“Ziberkriminalen lehentasunezko helburua enpresak eta erakundeak dira”

EuskalHack irabazi asmorik gabeko erakundea da, 2015ean Donostian sortua – Eta Euskadiko lehen hacking ‘etiko elkartea – It munduarekin, segurtasun digitaleko ikerketarekin eta auzitegiko informatikarekin lotutako profesionalek osatua.

Basque Security Center edo ZIUR baino lehenago jaio zen elkartea. Komunikazioak babestu beharra hain nabarmena al zen?
Urteak daramatzagu gure gizartea eta enpresak digitalizatzen ari direla ikusten, eta horrek aldaketa eta aukera handiak eragin ditu, baita zibersegurtasunari lotutako arrisku berriak ere, lehentasunezko eta ezinbesteko premia bihurtu arte. Zibersegurtasunaren egungo ikusgarritasuna ukaezina da, hein batean, ziberintzidenteak esponentzialki handitu direlako eta milioi askoko galerak eragiten ari direlako.

Denok gaude arriskuan, herritarrak, enpresak eta erakundeak?
Eraso zibernetikoen joera handitzen ari da mundu osoan. Hala ere, ez dugu ikuspegi katastrofistarik adierazi behar, eta edozein kontingentziari aurrea hartzeko neurri prebentibo eta erreaktibo egokiak hartzera bultzatu behar dugu. Zorionez, gero eta kontzientzia handiagoa dago horren inguruan, eta zibersegurtasunean egindako inbertsioa gero eta handiagoa da. Ziberkriminalen lehentasunezko helburua enpresak eta erakundeak dira, beren datuak eskuratu ondoren zenbateko ekonomikoa eskatzen baitiete, eta lehentasunezkoak dira osasunaren, bankuen, telekomunikazioen, korporazio handien edo gobernuen sektorea, duela gutxi SEPErekin gertatu den bezala. Herritarrok arrisku handiagoa dugu gure datuak edozein erakunderi konpromisoa hartu ondoren iragazi ahal izateko, edo, bestela, erakunde konprometituren batean zerbitzurik ez ematearen ondorioak pairatzeko. Gainera, gure datu pribatuak ingurune profesionalari eraso egiteko erabil daitezke.

Azken EuskalHack kongresuan ingeniaritza sozialeko proiektu bat abiarazi zuten, non euskal enpresa batzuek parte hartu zuten. Zeintzuk izan ziren ondorio nagusiak?
EuskalHacketik ingeniaritza sozialeko erronka bat antolatzea erabaki genuen, lehen aldiz Europan. Gure helburu nagusia zen teknika horiek inguruko enpresetan duten eraginkortasuna ezagutzea eta enpresa horiei buruzko txosten zehatza idaztea, gomendioak jasoko zituena eta zibersegurtasuneko enpresa, aditu eta auditoreentzako erreferentziazko gida publiko gisa balioko zuena. Ondorio gisa, nabarmentzekoa da parte-hartzaileek beren helburuetatik – Bai iturri publikoetatik, bai deien fasetik – Lortu ahal izan zuten informazio-kopurua. Alderdi horrek agerian uzten du edozein erakunderen erronka nagusietako bat Interneten bere buruari buruz dagoen informazioa kontrolatzeko zailtasuna dela.

Zer bilatzen dute ziberkriminalek eta nola babes daiteke enpresa bat erasoetatik, batez ere baliabide gutxiko ETE bat?
Beren ekintzak diruz lagundu nahi dituzte, enpresei kanpaina maltzurrak eginez. Kasu ohikoenetako bat identitatea ordeztea da. Horren bidez, langile batek Ransomware ‘a deskargatu ahal izango luke, jakin gabe, eta haren datu eskuraezinak ikusi ahal izango lituzke. Datu horien bidez, erreskatea eskatuko litzaioke datu horiek berreskuratzeko. Enpresa baten segurtasunean, langileen kontzientziazioa, segurtasun perimetrala, sarearen segmentazioa, babeskopiak, sistemaren eguneratzea, EPP edo EDR bezalako alderdiak aipa genitzake esperientzia-ariketa gisa. Baliabide gutxiko ETEek segurtasun-zerbitzuen hornitzaile baten esku utz dezakete beren segurtasuna, eta, horrez gain, aldizkako auditorien bidez indartu ahal izango dute. Izan ere, betetzeari buruzko araudia dago (DBEO, LSSI, ISO2700, ENS), abiapuntu egokia izan daitekeena.