Segons la revista estatunidenca The New Yorker i el grup d’experts en ciberseguretat de la Universitat de Toronto Citzen Lab, un total de 63 polítics i membres de la societat civil catalana han estat espiats amb el programa informàtic Pegasus entre 2017 i 2020. A més, el Govern de l’Estat espanyol també ha informat que, segons el Centro Criptológico Nacional, els telèfons mòbils del president del Govern, Pedro Sánchez, i de la ministra de Defensa, Margarita Robles, també van ser intervinguts per Pegasus. Aquest software maliciós o spyware, dissenyat per l’empresa israeliana NSO Group Technologies, se centra a vulnerar els sistemes de seguretat de telèfons mòbils iOS i Android, instal·lant-s’hi a través d’un enllaç. Un cop dins, l’atacant li pot donar ordres en control remot i és capaç de llegir missatges, localitzar l’usuari a través de GPS, escoltar trucades o recollir contrasenyes, entre d’altres.
L’escàndol Pegasus ha situat la política catalana i espanyola en el centre de totes les mirades, però des de m4Social ens porta a reobrir el debat sobre la ciberseguretat davant el procés imparable de digitalització que viu la societat i, en conseqüència, el Tercer Sector. Com afronten les entitats socials la seguretat de les dades que utilitzen? Disposen d’un pressupost per a ciberseguretat? Actualitzen de manera constant el software de seguretat? És interessant recuperar l’Estudi sobre l’Estat de la Digitalització del Tercer Sector on vam identificar les fortaleses i les mancances de les entitats del Tercer Sector amb relació a la de seguretat informàtica i la protecció de dades. Repassem algunes de les dades clau de l’informe!
Seguretat informàtica i protecció de dades
Amb l’objectiu de millorar en eficàcia i eficiència, moltes entitats del Tercer Sector es veuen obligades a adoptar noves eines tecnològiques de manera accelerada, i aquest creixement, en molts casos, pot venir acompanyat d’un augment de riscos tecnològics de l’organització. En entorns com el Tercer Sector, on les persones estan al centre de l’atenció, és especialment important que es garanteixin els drets dels usuaris. Aprendre de les dades que es generen ha de permetre millorar la qualitat de vida de les persones, i això converteix en indispensable demostrar que les dades s’utilitzen en els contextos adequats i amb objectius legítims. Segons l’Estudi, les entitats són conscients que treballen amb dades sensibles i més de la meitat donen compliment a la RGPD i tenen les auditories periòdiques al dia (60%), i un altre percentatge molt gran han avaluat els riscos i confien en com recopilen i gestionen les dades dels seus usuaris i usuàries (39%).
Accions per garantir la seguretat
La ciberdelinqüència creix a un ritme molt accelerat, amb noves tendències emergint contínuament. En aquest sentit, vam decidir preguntar a les entitats quines accions estan duent a terme per garantir la seva informació i la dels seus usuaris i usuàries. Les accions més recurrents, per ordre, són referents a la seguretat de les contrasenyes, tractament de dades, virus i malwares, i seguretat del maquinari (USB, portàtils, tauletes i telèfons). Pel que fa a la gestió del software de seguretat, aproximadament el 60% de les entitats tenen un equip (extern o intern) que s’encarrega d’altres aspectes tècnics (web, servidor, etc.) que dona suport quan tenen un problema. D’altra banda, en el cas de la ciberseguretat, es pot visualitzar com la gran majoria d’entitats no tenen un pressupost assignat (78%).
L’impacte de la pandèmia i el teletreball
El 29% de les entitats socials, tot i haver incrementat el teletreball a conseqüència de la pandèmia, no consideren que la seguretat en la gestió de dades i en l’ús dels equips quedi afectada de forma rellevant. El 22% confirmen que a l’haver incrementat el teletreball, han pres mesures en relació amb la seguretat en la gestió de les dades i en l’ús dels equips. Aquestes entitats estan representades per organitzacions grans i mitjanes i obtenen un grau de digitalització superior.
Pel que fa a les mesures que realitzen les entitats per garantir la seguretat dels equips informàtics utilitzats per persones usuàries, detectem que encara un 10% de les entitats no tenen contrasenyes en els equips, un 19% no té cap mena de limitació i un 16% no els revisa ni fa neteges periòdiques en ells. Per contra, un 32% fa un control de manera proactiva i un 38% tenen limitades les seves funcionalitats. També un 47% tenen diferenciada la xarxa d’accés dels ordinadors de les persones treballadores de l’entitat i els seus usuaris. Aquesta pregunta és rellevant en la mida en què, com indica l’estudi de Bretxa Digital de m4Social, moltes persones ateses per entitats socials accedeixen a la xarxa a través d’equipaments públics o de les entitats, ja què no poden accedir al seu domicili.
El certificat digital, una eina contra el frau
La digitalització dels certificats ofereix moltíssimes possibilitats pel que fa a la logística, transferència i seguretat d’aquests certificats. La certificació digital és el nostre gran aliat contra el frau. En l’actualitat, s’ha convertit en la principal forma de garantir, de forma tècnica i legal, la identitat d’una persona. I no només això, permet la signatura electrònica de documents i el xifratge de comunicacions. Es tracta de ciberseguretat i, per descomptat, és un certificat de garantia. Pel que fa al Tercer Sector, segons l’Estudi, el 51% de les entitats té el certificat digital i el gestiona el/la representant legal de l’entitat al seu propi equip informàtic.
L’any 2019, segons l’Observatori de Delictes Informàtics el nombre de delictes produïts va ser de 218.302, un 97% superior a l’any 2018. Donat aquest creixement exponencial, hem volgut conèixer si les entitats alguna vegada han tingut alguna incidència relacionada amb la seguretat informàtica. Un 29% han respost que sí que han tingut incidències informàtiques, però sense conseqüències importants, mentre que un 6% s’han trobat amb problemes greus derivats d’aquests atacs informàtics. Tot i això, un 65% mai ha patit una situació de risc, dels que un 26% tenen protocols d’actuació definits.
La ciberseguretat i la protecció de dades estan íntimament relacionades entre elles: l’ús de les dades és una constant estratègica en la gestió de les entitats i, per tant, també un risc tenint en compte la seva criticitat en la gestió dels serveis així com per la tipologia de les dades gestionades, generalment molt sensibles. Per això és clau que les entitats del Tercer Sector garanteixin la seguretat de les dades que utilitzen i puguin afrontar les amenaces online per preservar la seguretat dels seus processos.
Recorda que pots avaluar el teu grau de maduresa digital i el teu nivell de seguretat informàtica i de protecció de dades amb el Digital Checkup, una eina d’autodiagnosi.