El programa de Transformació Digital és un projecte que permetrà al país avançar cap a un entorn digital segur i modernitzat. Per dur-lo a terme, però, caldrà adaptar el marc normatiu pertinent, així com les estructures necessàries per garantir els drets i deures de la ciutadania i protegir l’ecosistema digital d’atacs exteriors. El secretari d’Estat de Transformació Digital i Projectes Estratègics, Cesar Marquina, indica que la voluntat del Govern és que l’agència de ciberseguretat comenci a caminar durant el primer semestre del 2022 i que costarà mig milió d’euros anuals.

–Per què s’ha decidit crear una agència de ciberseguretat?
–Fins ara Andorra no tenia cap organisme responsable que vetllés per la ciberseguretat en el nou entorn que ens movem avui en dia. Fa bastant de temps que va arribar la necessitat d’endreçar i dotar Andorra de la capacitat de respondre atacs cibernètics. Això ha vingut motivat des de situacions passades, com per exemple l’incident del 2016 que, tot i que no eren atacs centrats a l’entorn públic, va afectar empreses privades i al seu temps al funcionament de la xarxa de tot el país. Era necessari l’aplicació d’una entitat que contribuís a establir un ecosistema virtual més segur en l’àmbit nacional. Cal detectar les tendències virtuals. 

–En què consisteix l’estudi que s’està realitzant actualment?
–Dins del programa de Transició Digital, s’està duent a terme un resum d’iniciatives de projectes cap a l’entorn digital, ja sigui en l’àmbit d’Administració com de país. L’estratègia consistiria en nou blocs a desenvolupar. El primer d’ells és el bloc d’estructures i normativa en què hauríem de crear la llei de ciberseguretat i consegüentment l’agència i, dins d’aquesta entitat disposar d’un equip de resposta a incidències (First o CERT). El Govern ja va aprovar per decret l’estructura i el funcionament.

–Què hi diu la llei?
–S’està acabant de perfilar i està basada en la directiva europea NIS2 (Directiva de seguretat d’extracció d’informació), en la qual transposarem una gran part del contingut d’aquesta legislació en què s’estableix una sèrie d’obligacions per l’Estat i per algunes empreses que formin part dels anomenats operadors essencials i operadors importants. Són aquelles entitats que desenvolupen alguna activitat crucial pel dia a dia del país, tant a escala social com econòmica.

–Quan preveu que entri en vigor?
–Entrarà a tràmit parlamentari a finals d’aquest any i ens agradaria que entrés en vigor durant el primer semestre del 2022, però tot dependrà de la velocitat del tràmit parlamentari, les esmenes, etc.

–Què suposarà pel país i com repercutirà a les empreses?
–Oferirà un punt únic de contacte davant qualsevol neguit i inseguretat en l’àmbit virtual, contribuirà al desenvolupament de normes homogènies per als diferents sectors de l’àmbit privat de manera consensuada. Permetrà desenvolupar un seguit de conscienciacions, la qual ja s’està fent avui en dia amb la col·laboració de la Policia o Andorra Telecom.

–Quin percentatge d’empreses creu que ja compleixen amb el que s’exigirà?
–Segons les enquestes que estem realitzant, les petites i mitjanes empreses encara tenen un llarg recorregut per endavant, ja que aquest tipus de societats no disposen actualment de cap departament de seguretat, sigui perquè els falten recursos o perquè no serien l’objectiu principal dels ciberatacs a causa dels nivells de facturació, per tant., seria el punt més dèbil. Pel que fa a les grans empreses, un percentatge important d’aquestes ja han complert les expectatives i han fet els deures en el sentit que ja disposen actualment i de manera voluntària de serveis de defensa envers aquest tipus d’intromissions.

–Qui gestionarà l’agència?
–Ara mateix recau provisionalment sobre la Secretaria d’Estat de la Transició Digital. La idea és que al futur jo no hi tingui res a veure amb la gestió d’aquest organisme. La voluntat és que s’estableixi una estructura de direcció que implementi les polítiques, però ara per ara, no hi ha ningú designat.

–Quina formació requerirà i qui la impartirà?
–Una de les funcions de l’agència consistirà en la conscienciació del bon ús de les xarxes socials per a menors, prevenció de cyberbullying i assetjament, també per als pares perquè tinguin coneixement de l’entorn digital i els seus perills. A part, s’impartiran des de cursos bàsics fins a postgraus o màsters en els quals estem treballant perquè es puguin realitzar al futur per tenir aquesta oferta formativa a escala nacional. S’haurà de treballar en l’àmbit de l’Educació, incloent-hi l’UdA. 

–Caldrà anar a buscar experts a fora?
–Creiem que anar formant internament és una garantia d’assegurar aquest talent a Andorra. Això sí, hi ha serveis que requeriran una especialització que no trobarem al país perquè no hi ha prou volum de demanda en aquest tipus de sector per a atraure experts a treballar, és a dir, necessitem perfils molt especialitzats que no abunden i els processos de selecció són llargs.

–Quant costarà?
–A ple rendiment, comptant les despeses de lloguer, maquinària i recursos humans, l’agència de ciberseguretat tindrà un cost aproximat d’entre 400.000 i 500.000 euros anuals. D’altra banda, volem que l’agència tingui el màxim de col·laboració privada possible com per exemple el tema de la informació, establir un conveni amb una empresa  que ens pugui facilitar dades.

–Quin paper jugarà Andorra Telecom?
–Tenint en compte que és l’operadora telefònica nacional, és evident que té un punt de vista clar de tot allò que passa a la xarxa, per tant és un dels actors que està directament vinculat a l’agència. Pot oferir informació sobre els atacs que s’estan duent a terme en tot moment i seria un actor clau per mitigar els atacs de negació de servei.

–Andorra va tard en l’àmbit de la ciberseguretat?
–Som a la cua a l’hora d’estructurar els serveis de ciberseguretat en l’àmbit estatal i de centralitzar les funcions de defensa virtual. Les diferents entitats que estan implicades en aquest àmbit com poden ser la policia o Andorra Telecom estableixen les seves barreres defensives de manera individual però desendreçada.

–La pandèmia ha tingut a veure en la presa d’aquesta decisió?
–La Covid ha evidenciat el fet que vivim en un entorn molt més influenciat per l’àmbit digital, així doncs és imprescindible que construïm un entorn digital segur per a tothom. La iniciativa va néixer abans que esclatés la pandèmia, aquest projecte ja estava planificat.

–Quants atacs s’han constatat en els últims mesos?
–Un dels problemes que tenim en l’àmbit del recompte d’atacs és que la manca d’una entitat que vetlli per la informació, les dades estan descentralitzades, només podem enregistrar els atacs pels diferents canals per on ens arriben, com Andorra Telecom o la unitat de delictes tecnològics de la Policia. Al llarg del 2021 s’han enregistrat un total de 150 atacs de denegació de servei, 50 d’ells crítics (un terç del total), en els quals s’ha hagut d’intervenir per pal·liar els efectes. Aquestes intromissions consisteixen a col·lapsar la xarxa amb un volum ingent de tràfic de dades i provenen des de llocs remots del món. Pel que fa a altres tipus d’atacs com els fraus o l’spam que intenten enganyar als usuaris demanant informació bancària o dades personals, s’han comptabilitzat al voltant dels 200.

–Aquesta empresa és el punt més important de la transformació digital que vostè encapçala?
–Es tracta d’un dels cinc pilars fonamentals, la qual cosa comporta que té molta importància, però no és el més essencial. Costaria dir quin és el més rellevant perquè tots formen un ecosistema que ha de funcionar a la perfecció.

–Entre aquesta agència i la de protecció de dades, la població pot estar tranquil·la a escala tecnològica?
– Evidentment totes les estructures i organismes que vetllin per la protecció dels ciutadans a l’àmbit virtual serveixen per tranquil·litzar, però s’ha de tenir en compte que els que ens dediquem a la defensa som molts menys que els que es dediquen a realitzar aquests atacs. Per això necessitem establir aquesta agència com a barrera per tal d’ajudar-nos entre tots. Tant de bo poguéssim donar garanties, però sempre hi ha algun punt feble on algú pugui atacar.