L’àmbit de la ciberseguretat està en auge, les noves tecnologies evolucionen molt ràpidament i malauradament també ho fan els delictes a l’àmbit digital. L’Agència Nacional de Ciberseguretat (ANC-AD) vetlla per protegir el nostre entorn virtual i conscienciar la població dels riscs que té internet. 

De ciberseguretat, últimament en parlem tots, però no tinc clar que tots sapiguem de què estem parlant.
A grans trets, perquè si no hauríem de disposar de tot el dia, la ciberseguretat és aquella capa que intentem posar de cara als usuaris, a les empreses o de cara a qualsevol persona que utilitzi la tecnologia, per fer-la més segura. Donar aquesta capa de seguretat a tot l’entorn virtual. Extrapolant-ho al terreny físic, seria una mica la seguretat que podem tenir a nivell de país amb el cos de policia i el control de fronteres. 

Llavors, hem d’entendre l’Agència de Ciberseguretat com un cos especial que s’encarrega justament de garantir-la?
No, l’Agència no som un cos especial, som un organisme. La Llei diu que l’Agència és l’entitat responsable de vetllar per la ciberseguretat del país. Ha de posar els mitjans perquè aquesta ciberseguretat sigui efectiva. A partir d’aquí, cada empresa, cada entitat, ha de tenir les seves mesures de seguretat.

Com es fa? Com es garanteix la ciberseguretat?
Partim de la Llei de ciberseguretat, que es va aprovar el 9 de juny del 2022. Aquesta  detalla que hi ha d’haver una estratègia nacional de ciberseguretat, que és la que marca les directrius i els pilars fonamentals sobre la qual s’articula. A partir d’aquí l’Agència bàsicament proveeix una sèrie de serveis enfocats a entitats, empreses i ciutadania, perquè puguin desenvolupar la seva seguretat. Però sempre des d’una perspectiva global de país, no entrem a la seguretat de cap de les entitats. Proveïm una sèrie de serveis gratuïts, de conscienciació, d’alertes, d’advertiments, d’acompanyament a la resposta d’incidents, però mai donem un servei de seguretat com podrien donar empreses especialitzades.

Per què ens entenguem, de quins riscos i serveis estem parlant?
Els riscos són tots els que venen derivats de l’ús d’aquestes tecnologies, des de phishings (pesca de credencials), atacs de ransomware (segrestos d’equips i dades pels quals es demana un rescat), de malware (programari maliciós, virus), suplantacions d’identitat, que són els més habituals. I els serveis que oferim són de vigilància sobre diferents actors a nivell global, que són els que estan perpetrant aquesta sèrie d’incidents. Donem serveis d’acompanyament en la resposta, és a dir, en el moment que una entitat ha patit un incident des de l’agència fem el seguiment, l’acompanyament, i a més a més fem de punt de contacte amb diferents organismes d’altres països en matèria d’intel·ligència, de qualsevol incident que es produeix en una entitat d’aquí d’Andorra en compartim el coneixement i intentem buscar-ne les causes o l’origen, i fem de punt d’enllaç entre l’entitat del país i altres organismes internacionals en matèria de ciberseguretat, ja siguin els països veïns, organismes europeus o bé equips de resposta d’incidents a nivell global.

Dit així, hi ha molta gent que deu pensar: “això no va amb mi”.
Sí, per una part de ciutadania la percepció és aquesta, “de les meves dades què en faran o per què serviran”. I aquest, el de la conscienciació a nivell de ciutadania, de petites i mitjanes empreses, d’educació, és un dels pilars fonamentals que tenim a l’agència.

Què ens pot passar com a ciutadans? És que estem parlant de grans atacs i de compartir intel·ligència amb altres estats, i recorda a coses de pel·lícula.
Tota aquesta part d’intel·ligència va enfocada a prevenir els incidents que poden o afecten directament la ciutadania. Al final un atac o un incident de phishing afecta l’usuari final. És a dir, tu reps un correu maliciós en nom d’una entitat bancària o una plataforma de streaming, i van a buscar directament l’usuari, les dades personals, de targetes de crèdit, bancàries. I la part d’intel·ligència és prevenir, mirar quines campanyes s’estan estructurant a nivell global que afecten directament el ciutadà i a partir d’aquí fer campanyes de conscienciació, per xarxes socials i al lloc web, per dir que hi ha aquesta campanya activa i com a ciutadà tingues compte, i si va enfocada a certes empreses, el mateix.

L’agència fa al voltant d’unes cinc alertes al dia de possibles atacs.
Sí. Tenim una part d’alertes i una part de notícies. No són alertes directament enfocades a Andorra, però sí que, per la tipologia de tecnologia que sigui al centre d’aquesta alerta, puguin tenir afectació a Andorra. A més a més, hi ha un servei de subscripció per a les empreses les quals poden rebre aquestes alertes cada dia segons el tipus de tecnologia que tenen instal·lada a les seves empreses. Jo tinc la tecnologia Microsoft i vull veure les alertes que podrien arribar a afectar la meva tecnologia.

No sé si són moltes o poques. Si ho mirem per delictes tradicionals, no sé si la policia arriba a detenir cinc persones cada dia.
No es pot extrapolar, per què la policia se centra en els delictes a aquí, Andorra, i nosaltres ens centrem en delictes a nivell global, perquè aquí no hi ha fronteres. En el context europeu podem estar parlant d’un nombre molt elevat d’alertes o incidents. Que totes arribin a prosperar, no. Les últimes dades que va passar Enisa, l’Agència de la Unió Europea per a la Ciberseguretat, ens estan parlant de 20.000 incidents per dia a nivell europeu. I n’hi ha un 2% que poden arribar a prosperar, que són aquestes campanyes de phishing, de ransomware, de suplantació d’identitat que hi pot haver. No és extrapolable a la seguretat física pel tema fronterer.

Seria més com les patrulles que van donant tombs per prevenir?
Correcte, sí. Molta part dels serveis que tenim són proactius, per prevenir o alertar del que pot passar. Segurament no passarà. D’aquestes cinc alertes que seleccionem cada dia, perquè en podríem seleccionar 500, doncs segurament un 1% o menys poden tenir impacte directament al país.

Dèiem que potser la ciutadania no acaba de ser conscient dels riscos. Estem parlant de perfils d’Instagram robats o aquests correus electrònics, que tots hem rebut, de necessito diners o t’ha tocat un premi... El millor per evitar-ho és educació, conscienciació, no ser ingenus davant d’aquests missatges?
Exacte. Les persones moltes vegades intentem ajudar o a vegades som bastant ingenus o simplement desconeixedors. Costa de distingir el que és fals del que no ho és. I aquí és on intentem focalitzar molta part dels esforços i recursos de l’agència, en millorar aquesta conscienciació amb campanyes, amb xerrades. I això sí que és cert que aquests dos últims anys hem vist una evolució positiva. La gent cada cop és més conscient del que té entre les mans. Molta gent ja sap distingir el que pot ser una informació o un enllaç fals, un mail d’aquests falsos. Evidentment, s’ha de treballar més, però reduir els riscos a zero és impossible. 

Per contra, sembla que els ciberdelictes van en augment. Quants atacs s’han rebut el 2023? Són més o menys que el 2022? 
L’evolució és bàsicament a l’alça, però no és perquè hagi augmentat el nombre, sinó perquè anteriorment no hi havia estadístiques, no hi havia monitorització dels incidents. Les entitats no estaven obligades a notificar, perquè no hi havia la llei, i per tant les estadístiques més reals sí que les veurem del 2023 al 2024. D’incidents se’n van notificar al voltant d’uns 200 i tots poden estar categoritzats com d’impacte baix. N’hi ha algun que sí que ha tingut impacte mitjà, però el 92% han tingut un impacte baix, s’ha vist afectat mínimament algun dels serveis que estava proveint alguna de les entitats afectades.

Augmenten, en aquest cas perquè no teníem bones estadístiques, però a nivell europeu aquestes estadístiques existeixen i la tendència també és a l’alça?
A nivell europeu augmenten. Les comparatives que tenim amb la Unió Europea i els països veïns estan a la par. Per tipologies d’incidents i per percentatges d’incidents estem al mateix nivell. No seria gaire normal que estiguéssim a diferents nivells. A nivell europeu ha augmentat una sèrie d’incidents, però també n’hi ha molts altres que han disminuït. És a dir, si fem un balanç global, el nivell d’incidents es queda si fa o no fa igual que l’any anterior, amb un augment d’aproximadament un 2%, però sí que canvien una mica les tipologies d’incidents. 

El tecnològic és un món molt canviant, els incidents també han evolucionat molt ràpidament? 
Ara s’està veient el tema del phishing, perquè certes mesures de seguretat per mitigar una altra tipologia d’incidents han millorat i van a buscar l’usuari final, perquè aquest accedeix a moltíssims més camps i eines de comunicació, més xarxes socials, més entorns. I el que interessa avui principalment són les dades dels usuaris. El phishing, que és el més estès que tenim fins ara, hem vist que ha anat evolucionant cap a una millora en conjunt. Abans es podia distingir per l’idioma, per les faltes d’ortografia, per una sèrie de punts. I avui estan fets perfectament en català, en castellà, en eusquera, sense faltes d’ortografia, molt ben estructurats. I això el que fa és donar-li més realisme.

Sí, i amb la irrupció de la intel·ligència artificial (IA) em puc trobar que m’arribi un mail com si me l’escrivís ma mare, amb el mateix to i les mateixes paraules que faria servir ella, demanant-me diners. No?
Exacte. Una de les coses que pot provocar és això, el que se’n diuen atacs vitaminats, que van millorats per la intel·ligència artificial. Però, per contrapartida, aquesta IA s’usa de forma proactiva de cara a mitigar aquesta sèrie d’atacs. És a dir, sí que els dolents disposen de la IA per generar aquests tipus d’engany, aquests tipus de delictes, però, per l’altra banda, les grans empreses tecnològiques i l’àrea de ciberseguretat que hi ha de moltes empreses, el que en diem la seguretat perimetral, també disposa d’aquesta IA per detectar aquest tipus de campanyes o d’incidents.

És a dir, estem preparats per fer front a tots aquests atacs, a tots aquests incidents?
Estem preparats per fer front a tots aquests atacs, derivat també de l’aprovació de la Llei, de l’establiment de l’agència, de l’aprovació de l’estratègia nacional de seguretat, avui per avui les empreses estan  obligades a certificar-se amb l’esquema nacional de seguretat que deriva de la llei, el que implica que aquestes empreses hagin de complir una sèrie de mesures a les seves xarxes i als seus sistemes d’informació i el 100% de les empreses que estaven obligades a 9 de desembre del 23 van arribar a la data amb els deures fets. És a dir, totes les empreses afectades per la llei de ciberseguretat estan degudament certificades.  El que vol dir que hem obtingut, a nivell de país, un nivell de ciberresiliència més elevat del que podíem tenir fa dos anys. Evidentment, queda feina per fer, perquè això és una millora contínua i la seguretat al 100% no existeix. Però sí que anem pel camí correcte i a Andorra s’estan fent coses i tothom s’hi ha posat de valent.