[Josep Rof, Enginyer industrial i expert en innovació]
A principi de març vam veure com l’Hospital Clínic sofria un ciberatac i s’emportaven dades de l’organització. Els ciberdelinqüents de RansomHouse es van posar en contacte amb l’Hospital Clínic per primer cop, cinc dies després de l’atac. Demanaven quatre milions i mig de dòlars per no publicar les dades que van robar i que han anat filtrant de mica en mica.
La matinada del 10 a l’11 d’octubre del 2021, la Universitat Autònoma de Barcelona (UAB) va patir un greu atac informàtic mitjançant un ransomware –un programari maliciós que xifra els documents de la víctima i exigeix un rescat perquè hi pugui tornar a accedir– que va obligar a aturar tots els sistemes, i va afectar més de 650.000 arxius i carpetes. La universitat, igual que ha fet l’Hospital Clínic, va assegurar que no pagaria cap mena de rescat perquè es desxifressin els documents. Va posar en marxa immediatament el procés per recuperar la informació perduda a través de les còpies de seguretat periòdiques que es fan dels discs durs connectats a la xarxa universitària, com ara ha fet l’Hospital Clínic.
Ambdós casos són cridaners perquè afecten entitats que són conegudes per tothom. Però això només és la punta de l’iceberg. De fet, segons l’Agència de Ciberseguretat de Catalunya, al Principat hi ha un cibercrim cada tres hores. Sí, cada tres hores. I si els pirates segueixen atacant, és que els és rendible. De fet, la majoria dels atacs no surten a les notícies i una gran quantitat d’entitats acaben pagant.
La ciberdelinqüència és això: delinqüència. Abans anaven amb armes fisques, ara van amb eines informàtiques. Si sempre hi ha hagut delinqüència, també hi ha i hi haurà ciberdelinqüència. De fet, els delinqüents acostumen a tenir més medis que la resta. En un altre entorn, només hem de comparar les llanxes ràpides o submarins dels traficants de drogues amb les patrulleres o llanxes de la guàrdia costanera. Això no obstant, s’ha d’estar preparat.
I aquí és on rau la part més important del problema: fins on hem d’estar preparats? Fins a quant hem d’invertir o gastar en ciberseguretat?
En economia hi ha un concepte molt recurrent anomenat trade-off entre dues variables. Això vol dir que quan en puges una, l’altra es veurà afectada negativament. Tot té un cost d’oportunitat. El trade-off més famós de la literatura econòmica es diu canons o mantega. Hi ha un compromís o un cost d’oportunitat entre la despesa pública en defensa (canons) i la despesa pública en benestar (mantega). Aquesta idea va ser popularitzada per l’economista Paul Samuelson, que va guanyar el Premi Nobel d’Economia el 1970. La idea és que si un país inverteix més en armament, tindrà menys recursos per invertir en aliments, sanitat, educació, etc. I viceversa. Aquesta és una simplificació de la realitat, però serveix per il·lustrar el concepte de cost d’oportunitat, que és el valor de la millor alternativa a la qual es renuncia quan es pren una decisió.
O sigui, com que els pressupostos són limitats, si invertim en ciberseguretat, deixem d’invertir en altres elements. I llavors es plantegen molts interrogants. Què fem en un hospital? Millorem una sala d’operacions? Posem al dia les habitacions? O bé invertim en seguretat informàtica?
Invertir en seguretat informàtica no sols és posar diners en programari i maquinari amb funcions tan estranyes que no s’entén ben bé què fan. A més, has de formar tota la gent, no en va el 80% de les intrusions són per errors dels usuaris, has de tenir tots els sistemes informàtics al dia, tant programaris com equips, etc.
La seguretat informàtica té un problema addicional per fer-la tangible: és un risc. Si fas una sala d’operacions nova, els resultats són tangibles. Si pintes, canvies els llits i millores les habitacions, els resultats també són tangibles. Però si inverteixes en seguretat, redueixes el risc, però no veus cap resultat. Si no t’ataquen sembla una inversió inútil. I si t’ataquen i ho repel·leixes, els resultats tampoc són tangibles.
No hi ha solucions perfectes. Sempre hi ha riscos i compromisos. Per això, hi ha els directius, que han de decidir i assumir la responsabilitat. En funció de la cultura, del pressupost, del grau de maduresa tecnològica, etc. es decidirà: en què invertim? En canons o en mantega?
