#ciberamenaçes

Octubre és el mes Europeu de la Ciberseguretat i un cop més, s’ha dut a terme una campanya anual de sensibilització que ofereix orientacions pràctiques per tal que la ciutadania de la Unió Europea es mantingui segura en línia. La campanya ha estat liderada per la Comissió Europea i l’Agència de la Unió Europea per la Ciberseguretat (ENISA), amb suport de diverses organitzacions de tota Europa.

En aquesta ocasió s’ha centrat en les amenaces de phishing, que és el mètode més comú usat pels atacants per a violar la seguretat dels dispositius digitals. En efecte, les estadístiques indiquen que el 60% dels ciberatacs comencen amb el phishing, un intent de robar informació o sistemes d’accés a través de missatges enganyosos o llocs web fraudulents. Però què és el phishing? El phishing pot tenir diverses formes, des de correus electrònics malintencionats als usuaris amb la finalitat que regalin dades confidencials fins a llocs web falsos dissenyats per a capturar detalls d’inici de sessió. Els atacs de phishing i altres amenaces cibernètiques poden tenir conseqüències devastadores, interrompent la nostra infraestructura crítica i negocis, i deteriorant la nostra confiança en el món digital. Per això, aquesta campanya posa molt d’èmfasi en la construcció de coneixement de la ciutadania per a contrarestar aquests atacs, ajudant a fer que fracassin abans que puguin causar dany.

L’Agència de Ciberseguretat de Catalunya ha posat en marxa sota el lema ‘Aixafa l’estafa’ una difusió en mitjans consistent en vuit càpsules amb consells pràctics de ciberseguretat, amb l’objectiu d’oferir eines perquè la població, en especial les persones grans, sàpiguen identificar i evitar les estafes digitals, cada vegada més sofisticades com l’estafa del fill amb problemes, els riscos d’invertir en criptomonedes, la detecció de notícies falses, en què consisteix l’estafa romàntica, quins permisos donem a les aplicacions o la detecció d’estafes en allotjament. Així, amb un format atrevit i en clau d’humor, les càpsules pretenen informar a tothom i fer que es pugui reconèixer i ‘aixafar’ les estafes abans de caure en elles. 

Per altra banda, el passat 16 d’octubre el president del Govern, Pedro Sánchez,  clausurà la dinovena edició del Encuentro Internacional de Seguridad de la Información del Instituto Nacional de Ciberseguridad (INCIBE) destacant que Espanya és “un dels països més compromesos amb la ciberseguretat del món”, amb “capacitats per sobre de la mitja europea”, fruit d’una “estratègia encertada que combina l’anticipació amb el foment de la cooperació entre el sector públic i el privat”.

Serveis Jurídics

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.