Tomàs Roy: “És impossible no tenir incidents de ciberseguretat”

  • Entrevista al director de l'Agència de Ciberseguretat de Catalunya · Parla de l'atac a l'Hospital Clínic de Barcelona i de les mesures de defensa informàtica al sector públic

Els pirates informàtics RansomHouse mantenen a les seves mans milions d’arxius privats que van robar a l’Hospital Clínic de Barcelona. El centre es va poder recuperar en un temps rècord, però no s’ha pogut resoldre la vulneració de la privacitat de treballadors i pacients. RansomHouse demana un rescat de 4,5 milions d’euros i pressiona amb la publicació de píndoles que demostren la magnitud dels documents que tenen, però la Generalitat ja ha assegurat que no pagarà. Un atac tan greu al sistema sanitari torna a posar en relleu la importància de la ciberseguretat, més encara en un món com més va més digital. L’Agència de Ciberseguretat de Catalunya és responsable de protegir l’administració pública dels atacs dels pirates informàtics, però gran part del sistema sanitari encara no era sota el seu paraigua. Amb l’atac del Clínic, ho han accelerat.

El director de l’Agència de Ciberseguretat, Tomàs Roy, parla amb pragmatisme i diu que, si cada dia rebem milers d’atacs informàtics, és normal que alguns facin diana i fereixin. Defensa que, malgrat tot, l’Hospital Clínic tenia bons sistemes de ciberseguretat i van reaccionar bé. En aquesta entrevista il·lustra com s’ho fan per cobrir l’administració i els organismes públics amb el seu paraigua de ciberseguretat.

Com van entrar els pirates al sistema informàtic de l’Hospital Clínic?
—Els treballadors tenien accés a l’entorn virtualitzat, a les carpetes d’arxius. Es va comprometre la credencial d’un usuari i els pirates van poder entrar-hi. Normalment accedeixen amb una credencial, des d’aquí arriben a uns altres sistemes i amb eines de hacking capturen credencials d’administrador que hi ha registrades. Es van poder moure en els entorns d’administració i van tenir accés a un servidor d’arxius, però no van anar més enllà. Van xifratge de la informació, però va haver-hi uns altres controls que els van impedir d’infectar-ho tot. Malgrat que hi ha hagut un incident, es demostra que el nombre de controls era prou perquè quedés restringit en aquestes dades. No és tan trivial com dir que va ser causat per un problema amb les credencials d’un usuari. Seria reductiu, ja comptem que es poden posar en risc.

Assumiu com a natural l’error humà a l’hora de gestionar les credencials, que pot permetre que accedeixin al sistema informàtic?
—Un error humà seria que et digués la meva contrasenya, però aquí no ha passat això.

O que no sigui una contrasenya prou segura o que no es canviï prou sovint.
—Entesos, però això no ho considero un error humà. L’Agència de Ciberseguretat cada dia gestiona entre sis i deu credencials de la Generalitat i l’entorn públic que han estat compromeses. Per què? Perquè algú ha utilitzat aquesta credencial en un altre entorn reutilitzant la contrasenya. Si aquest altre entorn, tant si és el teu gimnàs com Microsoft, es veu infectat, totes aquelles credencials també. Amb els centenars de milers d’usuaris que tenim, cada dia detectem unes deu credencials vàlides que han estat manllevades i són a la internet fosca. A partir d’aquí, avisem els usuaris que han de restaurar-les.

El volum de dades que van robar era molt gros. Van ser gaire temps dins el sistema informàtic abans no saltessin les alarmes?
—No tant, vam trobar una activitat molt ràpida. Des de la intrusió a l’execució, que en general poden trigar unes tres setmanes més o menys, van passar quatre dies. Va ser una cosa molt directa.

Quan es van adonar que havien patit l’atac? Quan ja s’havia fet o abans va saltar alguna mena d’alarma?
—Si es va detectar res, no es va poder evitar. El servei de monitoratge va registrar alertes, però es va fer evident quan de cop va deixar de funcionar tot. No va ser una lluita contra el temps. Hi ha l’incident i després es contacta l’Agència de Ciberseguretat. Ara, quan arribem, trobem la informació de què ha passat. Per això sabem com es va fer i hem pogut fer la nostra anàlisi.

VilaWeb
VilaWeb
VilaWeb
VilaWeb

Una de les coses que va sobtar va ser el ciberatac de resposta que els Mossos d’Esquadra va fer a RansomHouse. No és habitual.
—Gràcies als Mossos d’Esquadra s’han pogut fer accions que ni l’agència ni l’hospital no tenen a l’abast. Amb l’atac de DDOS va obligar l’atacant a innovar i cercar unes altres maneres d’actuar, sense tenir cap retorn. Ha de gastar per mantenir obert el seu negoci. També van restar-li capacitats amb ordres internacionals en entorns on hi havia repositoris amb dades del Clínic. Que els Mossos, amb els mitjans que tinguin, facin el possible per a comprometre la capacitat de publicar dades està bé. Ja tocava.

Els han posat traves, però és evident que no han impedit que les publiquin.
—No ho han evitat de manera rotunda, però va obligar a fer una despesa i va endarrerir almenys dues setmanes la publicació de la informació. Van reaccionar amb un comunicat dient que publicarien més coses, amenaçant, però sense publicar-ho del tot. Continuaven extorquint. De tota manera, publiquen sense un valor concret, per ordre alfabètic.

En aquest comunicat van amenaçar de publicar dades privades de pacients de malalties infeccioses, i ho van complir. Nom complet, adreça de casa, número de telèfon i de la targeta sanitària, diagnòstic i tractament.
—Perquè eren en l’ordre alfabètic.

Fos pel que fos, però sí que saben què tenen.
—No sé els coneixements mèdics que tenen per a interpretar la informació. Hi ha dades mèdiques, sí. Però publiquen les carpetes amb un ordre, que és l’alfabètic.

Encara que els sistemes de defensa de l’Hospital Clínic van evitar mals majors, com dieu, s’han filtrat milions de documents privats. Serà sancionat?
—Això depèn de l’Autoritat Catalana de Protecció de Dades, no de nosaltres. Però això que dius, “l’encara que”, és important. No tothom que té un incident ha de ser sancionat, la llei parla d’una responsabilitat proactiva. El Clínic pot demostrar que en va tenir. És impossible és no tenir incidents, existeixen. El que és important és que no tinguin impacte. I si en tenen, s’han de mirar les mesures que s’havien pres. I en el cas de l’Hospital Clínic demostren una responsabilitat proactiva. És el que diu la llei. També diré que han estat exemplars en l’obligació de comunicació i notificació de l’incident. Si no ens l’haguessin notificat immediatament a nosaltres, als Mossos d’Esquadra i a l’Autoritat Catalana de Protecció de Dades; si no l’hagués comunicat a l’opinió pública i no s’hagués posat en contacte amb els afectats, hauria estat diferent.

Per què no hi havia uns mecanismes prou eficaços per a impedir l’atac?
—Les mesures de ciberseguretat automàtiques tenien un llindar d’actuació per sota de l’incident. Amb la rapidesa que es va fer, l’automatisme no estava preparat per a aturar-lo i la part humana no va tenir prou temps per a sumar evidències i tenir capacitat d’operació. En entorns tan complexos, normalment la detecció d’amenaces és automatitzada. Tenim milers de milions d’atacs i uns dos mil incidents l’any. Tots els que no acaben essent incidents és perquè s’han aturat. Tu pots tenir un llindar de detecció tan elevat que no et deixi treballar, o un de tan baix que tinguis tot els incidents del món… L’Hospital Clínic tenia un nivell de detecció inferior al requerit per a detectar aquest incident.

VilaWeb
VilaWeb
VilaWeb

A vegades fa la sensació que s’assumeix que dels molts atacs que es reben, alguns impactaran i faran mal. Que contra això no s’hi pot fer res, a tot estirar corregir les vulnerabilitats després. Anar a remolc.
—Des del primer minut vam dir que els autors de l’atac de l’Hospital Clínic era RansomHouse, però que no ens encaixava el seu patró de conducta, que podíem detectar, perquè havia estat un atac sofisticat i innovador. Això també ens ha fet innovar a nosaltres, però no estem sols. Hi ha tot el sector de ciberseguretat, fabricants i professionals de tot el món.

Ara un atac d’aquesta mena ja no passaria?
—No. El grau de llindar de detecció ara és molt més elevat, és més sensible a un possible atac, i la capacitat de monitoratge, detecció i anàlisi ha augmentat moltíssim perquè s’ha incorporat al paraigua de protecció de l’Agència de Ciberseguretat.

Sorprèn que fins ara no hi fos.
—El sector sanitari català és únic per virtuós i per complex. Hi havia la planificació per a incorporar al paraigua de l’agència el sector sanitari, igual que l’àmbit universitari i el món local. L’Hospital Clínic demostrava capacitats pròpies de ciberseguretat en comparació amb uns altres hospitals que no tenen tal avenç tecnològic. Una vegada hem vist la sofisticació de les amenaces i la virulència que hi ha en aquest moment envers el sector sanitari, hem accelerat la incorporació durant el 2023 de 68 hospitals. Sembla que amb això agafem tot el sistema de salut, però encara en quedarà molt, tot i que el 95% dels centres d’atenció primària són a l’ICS, que ja és amb l’Agència de Ciberseguretat. És un entorn molt complex, la incorporació era planificada per a fer uns 10 centres l’any, i ara en farem 68 en un sol any.

És en procés o s’ha completat?
—Acabem de començar i la determinació és immediata, perquè ja n’hem fet deu. El programa de la incorporació de l’entorn universitari és a dos anys vista i el del món local va començar l’any passat i es vol accelerar.

Què implica que aquests organismes públics passin a estar protegits pel paraigua de l’Agència de Ciberseguretat?
—Passem a tenir capacitat de detecció i resposta de les seves amenaces principals. La responsabilitat de cada centre és seva, però ens hi coordinem per maximitzar les capacitats de protecció.

Com?
—Una de les amenaces principals és el ransomware, el xifratge de la informació. Per fer-hi front hi ha un programa de còpies immutables, que són diferents de les còpies de seguretat de gestió del dia a dia. És una còpia que una vegada passa l’incident i et desconnectes, l’atacant no la pot xifrar ni esborrar. És una cosa que el Clínic feia. No es van destruir dades, hi són i s’han recuperat.

Què més?
—Una altra cosa que, de fet, també tenia el Clínic i que hem de vetllar perquè sigui a tot arreu és la segmentació de la xarxa. Que quan t’ataquin i es comprometi un actiu, no es comprometin tots. Un usuari no ha de poder accedir a tot arreu, ha de tenir els entorns segmentats.

És habitual que els organismes públics no tinguin aquestes mesures bàsiques?
—Pel que ens hem trobat, el problema no són tant els organismes públics com els proveïdors. Presten servei a més d’un client, però a vegades no els segmenten. Imagina que un proveïdor dóna servei a l’Ajuntament de Barcelona i a la Generalitat de Catalunya, que són dos entorns segmentats i que no tenen res a veure com a xarxa. Però si el proveïdor no segmenta, si es compromet l’Ajuntament de Barcelona, es pot veure compromesa la Generalitat de Catalunya. Per tant, posem el focus en els proveïdors.

Què passa amb la gestió de les contrasenyes?
—Mirem que hi hagi una bona política de credencials. No solament dels administradors, també dels usuaris. És una bona pràctica, per si mai cap es veu compromesa, que sigui en una finestra temporal, perquè es renoven les contrasenyes. També són importants els registres perquè, si hi ha un incident, es pugui esbrinar què ha passat. El Clínic en tenia i vam poder veure quines capacitats havia adquirit l’adversari. Per acabar, hi ha la configuració i l’obsolescència. Si no s’actualitza el programari i les configuracions dels sistemes d’informació, s’originen vulnerabilitats que ja són conegudes. Ni tan sols calen mecanismes sofisticats de hackers. Per què s’han d’inventar una manera sofisticada d’atacar si el troià Emotet encara és vàlid?

Al sector públic hi ha equips i programari obsolet?
—Era una cosa força habitual, però aquests darrers anys ja no passa. Parlo de programari del qual el fabricant ja no té cura, no pas que no tingui l’última actualització. Una obsolescència més important, un Windows XP. On sí que n’hi pot haver és en casos concrets i justificats. Per exemple, quan compres una màquina en l’entorn sanitari esperes un retorn i una amortització a molts anys vista, més de deu. Imagina’t un telèfon mòbil de fa deu anys, ja queda antic. Quan es va invertir en aquell sistema potser no hi havia la sensibilitat amb la ciberseguretat d’ara. Ara, si actualitzar el sistema operatiu significa que no pots fer anar aquell programa, es pren la mesura de no actualitzar-lo. Quan és una decisió conscient, pots protegir la màquina d’unes altres maneres.

Són casos molt concrets. Més enllà d’això, tot el parc informàtic s’ha actualitzat?
—Els contractes no permeten l’obsolescència, el proveïdor ha de mantenir els equips. Són anomalies, i si hi són, són sabudes. Ara, pot passar que un organisme fora del paraigua de l’Agència de Ciberseguretat comprés fa deu anys un servei de correu electrònic però el fabricant ja no en faci manteniment. Aquell servei és obsolet, i pot passar. Ens ho hem trobat.

Parlem d’organismes que no són sota el vostre paraigua, oi? Si hi sou a sobre, no passa?
—Puc garantir que en els contractes que té la Generalitat i els nostres, la gestió de l’obsolescència és inherent. A més, fem auditories, i si en detectéssim, la resoldríem. Aquest problema no el tenim.

Abans d’acabar, veig sobre la taula que teniu un telèfon intel·ligent. Quines mesures de ciberseguretat preneu?
—Cada dia apago i encenc el mòbil. És un iPhone i no tinc els missatges dels iMessage connectats, els he apagat. El grau d’automatisme que hi ha en aquesta aplicació, i per la mena d’amenaces que hi ha a iPhone, no m’aporta res. És un servei que tampoc no faria servir i és una via que és explotable. D’SMS i WhatsApp, sí que en tinc.

Feu servir WhatsApp en compte de Signal?
—Les tinc totes. Depèn de la informació que vulguis compartir. També és important fer-ne un ús correcte, tinc totalment actualitzat el telèfon.

Teniu antivirus?
—Més que això, tenim un MDM. El mòbil està protegit per l’agència. El meu tràfic està supervisat. A més, avui mateix l’he passat per una eina de detecció avançada de programari maliciós. Fem revisions periòdiques als telèfons dels alts càrrecs i avui mateix l’he passada.

Recomanem

La premsa lliure no la paga el govern. La paguem els lectors.

Fes-te de VilaWeb, fem-nos lliures.

Fer-me'n subscriptor
des de 75€ l'any