Ciberseguretat en l’Administració Pública: una breu aproximació

Tristament, és bastant habitual trobar-nos amb notícies de ciberatacs a aquesta o aquella empresa o administració, en què les seves dades han quedat exposades o els han “segrestat” les aplicacions i la informació. Però, què vol dir això exactament? I el que més ens interessa, podem estar totalment protegits? Veurem unes breus nocions de les conseqüències d’aquests atacs i si podem fer alguna cosa per estar més protegits actuant en els diferents punts d’entrada de la nostra organització.

La ciberseguretat és un concepte amplíssimo i que continua creixent, ja que hi ha més connectivitat entre sistemes, el IoT i l’augment de l’ús d’internet o sistemes informàtics. Però donarem unes petites bases i centrarem el tret en allò que afectaria l’Administració Pública, on el que volem bàsicament són dues coses: tenir disponibles les nostres aplicacions per donar servei als ciutadans i que la nostra informació no es vegi exposada. En l’entorn privat augmenta el nombre de punts que cal tenir en compte, ja que afegirem espionatge industrial, sabotatge de sistemes, suplantació de proveïdors, extorsió, campanyes de desinformació, ciberterrorisme… Així doncs, en comparació, el risc a l’Administració Pública podria semblar inferior al privat, però no ho és, atès l’impacte que tindria una caiguda generalitzada en els sistemes sanitaris o d’emergències, per exemple. O que les dades de tots els ciutadans d’una localitat o una autonomia es vegin exposades. Per descomptat, hi ha multitud de casuístiques a més de les comentades com el phishing, per exemple, en el qual simulen suplantar-nos, o el man in the middle, de robatori de dades, però no baixarem a tant detall.

Així doncs, en comparació, el risc a l’Administració Pública podria semblar inferior al privat, però no ho és, atès l’impacte que tindria una caiguda generalitzada en els sistemes sanitaris o d’emergències, per exemple.

Si després de llegir aquest article volem saber més sobre aquest tema, internet és plena de recursos, però parlant d’Administració Pública espanyola, el nostre punt de referència és el Centre Criptogràfic Nacional que ofereix informes, documentació, eines i a més certifica els esquemes de seguretat que pot tenir la nostra organització o les eines que utilitzem, que veurem que són una de les dues potes principals de defensa que tenim per evitar problemes.

Ciberespai

Com hem dit, ens poden passar, principalment, dos perjudicis: impossibilitat d’ús dels nostres sistemes i robatori d’informació.

En el primer cas, hi ha diverses maneres d’impedir d’utilitzar els nostres sistemes. La més “clàssica” és un atac DoS o DDoS, de denegació de servei. Que és tan fàcil com saturar a trucades o peticions un web o servei fins que deixa de funcionar. Seria com estar fent clic en el botó de refrescar milers de vegades per segon. Aquí, igual que és fàcil provocar-lo, també és fàcil resoldre’l posant una altra vegada actius els nostres serveis. La qüestió és que si només posem una tireta, en lloc de prendre mesures, tornarem a tenir una altra caiguda.

Aquests atacs DDoS no solen afectar tant com els produïts per programari de segrest o ramsonware, ja que, en aquest cas, es xifren o es restringeix l’accés als nostres propis sistemes i som incapaços d’utilitzar la nostra pròpia informació. Ja que s’ha executat un programa dins dels nostres sistemes que han provocat aquesta situació xifrant o fins i tot esborrant les nostres dades.  A diferència d’això, aquest cas és difícil d’arreglar i, a més, també és difícil d’identificar l’origen que l’ha causat. Ja que pot ser per una fallada tècnica o humana (després les veurem).

I el segon gran problema que podem tenir és que la nostra informació queda exposada. Sabem com són d’importants les dades que tractem, i que, a més, el seu tractament i possible exposició estan regulats pel GPDR, però hi ha ocasions en què podem patir un atac per obtenir les nostres dades (siguin de ciutadans o interns a la nostra entitat). En aquests casos, l’origen pot ser múltiple. Des d’aplicacions poc protegides a configuracions de xarxa incorrectes, fins al factor humà, que sempre és present. L’objectiu d’aquests robatoris sol ser l’extorsió per no publicar-les o la mateixa venda de la informació. En l’Administració Pública, de moment, no tenim sabotatges o espionatge industrial, com sí que podríem tenir en el privat.

I podem evitar que ens passin aquests problemes? Podem intentar-ho, però és molt difícil, per no dir impossible, garantir un 100 % de cobertura, perquè sempre hi ha un factor humà implicat i perquè el mal sempre va més de pressa que el bé. Vegem què podem fer o on podem actuar.

És molt difícil, per no dir impossible, garantir un 100 % de cobertura, perquè sempre hi ha un factor humà implicat i perquè el mal sempre va més de pressa que el bé

En l’àmbit tècnic, hi ha dos grans actors: les aplicacions i tecnologies que tenim, i el nostre esquema de seguretat.

Lògicament, si tenim una aplicació mal dissenyada, pot ser un forat de seguretat davant d’SQL Injection, robatori de sessió… que pugui provocar tant el robatori de la informació com la introducció de programari maliciós que afecti els nostres sistemes. Per això, hem de tenir clares les característiques de les nostres aplicacions, siguin nostres o de tercers, i garantir que almenys aquesta part la tenim coberta. Per descomptat, ja donem per fet accessos amb certificat digital per a certes zones, doble o triple factor d’autenticació, renovació periòdica de contrasenyes… 

Però no només hem de pensar en les aplicacions finalistes, com pugui ser el registre o la comptabilitat. També hi ha vulnerabilitats en els sistemes operatius, les aplicacions de tallafoc… que solen aplicar pedaços periòdicament davant de noves amenaces.

I el segon punt és el nostre esquema de seguretat, és a dir, com tenim configurats els nostres equips, les nostres xarxes, qui pot accedir a cada lloc… per evitar com menys portes millor que ens posin en risc. I en la tendència actual d’anar cap al núvol hem d’exigir aquestes mateixes garanties als nostres proveïdors.

Però hi ha un gran problema… Per molt afany que posem a protegir i garantir xarxes, aplicacions, sistemes… al final, darrere de cada pantalla, hi ha una persona, per bé i per malament. Moltes de les tècniques més efectives d’atac es basen en enginyeria social, en suplantació d’identitats que “enganyen” els nostres usuaris i obre les portes als nostres sistemes. I aquests últims anys amb el teletreball, sumat a l’estrès de la pandèmia i tot el que hem tingut han afavorit aquest tipus d’errors humans. Aquí la solució és l’educació, educació i educació. Amb les aplicacions i l’esquema de seguretat podem minimitzar els danys, però educant els nostres usuaris podrem minimitzar els atacs.

Per molt afany que posem a protegir i garantir xarxes, aplicacions, sistemes… al final, darrere de cada pantalla, hi ha una persona, per bé i per malament.

En definitiva, hi ha molts factors que afecten la nostra seguretat, i el dolent d’aquest tema és que els atacs i les seves conseqüències van augmentant. No hi ha tots els tipus d’atac, ni totes les maneres de prevenir-lo, és impossible recollir-ho en un article, però es volia recollir una petita introducció a la ciberseguretat i els seus enfocaments, ja que no sempre és culpa de la “màquina” ni tampoc és culpa sempre de la persona.

Compartir: