"La identitat digital va a jugar un paper molt rellevant en la nova era transaccional que viu Internet"
Marcos Gómez, subdirector d'eConfiança de l'Institut Nacional de Tecnologies de Comunicació (INTECO)
Marcos Gómez, sotsdirector d'eConfiança d'INTECO, dependent del Ministeri d'Indústria, Turisme i Comerç, ens explica en aquesta entrevista la importància que aquest nou concepte encunyat, juntament amb la identificació digital, té en el desenvolupament de la Societat de la Informació, així com l'evolució que estan experimentant les amenaces presents en la Xarxa, entre altres aspectes.
Què s'entendria per eConfiança?
eConfiança o Confiança Electrònica és la nova denominació de Seguretat Informàtica en la Societat de la Informació. Dintre del Pla Avança, en l'Àrea de Context Digital, es va definir la línia d'eConfiança per a desenvolupar les distintes actuacions en matèria de seguretat informàtica amb els objectius principals de prestar serveis a la pime i al ciutadà espanyol, elevar la cultura de seguretat i conscienciació en aquesta matèria. L'objectiu principal és augmentar la confiança del ciutadà i la pime espanyola en Internet i els seus avantatges.
En aquest sentit, INTECO ha estat designat en aquest Pla Avança del Govern com a principal organisme per a desenvolupar les actuacions en matèria de confiança electrònica, amb projectes com:
- El Centre Nacional de Respostes a Incidents en Tecnologies de la Informació per a pimes i ciutadans (INTECO-CERT, Computer Emergency Response Team), que integra el reeixit projecte del Centre d'Alerta Primerenca Antivirus (CATA, en les seves sigles en castellà), centre que prestarà serveis de resposta enfront d'incidents.
- El Centre Demostrador de Seguretat per a Pimes, que desenvolupa un catàleg de referència de solucions de seguretat per a la pime, impulsa l'ús de tecnologies de seguretat en el teixit industrial espanyol i la conscienciació de la pime en matèria de seguretat informàtica, és a dir, la principal actuació en matèria de política industrial en el sector de les tecnologies de seguretat.
- L'Observatori de Seguretat de la Informació, projecte que desenvolupa nombrosos estudis i indicadors que descriuen el panorama de la seguretat a Espanya i que recolza la posada en marxa de polítiques publiques en aquest àmbit.
L'eConfiança, seria per tant el principal punt de suport de la coneguda com Societat de la Informació?
Seria un dels principals punts de suport per descomptat, però al tractar-se la seguretat de la informació d’una línia horitzontal que influeix en tota la cadena, han de tenir-se en compte altres punts de suport en els quals ja s'està fent un gran esforç com l'Administració Electrònica, el comerç i banca online, el DNIe, etc.
La usabilitat podria englobar-se dintre de l'eConfiança?
És un factor a tenir en compte, però de nou ens trobem davant un tema molt horitzontal que afecta a altres línies. No es pot entendre la integració de sistemes o aplicacions que integren seguretat sense una component ineludible d'usabilitat que fa que dits sistemes o aplicacions siguin d'ús fàcil o intuïtiu. Una aplicació, sigui o no sigui de seguretat, sense la virtut de la usabilitat perd molts punts perquè complica la configuració, l'ús diari, l'explotació de les seves funcionalitats. És un factor d'èxit que està sent molt bé entès pels fabricants per a aconseguir convèncer al mercat que no és un obstacle per a la utilització dels productes.
Les previsions apunten al fet que el nombre d'intents de frau a través d'Internet va a superar, aquest any, les xifres de 2006. Durant aquests primers mesos de 2007, així mateix, estem assistint als primers atacs maliciosos de phishing a entitats no financeres. Consideraria, per tant, que l'usuari ha d'actuar cada dia amb major cautela?
Ja en l'any 2004, des d'INTECO es va tenir coneixement d'un atac contra organismes o entitats que no són espacialment del món de la banca online o el comerç electrònic, com per exemple proveïdors de serveis de correu electrònic gratuït o administracions electròniques. Aquests nous incidents en els començaments del 2007 ens fa pensar que de nou el món del frau online gira cap a nous focus per a fer diners per part dels ciberdelinqüents. L'evolució del ciutadà ha de ser el més en sintonia possible amb aquestes noves amenaces.
INTECO, gràcies als estudis que realitza, a la potent Xarxa de Sensors de seguretat que té desplegada(mes de 100 organismes públics i privats que col·laboren amb INTECO als quals no cansem d'agrair la seva col·laboració i inestimable ajuda per a detectar nous incidents en la xarxa espanyola) i a l'experiència dels tècnics en el dia a dia, posa a la disposició del ciutadà la informació més actual i contrastada en matèria de seguretat, amb consells, eines de seguretat gratuïtes, notícies de seguretat, alertes i butlletins, etc. Els nous fraus són mes sofisticats, però un factor d'èxit de l'atacant segueix sent l'ús d'enginyeria social acudint a l'engany de l'usuari, pel que si disposem d'eines de seguretat i som cautes és bastant més difícil que ens afecti un incident d'aquesta índole.
Si bé el phishing és l'intent de frau amb major pes en la Xarxa, a què respondria que, tal com reflecteixen les xifres, les activitats fraudulentes comeses a través de troians estiguin augmentant en relació a les realitzades per mitjà del phishing?
En INTECO disposem ja de dades a nivell nacional que descriuen aquest fenomen. La tendència de virus informàtics com es coneixien fa 3 o 4 anys ha disminuït considerablement. Ara tan només un 18% de les amenaces són virus informàtics (cucs, virus de porta del darrere, hoax, etc.), mentre que els troians, amb un 40%, i el spyware, amb un altre 40%, són les amenaces més esteses. INTECO les cataloga com amenaces silencioses ja que oculten la seva activitat a l'usuari i persegueixen el robatori de credencials personals per al seu ús fraudulent i altres accions malicioses com convertir ordinadors o servidors en màquines compromeses que poden donar lloc als famosos zombies, botnets, etc., que poden servir per a l'enviament de spam, atacs de denegació de servei, allotjament de continguts maliciosos o inadequats, etc.
Davant aquesta varietat i proliferació de les amenaces, el major esforç per a combatre-les ha de centrar-se a crear una cultura de seguretat adequada i a l'abast de tots els usuaris? El factor humà és més important que el tecnològic en aquest àmbit?
Els consells en aquest cas són mantenir el sistema protegit amb solucions que integrin diverses funcionalitats de seguretat (antivirus, antispam, tallafocs, antispyware, antiphishing, etc.) disponibles totes elles per exemple en www.inteco.es o en les pàgines de fabricants, actualitzar el nostre sistema amb les actualitzacions que recomanen els fabricants, fer un ús adequat o amb sentit comú del correu electrònic, navegació, missatgeria instantània, P2P, etc.
El factor humà es mesura quant a l'informat que està el ciutadà, el sentit comú amb el qual usa la xarxa, la cautela, és a dir, la cultura de seguretat. La tecnologia és segura i quan es descobreixen forats de seguretat el fabricant redueix al màxim la finestra d'inseguretat de l'aplicació o producte sigui com sigui el programari o el maquinari, i l'atacant intenta buscar "forats" més vulnerables com la confiança de l'usuari.
El correu electrònic és una de les eines que més sofreixen aquest tipus d'accions malintencionades. Creu que encara li queda un llarg camí perquè sigui una forma de comunicació totalment segura i confidencial?
En aquest món tan canviant és difícil expressar-se en termes de temps, uns mesos en la xarxa poden significar anys en altres àmbits com la investigació per exemple en matèria de salut. La integració de la signatura electrònica, l'ús de tecnologies com SPF (Sender Policy Framework), el paper de les operadores, l'ús adequat per part de l'usuari, l'arribada del DNIe, les tecnologies cada vegada més avançades en matèria d'antispam, la regulació adequada, etc., són exemples de millora d'aquesta avantatjosa eina de comunicació. Potser utilitzar l'adjectiu de "totalment" sigui inadequat, la màxima que no existeix el 100% de seguretat es compleix també en aquest camp.
Vostè va participar en l'última edició de l'Internet Global Congress com moderador d'una taula rodona dedicada a la Identificació Digital. Quins van ser les principals conclusions que es van extreure d'aquest col·loqui?
Les principals conclusions que es van obtenir d'aquesta interessant sessió van ser:
- La identitat digital va a jugar un paper molt rellevant en la nova era transaccional que viu Internet.
- Les bases nacionals en qüestions d'impuls a la identificació digital i la certificació electrònica en la xarxa estan suficientment assentades amb projectes com el DNIe o les plataformes d'interconnexió de l'Administració Pública entre distints certificats per exemple. El següent pas és una labor ineludible del sector privat per a integrar-se en aquesta línia d'impuls per a recolzar-se en la identitat digital.
- La identificació digital va més enllà dels atributs clàssics d'un ciutadà en Internet com el seu nom, cognoms, correu electrònic, etc. La nova identitat digital contempla els aspectes realment rellevants de la identitat, és a dir les seves capacitats com ciutadà en la xarxa (un metge, un advocat, un notari, un consultor, etc.) i com eines d'identificació i de trasllat dels seus atributs a la xarxa.
- La identitat digital contempla en els seus distints desenvolupaments i serveis afegits múltiples funcionalitats de seguretat o confiança electrònica, i ha de ser una eina de barrera al robatori d'identitat en la xarxa, a la suplantació i la substracció de credencials personals.
En una societat en la qual cada vegada estan a l'abast del ciutadà un major nombre de tràmits i gestions en format electrònic, sembla lògic que un dels majors esforços es concentri en el camp de la identitat digital. A nivell tecnològic s'estan dedicant grans esforços per a desenvolupar certificats robustos i assegurances, però creu vostè que el conjunt de la ciutadania està preparada per a operar amb ells?
A Espanya, efectivament, s'estan realitzant esforços molt importants des de l'àmbit públic i privat. Afortunadament la cultura sobre l'ús d'un identificador a través del DNI fa que de forma natural el ciutadà s'incorpori a la identitat digital amb el nou DNIe, el qual gràcies als esforços de tota l'administració, especialment del Ministeri de l'Interior, disposarà del mateix en un termini raonable. Fa uns 10 anys ens preguntàvem si el ciutadà estava preparat per a l'ús d'altres tecnologies com els dispositius mòbils, les càmeres digitals, etc.
És lògic pensar que quan s'hagi produït el desplegament hi haurà com sempre sectors minoritaris als quals els costi més l'ús d'aquesta identitat digital, però s'estan asseient les bases perquè aquesta incorporació a operar amb la nostra identitat digital sigui natural i eficient. Espanya compta actualment amb nombrosos serveis associats al DNIe o a altres formes d'identitat digital en la xarxa, i indústries com l'administració electrònica, el comerç i la banca online, l'eSanitat, etc. facilitaran l'ús d’aquesta identitat digital. Hem de ser optimistes i positius i pensar que encara que en altres iniciatives el ciutadà va disposar de tecnologies que duia en la butxaca però que no usava perquè no sabia usar-les o perquè no existien serveis per a usar-les, en aquest cas la inèrcia és molt distinta.
Al maig es va presentar el CERT (equip de resposta a emergències informàtiques) per a Pimes i ciutadans de l'INTECO. Quin serà la seva missió? Tindrà un paper més bé reactivo o preventiu davant els incidents de seguretat?
La missió del CERT d'Inteco o INTECO-CERT serà la d'elevar el grau de confiança de les pimes i ciutadans en les TIC i Internet. Neix de la demanda de donar servei al teixit industrial espanyol, del qual el 94% està format per pimes. Disposarà dels serveis clàssics d'un Computer Emergency Response Team o CERT, que són serveis reactius davant nous incidents que ajudin a recuperar sistemes o informació, i amb serveis preventius i de formació que augmentin la cultura de seguretat, la confiança i el grau de sensibilització de pimes i ciutadans.
Però INTECO està treballant, recolzant-se una vegada més en els estudis que ha realitzat de la demanda de necessitat, del diagnòstic de seguretat a Espanya, per a desenvolupar serveis diferencials que situïn al Centre com referent a nivell nacional i mundial. Ja s'estan elaborant protocols de coordinació amb l'IrisCert, CCN-Cert, etc. per a treballar en la mateixa adreça, es va a participar molt activament en el FIRST i en els grups de treball de Terena i l'ENISA a través de la SETSI del Ministeri d'Indústria, Turisme i Comerç, referents mundials de seguretat de la informació i equips de resposta, etc.
Les dades que obté INTECO dels seus diferents estudis a través de l'Observatori de Seguretat de la Informació, la Xarxa de Sensors d'INTECO i un ampli equip expert en seguretat informàtica seran els punts forts d'aquest Centre de Resposta. A més INTECO ha tingut en compte que ja existeix un mercat que presta serveis de seguretat a pimes i ciutadans pel que un altre dels seus objectius és potenciar i impulsar l'ús de tecnologies de seguretat per a aquests públics objectius.
Les pimes dediquen, en general, suficients recursos a la seguretat informàtica?
Les dades que posseeix INTECO suggereixen que queda encara un camí important per recórrer. En l'ús d'eines bàsiques de seguretat com l'antivirus, Espanya està al capdavant d'Europa amb més del 85% de pimes que disposen d'aquestes solucions, però necessitem créixer en ús d'eines mes completes, a disposar de polítiques de seguretat o sistemes de gestió de seguretat i la informació, a disposar de responsables de seguretat o tècnics que protegeixin la infraestructura de les petites i mitjana empreses.
Les iniciatives d'INTECO i del Govern van encaminades a elevar la cultura de seguretat de pimes i ciutadans, a generar la confiança perquè es recolzin cada vegada més en les TIC per al desenvolupament del seu negoci, a potenciar les tecnologies de seguretat i a seguir estudiant de manera dinàmica l'evolució de la seguretat informàtica per a proveir de polítiques i actuacions d’acord amb la situació en cada moment.
Li agradaria afegir algun comentari més?
En el passat Dia d'Internet es va convidar als ciutadans que encara no eren usuaris de la xarxa a participar en ella, a formar part de la mateixa, a començar a gaudir dels avantatges. INTECO està en sintonia amb aquest missatge, hem de començar a nedar, deixar-nos anar, empassar una mica d'aigua, i començar a manejar-nos en un àmbit ple de possibilitats.
Compartir aquesta informació:
