Una pime (petita o mitjana empresa) té molts números de ser atacada per una organització criminal a través de la xarxa. És igual que els seus responsables pensin que la seva companyia és insignificant per cridar l'atenció dels hackers, i que en tot cas són les grans corporacions les que haurien de vigilar. Els ciberdelinqüents prefereixen colar-se a llocs amb pocs recursos però indefensos que escalar les grans muralles que protegeixen l'or d'una multinacional. I els seus efectes solen ser devastadors.

La idea pot sonar catastrofista però ahir diversos experts la van posar de relleu durant la jornada Ciberseguretat, pimes en risc, que Diari de Girona va organitzar a l'edifici Narcís Monturiol del Parc Científic i Tecnològic. El títol de la jornada ho sintetitza tot. «Pimes en risc». Aquest és el missatge d'alarma que van llançar els ponents. Les petites i mitjanes empreses són el blanc preferit dels cibercriminals precisament perquè moltes d'elles no estan ben protegides, i això passa per dos motius. Primer, perquè no tenen recursos per invertir en una bona defensa dels seus sistemes. I segon i més important, perquè no tenen la consciència d'estar a la diana dels seus atacants.

6,2 dies de bloqueig

El responsable de la Unitat Central de Delictes Informàtics dels Mossos d'Esquadra, Albert Álvarez, va il·lustrar amb un grapat d'estadístiques a les prop de 150 persones que omplien l'auditori Manel Xifra Boada del Parc: prop del 60% de pimes es veuen obligades a tancar a Espanya després de patir un atac.

Aquests suposen el bloqueig dels sistemes informàtics per una mitjana de 6,2 dies a canvi d'un rescat, amb la qual cosa moltes companyies no poden permetre's el luxe de tenir paralitzats els ordinadors i la xarxa tant de temps. La xifra de diners que exigeixen els atacants sol variar; n'hi ha que en demanen 35.000 euros, n'hi ha que més de 300.000. Inassumible per la majoria de petites empreses.

Luis Hidalgo, membre del departament de Relacions Institucionals de l'Institut Nacional de Ciberseguretat (INCIBE), va explicar que, en el cas del «segrest» d'un sistema per part d'un grup de hackers (anomenat ransomware) el més recomanable és no pagar el rescat, tot i que això a vegades pot suposar un cop econòmic molt dur per a l'atacat.

Prendre responsabilitat

Els experts van coincidir a remarcar que la major part de ciberdelinqüents estan organitzats i ataquen des de l'estranger. És, tal com va destacar el pèrit judicial informàtic forense Bruno Pérez, «un problema global amb lleis locals, on tothom és l'objectiu; i les pimes juguen a la lliga mundial (en el sentit que poden ser un objectiu des de qualsevol part del planeta)».

En aquest sentit, Pérez recomana que les empreses agafin «responsabilitat» i prenguin mesures a l'abast de les seves possibilitats per prevenir atacs. «La ciberseguretat és com una ceba: són capes que has d'anar protegint una a una, i totes són importants».

El director tecnològic de la firma Brontobyte Cloud Josep Guasch va recomanar fer «còpies de còpies» de seguretat fins i tot fora de l'abast del client amb l'objectiu de protegir la informació.

Per la seva banda, el responsable de riscos cibernètics d'Hiscox, Alan Abreu, va destacar que en les pimes hi manca una certa «percepció del risc», i que també hi falta formació als treballadors, una assignatura pendent que resulta vital tenint en compte que és nou vegades més probable patir un ciberatac que un robatori físic.

Noel Alimentària: La defensa cibernètica del grup carni de Sant Joan les Fonts

Una empresa amb més de 1.100 treballadors, que mata 10.000 porcs al dia i que el 2018 va facturar 277 milions d'euros no és precisament una pime. Però Noel Alimentària és una empresa d'arrel local que es va crear fa 80 anys i que ha anat creixent amb el pas del temps. En els darrers anys el seu èxit ha anat acompanyat de nous reptes que l'han obligat a millorar la seva seguretat integral. Segons va detallar el seu director de Sistemes de la Informació i TIC, Joan Puigdemont, han engegat un projecte de tres anys per enfortir el seu sistema immunològic informàtic de possibles atacs d'organitzacions criminals. Un dels punts clau per convèncer la direcció de la necessitat d'invertir en ciberseguretat va ser a través del «hacking ètic», és a dir, burlar els sistemes informàtics amb l'objectiu de detectar i mostrar els punts vulnerables del sistema d'una empresa. També han invertit en auditories de seguretat i en formació dels treballadors fent proves de phishing (un tipus d'estafa) i rebentant contrassenyes per posar-los a prova i calibrar el seu grau de preparació. El pla de seguretat també inclou encriptacions a tots els nivells i còpies de seguretat fora del sistema.

Els errors humans són la porta d'entrada per on es produeixen els atacs informàtics

Els descuits, la despreocupació, les errades i els malentesos són un caldo de cultiu ideal per permetre un atac cibernètic. Si més no, la seva gran porta d'entrada. El president de la patronal gironina d'empreses tecnològiques Aenteg, David Martí, lamenta que «les principals errades en seguretat som nosaltres mateixos. La nostra tendència a anar ràpid i el desconeixement d'una nova tecnologia sovint fa que tinguem un ús adolescent i acrític de les eines tecnològiques». En la mateixa línia se situa el pèrit judicial informàtic forense Bruno Pérez quan afirma que «hi ha un nivell d'ignorància tecnològica brutal, i d'això s'aprofiten els cibercriminals». Pérez recorda com fa anys per fer anar un ordinador la gent feia cursos però ara ningú es forma a l'hora de fer anar tota la tecnologia que ens envolta. «Ara ens trobem un pendrive abandonat i el posem a l'ordinador per veure què hi ha, i ja ens han entrat. O cliquem a un link que ens han enviat, i ja els tenim dins». El responsable de riscos cibernètics d'Hiscox, Alan Abreu, va fer la següent reflexió: «Una empresa té una pòlissa contra incendis perquè és un risc tangible», però afegeix que no fa el mateix amb la ciberseguretat perquè la veu com a risc intangible.