La Generalitat va rebre 216 milions de ciberatacs el 2015
Segons dades del Cesicat, el nombre d’amenaces ha crescut fins a 14 vegades des del 2013
Barcelona215,7 milions: aquesta és la xifra de ciberatacs que va rebre la Generalitat l’any 2015, catorze vegades més que el 2013, segons dades oficials del Centre de Seguretat de la Informació de Catalunya (Cesicat) a què ha tingut accés l’ARA. Ara fa dos anys, l’ens que s’encarrega de vetllar per la seguretat dels sistemes d’informació del sector públic va registrar fins a 15 milions d’intents d’atacs a la Generalitat. Una xifra que va fer un salt important ja el 2014, en què el gruix d’atacs cibernètics ja va arribar als 147,4 milions.
Aquests anys coincideixen amb l’inici del procés i, de fet, l’any en què es va registrar el pitjor atac de la història a la Generalitat va ser el 2014, quan diverses webs del Govern van arribar al col·lapse per un atac massiu el cap de setmana de la consulta del 9 de novembre. El Cesicat va haver de fer front en ple procés participatiu a un atac distribuït de denegació de servei, que consisteix a demanar informació sense parar a un servidor fins a saturar-lo.
“El procés pot incentivar que hi hagi més hackers interessats a fer-nos mal, però [els ciberatacs] són un problema generalitzat a escala mundial com a conseqüència de la revolució digital”, afirma en una entrevista a l’ARA el secretari de Telecomunicacions del Govern, Jordi Puigneró.
El Parlament ultima l'agència de ciberseguretatQuè implica un ciberatac? Segons el Cesicat, es considera un ciberatac qualsevol intent o amenaça que arribi al sistema d’informació públic, encara que sigui aleatori (n’hi ha molts d’automàtics) i no vagi expressament dirigit a la Generalitat com el del 9-N. De fet, la majoria no tenen cap efecte, ja que topen amb el perímetre de protecció informàtica del Cesicat, la primera defensa amb què compta el Govern per protegir-se dels atacs cibernètics. “Hi ha personal davant pantalles d’ordinador les 24 hores del dia dels set dies de la setmana”, assegura una font coneixedora. El 2015, dels 216 milions, només s’haurien convertit en “incidents de ciberseguretat”, és a dir, haurien aconseguit superar la primera barrera de seguretat, uns 11.777. La xifra també ha augmentat en els últims tres anys: el 2013 el Cesicat va resoldre 2.000 incidents i l’any següent 9.000. A l’Estat, el ministre José Manuel García-Margallo els ha quantificat en 30.000 recentment.
Per entendre què impliquen els ciberatacs i els incidents de seguretat i no generar alarma entre la ciutadania, des de l’organisme utilitzen el símil d’un robatori en una casa: l’atac es produeix quan hi ha un intent de robar però la seguretat de l’habitatge impedeix que el lladre se surti amb la seva. És a dir, el perímetre de seguretat amb què compta la Generalitat seria l’alarma.
El ciberatac passa a ser un “incident de ciberseguretat”, segons la classificació del Cesicat, quan aconsegueixen passar aquesta barrera o, en el símil del robatori, el lladre entra dins l’habitatge. Quan s’arriba a aquest punt, l’organisme té armes per respondre i evitar mals majors. Des de l’ens afirmen que durant l’any passat no tenen coneixement que s’hagi produït cap fuita d’informació. D’on provenen la majoria d’atacs? “N’hi ha molts que venen d’ordinadors zombis”, assegura un expert consultat, que són ordinadors infectats que actuen sense que el propietari s’adoni del que fan.
Intents de “segrest digital”
La complexitat dels atacs també ha augmentat, segons l’estadística. L’any 2013 el 73% dels atacs van ser de “baixa complexitat”, mentre que el 2014 i el 2015 la immensa majoria -el 74% i el 84%, respectivament- eren de complexitat mitjana.
L’any 2015, en canvi, la majoria d’atacs que va detectar el Cesicat -el 92%- van ser per codi maliciós, és a dir, programaris o arxius nocius dissenyats per inserir algun tipus de virus o extreure informació del sistema. D’aquest tipus, els que estan creixent “molt” a escala internacional són els ransomware o segrest digital, que consisteixen a encriptar informació a l’usuari i fer-li xantatge perquè pagui una quantitat determinada. Segons el Cesicat, a la Generalitat “hi ha hagut casos” en què s’ha intentat aquest tipus d’extorsió però asseguren que ho han aconseguit resoldre sense pagar. L’objectiu de l’organisme és que tot i l’augment dels ciberatacs el sistema d’informació de la Generalitat segueixi blindat.
