Més del 90 % dels ciberatacs són possibles per un error humà

Un atac d'un programa de segrest (ransomware) bloqueja els sistemes informàtics d'una companyia i demana un rescat en criptomonedes a canvi. Un programa maliciós (malware) infecta una xarxa d'objectes connectats a la internet de les coses per robar les dades personals dels usuaris. Parlar de ciberseguretat és parlar de tecnologia. No obstant això, cada vegada és més habitual estudiar el ciberrisc sota una mirada interdisciplinària. Al cap i a la fi, les amenaces són tecnològiques, però també tenen a veure amb factors de comportament, socials o ètics.

Abordar la ciberseguretat des d'aquest punt de vista és, precisament, l'objectiu de la European Interdisciplinary Cybersecurity Conference (EICC), que se celebrarà els pròxims 15 i 16 de juny a Barcelona. La conferència està coordinada per dos investigadors de la Universitat Oberta de Catalunya (UOC): el catedràtic David Megías, director de l'Internet Interdisciplinary Institute (IN3), i Helena Rifà, també investigadora de l'IN3 i directora del màster universitari de Ciberseguretat i Privadesa, dels Estudis d’Informàtica, Multimèdia i Telecomunicació.

L'escenari de la ciberseguretat el 2022

Es busquin on es busquin les dades, la conclusió sempre és la mateixa: els ciberatacs han augmentat els últims anys i l'escenari de la ciberseguretat és cada vegada més complex. Segons l'últim informe d'ENISA, l'agència europea de la ciberseguretat, els atacs han continuat augmentant durant els anys 2020 i 2021, no solament en termes de vectors i quantitat, sinó també en termes d'impacte. I, d'acord amb MacAfee, els atacs de tipus ransomware (que demanen un rescat a canvi d'aturar o alliberar la informació segrestada) són els més habituals.

"Durant aquests dos últims anys, no solament hem tingut una pandèmia sanitària, sinó que hi ha hagut una autèntica pandèmia de ciberatacs i de ciberdelinqüència", assenyala David Megías, líder del grup de recerca K-riptography and Information Security for Open Networks (KISON). "La ciberdelinqüència s'ha especialitzat a treure partit de la pandèmia de moltes maneres. A més, amb l'augment del teletreball, els ciberdelinqüents han tingut més facilitats per accedir a recursos informàtics que no estaven tan ben protegits com els de les empreses. I, sens dubte, l'atac estrella d'aquests dos anys ha estat el ransomware, que ha afectat institucions de tota mena: bancs, proveïdors d'energia, empreses de telecomunicacions, universitats o serveis públics", afegeix.

Els grans reptes de la ciberseguretat el 2022

"La ciberseguretat és una disciplina molt transversal, no només tècnica, en què hi ha implicats molts camps de coneixement i que, alhora, afecta molts departaments i moltes pràctiques diferents a les empreses", subratlla Helena Rifà, també investigadora del grup KISON. D'aquesta manera, els grans reptes en el camp de la ciberseguretat tampoc no són només tècnics, sinó que transcendeixen les fronteres de la tecnologia. Aquests són, segons els experts de la UOC, els reptes principals de la ciberseguretat.

1. La conscienciació, primera línia de defensa

Més del 90 % dels ciberatacs són possibles, en major o menor mesura, per un error humà, segons les dades d'IBM. Per això, malgrat els avenços tecnològics per minimitzar les amenaces, la primera gran línia de defensa la formen la conscienciació i les bones pràctiques dels usuaris. "Molts dels problemes de ciberseguretat que tenen les empreses es produeixen mitjançant vulnerabilitats que són conegudes de sobres. Si tots féssim més bé els deures, seria més fàcil reduir les amenaces a la xarxa. Tots fem servir dispositius electrònics i tots hem de prendre unes mesures mínimes de ciberseguretat", explica Helena Rifà.

2. Una nova generació d'amenaces híbrides

Els sistemes ciberfísics cada vegada estan més presents en el nostre dia a dia, des de sistemes de control industrial o infraestructures energètiques fins a la domòtica en la llar. La revolució tecnològica que propicien, i que ha generat múltiples oportunitats de negoci, comporta les seves pròpies amenaces, que combinen tant aspectes tecnològics complexos com aspectes humans. L'auge de les ciberamenaces híbrides serà el tema central d'una de les dues keynotes de l'EICC, la que impartirà Fulvio Valenza, professor de la Universitat Politècnica de Torí.

3. I d'eines de defensa més sofisticades

Davant la creixent complexitat de les amenaces, la intel·ligència artificial (IA) i l'aprenentatge automàtic o machine learning guanyen pes com a eines de protecció. "Actualment, el repte científic més gran és poder-se avançar i preveure amenaces que cada vegada són més sofisticades", afirma Rifà. "La IA cada vegada està més present tant per identificar amb rapidesa els atacs i les vulnerabilitats com per resoldre'ls", afegeix l'experta.

4. Cap a una ciberseguretat sostenible

Tots som responsables d'administrar i protegir els recursos en el nostre entorn per no comprometre'n la disponibilitat en el futur. La definició bàsica de sostenibilitat també es pot aplicar al terreny de la ciberseguretat. "En aquest sentit, la sostenibilitat s'entén com els mecanismes que permeten que les interaccions de les parts interessades (usuaris, proveïdors de serveis i fabricants de dispositius) amb l'ecosistema tecnològic siguin deliberades i amb ple coneixement de les accions i les conseqüències en la seguretat i l'estabilitat del sistema", assenyala David Megías.

La internet de les coses genera un augment sense precedents en la quantitat de dispositius que comparteixen dades i informació confidencial dels usuaris. A més, la 5G i altres tecnologies de telecomunicacions permeten la connectivitat de banda ampla d'un nombre gairebé il·limitat de dispositius, cosa que fa que la infraestructura d'internet es multipliqui. "Com a resultat, les infraestructures tecnològiques esdevenen insostenibles a causa de diferents amenaces malicioses i errors no intencionats. És imprescindible aconseguir una infraestructura TIC més sostenible i proporcionar solucions segures i que preservin la privacitat", afegeix Megías.

5. La gran batalla de la privacitat

Els ciberatacs no són l'única via per la qual les dades personals dels usuaris poden quedar compromeses. Moltes vegades, les dades queden exposades per la mateixa arquitectura de les plataformes o pel desconeixement dels internautes. Segons Helena Rifà, la tecnologia encara ha de resoldre molts aspectes per protegir més bé les dades, com ara poder enviar només la informació precisa per a cada finalitat, anonimitzar més bé les bases de dades o donar privacitat a totes les dades emmagatzemades al web.

"En l'àmbit social, també hem de facilitar metodologies d'usabilitat perquè la gent sàpiga com s'ha d'actuar en una xarxa social i a internet en general, què es pot compartir i què no", subratlla la investigadora. "Al final, el gran repte és aconseguir compatibilitzar la seguretat i la privacitat de les dades de manera que la tecnologia es pugui utilitzar i hi puguem treballar còmodament mentre els sistemes i les nostres dades estan protegits", afegeix.

La conferència europea de ciberseguretat

Aquests cinc grans reptes seran alguns dels temes que formaran part dels debats i intercanvis d'informació durant l'EICC, que tindrà lloc a Barcelona el 15 i el 16 de juny. Després de dos anys de pandèmia, l'esdeveniment torna a ser presencial, tot i que també s'hi podrà assistir en remot.

"L'EICC és un lloc per a l'intercanvi d'informació sobre ciberseguretat, en un sentit ampli", afirma David Megías. "L'edició del 2022 fomenta el diàleg no solament entre informàtics o experts de telecomunicacions, sinó que inclou investigadors de tots els camps relacionats amb la ciberseguretat, com ara les ciències del comportament, la sociologia, la criminologia, les recerques policials i el dret. Les contribucions interdisciplinàries són especialment benvingudes", conclou l'expert.

Noticias Relacionadas: