Osane Consulting: “Zibersegurtasunean inbertitzea da gure negozioaren biziraupenaren edo heriotzaren arteko aldea”

Zibersegurtasunak ingurune profesionalean onartu gabeko arloa izaten jarraitzen du oraindik? Enpresak eta enpresariak jakitun al dira jokoan dagoen guztiaz eta konpromiso falta horrek haien enpresen interesentzat ekar ditzakeen ondorio ekonomikoez eta erreputazio mailako ondorioez? Egoeraren larritasuna testuinguruan jartzeko eta antzeko gaiei erantzuteko, Inga Barandiaran Osane Consultingeko zibersegurtasuneko aholkulariak Euskadiko arlo profesionalean izandako ziberdelituen hazkunde geldiezina azaltzeko gako batzuk eman zituen ‘Made in Basque Country’ programaren barruan.

Administrazio publikoaz eta enpresaz harago, hezkuntzaren arloa ere pagotxa bihurtu da zibererasoentzat…

Microsoftek duela hilabete batzuk ohartarazi zuen 30 eguneko analisian hautemandako malwareen % 82 hezkuntzaren sektorera bideratuta zeudela. Gainera, lau hilabetetan hezkuntza-erakundeek 1.000 phishing eraso baino gehiago jaso zituzten eta enpresako mezu elektronikoetan iruzur egiten saiatzeko aukera bikoitza dute beste sektore batzuekin alderatuta.

Zerk uste duzu egiten duela zaurgarri sektore hori?

Garrantzitsua da kontziente izatea eskolek, institutuek, akademiek eta abar ez dituztela enpresa pribatuen baliabide berdinak izaten, hau da, beraien zibersegurtasuneko inbertsioa askoz ere txikiagoa da eta, ondorioz, baita zibersegurtasuneko neurriak ere. Gainera, beraien negozioaren berezko arazoak dituzte, esaterako, ikasleen artean partekatutako ordenagailuak eta tabletak erabiltzen dituzte eta, neurri egokirik izan ezean, erabiltzaileek akatsak egiteko eta malware bat sartzen uzteko aukera gehiago daude.

Euskadiko enpresak oso zaurgarriak dira? 

Ez beste erkidego batzuetan baino gehiago, baina gutxiago ere ez. Gaur-gaurkoz, berretsi dezakegu ETE-en % 100ek zibererasoak jasaten dituztela egunero eta gure enpresen ekosisteman % 90 baino gehiago ETEak dira. Horri industria sektore indartsua dugula gehitzen badiogu, fokuaren pean gaude erabat. Esaterako, inork ez die Internet osoarentzako automatizatutako erasoak igortzen dituzten botei ihes egiten (webgune zaurgarriak, ftps-ak edo ikusgai dauden artxiboen zerbitzariak, urrutiko mahaigain irisgarriak, etab). Hala ere, 2023ko lehen seihilekoan, haietatik % 70ek soilik jasan zuen hackeatze motaren bat (arina izan arren) eraso horien ondorioz.

Euskadiko enpresa-egituran zer nolako kezka dago egun zibersegurtasuneko balizko jazoera batekiko? 

Norberaren neurtzeko modua nahiko subjektiboa da. Beldurra handiagoa da kontzientziazioa baino. Zuena bezalako komunikabideei esker, enpresak gertatzen denaz ohartzen dira, baina jarduteko garaian, zibersegurtasunerako kontu-sailen bat osatzeko aurrekontuak definitu behar dituztenean, gauza bera esaten dute beti: “Seguru asko, ez zaigu halakorik tokatuko, beraz…” Eta zoritxarrez, loteria ez bezala, beti tokatzen da… Aurreikusi ezin dezakeguna da noiz gertatuko zaigun.

Eta zer esan nahi du horrek guztiak?

Hori guztia dela eta, kezka araututako eskakizun edo betekizun bihurtuko da lehenago edo beranduago, eta ingurunea seguruagoa izateaz gain, hornikuntza-kate bakoitzeko gure bezeroekin lan egiten jarraitu ahal izateko betebeharra izango da.

Kontatu dezakezun azken orduko adibiderik aipa dezakezu? 

Adibiderik “ezagunena” Sevillako Udalekoa da, azken egunetan egunkarietako azal guztietan agertu baita, eta administrazio publikoek zein enpresa pribatuek ere zibererasoak jasaten dituztela erakusten du. Kasu honetan, zerbitzu guztiak erabat blokeatuta geratu zitzaizkien, datuak bahitu zizkietelako. Argi izan behar dugu zibererasoak, enpresak bezala, ingurunera egokitzen direla eta, beraz, zibererasotzaileek ere haien jarduteko modua aldatzen dutela beren helburuak lortzeko, etekinak ateratzeko eta pertsonaren ohoreaz gain, erakundearen irudia zapuzteko. Kasurik okerrenetan, herrialde osoak ere mehatxatzen dituzte.

Ez da izango ohartarazi ez delako… 

Zalantzarik gabe! Alde horretatik, OSANEn ekarpena egiten ahalegintzen gara ahal dugun moduan. Erantzukizun sozialeko programak ditugu eta kontzientziazio-kapsulak zabaltzen ditugu gure sare sozialetan, hitzaldiak ematen ditugu eta gure arloan ahal duguna egiten dugu eta ikusgarritasuna ematen diogu. Horrez gain, Euskadiko administrazioak laguntza eskaintzen ari dira enpresek dituzten arriskuen berri izan dezaten eta, jakina, arintzeko neurriak har ditzaten.

Zibersegurtasunaren aldeko kultura falta hori zuzentzeko argudiorik?

Duela 15 urte zibersegurtasunean inbertitzea lehiakortasunerako bereizgarria edo arriskurik handiena zuten enpresentzako prebentzio-neurria izan zitekeen, baina duela bost urtetik, zibersegurtasunean inbertitzea gure negozioaren epe labur/ertaineko biziraupenaren edo heriotzaren arteko aldea da. Eta galdera erraz hau besterik ez dugu egin behar: Nire datu guztiak desagertzen badira biziraun dezake nire negozioak? Erantzuna ezezkoa bada, badakizue zibersegurtasuna kontratatu behar duzuela lehenbailehen.

Eta zibersegurtasunaren kultura zer mailatan dago? 

Zorionez, prestakuntza jasotzen dugun heinean, enpresok eta pertsonok kontzientziazio maila handitzen dugu, baina, zoritxarrez, erritmo hori ez da nahiko gaur egun ziberkrimenaren hazkunde azkarra orekatu ahal izateko. Lehiakorrak izan nahi badugu eta merkatuan jarraitu nahi badugu, zibersegurtasunean inbertitu behar dugu arrazoi oso erraz bategatik: lehiakortasunaren sinonimoa da, eta baita konfiantza sortzen duen faktorea ere.