12 abril de 2023
A principis de març, l’Hospital Clínic va registrar un ciberatac que va omplir els informatius. Que una institució pública en pateixi, però, no és excepcional. Des del 2022, l’Agència de Ciberseguretat de Catalunya ha gestionat 287 atacs al món local. Ajuntaments com el de Lloret de Mar o Sant Just Desvern han hagut de fer front a aquesta situació, mentre que la Paeria de Lleida ha desplegat un centre d’operacions amb una vigilància permanent.
L’Agència de Ciberseguretat està definit plans de protecció en àmbits com l’educatiu o el sanitari, però també en les administracions públiques. El director de l’Agència, Tomàs Roy, assegura que els atacants “no miren la mida, sinó l’oportunitat que es genera”, motiu pel qual el món local també és un dels seus objectius.
Roy avisa que a vegades “hi ha incidents que no es detecten”, però que posteriorment poden oferir serveis de recuperació i suport de restabliment. Una de les problemàtiques més comunes és la fuita de credencial: “N’hi ha entre sis i deu al dia; cada fuita que detectem la corregim perquè deixa les dades compromeses”, explica.
Aquesta pràctica deriva directament d’errors “humans”. “Fem un patrullatge continu per detectar les fuites que són conegudes, es notifica l’obligació de fer un canvi de credencial i és com començar de nou, tornes a ser igual de robust”, assenyala Roy. El consell, però, és no clicar, perquè en aquests casos els cibercriminals busquen una participació activa.
Roy remarca que un ciberatac dificulta molt les tasques de les administracions, que es queden pràcticament treballant amb “paper i bolígraf”. El 23 de setembre del 2019, l’Ajuntament de Lloret de Mar (Selva) en va patir un de tipus ‘ransomware’, un conjunt de virus que “encripten tots els arxius amb una clau indesxifrable”. El cap del Departament d’Informàtica del consistori, Francesc Masdeu, recorda que els treballadors el van trucar perquè “no funcionava res” i no podien obrir cap fitxer.
Dins de cada directori, els atacants van deixar un fitxer ‘html’ “amb dues adreces de correu irrastrejables”, moment que els va permetre comprovar que l’atac era “provocat i intencionat”. Mai van escriure a les adreces facilitades. Per això, no saben quants diners els demanaven per al rescat.
A causa d’aquesta infecció, el consistori va quedar aturat gairebé dues setmanes. Els informàtics van començar a restaurar cada ordinador des de l’última còpia de seguretat i actualitzant l’antivirus. En tres o quatre dies, tot estava restaurat, però els ordinadors es van tornar a infectar perquè hi havia una variant del virus que no va ser detectada. Aquesta segona vegada, l’atac va penetrar al servidor de còpies. “Dels 60 o 70 servidors que teníem, no en quedava res”, recorda Masdeu, desolat. El consistori mantenia totes les dades de les còpies, però van haver de tornar a configurar els servidors i restaurar els ordinadors per segon cop.
Mentrestant, l’ajuntament no funcionava. Es van paralitzar concursos públics, licitacions i altres procediments administratius. Arran del ciberatac, es van substituir els ordinadors per escriptors virtuals, que “són més fàcils de gestionar”, a més d’altres canvis en ciberseguretat.
Tot i les mesures que es van prendre, Masdeu admet que “mai quedes exempt de tornar a patir un altre ciberatac”, motiu pel qual fa una crida a la conscienciació dels treballadors perquè no descarreguin fitxers sospitosos. “L’antivirus més important són els usuaris, perquè són la porta d’entrada dels virus externs”, insisteix.
Tot i que van presentar denúncia als Mossos d’Esquadra, mai han rebut cap novetat sobre la investigació. Masdeu creu que “difícilment” arribaran a esbrinar que van ser els autors perquè “era un treball molt professional”. No temem, però, per la filtració de dades personals, perquè l’atac va consistir només en un segrest de les dades i el negoci d’aquest tipus de ciberatac es basa en vendre la clau per desencriptar els fitxers, no vendre els arxius a la ‘darkweb’.
En el cas de Sant Just Desvern (Baix Llobregat), el consistori també va patir un ciberatac tipus ‘ransomware’ el novembre del 2020. Va afectar tot el seu programari i els servidors i va fer impossible que es pogués actualitzar el padró d’habitants o que la població pogués dur a terme cap altre tràmit o consulta per internet.
El cap d’informàtica de l’Ajuntament, Pere Galindo, explica que van trigar unes tres setmanes en restablir el sistema. Admet, però, que malgrat tot van tenir “sort” perquè els atacants no van poder accedir a la base de dades, sinó que només van aconseguir bloquejar els servidors amb la intenció de demanar un rescat.
Els atacants van intentar contactar amb el consistori per demanar-los el rescat. Tanmateix, mai van respondre a la petició de contacte ni tampoc es van plantejar pagar. “És molt difícil tenir la seguretat que et donaran les claus per desencriptar els servidors”, explica, “i tampoc tens mai la garantia que no et tornaran a atacar un cop has pagat”.
Galindo admet que, en el moment del ciberatac, el consistori “no estava preparat”. L’atac es va produir pocs mesos després del confinament per la covid-19. “Vam intentar fer-ho amb les màximes garanties de seguretat, però no van ser suficients”, constata.
Pel que fa a la capacitat de les administracions de fer front a aquests atacs, Galindo assegura que els recursos són “molt limitats”. “El que nosaltres hauríem de saber de ciberseguretat està molt lluny del que saben els hackers”, afirma. Per això, demana “més recursos i més conscienciació”.
Per fer front als ciberatacs, els ajuntaments també apliquen mesures preventives. Al novembre, la Paeria de Lleida va començar a desplegar el Centre d’Operacions de Ciberseguretat (SOC), que ha rebut fons Next Generation i que és el primer que s’ha implantat en català i que utilitza instruments del Centre Criptològic Nacional. Incorpora intel·ligència artificial i monitoratge en temps real, mil·lèsima de segon a mil·lèsima de segon, de totes les infraestructures digitals municipals: 182 servidors, 28 fonts, 62 servidors web, 28 barreres (firewalls) i 1.800 usuaris amb ordinador.
Dels més de 500 milions d’esdeveniments o accions digitals que es poden registrar en un mes, els tallafocs ja existents prèviament detecten i bloquegen més de sis milions d’amenaces.
El cap de Sistemes d’Informació i Ciberseguretat de la Paeria, Carles Giné, explica que, arran dels atacs dels últims anys, ha calgut millorar la seguretat i posar “més eines per fer que siguin més difícils”. Remarca que el risc sempre hi és, però que amb les eines del SOC es pot anticipar un atac. El centre garanteix una vigilància permanent les 24 hores del dia tot l’any.
Model únic de protecció
L’Agència de Ciberseguretat de Catalunya, resol, en global, un incident cada tres hores. Per fer front a aquest volum, aposta per un model únic de protecció per blindar aquells ajuntaments que tenen “menys capacitats”. “És una lluita compartida i volem que els grans participin d’aquests projectes perquè ens hem de protegir entre tots, involucrant actors i prestant serveis”, afirma Roy. Pel que fa al futur de la ciberseguretat, el director de l’Agència de Ciberseguretat remarca la importància de “no competir” i crear una “funció pública i universal” que permeti disposar d’uns serveis i una digitalització segura. “No és una fase més, sinó que forma part de la pròpia transformació”, apunta, “s’han de generar espais perquè es pugui anar de la mà”.
Font: ACM
