Sophosek 2020an mundu osoko IT eremuko 5.000 enpresa-zuzendariri egindako inkesta baten arabera, elkarrizketatuen % 51k uste zuen lehentasunezkoa zela zibererasoak izateko arriskua murriztea. Ehuneko horrek iaz ‘ransomware’ eraso bat jasan zuela aitortu du. Zibersegurtasunak euskal enpresetan duen eraginari buruz hitz egin dugu Manu Viotarekin, Ertzaintzako Delitu Informatikoen Atal Nagusiko burua.
Zein dira enpresei eragiten dieten ziber-iruzur eraso edo saiakera ohikoenak?
Hiru eraso mota zehaztu ditzakegu. Lehena BEC (Business Email Compromise) da. Erasotzaileak harreman komertziala duten bi enpresaren posta elektronikoetan sartzen dira. Gaizkileak enpresetako bat erasotzen du, bere langile baten posta elektronikoaren bidez, eta jasotzen eta bidaltzen dituen mezu elektronikoak espiatzen ditu. Diru-ordainketekin zerikusia duen jardueraren bat dagoela ikusten duenean, erabiltzailea ordeztu eta mezu bat bidaltzen du, ordainketa, ohiko kontuan egin beharrean, beste kontu korronte batean egiteko eskatzen. Telefonoa hartu eta bezeroari benetan hala den galdetzea bezain erraza da hori saihestea. Baina jende askok ez ditu egiaztapen horiek egiten, dirua bidaltzen du eta, aste batzuk geroago, beste enpresaren abisua jasotzen du, ez duela kobratu esanez, eta orduan azaleratzen da arazoa.
Beste eraso bat antzekoa da eta alderantzizko-ingeniaritzaren bidez langileak engainatzen ditu. Erasotzaileak konpainiako arduradun baten itxura hartzen du, CEOarena adibidez, eta mezu elektroniko bat bidaltzen dio langile bati, kontu batean diru-sarrera bat egin diezaion. Kontu hori premiazkoa dela esaten dio, eta ez diezaiola inori esan. Aurreko kasuan bezala, arduradunarekin telefonoz hitz egin eta galdetuz gero, horrelako iruzurrak ez lirateke gertatuko.
Hirugarrena ‘ransomware’ da. Gaizkileek kriptobirus batekin sistema infektatzen dute, sistemetako informazioa zifratzen dute eta erreskate bat eskatzen dute berriro eskuratu ahal izateko. Saretik bereizitako segurtasun-kopiak edukitzea bezain erraza den zerbaitekin desaktibatzen da eraso hori, sistema infektatu baitezakete, baina egun batean egin duzuna baino ezingo duzu galdu, segurtasun-kopian errejistratuta ez dagoen hori. Ez badituzu segurtasun-kopiak egiten, ez badituzu egiaztatzen edo sare berean badituzu, birusa kopia horietan sartuko da eta desaktibatu egingo ditu.
Zibersegurtasunarekin zerikusia duen guztian irtenbide teknologikoak daude, baina ez da ahaztu behar ingeniaritza sozialak edo alderantzizko ingeniaritzak duten eginkizuna. Zertan datza?
Ingeniaritza soziala katearen mailarik ahulenari eraso egitean oinarritzen da, ia beti erabiltzailea izaten da hori. Gizakiok akatsak ditugu, adibidez, ez zaigu gustatzen trabarik jartzea, eta gaizkileek joera psikologiko horiek erabiltzen dituzte pertsonak erasotzeko. Enpresa bateko langile bati mezu elektroniko bat bidaltzen diote. Helbide elektroniko horiek enpresen posta-zerrendetan saltzen dira edo, zuzenean, web orriaren bidez eskura daitezke. Erasotzaileak mezu elektroniko bat bidaltzen du, birus batekin batera doan fitxategi batekin, eta, ireki eta exekutatzean, ordenagailuaren kontrola hartzen du. Beste aukera bat da esteka bat bidaltzea hodeiko plataformen dokumentu bat deskargatzeko, Dropbox edo Google Drive, esaterako. Karpeta horretara sartzen zarenean, mezu elektroniko bat eta pasahitza eskatzen dizkizute, eta horrela zure datuetara sartzen dira. Bertara sartzen zara, dokumentuak ez duela funtzionatzen ikusten duzu, eta ahaztu egiten zara ezer gertatu ez delako. Kontua da gaizkileek zure postaren pasahitza dutela eta erabiltzaile horrek bidaltzen dituen mezuak egunez egun bistaratzen dituztela, zu konturatu gabe. Enpresa batekin harreman komertziala dutela ikusten dutenean, postan sartzen dira eta iragazki batzuk ezartzen dituzte; hala, enpresa horren mezu bat iristen denean, posta elektronikoa zakarrontzira joaten da edo erakunde kriminalaren kontu batera bidaltzen dute. Gaizkileak biktimaren posta erabiltzen du, eta beste enpresak ez daki haren nortasuna ordezkatzen ari direnik.
Transferentzia hori ez zaio zuzenean erakunde kriminalari egiten, baizik eta “phishing mandoak” deitzen diegun pertsona batzuei. Horiek erakunde kriminalarekin harremanik izan ez dezaketen beste pertsona batzuk dira, eta beren burua eskaintzen dute banku-kontuak irekitzeko, diru-kopuruak jaso eta transferitzeko. Egiten duten operazio bakoitzarekin, etekinen % 5 lortzen dute. Edonork pentsa dezake ez duela hainbeste diru jasoko bost minutuko operazio zilegi batengatik, eta legezkoa balitz, bankuen bidez egingo litzateke.
Ba al dago bereziki deigarria iruditu zaizuen kasurik?
Iruzur saiakerak eta salaketak ia egunero daude. Deigarria den kasuren bat izan dugu, milioi bat euro baino gehiagoko iruzurra egin zuen lehena. Gero beste bat izan genuen 12 milioi euroko iruzurrarekin. Azken kasu horretan zortea izan zuten, diruaren zati handi bat berreskuratu ahal izan zelako; izan ere, egun berean konturatu ziren eta banku-mekanismoak aktibatu zituzten, baina gehiago berandutuz gero, ezingo zuketen diru hori berreskuratu.
Industria 4.0ari buruz hitz egiterakoan, prozesu industrialetako teknologia berriei erreparatzen diegu: IoT sentsoreak, Internet konexioa duten makinak eta robotak, eta, laburbilduz, kanpora gero eta irekiagoak diren OT esparruak. Horrek ahulezia asko sor ditzake, eta minimizatzen saiatu behar dira. Hori guztia erronka izango da enpresentzat eta Ertzaintzaren Delitu Informatikoen Unitatearentzat, ezta?
Industria-sektoreak heldutasun-maila txikia du horrelako erasoei dagokienez. Horretan hobetzeko ahalegin handia egin dela ikusten da, baina oraindik bide luzea dago egiteko. Burbuila batean bizi izan dira, non sistemak ez ziren fabrikako gainerakoekin konektatzen eta nolabaiteko segurtasuna zuten. Orain, interkonektagarritasunarekin eta Industria 4.0arekin, sistema horiek guztiak Internetekin komunikatzen dira, eta horrek, ondo kudeatuta, abantaila asko ematen dizkio industriari, baina gaizki kudeatuta segurtasun-arrakala handiak eragin ditzake. IT sistemak luzaroan ari dira birusen eta erasoen aurka borrokan, eta gero eta oztopo aurreratuagoak jarri dituzte. OT inguruneetan arazo berrietatik babesten saiatu behar da. Lehen, makina batek huts egitea zen arazoa; orain, fabrikazio-parametroak lapur liezazkizukete, ekoizpena gelditu eta produkzio-sistemetan matxurak eragin.
Azken urteotan hainbat ekimen jarri dira abian Euskadin zibersegurtasuna indartzeko. Nahikoak al dira horrelako ekimenak?
Zibersegurtasun kontuetan ez da inoiz nahikoa, baina ahalegianl egiten ditugu. Esparru publikoan, Ertzaintza BCSCren parte da, eta koordinatu egiten gara zibersegurtasuna zabaltzeko. Ezinbestekoa da zibersegurtasuna zabaltzea eta herritarrak eta langileak sentsibilizatzea. Enpresek aukera dute gobernu-erakundeei gizartea defendatzen laguntzeko, eta ildo horretan lan egin behar dugu. Denok batera borrokatu behar dugu zibergaizkileen aurrean. Sarean lan egiten ez badugu, zibergaizkileek lan egiten duten bitartean, partida galduko dugu.
Zer kontzientziazio-maila dago enpresetan, batez ere ETEetan, zibersegurtasunarekin zerikusia duen guztian?
Pixkanaka-pixkanaka aurrera goaz. Enpresa txiki eta ertainek, askotan, ez dute uste zibergaizkileek eraso egingo dietenik. Uste dute hau ez doala beraiekin. Kezkatzen nau enpresak gai horien inguruan kontzientziatzeko hitzaldiak ematen ditudanean teknikariak joaten direla. Nik ez dut jende hori etortzerik nahi, seguraski, nik baino gehiago baitakite gai horien inguruan. Izan ere, langilerik sentsibilizatuenak dira. Prestakuntza eta kontzientziazioa maila guztietan dira garrantzitsuak, eta, horregatik, hainbat gai espezializatu behar dira, laguntzailearen profilaren arabera. Teknikarientzako prestakuntza espezifikoak daude, baina administrazioko edo zuzendaritzako langileentzako prestakuntza espezifikoak ere badaude.Nik hitzaldi horietara CEOak etortzea nahi dut, erakundearen gaineko erantzukizuna duen jendea, egoeraren larritasuna eta gaizkileak nola mugitzen ari diren entzun dezaten. Zibersegurtasuneko arduradunentzat nahikoa kostatzen da profil teknologikorik ez duen norbaitek zibersegurtasuna kostu ekonomiko bat ez den zerbait bezala ikustea. Baliteke enpresan zaintzaileak eta bideokamerak izatea, baina ‘firewall’ bat instalatzea kostatzen da. Segurtasun fisikotik ziberespaziora igarotzeko lanean aurrera jarraitu behar dugu. Enpresetako arduradunek jasaten dituzten arriskuen berri izango balute, zibersegurtasunean gehiago inbertituko lukete.
Zibersegurtasunaren funtsezko alderdi bat erabiltzaileak prestatzea eta sentsibilizatzea da. Segurtasun-katearen parte sentitzea, lehendakariarengandik hasi eta sistema informatiko baterako sarbidea duen azken erabiltzailearenganaino. Denek norabide berean egin behar dute arraunean. Dauden arriskuez jabetu behar dugu, gauza arraro bat eskatzen dietenean, gelditzeko eta informatzeko gai izan daitezen; izan ere, horretan aurrera egiten ez badugu, nahiz eta munduko firewall onena eduki, sistemak arriskuan jar daitezke.
ETEentzako, merkatuak dibertsifikatzeko, atzerriko bekak, nazioarteko lizitazioak, itzuli beharrik gabeko dirulaguntzak esportazioak sendotzeko, ezarpenak egiteko laguntzak edo nazioartekotzeko prestakuntza espezifikoa.
Interesgarria, ezta?