Avui entrevistam Joan Massanet, CEO de l’empresa mallorquina de Ciberseguretat W2Connect. Parlam de com afrontar els reptes de la ciberseguretat, però també d’intel·ligència artificial, ètica i molt més.
Trobau que manquen professionals de ciberseguretat? Segons aquest article de El País, es calcula que l’any 2022 1,8 milions de llocs de feina relacionats amb la ciberseguridad quedaran vacants en tot el món, 350.000 d’ells a Europa”. Quins coneixements tecnològics consideres imprescindibles per a una persona que vulgui treballar en el vostre sector? I per estar al dia?
Sí, ara mateix hi ha un dèficit de professionals dedicats a la ciberseguretat. Això fa que moltes empreses no disposin de plans de contingència davant atacs de phishing, ransomware, etc., debilitant molt el teixit empresarial de les nostre Illes (un 60% tanca després d’un ciberatac). Nosaltres creiem que, a part d’una base tècnica en informàtica, és molt important tenir ganes d’aprendre. La ciberseguretat implica estar en constant creixement i aprenentatge. Informar-se és crucial, per això recoman el canal de Telegram de NocoNName, la revista ClickCiber (on faig de col·laborador), revisar el CCN-CERT i l’INCIBE, fòrums, vídeos, llibres i, sobretot, pràctica!
Quines són les majors amenaces de la ciber-delinqüència? Ens podríeu donar exemples de quins són els perills més comuns als quals han de fer front les empreses i com els podeu predir o solucionar?
Les majors amenaces són els atacs de Ransomware ara mateix. La perillositat radica en què no solament son capaços d’anul·lar la capacitat operativa de l’empresa sinó que impliquen un desemborsament econòmic important si volen tornar a estar operatius (moltes desapareixen). Per això, és important establir plans de mitigació davant d’un atac.
Ara mateix el perill més gran per a una empresa són els seus usuaris. Un 95% dels atacs exitosos vénen pel factor de l’error humà. L’educació en ciberseguretat i el Zero-Trust (no confiar en ningú ni cap dispositiu) són els millors vectors de protecció per a les empreses. Hem de pensar que la seguretat 100% no existeix.
Arran de la COVID-19 hi ha hagut a Espanya un increment notable de ciberatacs dirigits a les pimes i particulars relacionats amb l’auge del teletreball, segons l’estudi Panorama actual de la ciberseguridad en España, elaborat per Google. Són conscients les pimes d’aquests perills? Com s’han de convèncer perquè vegin la ciberseguretat com una inversió, malgrat les seves limitacions de recursos? Quines pèrdues anuals i conseqüències els poden suposar els cibertatacs?
Moltes empreses no en són conscients. De fet, si cercam a un cercador anomenat SHODAN, que s’empra per veure quines són les possibles vulnerabilitats dels sistemes a Internet, veurem que, a l’àrea de Balears, hi ha moltes empreses que encara tenen accessos als seus sistemes per RDP, considerat un protocol insegur i, a més, amb versions de sistemes operatius obsoletes. La forma de convèncer-los és mitjançant una acció pedagògica. Fer-los entendre que pot implicar la seva desaparició si no prenen mesures. Es calcula que, arreu del món, els atacs de ransomware, poden implicar unes pèrdues d’uns 11.500.000.000 d’euros.
També s’ha de dir que moltes empreses no estaven preparades pel teletreball durant el confinament, heu notat que ara sí es volen preparar per això, a nivell de ciberseguretat?
Hi ha hagut una demanda de protecció perimetral i d’equips però allò que no estam observant és un augment de la part d’ensenyament de com fer front a un possible atac. Avui dia, el perímetre de seguretat s’ha d’establir per persona i dispositiu; no basta posar un tallafocs i un antivíric; és necessària una acció educativa i de protecció a tots els dispositius i persones.
No només les empreses, sinó també les persones podem ser víctimes del cibercrim, ja sigui a través de xarxes socials, smartphones, dispositius IoT o d’altres. Cada vegada tenim més dades online que fan més valuosa la informació pels ciberatcs. Alguns exemples?
Potser l’exemple més dramàtic és el que va passar amb Cambridge Analitycs. Es varen emprar perfils de Facebook per manipular el referèndum del Brexit i la campanya per a les eleccions americanes. Aquesta manipulació va influir de forma decisiva en els resultats de dos països amb alta tradició democràtica. S’ha d’anar molt alerta amb el que compartim a les xarxes socials. Recoman veure el documental de Netflix “El dilema de las redes sociales”.
Això pot ser especialment preocupant en el cas dels menors. Quines opcions recomanaríeu als pares per minimitzar aquests riscos?
Per començar, no deixar-los accedir a xarxes socials fins que no tenguin 16 anys. Sabem que és quelcom difícil degut a la “discriminació” que poden tenir si no tenen un smartphone. També establir controls parentals i horaris i, ja sé que ho he dit vàries vegades, educar.
Què pensau del blockchain, consideres que contribuïrà a unes transaccions més segures?
Sí, la tecnologia blockchain ens permet seguretat i privacitat però amb això no vull dir que siguin 100% segures. L’ús i el coneixement del que s’empra fa que una eina pugui ser més o manco segura.
El principi bàsic en ciberseguretat no és el de demostrar l’absència d’amenaces, sinó l’anticipació, el poder preveure els possibles atacs. Com es fa això?
Bona pregunta! És cert que mai no podrem tenir un sistema 100% segur. La diferència entre un atacant (pirata) i un defensor (responsable de seguretat) és que, mentre que un atacant només necessita una vulnerabilitat per entrar, el defensor ha de preveure tots els vectors d’atac possibles. La manera de fer-ho és amb la planificació, revisant tots els procediments; la microsegmentació, que ajuda a contenir els atacs; i el Zero-Trust, no confiar en ningú de l’organització.
La baula de la cadena més dèbil en ciberseguretat són les persones a nivell particular a cada empresa. Es tracta de fer pedagogia, formació, ajudar amb l’adaptació a les TICs dels empleats? Com ajudau a les empreses amb això? Els donau formació o els feu simulacions d’atacs dirigits per veure els perills?
Sí, es tracta d’educar. Per això, disposam d’eines molt interessants tals com Attack Simulator que realitza atacs automatitzats de phishing. Quan el treballador cau en el parany de l’aplicació i pitja damunt l’enllaç maliciós, l’aplicació obri un vídeo explicatiu que mostra com actuar i els perills del phishing sense que el treballador hagi de moure’s del seu lloc de fein. També realitza exàmens periòdics per tal de veure l’evolució. Ah! i tot això acompanyat d’informes d’estat de l’empresa.
Ens pots explicar les eines que oferiu i solucions comercials més destacades? Apostau pel software lliure?
Del tipus comercial tenim: Watchguard i Forcepoint com a tallafocs perimetrals. Forcepoint, pel que fa al DLP, evita que dades sensibles surtin de l’empresa i l’anàlisi del comportament humà. Bitdefender, com a EDR i antivíric (som els únics Business Ready de Balears). Cymulate per proves de penetració automatitzades. Attack Simulator per educar en els perills dels atacs per correus electrònics. Per garantir la fiabilitat de les comunicacions WIFI oferim les millors marques: Aerohive, Ruckus i Watchguard.
Quant al programari lliure apostam fortament per OPNSense, del qual en som distribuïdors autoritzats, i Linux. OPNSense és un tallafocs de programari lliure que no té res a envejar als grans actors del mercat. Linux corre a tots els nostres PCs, no empram programari privatiu.
I alguns dels vostres projectes més destacats? Quin perfil de clients teniu? Empreses grans, petites, particulars?
Ara mateix estam dissenyant l’accés segur per a control d’aigües a València mitjançant VPNs. També col·laboram amb AMADIP en la implementació de Bitdefender. Tenim altres clients als quals feim un seguiment de les seves incidències perquè estiguin tranquils, tot seguint el nostre eslògan “Cuidam de la teva tranquil·litat”. No tenim client prototip, ja que la ciberseguretat és cosa de qualsevol tipus d’empresa.
Quines són les actituds desitjables d’un bon responsable de ciberseguretat en una empresa? La comunicació és essencial?
Les actituds que creiem ha de tenir tot responsable de ciberseguretat són: una base tècnica sòlida, capacitat d’aprendre, capacitat de comunicació davant els responsables i treballadors i, per damunt de tot, escoltar el seu equip. Un bon responsable és aquell que sap gestionar els seus recursos de forma que tothom se senti còmode i valorat en les seves funcions. Per això és necessària l’empatia davant les necessitats i problemes del seu equip.
Què opinau de les assegurances sobre ciberseguretat? Amb quina cobertura s’han de fixar les empreses? i els particulars?
De la mateixa forma que has d’assegurar béns físics creiem necessari fer-ho amb els lògics (dades). Les cobertures que demanaria, si fos particular o empresa, és que com a mínim cobrís les despeses ocasionades per un ciberatac, de tal forma que no obligàs al tancament de les empreses o autònoms.
També es poden produir atacs des de dins la pròpia empresa, hi ha relació entre el nivell de satisfacció dels empleats i això? Pot la Intel·ligència artificial (IA) analitzar comportaments dels empleats sospitosos?
Sí, i tant! Fa poc vaig veure una notícia d’un informàtic descontent que va esborrar tot el contingut dels servidors de l’empresa, a Amazon Services, deixant inutilitzada la mateixa. El cost va ser de 700.000 d’euros. Tot això per un acomiadament no pactat.
Pel que fa a la Intel·ligència Artificial (IA), penses que la IA serà utilitzada per fer ciberatacs més productius?
Sí. Així com hem dit que serà una eina d’ajuda, també es farà servir per a fins maliciosos. Les IA són capaces de realitzar tasques molt més aviat que qualsevol humà i això ens suposarà grans problemes per defensar els nostres béns.
Tens una visió utòpica o distòpica de la IA? Quines diferències hi ha entre la IA i la Intel·ligència humana encara?
Jo som dels que tenen una visió una mica distòpica si no hi ficam paràmetres ètics i morals a les intel·ligències artificials. Qui ens diu que una IA no pugui arribar a pensar que el vertader perill per a la supervivència del món i d’ella mateixa siguin els humans?
La IA només, per ara, pot fer tasques molt concretes i que requereixen d’una alta especialització. La intel·ligència humana és més abstracta i es pot adaptar a les situacions noves amb certa facilitat, fet que les IA no en són capaces.
Quin tipus d’aprenentatge és millor per a una IA, supervisat o no supervisat? Som els humans els responsables que la IA tengui uns “valors” i sàpiga diferenciar allò que està bé i malament?
Des del meu punt de vista supervisat. Sempre utilitzo l’exemple de la meva filla: no deixaràs que fiqui la mà al foc si saps que es cremarà. És clar que en som responsables! Qui és qui programa les IA? Les persones. No podem deslligar-nos d’aquest fet. Torno a l’exemple dels infants: els adults som responsables d’ensenyar-los què està malament i què no.
O penses que arribarà un dia en què haurem de dotar a la IA d’estatus de ciutadà? Hauria d’assumir responsabilitats de les seves decisions?
Sí. Seria molt reduccionista pensar que les consciències i la intel·ligència només pot ser, única i exclusivament, condició de la vida basada en el carboni. Si una IA demostra que és conscient d’ella mateixa, per què no pot ser un ciutadà com nosaltres? Una IA sense consciència d’ella mateixa no pot assumir responsabilitats. Més aviat, la responsabilitat seria de qui ha introuït els paràmetres perquè actuï així.
També ets filòsof de formació. Parlem de la IA i l’ètica. Pensau que a totes les carreres tècniques s’haurien d’impartir alguns coneixements en filosofia? Seran els filòsofs més demandats, un dels camps a cobrir o complementar per la IA?
Definitivament, sí! No només filosofia! Les humanitats ens defineixen com a persones i no podem oblidar d’on venim. Crec que no hi pot haver IA sense ètica, ni ètica sense filòsofs.
Una IA sense ètica ens pot portar a una visió racista, esbiaixada, així com tenim els perills de les Fake news, suplantació d’identitats, deepfakes, la intromissió en la privacitat si els governs controlen la gestió de les dades, com Xina, etc. Com ho podem combatre?
Amb una altra IA i el sentit comú. Així com podem emprar una IA per crear tot tipus de “fakes”, també les podem emprar per detectar-les. Tot això no ha de substituir el sentit comú. Estam en una època difícil on la societat s’ha polaritzat per culpa de la manipulació. És necessari aplicar el pensament crític i no creure’ns qualsevol cosa que ens arriba per missatgeria o a les xarxes socials. Sempre hem de comprovar les fonts.
Però no tot és negatiu, també llegim notícies postives de la IA com que: “Twitter alertarà als usuaris de les informacions enganyoses del coronavirus”, o el Microsoft Video Authenticator, que empra la intel·ligència artificial per analitzar la veracitat d’un vídeo. Més exemples?
Ara que està d’actualitat el tema de la COVID-19, podríem dir que una de les funcions que més ens beneficiarà per l’ús de l’IA serà per diagnosi i recerca de nous medicaments.
Per acabar, ens pots citar algun llibre que us hagi inspirat en la vostra feina?
Realment, no. Sempre he llegit llibres de caire fantàstic: “La història interminable”, “El señor dels Anells”, etc. De fet, si hagués de triar-ne un, seria “1984”. En ell es veu clarament el control que es pot arribar a exercir sobre la població i al qual, ara mateix, ens veiem sotmesos.
I alguna pel·lícula/sèrie?
“Jocs de guerra”.