Els estats membres de la UE acorden els requisits de seguretat dels productes digitals

Amb l’objectiu de garantir que els productes amb components digitals, com ara càmeres domèstiques connectades, neveres intel·ligents, televisors i joguines, siguin segurs abans d’entrar al mercat, els representants dels estats membres (Coreper) van arribar a una posició comuna sobre la proposta de legislació sobre la ciberseguretat horitzontal.

L’acord avança en el compromís de la Unió Europea cap a un mercat únic digital segur. Els diferents objectes connectats a la xarxa han d’aportar un nivell bàsic de ciberseguretat quan es venguin dintre de les fronteres de la Unió. Així mateix, cal garantir que les empreses i els consumidors estiguin eficaçment protegits contra les amenaces cibernètiques.

L’esborrany de reglament introdueix requisits obligatoris de ciberseguretat per al disseny, desenvolupament, producció i posada a disposició del mercat de productes de maquinari i programari per evitar la superposició de requisits derivats de diferents legislacions dels estats membres de la UE.

El reglament proposat s’aplicarà a tots els productes connectats directament o indirecta a un altre dispositiu o a la xarxa. Hi ha algunes excepcions per als productes per als quals els requisits de ciberseguretat ja estan establerts a les normes de la UE existents, per exemple, en dispositius mèdics, aviació o vehicles.

La proposta pretén omplir els buits, aclarir els enllaços i fer que la legislació de ciberseguretat existent sigui més coherent assegurant que els productes amb components digitals, per exemple, els productes inclosos en l’anomenat Internet de les coses, siguin segurs al llarg de tota la cadena de subministrament i al llarg del seu cicle de vida sencer.

Finalment, el reglament proposat també permet als consumidors tenir en compte la ciberseguretat a l’hora de seleccionar i utilitzar productes que contenen elements digitals, oferint als usuaris l’oportunitat de prendre decisions informades de productes de maquinari i programari amb les característiques de ciberseguretat adequades.

La posició comuna del Consell Europeu manté l’eix general de la proposta de la Comissió, a saber:

• Normes per reequilibrar la responsabilitat del compliment envers els fabricants, que han de garantir la conformitat amb els requisits de seguretat dels productes amb elements digitals que es posen a disposició al mercat de la UE, incloses obligacions com ara l’avaluació del risc de ciberseguretat, la declaració de conformitat i la cooperació amb les autoritats competents.

• Requisits essencials per als processos de gestió de vulnerabilitats per als fabricants per garantir la ciberseguretat dels productes digitals, i obligacions per als operadors econòmics, com ara importadors o distribuïdors, en relació amb aquests processos.

• Mesures per millorar la transparència en la seguretat dels productes de maquinari i programari per als consumidors i usuaris empresarials i un marc de vigilància del mercat per fer complir aquestes normes.

No obstant això, el text del Consell Europeu modifica diverses parts de la proposta de la Comissió, incloent-hi els aspectes següents:

• L’abast de la legislació proposada, inclòs pel que fa a les categories específiques de productes que haurien de complir els requisits del reglament.

• Obligacions d’informar de vulnerabilitats o incidents explotats activament les autoritats nacionals competents (Equips de resposta a incidents de seguretat informàtica – CSIRT) en lloc de l’agència de la UE per a la ciberseguretat (ENISA), amb aquesta última que estableix una plataforma única de notificació.

• Elements per a la determinació de la vida útil del producte prevista pels fabricants.

• Mesures de suport a les companyies petites i les microempreses.

• Una declaració de conformitat simplificada.  

_____

Esta entrada en español / This post in English / Post en français

IOCTA 2023: el cibercrim s’ha convertit en un gran negoci

Segons l’informe d’Europol sobre l’evolució de la ciberdelinqüència des d’una perspectiva policial, cal anar oblidant el clixé d’una figura solitària i encaputxada toquerejant un teclat d’ordinador i adaptar-nos a la realitat actual i futura, amb grups de delinqüents que operen com a sindicats comercials més enllà de les fronteres administratives.

La novena edició de l’Avaluació d’amenaces de la delinqüència organitzada a Internet (IOCTA) d’Europol analitza en profunditat l’ecosistema criminal en línia i n’examina els actors destacats, els seus vectors d’atac i el paper de les víctimes.

El ciberdelicte ha esdevingut un gran negoci, amb tota una economia il·lícita establerta per donar-li suport amb proveïdors de serveis, reclutadors i serveis financers. Això fa que la investigació dels atacs cibernètics sigui cada cop més desafiant per a les forces de l’ordre, amb múltiples actors especialitzats que treballen en parts del procés penal des de tots els racons del món.

L’IOCTA d’Europol té com a objectiu proporcionar informació i comprendre el ciberdelicte modern per equipar les forces policials amb el coneixement per a defensar-se. Aquest document i els mòduls que l’acompanyen es basen en informació operativa aportada al Centre Europeu de Delictes Cibernètics d’Europol, combinada amb coneixements d’experts i en intel·ligència de fonts obertes.

L’enfocament i estructuració de l’informe és el següent:

• Els serveis de ciberdelinqüents estan entrellaçats i la seva eficàcia és codependent.

• Tècniques similars per a diferents objectius. • El producte central són les dades robades.

• Mateixes víctimes, múltiples delictes.

• Les comunitats clandestines per educar i reclutar ciberdelinqüents.

• Què passa amb els guanys criminals?

• El suport d’Europol.

El resum actual presenta les principals troballes sobre les diferents tipologies de delictes cibernètics, és a dir, atacs cibernètics, esquemes de frau en línia i explotació sexual infantil en línia.

Amb aquest darrer estudi presentat per Europol, queda clar que la ciberdelinqüència, en les seves diferents formes, representa una amenaça creixent per a la Unió Europea.

Ciberatacs, explotació sexual infantil en línia i fraus en línia són delictes molt complexos que es manifesten en tipologies molt diverses. Els delinqüents continuen mostrant alts nivells d’adaptabilitat a les noves tecnologies i a l’evolució de la societat, alhora que millora constantment la seva cooperació i especialització.

Els delictes cibernètics tenen un abast ampli i causen un dany molt greu a les persones, públiques i privades, a les organitzacions i a l’economia i la seguretat de la UE.  

_____

E·sta entrada en español / This post in English / Post en français

Acord europeu per garantir un nivell alt i comú de ciberseguretat

La presidència del Consell Europeu i els negociadors del Parlament han arribat a un acord provisional sobre un reglament destinat a garantir un nivell alt i comú de ciberseguretat a les institucions, òrgans, oficines i agències de la UE.

Les mesures van ser proposades per la Comissió el mes de març de l’any 2022 en el context d’un augment significatiu del nombre de ciberatacs sofisticats que van afectar l’administració pública de la UE en els darrers anys.

El nou reglament crearà un marc comú per a totes les entitats de la UE en l’àmbit de la ciberseguretat i millorarà la seva capacitat de resiliència i resposta a incidents. Les noves normes han d’ajudar les entitats de la UE a prevenir i contrarestar els ciberatacs, que s’han tornat cada cop més freqüents en els últims anys.

Per garantir uns estàndards comuns elevats entre les institucions de la UE, les noves normes exigeixen que estableixin un marc de governança, gestió de riscos i control en l’àmbit de la ciberseguretat.

Totes les entitats de la Unió també hauran d’implementar mesures de ciberseguretat per abordar els riscos identificats, realitzar avaluacions periòdiques de la maduresa de la ciberseguretat i posar en marxa un pla de ciberseguretat.

Amb el nou reglament, també es reforçarà el mandat de l’Equip de Resposta a Emergències Informàtiques de la UE (CERT-EU) i passarà a denominar-se Servei de Ciberseguretat per a les Institucions, Òrgans, Oficines i Agències de la Unió, mantenint l’acrònim actual.

CERT-EU assessorarà totes els organismes de la UE i els ajudarà a prevenir i detectar les incidències i donar-hi resposta. També actuarà com a centre d’intercanvi d’informació i coordinació sobre ciberseguretat i resposta a incidents. Totes les entitats de la UE hauran de compartir informació no classificada relacionada amb incidents amb CERT-EU sense demora indeguda.

A més, el nou reglament ha d’establir un Consell de Ciberseguretat interinstitucional per impulsar-ne i supervisar-ne l’aplicació per part de les diverses agències de la Unió.

El nou consell també supervisarà la implementació del CERT-EU de les prioritats i objectius generals i li proporcionarà una direcció estratègica. El consell estarà format per representants de totes les institucions i òrgans assessors de la UE, el Banc Europeu d’Inversions, el Centre Europeu de Competència en Ciberseguretat, l’Agència de la Unió Europea per a la Ciberseguretat (ENISA), el Supervisor Europeu de Protecció de Dades, l’Agència de la UE per al Programa Espacial, així com representants de la xarxa d’agències de la UE. La secretaria del consell anirà a càrrec de la Comissió Europea.

L’acord provisional s’acabarà ara en la fase tècnica i després es presentarà als ambaixadors de la UE dels estats membres per a la seva confirmació. Un cop confirmat tant al Consell com al Parlament, serà adoptat formalment per totes dues institucions.

En les seves conclusions del 20 de juny de 2019, el Consell Europeu va convidar les institucions de la UE, juntament amb els estats membres, a treballar en mesures per millorar la resiliència i la cultura de seguretat de la UE davant les amenaces cibernètiques i híbrides de fora de la Unió, i a protegir millor les xarxes d’informació i comunicació de la UE, i els seus processos de presa de decisions, d’activitats malicioses de tot tipus.

El reglament és una de les mesures previstes a l’Estratègia de ciberseguretat de la UE per a la dècada digital, presentada per la Comissió i l’Alt Representant de la Unió per a Afers Exteriors i Política de Seguretat el desembre de l’any 2020 per reforçar la resiliència col·lectiva de la UE davant les ciberamenaces.

En les seves conclusions del 22 de març de 2021 sobre aquesta estratègia, el Consell va subratllar que la ciberseguretat és vital per al funcionament de l’administració i les institucions públiques tant a nivell nacional com de la UE i per a la nostra societat i l’economia en el seu conjunt.

_____

Esta entrada en español / This post in English / Post en français

Una pausa en el desenvolupament de la IA és la resposta?

Els espinosos reptes que plantegen els xatbots i la IA no desapareixeran de sobte. Així ho planteja el web especialitzat en seguretat Oodaloop. I tot i que moltes persones ben informades i ben intencionades han signat una petició demanant una pausa de sis mesos en la investigació avançada d’IA, fer-ho és poc realista i poc prudent. Els problemes plantejats són complexos, enredats i difícils de resoldre perquè són increïblement enrevessats i polièdrics. Implica tantes parts interessades, dominis que s’entrecreuen i interessos en competència que fa difícil d’abordar-los. Una pausa en la investigació tecnològica no ajudarà a resoldre aquests enigmes humans.

El que hi ajudarà són els compromisos públics sistemàtics, metòdics i massius que informen els projectes pilot associats amb les implicacions empresarials i civils de la intel·ligència artificial a nivell nacional i local. Tothom es veurà afectat per les promeses i els perills potencials del canvi tecnològic en el pensament presentat pels avenços en IA. Per tant, tothom hi hauria de tenir veu, i tothom hauria de treballar per garantir que les societats estiguin ben informades i preparades per prosperar en un món que canvia ràpidament i que aviat semblarà molt diferent.

A primera vista, aturar-ne el desenvolupament pot semblar convincent donats els reptes que plantegen els grans models de llenguatge (LLM), però hi ha diverses raons per les quals aquest enfocament és defectuós. Per començar, és essencial tenir en compte la competència global. Fins i tot si totes les empreses nord-americanes acceptessin una pausa, altres països continuarien la seva investigació en IA, fent que qualsevol acord nacional o internacional fos menys efectiu.

En segon terme, la difusió de la IA ja està en marxa. L’experiment Alpaca de la Universitat de Stanford va demostrar que es podria perfeccionar perquè coincidís amb les capacitats de XatGPT-3 per menys de 600 dòlars. Aquest avenç accelera la propagació de la IA fent-la més accessible per a diversos actors, inclosos aquells amb mala intenció.

En tercer lloc, la història ens ensenya que una pausa en la IA podria conduir a un desenvolupament secret. Aturar públicament la investigació en IA podria impulsar les nacions a dur a terme investigacions avançades en IA en secret, cosa que podria tenir conseqüències nefastes per a les societats obertes. Aquest escenari és semblant al de la Convenció de l’Haia de 1899, on les grans potències van prohibir públicament els projectils plens de verí, només per continuar la seva investigació en secret, i finalment van desplegar gasos nocius durant la Primera Guerra Mundial.

De cara al futur, per abordar amb eficàcia els reptes que sorgeixen de la IA, caldria fomentar un enfocament proactiu, orientat als resultats i cooperatiu amb el públic. Els laboratoris d’idees o think tanks i les universitats poden involucrar el públic en converses sobre com treballar, viure, governar i conviure amb les tecnologies modernes que afecten tota la societat. Mitjançant la participació de veus diverses en el procés de presa de decisions, es pot abordar i resoldre millor els complexos reptes que presenta la IA a nivell local i nacional.

A més, caldria animar els líders industrials i polítics a participar en la recerca de solucions no partidistes i multisectorials per tal que la societat civil es mantingui estable. Treballant junts, es pot superar la bretxa entre els avenços tecnològics i les seves implicacions socials.

Finalment, és essencial posar en marxa plans pilot d’IA en diversos sectors, com ara el treball, l’educació, la salut, el dret i la societat civil. Caldria aprendre com es poden crear entorns civils responsables on les IA es puguin desenvolupar i desplegar de manera responsable. Aquestes iniciatives poden ajudar a comprendre i integrar millor la intel·ligència artificial a les nostres vides i assegurar-nos que el seu potencial s’aprofiti per al bé general alhora que se’n mitiguen els riscos.

_____

Esta entrada en español / This post in English / Post en français

Com protegir-se del crim al metavers

El metavers té el potencial d’alterar la nostra manera d’interactuar i de relacionar-nos els uns amb els altres i amb la tecnologia. Tanmateix, també hi ha possibles inconvenients i riscos, igual que amb qualsevol nova tecnologia. Els possibles problemes amb la privadesa, la seguretat i la legislació formen part del costat negatiu del metavers. Així ho explica en un informe publicat recentment la web Cointelegraph.

Un dels principals problemes amb les plataformes del metavers és la privadesa. Les persones poden revelar dades sensibles i informació personal al metavers, augmentant el risc de pirateria i violacions de dades. A més, pot haver-hi menys supervisió i regulació sobre com les empreses recullen i utilitzen aquestes dades, cosa que podria facilitar un ús indegut de les dades personals.

En ser un entorn virtual, el metavers està obert a diversos riscos de seguretat, com ara la pirateria, el robatori de propietat intel·lectual i l’ús indegut de les dades dels usuaris, que poden provocar la pèrdua de dades personals, danys financers i danys a la reputació i l’estabilitat de les comunitats virtuals. Per exemple, els delinqüents poden utilitzar el metavers per cometre delictes addicionals, propagar programari maliciós o robar dades personals.

La regulació és un altre problema, perquè el metavers és un entorn jove i que canvia molt ràpidament. Els governs i altres institucions poden tenir dificultats per mantenir-se al dia amb la tecnologia i no tenen els recursos o les eines necessaris per governar-la amb èxit. Aquesta absència de supervisió pot provocar problemes com, per exemple, activitats il·legals o existència de continguts perillosos.

A més a més, tampoc està clar com afectarà el metavers la societat, perquè és una àrea totalment nova que es desenvolupa i es transforma molt ràpidament. Mentre que alguns experts afirmen que la tecnologia crearà més opcions per a la comunitat i la connexió, d’altres responen que només farà augmentar l’alienació i l’aïllament social.

En aprofitar els defectes dels sistemes virtuals i el comportament dels usuaris, com ara infeccions de programari maliciós, estafes de pesca i accés il·legal a informació personal i financera, els ciberdelinqüents s’aprofiten del metavers de diverses maneres:

  • Estafes de pesca: els lladres poden utilitzar tècniques de pesca per enganyar les víctimes perquè revelin informació personal o credencials d’inici de sessió, que després es poden utilitzar per robar la identitat o dades o per a altres actes il·legals.
  • Pirateria: per robar diners o informació personal, els delinqüents poden intentar piratejar comptes d’usuari o plataformes de metavers.
  • Programari maliciós: per accedir a dades sensibles o dur a terme operacions il·lícites, els delinqüents poden utilitzar programari maliciós per infectar entorns virtuals o dispositius compatibles amb el metavers.
  • Fraus: els delinqüents poden aprofitar l’anonimat i la regulació laxa del metavers per dur a terme estafes o esquemes piramidals.
  • Programari de segrest: els lladres poden utilitzar ransomware per xifrar les possessions digitals o les dades personals d’un usuari abans de sol·licitar el pagament a canvi de la clau de desxifratge.
  • Explotació de béns i actius virtuals: els ciberdelinqüents poden utilitzar robots o altres eines per comprar béns i actius virtuals, que després venen al mercat negre per diners reals.
  • Creació d’actius digitals falsos: els delinqüents poden crear actius virtuals falsos i vendre’ls a compradors incauts, fent que les víctimes pateixin pèrdues financeres.
  • Enginyeria social: els lladres poden aprofitar els elements socials del metavers per guanyar-se la confiança de la gent abans d’estafar-la.

_____

Esta entrada en español / This post in English / Post en français

El Consell Europeu aprova les conclusions per un posicionament cibernètic comú

El Consell Europeu ha aprovat unes conclusions sobre el desenvolupament del posicionament de la Unió Europea davant les ciberamenaces. La postura pretén demostrar la determinació de la UE de donar respostes immediates i a llarg termini als actors de les amenaces que busquen negar a la UE un accés segur i obert al ciberespai i afectar els seus interessos estratègics, inclosa la seguretat dels seus socis.

Els ministres, entre altres coses, demanen a la Comissió Europea que proposi requisits comuns de ciberseguretat de la UE per als dispositius connectats i els processos i serveis associats. També conviden les autoritats rellevants, com l’Agència de Ciberseguretat de la UE (ENISA), a formular recomanacions per reforçar la resiliència de les xarxes de comunicacions i infraestructures dins de la UE. Així mateix, el Consell subratlla la importància d’establir exercicis cibernètics periòdics per provar i desenvolupar la resposta interna i externa de la UE als incidents cibernètics a gran escala.

El ciberespai s’ha convertit en un escenari per a la competència geopolítica i, per tant, la UE ha de ser capaç de respondre de manera ràpida i contundent als ciberatacs, com ara les ciberactivitats malicioses dirigides a la Unió i als seus estats membres, i fer un ús total de tots els seus instruments. Els actors hostils han de ser conscients que els ciberatacs contra els estats membres i les institucions de la UE es detectaran aviat, s’identificaran amb rapidesa i es combatran amb totes les eines i polítiques necessàries.

A les conclusions, el Consell destaca les cinc funcions de la UE en l’àmbit cibernètic:

1. Reforçar la resiliència i les capacitats de protecció. El comportament maliciós al ciberespai, que emana tant d’actors estatals com no estatals, s’ha intensificat en els darrers anys, inclòs un augment brusc i constant d’activitats dirigides a les infraestructures crítiques i a les cadenes de subministrament.

2. Millorar la solidaritat i la gestió integral de la crisi. Davant els actuals canvis geopolítics, la força de la Unió rau en la unitat, solidaritat i determinació, i la implantació de la Brúixola Estratègica, que ha de fer millorar l’autonomia estratègica de la UE i la seva capacitat de treballar amb els socis per salvaguardar-los, respectant els seus valors i interessos, inclosos en el ciberdomini.

3. Promoure la visió de la UE del ciberespai. Consolidar la pau i l’estabilitat al ciberespai i a favor d’un ciberespai obert, lliure, global, estable i segur, i coordinar accions a curt, mitjà i llarg termini per prevenir i determinar amenaces i atacs cibernètics i donar-hi resposta.

4. Millorar la cooperació amb els països socis i organitzacions internacionals. Necessitat d’elevar el nivell general de ciberseguretat de la UE, i ràpida adopció del projecte de la Directiva sobre mesures per assolir un alt nivell comú de ciberseguretat a tota la Unió (NIS), el projecte de Reglament sobre la resiliència operativa digital per al sector financer (DORA) i el projecte de Directiva sobre resiliència de les entitats crítiques (CER).

5. Prevenir els ciberatacs, defensar-se’n i respondre-hi. Les autoritats competents, com ara l’Organisme de Reguladors Europeus de Comunicacions Electròniques (BEREC), l’Agència de Ciberseguretat de la Unió Europea (ENISA) i el Grup de Cooperació de Seguretat de la Xarxa i de la Informació (NIS), juntament amb la Comissió, formular recomanacions basades en una avaluació de riscos als estats membres i la Comissió Europea per tal de reforçar la resiliència de les comunicacions, xarxes i infraestructures dins de la Unió Europea.

_____

Esta entrada en español / This post in English / Post en français

Europol: 23 detinguts per frau de correu electrònic comercial COVID-19

Les autoritats de Romania, els Països Baixos i Irlanda han descobert un esquema de frau sofisticat que utilitza correus electrònics  i fraus de pagaments per avançat, com a part d’una acció coordinada per l’Europol.

El 10 d’agost d’enguany, 23 sospitosos van ser detinguts en una sèrie d’operacions realitzades simultàniament als Països Baixos, Romania i Irlanda. En total, es van escorcollar 34 habitatges. Es creu que aquests delinqüents han estafat empreses d’almenys 20 països amb aproximadament un milió d’euros.

El frau va ser liderat per un grup de delinqüència organitzada que abans de la pandèmia de la COVID-19 ja oferia il·legalment altres productes ficticis a la venda en línia, com ara pellets de fusta. L’any passat els delinqüents van canviar el seu modus operandi i van començar a oferir materials de protecció després de l’esclat de la pandèmia.

Aquest grup criminal, format per nacionals de diferents països africans residents a Europa, va crear adreces de correu electrònic falses i pàgines web similars a les que pertanyen a empreses majoristes legítimes. Fent-se passar per aquestes companyies, aquests delinqüents haurien enganyat les víctimes, principalment empreses europees i asiàtiques, per emetre ordres i sol·licitar-los pagaments per avançat per tal que els béns s’enviessin.

Tanmateix, el lliurament de la mercaderia mai no es va produir i la recaptació es va rentar a través de comptes bancaris romanesos controlats pels delinqüents abans de ser retirada als caixers automàtics.

L’Europol ha donat suport a aquest cas, des del seu inici l’any 2017, amb les accions següents:

• Reunir els investigadors nacionals de totes les parts que han col·laborat estretament amb el Centre Europeu de Ciberdelinqüència (EC3) d’Europol per preparar-se per al dia de l’operació.

• Proporcionar anàlisi i desenvolupament d’intel·ligència contínua per donar suport als investigadors de camp.

• Desplegar dos dels seus experts en ciberdelinqüència en les operacions als Països Baixos per donar suport a les autoritats holandeses amb la comprovació creuada de la informació en temps real recopilada durant l’operació i amb l’obtenció de proves pertinents.

Eurojust va coordinar la cooperació judicial a la vista de les investigacions i va donar suport amb l’execució de diversos instruments de cooperació judicial.

Aquesta acció es va dur a terme en el marc de la Plataforma Multidisciplinària Europea contra les Amenaces Criminals (EMPACT).

Van participar en aquesta acció les següents autoritats policials:

• Romania: Policia Nacional (Poliția Română)

• Països Baixos: Policia Nacional (Politie)

• Irlanda: Policia Nacional (An Garda Síochána)

• Europol: Centre Europeu de Ciberdelinqüència (EC3)

_____

Esta entrada en español / This post in English / Post en français

El Consell Europeu adopta conclusions sobre el futur digital d’Europa

El mes de desembre del 2020, el Consell Europeu va aprovar unes conclusions en què reconeix l’ús més elevat de productes de consum i dispositius industrials connectats a internet i els riscos que això comporta per a la privacitat, la seguretat de la informació i la ciberseguretat.

Considera que els dispositius connectats, entre els quals s’inclouen les màquines, els sensors i les xarxes que componen l’internet de les coses, desenvoluparan un paper fonamental en la configuració del futur digital d’Europa.

Les conclusions defineixen les prioritats per abordar aquesta qüestió crucial i fomentar la competitivitat mundial de la indústria europea de l’internet  de les coses garantint el màxim nivell de resiliència, seguretat i protecció.

Les conclusions fan èmfasi en la importància d’avaluar si es requereix una legislació horitzontal a llarg termini per abordar totes les qüestions relacionades amb la ciberseguretat dels dispositius connectats, com la disponibilitat, la integritat i la confidencialitat, cosa que suposaria també especificar les condicions necessàries per comercialitzar-los.

Entre altres conclusions destaquen les següents:

  • La Unió Europea i els seus estats membres han de garantir la sobirania digital i l’autonomia estratègica, preservant alhora una economia oberta.
  • A més de garantir un nivell alt de seguretat dels dispositius connectats, també és important sensibilitzar més els consumidors sobre els riscos que aquests dispositius poden generar en la privacitat i la seguretat.
  • Subratlla que cal establir normes, criteris o especificacions tècniques en matèria de ciberseguretat per als dispositius connectats i recomana reforçar la tasca de les organitzacions europees de normalització en aquest àmbit.
  • La ciberseguretat i la privacitat s’han de considerar requisits essencials en la innovació de productes, així com en els processos de producció i desenvolupament, inclosa la fase de disseny, i s’han de garantir al llarg de tot el cicle de vida del producte i en tota la cadena de subministrament.

Finalment, la certificació de ciberseguretat, que es defineix en el Reglament sobre la ciberseguretat, serà essencial per augmentar el nivell de seguretat del mercat únic digital. ENISA, l’Agència de l’UE per a la Ciberseguretat, ja està treballant en esquemes de certificació de la ciberseguretat, i en les conclusions es convida a la Comissió que consideri sol·licitar propostes d’esquemes de certificació de la ciberseguretat per als dispositius connectats i els serveis connexos.

_____

Esta entrada en español / This post in English / Post en français

Informe sobre ciberdelinqüència 2020

El mes d’octubre passat, Europol va publicar l’informe IOCTA, Internet Organised Crime Threat Assessment. El IOCTA té com a objectiu informar els responsables de la presa de decisions en els àmbits estratègic, tàctic i operatiu sobre les amenaces de la ciberdelinqüència. El IOCTA del 2020 contribueix a establir prioritats per als plans d’acció operatius del 2021, que segueixen les tres prioritats actuals definides següents:

1) Interrompre les activitats delictives relacionades amb atacs contra sistemes informàtics.

2) Lluitar contra l’abús sexual infantil i l’explotació sexual infantil, inclosa la producció i difusió de material.

3) Orientar-se als delinqüents implicats en fraus i falsificacions de mitjans de pagament que no siguin en efectiu, inclòs el frau amb targetes de pagament a gran escala (especialment el frau no present amb targeta), les amenaces emergents a altres mitjans de pagament no en efectiu i la possibilitat d’activitats.

A més, el IOCTA té com a objectiu consolidar els resultats sobre les ciberamenaces actuals, que podrien contribuir a la discussió de les prioritats de recerca i desenvolupament, així com a la planificació a escala de la UE.

L’esclat de la pandèmia de COVID-19 ha demostrat el desafortunat potencial d’impacte d’aquesta crisi en la nostra vida quotidiana arreu del món. A mesura que els bloquejos físics es van convertir en la norma, la ciberdelinqüència va ser més activa que abans. En tot cas, la COVID-19 va demostrar com la ciberdelinqüència continua essent el mateix, però els delinqüents adapten les característiques específiques del seu enfocament per adaptar-se al context social com a mitjà per millorar la seva taxa d’èxit. La diferència amb la COVID-19 és que, a causa de les restriccions físiques adoptades per aturar la propagació del virus, amb un augment posterior del treball des de casa i l’accés remot als recursos empresarials, moltes persones i empreses que abans no havien estat tan actives en línia, la crisi les va convertir en un objectiu lucratiu.

Les activitats tradicionals de delictes cibernètics, com ara la pesca per correu electrònic (phishing) i les estafes amb habilitats cibernètiques, van explotar ràpidament la vulnerabilitat social, ja que molts ciutadans i empreses buscaven informació, respostes i fonts d’ajuda durant aquell temps. La propagació de la desinformació augmenta les oportunitats de la ciberdelinqüència. La pandèmia també va donar lloc a campanyes i activitats de desinformació.

L’enginyeria social continua sent una amenaça principal per facilitar altres tipus de ciberdelinqüència.  L’ús d’aplicacions de xat xifrades i de propostes de la indústria per expandir aquest mercat comporta un risc substancial d’abús i dificulta la detecció i la investigació d’activitats delictives en línia per a les forces de l’ordre.

Les comunitats de delinqüents en línia presenten una resistència considerable i evolucionen contínuament. Finalment, la transmissió en directe d’abusos sexuals infantils continua augmentant i es fa encara més freqüent durant la crisi de la COVID-19.

_____

Esta entrada en español / This post in English / Post en français

Com la COVID-19 condiciona la delinqüència

Durant el passat mes de novembre, Europol va publicar un informe sobre els condicionants de la pandèmia de la COVID-19 en l’àmbit de la criminalitat i el terrorisme a la Unió Europea.

Tot i que la pandèmia és, en primer lloc, una crisi de salut pública mundial, també ha demostrat tenir un significatiu i potencial impacte durador en el panorama del crim organitzat i del terrorisme a Europa, així com la capacitat de les autoritats policials dels estats membres de contrarestar aquestes amenaces a la seguretat.

Mentre Europa està de ple en l’anomenada segona onada de la pandèmia, l’impacte en la delinqüència ha anat canviant amb el pas del temps. Tot i que alguns tipus de delinqüència són aquí per quedar-s’hi, d’altres van i venen amb l’evolució de la pandèmia i les seves mesures. Tanmateix, també hi ha una consciència més elevada de la ciutadania, que ha fet reduir l’impacte d’alguns tipus de delictes.

Europol destaca algunes línies delictives que han guanyat protagonisme en la pandèmia, com les activitats criminals lligades a la distribució d’equips de protecció individual falsificats, productes farmacèutics i sanitaris falsos, etc. I cal no oblidar l’augment dels robatoris a instal·lacions mèdiques i farmàcies.

Pel que fa a l’àmbit delictiu de l’abús sexual infantil, ha continuat sent una gran preocupació durant la pandèmia, però agreujat perquè els infants passen més temps en línia i, per tant, augmenta potencialment el risc.

Mentre que el nombre de robatoris domèstics i de robatoris comuns generalment ha disminuït per les conseqüències immediates de la introducció de les mesures de control de la COVID-19, aquests crims han anat en augment des de la relaxació de les restriccions de bloqueig. Destaca el robatori de botigues i de locals comercials desocupats, així com la manipulació dels caixers automàtics, el robatori de coure i el robatori de vehicles lleugers de la construcció.

També s’ha utilitzat l’engany en diverses modalitats, com la suplantació de representants d’autoritats públiques o de personal mèdic per accedir a cases particulars o empreses amb l’objectiu de robar-hi.

Les campanyes de temàtica pandèmica han aparegut en una àmplia gamma d’activitats de ciberdelinqüència, incloent-hi campanyes de suplantació d’identitat, ransomware, programari maliciós i atacs per correu electrònic comercial. Les organitzacions sanitàries i les relacionades amb la salut també han estat objecte d’atacs de ransomware.

L’impacte de la crisi en el mercat de la droga de la UE sembla que ha estat limitat. Alguns delinqüents van adaptar el seu modus operandi en la distribució de drogues per eludir les barreres. Cal destacar també un  augment de la violència, com les tensions entre els usuaris de drogues.

L’impacte de la pandèmia sobre el terrorisme i l’extremisme violent ha estat limitat i principalment ha implicat que alguns extremistes adaptessin narratives i materials de propaganda al tema de la COVID-19.

_____

Esta entrada en español / This post in English / Post en français