La pandèmia de la Covid-19 i l’adopció de teletreball per un gran nombre d’empreses han facilitat l’accés als “hackers” als entorns informàtics de les empreses i organitzacions, traduint-se en un augment del 62% de ciberatacs a Espanya en comparació amb l’any passat, la qual cosa ha suposat que moltes empreses es vegin obligades a adoptar mesures per protegir les seves dades.
Fa a penes un mes enrere vam ser testimonis de com el SEPE va ser víctima d’un ciberatac “ransomware o programari maliciós de rescat” que va tenir com a conseqüència la paralització dels seus sistemes informàtics, arribant a paralitzar la seva activitat durant un dia sencer; així mateix, sense anar més lluny, fa a penes unes setmanes un ciberatac va paralitzar els Ministeris de Justícia, Educació, Economia i l’INE.
El director del Centre de Ciberseguretat de l’Associació Espanyola per al Foment de la Seguretat de la Informació, Daniel Largacha, feia la següent declaració: “La pandèmia ha tingut un impacte directe en el panorama actual. Els confinaments han obligat a reestructurar els models operatius de les empreses de forma accelerada, obligant a adoptar aspectes com el teletreball i el Núvol, que tenen fortes implicacions en seguretat per al que es requereix una adequada anàlisi que en molts casos no s’ha pogut fer de la millor manera. Això ha posat a les organitzacions en una situació de feblesa o risc que els cibercriminals han sabut aprofitar, d’aquí els increments en els atacs que anunciava Interpol i que veurem en números quan tinguem dades consolidades de 2020″.
L’any passat 2020, Espanya va batre rècords ja que, arran de la pandèmia provocada per la Covid-19, els ciberatacs a les empreses van augmentar un 62% respecte a l’any anterior. Sobre aquest tema el legislador nacional tracta de fer front a aquesta situació amb la recent normativa aprovada, (RDL 12/218 i RD 43/2021), així com amb l’avantprojecte de Llei sobre requisits per garantir la seguretat de les xarxes i serveis de comunitats electròniques de cinquena generació (5G).
Com a empresa, per poder fer front aquesta situació i estar el més protegit i preparat davant un ciberatac, és necessari adoptar una sèrie de mesures, les quals poden dividir-se en quatre grans blocs: prevenció, detecció, recuperació i resposta.
Abans d’entrar analitzar les mateixes hem de tenir present que és impossible crear un entorn informàtic capaç d’estar protegit al 100% de qualsevol ciberatac, no obstant això, sí que és possible crear un entorn informàtic establint mesures de caràcter preventiu que dificultin l’accés al mateix i entorpeixi l’accés als “hackers”.
Quines mesures de protecció podem adoptar?
És important destacar que adoptant una sèrie de mesures bàsiques podem augmentar la protecció del nostre entorn informàtic de manera rellevant, tals mesures, entre altres són:
- Establir protocols de seguretat.
- Usar contrasenyes “fortes”.
- Tenir actualitzats els dispositius electrònics.
- Comprovar l’autenticitat del destinatari dels correus electrònics. Un elevat nombre de ciberatacs es realitzen a través de “phishing”(Correus maliciosos que contenen enllaços o adjunts infectats per un virus). Per això, una recomanació és formar a la plantilla en ciberseguretat, d’aquesta manera els empleats seran capaços de reconèixer emails fraudulents.
- Realitzar còpies de seguretat de manera periòdica. Es recomana que les còpies no es trobin guardades en format en línia per evitar que es vegin afectades si el virus accedeix a la xarxa interna de l’organització o empresa (una alternativa podria ser contractar un servei extern d’emmagatzematge).
- Limitar l’accés; si es restringeix l’accés a determinats departaments, es pot evitar que en cas d’un ciberatac els “hackers”puguin accedir a un major número d’informació.
- Realitzar inspeccions aleatòries de ciberseguretat de manera periòdica.
Què hem de fer si sofrim un atac?
En cas de tenir constància o les sospites que una empresa ha estat víctima d’un ciberatac és primordial actuar de la forma més ràpida possible per poder aplicar el protocol de seguretat i tractar d’evitar el mal més gran possible.
El RGPD contempla l’obligació d’informar l’Agència Espanyola de Protecció de Dades d’una bretxa de seguretat en un termini màxim de 72 hores des que s’ha tingut coneixement d’aquesta.
La notificació a l’Agència de la bretxa de seguretat ha de contenir com a mínim:
a) Naturalesa de la bretxa.
b) Identificació del Delegat de Protecció de dades i les seves dades de contacte.
c) Conseqüències de l’incident
d) Mesures de protecció adoptades enfront de l’atac.
Notificar a l’autoritat respecte a una bretxa de seguretat és una obligació prevista en el nostre ordenament, així mateix és important, ja que com abans es realitzi l’avís més ràpid podrà contenir-se l’atac, no obstant això, no hem d’oblidar que LOPDGDD contempla multes i sancions, des dels 40.000 euros fins als 20.000.000 d’euros.
En conclusió, la pandèmia ha obligat moltes empreses establir mesures que permetin el teletreball, tanmateix, això ha provocat que el nombre de ciberatacs augmenti de manera exponencial, obligant les empreses a imposar protocols de prevenció i protecció. Malgrat això, com és de veure, les mesures aplicar davant possibles atacs han deixat de tenir un caràcter preventiu i voluntari i han passat a ser mesurades d’obligat compliment per imposició legal, la inobservança de la qual pot arribar a implicar multes de fins a 20.000.000 d’euros.
Este artículo está disponible en: Castellano
