ACN Barcelona / Lloret de Mar / Sant Just Desvern / Lleida – L’Agència de Ciberseguretat de Catalunya ha gestionat 287 ciberatacs a administracions del món local des del 2022. L’atac a l’Hospital Clínic de principis de març ha posat el focus sobre la ciberdelinqüència, però que institucions públiques pateixin aquesta situació no és excepcional. Ajuntaments el de Lloret de Mar, el 2019, o el de Sant Just Desvern, el 2020, ja han patit aquesta situació, mentre altres ja treballen preventivament, com la Paeria de Lleida, que ha posat en marxa un Centre d’Operacions de Ciberseguretat, que fa una vigilància permanent. El director de l’Agència de Ciberseguretat, Tomàs Roy, aposta per un model únic de protecció per blindar aquells ajuntaments que tenen “menys capacitats”.
L’Agència de Ciberseguretat està definint plans de protecció de diferents sistemes i entorns en àmbits com l’educatiu o el sanitari, però també en les administracions públiques. El director de l’Agència, Tomàs Roy, assegura que els atacants “no miren la mida, sinó l’oportunitat que es genera”, motiu pel qual el món local també és un dels seus objectius. Un atac dificulta molt les tasques de les administracions, que es queden pràcticament “a paper i bolígraf”.
Roy avisa que a vegades “hi ha incidents que no es detecten”, però que posteriorment oden oferir serveis de recuperació i suport de restabliment. Una de les problemàtiques més comunes és la fuita de credencial: “N’hi ha entre sis i deu al dia; cada fuita que detectem la corregim perquè deixa les dades compromeses”, explica.
Aquesta pràctica deriva directament d’errors “humans”. “Fem un patrullatge continu per detectar les fuites que són conegudes, es notifica l’obligació de fer un canvi de credencial i és com començar de nou, tornes a ser igual de robust”, assenyala Roy. El consell, però, és no clicar, perquè en aquests casos els cibercriminals busquen una participació activa.
<strong>Model únic de protecció</strong>
L’Agència de Ciberseguretat de Catalunya, resol, en global, un incident cada tres hores. Per fer front a aquest volum, aposta per un model únic de protecció per blindar aquells ajuntaments que tenen “menys capacitats”. “És una lluita compartida i volem que els grans participin d’aquests projectes perquè ens hem de protegir entre tots, involucrant actors i prestant serveis”, afirma Roy.
Pel que fa al futur de la ciberseguretat, el director de l’Agència de Ciberseguretat remarca la importància de “no competir” i crear una “funció pública i universal” que permeti disposar d’uns serveis i una digitalització segura. “No és una fase més, sinó que forma part de la pròpia transformació”, apunta, “s’han de generar espais perquè es pugui anar de la mà”.
<strong>Lloret de Mar: “L’antivirus més important són els usuaris”</strong>
La lluita dels ajuntaments contra els ciberatacs ja fa anys que s’arrossega. El 23 de setembre del 2019, l’Ajuntament de Lloret de Mar (Selva) en va patir un de tipus ‘ransomware’, el mateix que l’Hospital Clínic. Es tracta d’un conjunt de virus que “encripten tots els arxius amb una clau indesxifrable”. El cap del Departament d’Informàtica del consistori, Francesc Masdeu, recorda que els treballadors van començar a trucar per informar que “no funcionava res” i que no podien obrir cap fitxer. Dins de cada directori, els atacants van deixar un fitxer ‘html’ “amb dues adreces de correu irrastrejables”, moment que els va permetre comprovar que l’atac era “provocat i intencionat”.
L’Ajuntament de Lloret de Mar mai va escriure a les adreces facilitades pels ciberdelinqüents. Per això, no saben quants diners els demanaven per al rescat. A causa d’aquesta infecció, el consistori va quedar aturat gairebé dues setmanes. Els informàtics van començar a restaurar cada ordinador des de l’última còpia de seguretat i actualitzant l’antivirus. En tres o quatre dies, tot estava restaurat, però els ordinadors es van tornar a infectar perquè hi havia una variant del virus que no va ser detectada per l’antivirus. Aquesta segona vegada, l’atac va penetrar al servidor de còpies. “Dels 60 o 70 servidors que teníem, no en quedava res”, recorda Masdeu, desolat. El consistori mantenia totes les dades de les còpies, però van haver de tornar a configurar els servidors i restaurar els ordinadors per segon cop.
Mentrestant, l’ajuntament no funcionava. Es van paralitzar concursos públics, licitacions i altres procediments administratius. Arran del ciberatac, es van substituir els ordinadors per escriptors virtuals, que “són més fàcils de gestionar”, a més d’altres canvis en ciberseguretat. Aquestes inversions van permetre, per exemple, que l’administració no hagués de fer cap tipus d’adaptació per permetre el teletreball amb l’arribada de la pandèmia.
Tot i les mesures que es van prendre, Masdeu admet que “mai quedes exempt de tornar a patir un altre ciberatac”, motiu pel qual fa una crida a la conscienciació dels treballadors perquè no descarreguin fitxers sospitosos. “L’antivirus més important són els usuaris, perquè són la porta d’entrada dels virus externs”, insisteix.
L’Ajuntament de Lloret de Mar va denunciar el cas al Mossos d’Esquadra, però mai han rebut cap novetat sobre la investigació. Masdeu veu creu que “difícilment” arribaran a esbrinar-ho perquè “era un treball molt professional”. No temem, però, per la filtració de dades personals, perquè l’atac va consistir només en un segrest de les dades i el negoci d’aquest tipus de ciberatac es basa en vendre la clau per desencriptar els fitxers, no vendre els arxius a la ‘darkweb’.
<strong>Sant Just Desvern: “Mai tens la garantia que no et tornaran a atacar un cop has pagat”</strong>
En el cas de Sant Just Desvern (Baix Llobregat), el consistori va patir un ciberatac tipus ‘ransomware’ el novembre del 2020. Va afectar tot el seu programari i els servidors. Això, per exemple, va fer impossible que es pogués actualitzar el padró d’habitants o que la població pogués dur a terme cap altre tràmit o consulta per internet.
El cap d’informàtica de l’Ajuntament, Pere Galindo, explica que van trigar unes tres setmanes en restablir el sistema. Admet, però, que malgrat tot van tenir “sort” perquè els atacants no van poder accedir a la base da des, sinó que només van aconseguir bloquejar els servidors amb la intenció de demanar un rescat.
En aquest cas, van ser els atacants els qui van intentar contactar amb el consistori per demanar-los el rescat. Tanmateix, remarca Galindo, mai van respondre a la petició de contacte ni tampoc es van plantejar pagar. “No ens ho vam plantejar mai perquè és molt difícil tenir la seguretat que et donaran les claus per desencriptar els servidors”, explica, “i tampoc tens mai la garantia que no et tornaran a atacar un cop has pagat”.
Galindo admet que, en el moment del ciberatac, el consistori “no estava preparat”. L’atac es va produir pocs mesos després del confinament per la covid-19, un moment en què el departament d’informàtica va haver de posar a punt els sistemes perquè els treballadors es connectessin des de casa “en un termini de dos dies”. “Vam intentar fer-ho amb les màximes garanties de seguretat, però no van ser suficients”, constata.
Pel que fa a la capacitat de les administracions de fer front a aquests atacs, Galindo assegura que els recursos són “molt limitats”. “El que nosaltres hauríem de saber de ciberseguretat està molt lluny del que saben els hackers”, afirma, motiu pel qual demana “més recursos i més conscienciació”. Per això, Galindo demana posar el focus en la importància de la ciberseguretat.
<strong>Centre d’Operacions de Ciberseguretat a la Paeria de Lleida</strong>
Per fer front als ciberatacs, els ajuntaments també apliquen mesures preventives. És el cas de la Paeria de Lleida, que al novembre va començar a desplegar el Centre d’Operacions de Ciberseguretat (SOC), que ha rebut fons Next Generation i que és el primer que s’ha implantat en català i que utilitza instruments del Centre Criptològic Nacional. Incorpora intel·ligència artificial i monitoratge en temps real, mil·lèsima de segon a mil·lèsima de segon, de totes les infraestructures digitals municipals: 182 servidors, 28 fonts, 62 servidors web, 28 barreres (firewalls) i 1.800 usuaris amb ordinador.
Dels més de 500 milions d’esdeveniments o accions digitals que es poden registrar en un mes, els tallafocs ja existents prèviament detecten i bloquegen més de sis milions d’amenaces.
El cap de Sistema d’Informació i Ciberseguretat de la Paeria, Carles Giné, explica que, amb els atacs que han rebut les administracions en els últims anys, ha calgut millorar la seguretat per anar posant “més eines per fer que siguin més difícils”. Tot i això, remarca que el risc sempre hi és, però que amb les eines del Centre d’Operacions es pot anticipar un atac. El centre garanteix una vigilància permanent les 24 hores del dia de tot l’any.
