fa a potencialitat afectació.

Precisament aquest mes hem publicat les dades indicadores de l’activitat de l’Agència de l’any anterior i confirmen la tendència global de creixement de les amenaces i els atacs. Concretament, vam gestionar, l’any 2021, més de 4.424 milions de ciberatacs i d’aquests, 2175 van esdevenir en un incident efectiu de seguretat gestionat per l’Agència de Ciberseguretat.

Si bé és cert que, respecte del 2021, la xifra de ciberatacs del 2021 ha suposat un increment de 20 vegades, però la xifra d’incidents del 2022 s’ha reduït un 22% respecte del 2021.

Això denota que l’Agència, malgrat haver incrementat el nombre d’atacs rebuts, ha gestionat menys incidents pel que reafirma la importància i la gran utilitat i efectivitat dels sistemes de prevenció els quals permeten que els ciberatacs no provoquin un incident de Ciberseguretat.

“El nostre model es basa en els pilars de la prevenció, la protecció, la formació i la resposta. (…) La xifra d’incidents del 2022 s’ha reduït un 22% respecte del 2021.”

Quins són els ciberatacs més comuns als que feu front i cap a on van dirigits?

Les que hi trobem de manera assídua són els atacs de denegació de servei, els de ransomware, els atacs de phishing/smishing i els atacs de BEC.

Pel que fa al BEC, pel que fa a tendències internacionals, podem trobar que nombroses bases de dades plenes de credencials corporatives disponibles al mercat negre amb preus francament assequibles, al voltant dels 100 €. Això provoca que els criminals cibernètics les adquireixen i les utilitzen per accedir i usurpar alguna bústia de correu electrònic corporatiu i perpetrar l’estafa. Concretament, aquestes campanyes, durant el 2022, van créixer un 400% a Espanya respecte del 2021.

I com a fet rellevant també s’identifica l’increment exponencial de la quantitat de correus maliciosos rebuts a nivell Generalitat, una tònica que internacionalment també es dona.Concretament, l’Agència va gestionar 400.000 correus maliciosos el 2021 i el 2022 en va gestionar 594,5 milions.

De vegades, la transformació digital de les empreses deixa en segon pla la seguretat en línia. Ciberseguretat i digitalització haurien d’anar de la mà?

Les tècniques que utilitzen els criminals cibernètics són cada cop més sofisticades i personalitzades. Amb l’ús d’enginyeria social i eines específiques són capaços de generar continguts versemblants per a les persones i les empreses i acabar sent víctimes.

Els criminals cibernètics saben dels nostres hàbits i dels nostres comportaments com a individus i com a empreses i, per tant, l’impacte del criminal cibernètic cada cop serà més local i individualitzat. Aniran desenvolupant la capacitat de personalitzar el missatge i l’aparença de la realitat.

Per això potenciem i apostem per la formació i conscienciació a la baula més feble de la cadena de la Ciberseguretat: els usuaris, siguin professionals o ciutadans. Aquí és on hem de posar esforç i atenció.

Així mateix, i específicament per a empreses, també generem continguts i formació al voltant de plans de resiliència i de bones pràctiques per reduir l’exposició al risc i als efectes d’un ciberatac.

D’aquesta manera, comptar amb polítiques de còpies fora de línia, segmentació de xarxes, filtrats de navegació, tecnologies de detecció ràpida d’amenaces cibernètiques com EDRs, o aquelles que protegeixen la integritat dels accessos il·legítims usant credencials robades, com ara el desplegament de l’autenticació multifactor (MFA), tenen un gran impacte de prevenció i protecció dels sistemes digitals de les empreses i institucions.

Però sí, com bé deies, hem d’aspirar a tenir una política de ciberseguretat per defecte. La ciberseguretat no pot ser quelcom addicional o que es pugui escollir; la Ciberseguretat ha de ser intrínseca a la digitalització.

“L’impacte del criminal cibernètic cada cop serà més local i individualitzat.”

Durant tot el mes d’octubre s’està celebrant el mes de la ciberseguretat a Europa, on participeu.

#BeSmarterThanAHacker és la missió d’aquest any, quins objectius té?

Efectivament, a escala europea celebrem el mes de la Ciberseguretat durant el mes d’octubre i des de l’Agència de Ciberseguretat de Catalunya celebrem aquesta efemèride amb continguts diaris a les nostres xarxes socials i les d’Internet Segura.

Cada dia, es publiquen continguts relacionats amb quatre temes clau que són fonamentals per a la protecció en línia: l’actualització de navegadors, el phishing, el ransomware i el robatori de dades.

Actualització de Navegadors. És fonamental mantenir els nostres navegadors actualitzats per garantir la seguretat dels nostres dispositius i evitar possibles vulnerabilitats. T’explicarem com fer-ho pas a pas!

Ransomware. Aquests tipus d’atacs digitals han sacsejat empreses i institucions arreu del món, sobretot en l’àmbit de la salut. Per això donarem tips bàsics per protegir-se i actuar contra ells.

Phishing. Els casos de phishing han proliferat en els darrers temps, i les administracions locals, especialment les més petites, sovint són víctimes per manca de conscienciació i d’estructures de control. Proporcionarem consells per identificar i evitar correus electrònics i missatges de text fraudulents.

Robatori de dades. Les fuites de dades s’han convertit en un malson per a empreses privades i institucions públiques. Us explicarem com protegir-vos per tenir les dades digitals segures.

Us animo a descobrir-les per vosaltres mateixos a les nostres xarxes de l’Agència i del programa Internet Segura!