Dins del programa de Transformació Digital d’Andorra, a l’octubre del 2021 es va presentar l’Estratègia Nacional de Ciberseguretat, que va néixer amb la voluntat de desenvolupar la creació d’un marc legal i coordinar de manera proactiva la prevenció i la mitigació de les amenaces, identificant i registrant les possibles amenaces existents tant a Andorra com a l’àmbit europeu. Avui dia, l’ANC-AD és l’encarregada de planificar, coordinar, i gestionar la ciberseguretat de xarxes i sistemes d’informació del país en sentit tant nacional com a global. Hem parlat amb Jordi Ubach, responsable de l’Agència Nacional de Ciberseguretat, sobre la importància de la seguretat informàtica al món modern, els tipus ciberatacs, el futur de la presència d’IA al nostre dia a dia i els seus principals avantatges i inconvenients.
–Quina és la funció principal de l’agència? Què fan exactament i quantes persones són?
–L’agència es va crear el 2021 a través d’un decret publicat al BOPA. La llei 2022 va definir una sèrie de tasques. El nostre dia a dia és bàsicament la ciberseguretat del país. Les tasques de l’agència són revisar que es faci el desplegament correcte de la llei que té una sèrie d’obligacions i restriccions i donar acompanyament, ser un punt únic de contacte en cas d’algun tipus d’incident i gestionar-lo. No entrem dins les empreses, fem aquesta tasca des de fora. Som el punt de contacte. L’agència és un òrgan depenent del Govern.
–Quina importància es dona a la seguretat informàtica en el negoci modern?
–Cada cop més les empreses consideren la seguretat informàtica una part molt important. Moltes empreses ja no veuen la seguretat com un pes, sinó com un actiu més de l’empresa. Tot això és el mateix que passa a França, a Espanya, a tota la resta d’Europa i a tot el món.
–Però, podem dir que la formació dels emprenedors en aquest àmbit és suficient?
–Generalment no, la gent no té coneixements suficients sobre del tema de la ciberseguretat, i cal trobar personal qualificat. I per això nosaltres, com una agència de l’Executiu, intentem arribar a prop de la població. Organitzem xerrades, posem les notícies a la nostra pàgina web, compartim la informació a les xarxes socials, organitzem campanyes socials, hem emès a través de seminaris web i organitzem classes a les escoles. A més, hem participat en el postgrau sobre protecció de dades a la Universitat d’Andorra.
–Amb quina freqüència es produeixen els ciberatacs i quines indústries són les més vulnerables?
–Els ciberatacs no es poden circumscriure a les fronteres físiques perquè són virtuals. A tot Europa, actualment, parlem d’uns 30.000 ciberatacs per hora. Amb les mesures preventives adequades, un alt percentatge no aconsegueixen el seu objectiu, i per això els ciberatacs que aconsegueixen l’èxit són, de fet, molt pocs.
–En cas d’èxit d’un ciberatac que provoca, per exemple, la pèrdua de dades o el bloqueig d’un lloc web, quant de temps necessita una empresa per mitigar-ne les conseqüències?
–Hi ha dues parts. Una és el ‘preatac’ i l’altra és la de restauració dels sistemes o l’activitat. Els atacs no es produeixen de seguida. Si no són atacs globals i genèrics, un atac a una empresa normalment s’inicia amb un període previ, podent estar dins la infraestructura de l’empresa fins a 270 dies (aquest temps és necessari per investigar l’empresa, conèixer-ne els sistemes). No és com en una pel·lícula on toques un botó i es realitza un atac. A partir d’aquest període previ és quan comença el problema per a l’empresa des del moment en què cauen part dels seus sistemes. Si l’empresa té còpies de tots els sistemes de dades, amb 24 hores es poden tornar a restaurar els sistemes. Si les empreses no disposen d’aquestes mesures, trigaran molt a restaurar els sistemes i poden patir una pèrdua de dades, pèrdues econòmiques o reputacionals.
Les empreses d’Andorra no han patit atacs greus. Aquí parlem d’atacs a nivell mitjà. Al context d’Europa el 70% dels atacs són contra pimes (categoria de microempreses conegudes com a PIME, és a dir, empreses que donen feina a menys de 250 persones). A Andorra són micropimes, i tampoc tenim gaires dades, ja que en matèria de ciberseguretat i sobretot en l’aplicació de la llei ens trobem en un estat embrionari, comparativament parlant, d’altres països on ja fa anys que disposen de lleis o regulacions, però estem ben encaminats.
–Com es poden protegir les empreses i les persones físiques? Quins consells els pot donar?
–No utilitzar el wifi públic! I això és complicat. Perquè un usuari desitja coses simples i serveis gratuïts. Àvidament, quan un servei és gratuït tots volem un accés i aleshores tenim un problema, ja que facilitem accés a les nostres dades.
Hem de llegir les polítiques de seguretat abans d’acceptar un servei en línia. Cliquem en qualsevol cosa que ens arriba, acceptem sense revisar. Les xarxes wifi públiques no són segures perquè no sabem qui és el propietari d’aquestes xarxes. Els dispositius no estan actualitzats, no utilitzem antivirus als nostres mòbils. La llicència del mateix antivirus que tenim per a l’ordinador el podem fer servir en tres dispositius diferents (el teu i el dels teus dos fills, per exemple) i costa uns 10-12 euros per any. L’ordinador és més segur perquè Windows porta un paquet antivirus; per contra, el mòbil no el porta.
La gent rep per correu electrònic, WhatsApp o Instagram uns enllaços, els segueix i ni tan sols sap que en aquests moments està obrint l’accés a les seves dades.
La gent sovint pensa: «Qui vol les meves dades»? Bé, de fet, sempre hi haurà gent disposada a aconseguir-los.
Hem de revisar tot allò que rebem, llegir molt atentament el que ens demanen i mai enviar les dades bancàries.
L’ANC-AD, en el seu informe anual de 2022, vàrem mostrar com més 4.000 dispositius mòbils van ser afectats per un malware (RedLine) que és un programa maliciós que s’emporta totes les dades que tenim: les nostres contrasenyes, correus, missatges i fotos personals.
–Com ha canviat el tipus d’amenaces cibernètiques al sector econòmic del país?
–Les tipologies d’amenaces són les mateixes, entre d’altres, el frau, el robatori de dades i l’extorsió. Abans es feien trucades i es tenien contactes directes, ara tot això s’ha traslladat al món digital. Tots tendim a ser bones persones, tots volem ajudar. Però hem d’anar amb compte amb tot això!
–Hi ha problemes amb els especialistes de qualitat en aquest àmbit?
–Hi ha problemes de talent. Però no només a Andorra. El 2025 Europa tindrà un dèficit de 2.000.000 d’especialistes en ciberseguretat i protecció per a tota la infraestructura digital. Tenint en compte la rapidesa amb què es desenvolupa el món digital i tenint en compte la rellevància del problema de la intel·ligència artificial i l’ampliació del perímetre de les empreses (teletreball, freelance, etc.) podem suposar que aquesta és la professió del futur.
–Quines són les vostres previsions per al desenvolupament de la tecnologia i les noves tendències en seguretat informàtica al sector econòmic d’Andorra?
–Les tendències per al 2024-2025 a nivell europeu seran un augment dels atacs, però més dirigits a particulars i empreses, però sobretot a la cadena de subministrament.
–Seria interessant conèixer la seva opinió sobre la presència de la IA en la societat moderna. Quines són les principals amenaces?
–Si posem els pros i els contres a una balança, el resultat serà positiu. Perquè la IA ens permet desenvolupar eines més potents, podent detectar qualsevol amenaça; per tant, els beneficis amb vista a l’àmbit de seguretat global seran més grans. Sí que n’hi ha una part que és tecnològica. És com si fos un ganivet de doble tall que tant el pots fer servir per ajudar-te a tallar alguna cosa com per a altres coses molt més dolentes.
–Fa poc vaig llegir una notícia que els robots (o els comptes falsos) a les xarxes socials ja han creat el seu propi llenguatge i han començat a parlar entre ells i que els humans ja no en podem controlar la conversa. El món del qual parlaven els escriptors de ciència-ficció és a tocar. I això es torna perillós. Està d’acord?
–Europa en aquest sentit està fent els deures, a nivell de regulació es preocupa molt de la part ètica. Què cal regular i què serà beneficiós? Hi haurà pèrdua de llocs de treball? Sí! Serà una nova revolució industrial? Sí! Algunes professions s’hauran de reinventar, fer un canvi. Principalment, moltes feines derivaran cap a la supervisió de tasques fetes per aquesta IA. H