Catalunya, camí de la primera divisió de la ciberseguretat

BarcelonaEl març del 2023, el grup de ciberdelinqüents RansomHouse va atacar l'Hospital Clínic de Barcelona a través d'un programari de segrest (ransomware) que va paralitzar una part de l’activitat assistencial, especialment urgències vitals com ictus i infarts, que es van haver de derivar a altres centres. Va ser un ciberatac molt sonat que va durar dies, però n'hi ha hagut molts més els darrers anys. Els hospitals Moisès Broggi, Dos de Maig i General de l'Hospitalet de Llobregat o a la Universitat Autònoma de Barcelona (UAB), entre d'altres, són només alguns exemples.

Segons dades de l'Autoritat Catalana de Protecció de Dades (ACPD), en els cinc últims anys, fins a 5,8 milions de persones han estat afectades pel robatori d'informació personal amb ciberatacs a Catalunya, només tenint en compte els atacs a organismes públics i a empreses de la Generalitat. Amb tot, mentre que el mercat negre de compravenda de dades es converteix en un negoci cada vegada més lucratiu, el sector de la ciberseguretat també està en auge a Catalunya, tant des del sector públic com del privat.

Des de la Generalitat s'ha posat en marxa una nova estratègia de ciberprotecció integral de Catalunya i dels serveis públics; un pla dotat amb 18,6 milions d'euros. "La inversió més gran mai feta en ciberseguretat des del Govern", en paraules del conseller de Presidència, Albert Dalmau. A través de l'Agència de Ciberseguretat i amb el suport d'INCIBE, el pla del Govern és finançat a través dels Fons Next Generation de la Unió Europea i busca ser "un impuls inèdit a la ciberseguretat del país". Un pla que, a través de 27 accions concretes, vol fomentar la conscienciació social i professional, acompanyar les empreses a protegir-se i incentivar la innovació en el sector, entre d'altres.

L'episodi del Clínic va suposar un abans i un després també en conscienciació tant per a les empreses com per a la ciutadania: els ciberatacs són la nova manera de generar, també, guerres geopolítiques. "El risc zero no existeix, però el que cal aconseguir és que si hi ha atacs, tinguin el menor impacte possible", explica la directora de l'Agència de Ciberseguretat, Laura Caballero. "El 99% dels atacs no aconsegueixen penetrar als nostres sistemes, això evidencia que a Catalunya tenim un sistema robust", assegura.

De fet, l'any passat, l'Agència va gestionar 3.372 incidents, un 26% més que l'any anterior, i va identificar més de 6.900 milions d'atacs dirigits contra persones i sistemes d'informació dels àmbits gestionats per aquest organisme. D'aquests 6.900 milions, 1.275 milions van ser en l'àmbit sanitari, un dels sectors amb les dades més ben pagades al mercat negre.

Un sector en creixement

A Catalunya hi ha, segons explica Caballero, més de 550 empreses de ciberseguretat que donen feina a 10.600 professionals i evidencia un sector "amb importància creixent". Segons un estudi elaborat per l'organisme, el sector ja suma un volum de negoci de 1.473 milions d'euros anuals, un 18,4% més que l'any anterior, i es preveu que la facturació global en ciberseguretat creixi un 8% anual en els pròxims cinc anys, fins als 272.000 milions de dòlars.

També les grans empreses, com Google o Indra, s'han posat mans a l'obra en aquest àmbit. Cristina Pitarch, directora general EMEA de Google Cloud Security, ho descriu en xifres: "El sector del cibercrim mou 3,5 bilions de dòlars; si es comparés com a PIB d'un país, seria el tercer país del món". Alhora, assegura que "a Catalunya és un sector en creixement, també perquè en ser un hub tecnològic, es necessiten més professionals del sector per defensar les empreses". La ciberseguretat és, també, "una oportunitat econòmica per a qualsevol país i empresa", apunta la directiva. "Hi ha una importància molt gran en la confiança que emet una empresa quan rep un ciberatac", recorda.

La multinacional espanyola Indra, dedicada a les solucions tecnològiques i defensa, té la seva pròpia divisió de ciberseguretat a través de Minsait. El responsable de la Zona Nord-est de Minsait Cyber, Manel Garcia, explica que la ciberseguretat és un tema que apel·la a la nostra sobirania. "Quan parlem de sobirania estem parlant de com ser amos del nostre destí, perquè ja no estem parlant de hackers normals, sinó de grans grups de delinqüents i també de guerres geopolítiques", apunta Garcia, alhora que coincideix amb Pitarch en el fet que "estar protegit digitalment afegeix un gran avantatge competitiu com a empresa".

Un món de 'start-ups'

Més enllà de les grans empreses, cada vegada hi ha més start-ups dedicades al sector. Google for Startups, a través del programa Growth Academy, és un planter d'empreses emergents en aquest àmbit. La responsable de Google for Startups, Sofia Benjumea, apunta que "cal ajudar aquelles empreses que estan innovant en el sector, perquè hi ha moltes àrees que poden haver-hi amenaces i les start-ups poden ser una eina. Hem d'unir forces entre tots perquè hi ha un mal comú a combatre", diu Benjumea.

D'una banda, Qalea, una de les start-ups seleccionades per Google, ha creat una plataforma de ciberseguretat per a mitjanes empreses, que simplifica la gestió de la seguretat unificant diverses tecnologies de protecció en una única interfície. Aprofitant la IA i grans models lingüístics, Qalea automatitza els processos de seguretat. El seu fundador, Olmo Rayón, explica que la seva missió és "democratitzar la ciberseguretat" a través de la IA: "Els atacants posen una quantitat de recursos proporcionals al que poden extreure; jo dic que un sistema està ben protegit quan costarà més entrar que el que en pots treure", simplifica.

"Qalea va néixer a Barcelona amb la visió que les empreses s'han de gastar molts diners per estar ben protegides, i volia democratitzar això. Hi ha molts elements en la ciberseguretat empresarial que es poden repetir i automatitzar. Cal protegir-se prou bé perquè ja no siguis atractiu pels atacants, al mateix temps que complir la regulació, perquè al final això també és complicat", diu. Per la seva banda, Maria Taberna, fundadora de Steryon, també catalana i seleccionada per Google, se centra en el món de la ciberseguretat industrial: és una plataforma de ciberresiliència i gestió de riscos per a empreses industrials, principalment infraestructures crítiques, com ara energètiques, hospitals, etc.

"En la indústria, l'objectiu número u és que no pari l'activitat", explica Taberna. "Amb la nostra plataforma ens connectem a tots els elements que tenen a les seves plantes i a tota la intel·ligència que hi ha fora, i els donem monitoratge actiu i visió de risc. D'aquesta manera, si entra un malware, tenim la capacitat de ser l'ull que ho veu tot. El nostre lema és que no hi ha només ciberrisc, sinó que és un risc de negoci", explica Taberna. Segons diu, sovint les indústries són més fàcils d'atacar perquè hi ha maquinària antiquada, i apunta que "el 90% d'atacs en infraestructures crítiques passen per un ransomware que es cola a una infraestructura industrial".

Errors humans i dades sanitàries

Tots els experts consultats asseguren que la major part de ciberatacs provenen d'errors humans. "La baula més vulnerable sempre és la persona, a través del conegut phishing", apunta Manel Garcia. Rayón (Qalea), explica que, generalment, "la primera porta d'entrada d'un ciberatac és a través dels empleats", i després amb la IA, "que ha abaratit molt la generació de sistemes automatitzats per entrar per les escletxes", apunta.

Les dades sanitàries són les més buscades. "Gestionem el servei de frau de grans bancs i aconseguim que bona part del frau no es materialitzi –diu el directiu d'Indra–, perquè tenen una temporalitat, es pot cancel·lar la targeta o fer alguna cosa. Les dades mèdiques, però, tenen validesa sempre, fins i tot més enllà de la vida, i es poden utilitzar per fer medicaments, estudis... Són molt sucoses", diu.

Amb tot, el futur ens ofereix noves amenaces. Les tecnologies quàntiques –també previstes en el pla del Govern– són una d'elles, pel fet que pot suposar per al xifratge de les dades actuals. En aquest sentit, Indra també explica que està treballant per "aconseguir que les comunicacions que es produeixen tinguin un nivell de xifratge quàntic", alhora que s'està "començant a treballar amb entitats governamentals i financeres per augmentar claus per xifrar la informació", explica Garcia.

L'exponencial creixement del sector també va acompanyat d'una lluita aferrissada dels professionals. El director de talent de la Mobile World Capital, Jordi Arrufí, explica que la ciberseguretat "és l'àmbit professional amb més escassetat amb molta diferència". Això, explica, té un efecte directe en els sous, "amb salaris mitjans al voltant dels 58.000 euros anuals", i és també on hi ha més presència de talent internacional.

Segons dades de la MWCapital, el 2018 hi havia a Barcelona 450 especialistes en ciberseguretat, mentre que el 2023 eren 962. Pel que fa al nombre d'ofertes de feina, hem passat de 420 el 2018 a 1.095 el 2023. Com a repte de país, Arrufí considera que "cal aconseguir que la ciberseguretat sigui familiar ja des de l'escola".

Conscienciació

Malgrat que s'hagi avançat en conscienciació, "encara queda camí per fer", expliquen els experts. "La indústria és molt més conscient que fa uns anys, però encara falta que els líders de les companyies prioritzin aquest tema; l'empresa industrial continua dedicant més importància a protegir la part IT (ordinadors, suports) que no pas a les plantes industrials", diu Taberna.

A més, "les persones sovint som inconscients i poc curoses a l'hora d'acceptar certes condicions, com les cookies", apunta Garcia, que recorda el cas de la gent fent cua per escanejar-se els iris a canvi de criptomonedes. "Un mal ús d'aquestes dades biomètriques és molt perillós", diu. Amb tot, tots els professionals consultats coincideixen amb una conclusió: "Mai s'està prou preparat. Estem en el bon camí, però hi ha molta feina per fer".