Presentació d'Eloi Font (UIC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.
2. Revolució digital
INTERNET (en 1’)
• 433 M tuits
• 44 M ‘whats’
• 4.2 M de cerques a GOOGLE
• 1.3 M vídeos vistos aYOUTUBE
ESPANYA
• Smartphones: 87% usuaris (60% fa 3 anys)
• Missatgeria instantània: 70% mòbils
• Internet: 5,2% del PIB
Ciberseguretat i compliance
7. I. Estafes
PHISHING
• Usurpació d’identitat (email,
perfil xarxes socials, etc.) per a
enganyar a l’usuari i obtenir
dades privades (contrassenyes,
comptes, etc.)
• Per donar credibilitat es solen
utilitzar marques/logos
d’entitats de prestigi
Ciberseguretat i compliance
8. 1. Estafes (cont.)
PHARMING
• Modificació de la direcció IP d’una entitat de manera que el
navegador redirigeix a l’usuari a una direcció IP que allotja una web
falsa que suplanta a l’entitat
FRAU ONLINE
• Ús de mitjans electrònics per recopilar dades per a fins il·lícits
Ciberseguretat i compliance
9. II. Fuita d’informació
ESPIONATGE INDUSTRIAL
• Accés als sistemes informàtics d’una empresa per obtenir
informació privilegiada
Ciberseguretat i compliance
10. III. Danys informàtics
MALWARE
• Software amb l’objectiu de danyar i infiltrar-se sense consentiment
del propietari del sistema d’informació (troians, spyware, backdoors,
etc.)
EXTORSIÓ/RANSOMWARE
• Segrest de les dades d’un ordinador per demanar un rescat
econòmic
• Xifra les dades del ordinador i es demana rescat econòmic per
facilitar la clau que el desxifri
Ciberseguretat i compliance
11. IV. Atacs DDoS
ATACS DE “DENEGACIÓ
DEL SERVEI”
• Tècniques que tenen per
objectiu deixar un servidor
inoperatiu, sobrecarregant-lo
(peticions massives simultànies)
per impedir als usuaris utilitzar
els seus serveis
Ciberseguretat i compliance
12. IV. Atacs DDoS (cont.)
• Normalment es fan a través de xarxes d’ordinadors zombis
(Botnet) controlats remotament pel ciberhacker sense que els
propietaris en siguin conscients
• Atacs complexos perquè es fan servir nombrosos equips
Ciberseguretat i compliance
13. V. Informació falsa/negativa
FAKE NEWS / DENIGRACIÓ
• Ús de trolls per difondre o fer créixer sentiments negatius cap a
usuarios o empreses
• Efecte “Streisand”
• “Do Not Feed theTroll”
Ciberseguretat i compliance
15. Ciberdelinqüència
CREIXEMENT EXPONENCIAL
• Procedimients judicials per ciberdelictes: 22.575
- Increment del 9,93% respecte a 2014
- Increment del 88,90% respecte a 2013
- Increment del 245% respecte a 2011
• Increment d’investigacions per ciberdelictes (vs 2014)
- Delictes de danys informàtics (106%)
- Descobriment i revelació de secrets (53%)
- Assetjament sexual a menors a través de lasTIC (63%)
- Conductas d’intimidació a través de lasTIC (110%)
- Atemptats contra l’integritrat moral de les persones (74%)
Ciberseguretat i compliance
16. Ciberdelinqüència
MOLTS CIBERDELICTES SENSE RESOLDRE
• Ciberdelictes coneguts (60.154) vs. esclarits (19.372)
- 16,8% per amenaça i coacció
- 4% per accés i interceptació il·lícita
- 3,9% per falsificació informàtica
- 3,5% contra l’ honor
Ciberseguretat i compliance
17. Conclusions preliminars
RECORREGUT LIMITAT D’ESTRATÈGIES DEFENSIVES
• Manca de mitjans i de formació dels agents que hi han de lluitar
(policies, jutges, advocats)
• Col·laboració entre Autoritats/Països poc àgil i ràpida
LEGISLADOR EMPENY A ORGANITZACIONS A
IMPLANTAR MODELS PREVENTIUS
• CODI PENAL: responsabilitat penal PJ
• RGPD: importants sancions administratives (2-4% volum de negoci)
• ALTRES: Prevenció de blanqueig, Normativa laboral, etc.
Ciberseguretat i compliance
20. I. Àmbit penal
Responsabilitat per accions dels representants legals i
treballadors
Conseqüències: sancions elevades, suspensió de
llicències, intervenció judicial, clausura temporal i
dissolució
Models de prevenció de delictes (MPD) amb caràcter
previ è Exoneració de responsabilitat
Ciberseguretat i compliance
21. I. Àmbit penal (cont.)
COMITÉ DE COMPLIANCE / COMPLIANCE OFFICER
CANAL DE DENÚNCIES (WHISTLEBLOWING)
CODI ÈTIC
PROTOCOLS ESPECÍFICS
• Anticorrupció
• Riscos medioambientals
• Usos de mitjans i dispositius electrònics
• Crisis de reputació online
• Ús de blocs i xarxes socials
• Etc.
Ciberseguretat i compliance
22. II. Àmbit protecció de dades
DPO (DATA PROTECTION OFFICER) – OBLIGATORI EN
ALGUNS SUPÒSITS
NOTIFICACIONS DE BRETXES DE SEGURETAT
(OBLIGATORI)
PRIVACY BY DESSING + AVALUACIONS D’IMPACTE
AUDITORIES DE SEGURETAT
PROTOCOLS drets accés, rectificació, cancel·lació,
supresió, limitació i portabilitat
Ciberseguretat i compliance