De les dades personals a la ciberguerra: nous models per millorar la ciberseguretat

La ciberseguretat és un aspecte important d'un món cada cop més digital. L'escalada dels atacs informàtics afecta nivells molt diversos: des de la seguretat de les dades privades de l'usuari fins a les ciberguerres, passant per la propietat intel·lectual de l'empresa privada, entre altres. En un panorama canviant, es fa necessari adoptar nous models i aplicacions que permetin encarar aquests problemes de manera eficient.

Precisament, un doctorand de la Universitat Oberta de Catalunya (UOC), Régner Sabillón, dissecciona aquests models en la seva tesi, Digital Forensics Assessment, Cyberlaw Review and Cybercrime Analysis to Enforce Cybersecurity. The Importance of Cybersecurity Audits, Assurance, Awareness and Training, dirigida pels professors i investigadors Jordi Serra, dels Estudis d'Informàtica, Multimèdia i Telecomunicació, i Víctor Cavaller, dels Estudis de Ciències de la Informació i de la Comunicació. La recerca revisa diversos casos d'estudi i posa de manifest la importància d'adoptar mesures adequades per protegir la informació dels ciberatacs. Així, el desenvolupament d'aquesta tesi ha cristal·litzat en el llibre Cyber Security Auditing, Assurance, and Awareness Through CSAM and CATRAM, reconegut com a millor recomanació per al 2021 sobre ciberseguretat segons el portal americà BookAuthority.

L'obra posa de manifest la necessitat d'una evolució en models de seguretat i l'avanç constant dels problemes de ciberseguretat que afecten tant els nivells més alts de les institucions com la població, passant per l'entorn laboral i l'Administració pública. Segons Víctor Cavaller, la recerca ha suposat una «revisió extensa dels sistemes de ciberseguretat que s'estan implementant a escala mundial en diverses organitzacions». El treball proposa, així, models d’auditoria, prevenció i sensibilització «de gran utilitat i que han estat aplicats en diverses institucions, les quals han millorat la seva protecció digital», apunta el professor. «Aquesta recerca dona com a fruit una oportunitat de conèixer la maduresa de la ciberseguretat en les institucions i empreses. És un bon punt de partida per a la seva millora, tal com es demostra en la continuació del treball fet, explicat als articles científics publicats», assenyala Jordi Serra, qui també és investigador del grup K-riptography and Information Security for Open Networks (KISON), de l’Internet Interdisciplinary Institute (IN3) de la UOC.

Sabillón, professor de l’Escola de Computació i Ciències de la Informació i de la Facultat d’Administració d’Empreses de la canadenca Universitat Athabasca, a més de consultor TIC i de ciberseguretat, posa de manifest en el seu treball els diversos problemes existents actualment en aquesta matèria. Les problemàtiques afecten el «robatori d'informació personal, sensible dels individus, fins a la manipulació de propietat intel·lectual per a les empreses. Els cibercriminals sempre estan modernitzant la sofisticació dels seus atacs», afirma el doctorand del programa de doctorat de Tecnologies de la Informació i de Xarxes de la UOC.

La ciberguerra no és una ficció

Els ciberatacs són una problemàtica creixent a mesura que el nostre dia a dia és cada cop més digital. És una evolució esperable, però potser no anticipada. D'acord amb l'informe ISACA «State of Cybersecurity 2020», explica l'expert, el 32 % dels participants coincideixen a afirmar que els atacs han augmentat sensiblement durant l'any 2020. «Entre els més comuns», concreta Sabillón, «hi ha els basats en enginyeria social, les amenaces persistents avançades i els atacs de ransomware —el segrest del sistema mitjançant un programari que codifica les dades per impedir-ne l'ús i amb l'objectiu d'extorsionar-ne el propietari—».

Això no afecta únicament empreses privades. Organitzacions governamentals, associacions, altres tipus d'entitats i usuaris particulars són víctimes de la manca d'una bona ciberseguretat. Entre els més preocupants s'expliquen els atacs a gran escala, que impliquen països i interessos administratius de gran importància. «És el que veiem actualment entre les potències mundials com els Estats Units, la Xina o Rússia», explica el doctorand. «Hi ha molts casos respecte d'aquesta qüestió, tot i que encara no hi ha un consens sobre què podríem anomenar ciberguerres, malgrat que el domini ciber- ha estat reconegut com el component més nou de qualsevol guerra convencional».

Com a exemples, l'expert assenyala possibles ciberatacs llançats presumptament per Rússia com a mitjà de dissuasió en contra de països com Geòrgia i Ucraïna, i que, de vegades, han acabat en alguna acció de caràcter militar. A causa de l'omnipresència de l'entorn digital, i també del seu avanç ràpid, els atacs informàtics evolucionen cada dia, i exploten els punts febles que es troben en la seva variació constant. Aquest panorama, afirma Sabillón, requereix nous models i mesures capaces d'afrontar de manera efectiva el problema.

Les solucions innovadores i la conscienciació

La recerca ha explorat diversos casos d'estudi sobre el desenvolupament i la validació dels models denominats d'auditoria de ciberseguretat i de formació per a la conscienciació en ciberseguretat (CSAM i CATRAM, respectivament, per les sigles en anglès). El doctorand n'ha analitzat la implementació i capacitat per sostenir i auditar les estratègies nacionals de ciberseguretat, fent una cobertura extensa sobre una àmplia gamma de temes com ara l'anàlisi forense, la prova digital i la gestió d'incidents que aporten una visió profunda sobre la recerca més actual en matèria de models de formació dins de la gestió i la consciència de la ciberseguretat.

«L'auditoria de ciberseguretat (o CSAM) és un model innovador i exhaustiu que inclou l'avaluació òptima de la ciberseguretat en qualsevol organització, i pot verificar pautes específiques per als països que planegen implementar una estratègia de seguretat cibernètica o política de ciberseguretat, o volen avaluar l'efectivitat de les que ja tenen en vigor», explica Sabillón. El CSAM, segons indica, permet dur a terme auditories internes o externes en aquesta matèria. «Qualsevol entitat té l'opció de fer una auditoria completa per a tots els dominis de ciberseguretat o simplement seleccionar-ne alguns d'específics per auditar certes àrees que necessitin verificació de control i reforç», aclareix.

Per la seva banda, el model de formació per a la conscienciació de la ciberseguretat (o CATRAM) ha estat dissenyat per impartir la formació inicial en qualsevol organització. «També serveix per reintroduir un enfocament de capacitació millor en conscienciació per a la ciberseguretat existent o per a un programa de formació específic sobre seguretat de la informació», explica l'expert.

Actualment, hi ha països que tenen estratègies nacionals de ciberseguretat completes i complexes. No obstant això, apunta Sabillón, molts altres, especialment estats en vies de desenvolupament, encara no donen prou importància a aquesta qüestió. «Generalment, els països líders assignen molts recursos per a les seves estratègies nacionals. Entre ells hi ha els Estats Units, els Països Baixos, el Regne Unit, Austràlia, el Canadà, Singapur, Malàisia i la mateixa Unió Europea per mitjà de la seva agència ENISA», explica. La implementació de models com CSAM i CATRAM, apunta el doctorand de la UOC, es planteja com un bon punt de partida tant en les estratègies deficients com en la millora de les que ja s'han engegat.

Aquesta tesi doctoral de la UOC afavoreix l'objectiu de desenvolupament sostenible (ODS) 9 de l'Agenda 2030 de les Nacions Unides, per construir infraestructures resilients, promoure la industrialització sostenible i fomentar la innovació.

Llibre relacionat

UOC R&I

La recerca i innovació (R+I) de la UOC contribueix a solucionar els reptes a què s'enfronten les societats globals del segle xxi, mitjançant l'estudi de la interacció entre la tecnologia i les ciències humanes i socials, amb un focus específic en la societat xarxa, l'aprenentatge en línia i la salut digital. Els més de 500 investigadors i 51 grups de recerca s'articulen entorn dels set estudis de la UOC i dos centres de recerca: l'Internet Interdisciplinary Institute (IN3) i l'eHealth Center (eHC).

Els objectius de l'Agenda 2030 de desenvolupament sostenible de les Nacions Unides i el coneixement obert són eixos estratègics de la docència, la recerca i la innovació de la UOC. Més informació: research.uoc.edu. #25anysUOC