Etiqueta: Seguretat informàtica

Aprenentatges de l’informe anual 2024 sobre amenaces en matèria de ciberseguretat

Notes de seguretatDeixa un comentari

Fa pocs dies es va publicar l’informe anual 2024 sobre amenaces en matèria de ciberseguretat de Recorded Future, del Grup Insikt. L’informe analitza les tàctiques, tècniques i procediments dels actors d’amenaça i les seves motivacions a partir del 2024 amb l’objectiu d’informar amb dades sobre la gestió del risc cibernètic i donar eines per a la detecció d’amenaces.

A grans trets sosté que el panorama de la ciberseguretat el 2024 va ser modelat per la resiliència de les xarxes criminals i la complexitat creixent de les superfícies d’atac empresarial a causa de l’ús creixent de productes SaaS, que en nombrosos casos va desembocar en accessos no autoritzats a dades empresarials i institucionals a causa de l’augment de credencials robades.

I que les accions per frenar les operacions de ransomware van tenir un impacte limitat com a conseqüència que els delinqüents s’hi van anar adaptant. A més, l’informe exemplifica com diversos actors finançats pels estats van utilitzar IA generativa per a operacions d’informació i creació d’estats d’opinió, especialment durant les eleccions a més de 70 països, per facilitar objectius geopolítics.

Les prediccions per al 2025 inclouen desenvolupadors que utilitzen IA per aconseguir codis més segurs, la possibilitat de fraus en el món de les criptomonedes que podrien conduir a una desestabilització del mercat i noves amenaces com a conseqüència de la implementació de la Intel·ligència Artificial Generativa.

Conclusions principals

L’adopció creixent de SaaS (Software as a Service) amplifica el risc de les explotacions d’identitats, amb credencials robades a les quals s’accedeix mitjançant programari maliciós per robar informació que causa danys importants. Aquestes infeccions per robar informació, sovint dirigides a dispositius personals, van obtenir més credencials per infecció que en anys anteriors, augmentant el risc per als ecosistemes SaaS.

Els grups d’extorsió proliferen malgrat l’acció policial. Les accions de les forces i cossos de seguretat van interrompre els principals grups criminals de ransomware, però els delinqüents es van reorganitzar en grups més petits, demostrant la seva resiliència operativa.

La fabricació, la sanitat i la construcció van ser les indústries més atacades pels grups de ransomware, cosa que reflecteix patrons d’orientació específics per sectors estratègics.

Els grups criminals associats a l’Iran, la Xina i Rússia van apuntar a infraestructures crítiques civils en ciberatacs disruptius, fent un pas més en els conflictes híbrids que dominen cada vegada més les noves guerres contemporànies.  

La IA generativa accelera la propagació de contingut no autèntic en un any electoral històric. Les operacions d’influència maligna patrocinades per estats confien cada cop més en GenAI per elaborar i distribuir contingut enganyós per influir en les eleccions a tot el món.

Tàctiques i tècniques disruptives dificulten la detecció. Els grups criminals utilitzen cada cop més eines de supervisió i gestió remota (RMM) per evadir la detecció, impulsats per la seva eficiència operativa. Les tàctiques que impliquen l’evasió de la defensa van mostrar el major augment, destacant una tendència cap a estratègies que no impliquen escriure codi al disc.

Prediccions pel 2025

S’espera una violació important de la suplantació de la IA a les aplicacions SaaS, i es revelaran noves intrusions d’APT xinesos a la infraestructura crítica dels EUA.

Un incident cibernètic d’alt impacte probablement implicarà macOS o programari maliciós per a mòbils, i el frau criptogràfic donarà lloc a un esdeveniment desestabilitzador del mercat.

Els desenvolupadors adoptaran la IA per fer la transició al codi nou, i els EUA avançaran cap a l’harmonització de la regulació cibernètica.

_____

Esta entrada en español / This post in English / Post en français

Els estats de la UE acorden una posició comuna per reforçar la ciberseguretat

Notes de seguretatDeixa un comentari

Per reforçar la solidaritat i les capacitats de la Unió Europea per detectar les amenaces i incidents de ciberseguretat, preparar-se per afrontar-los i respondre-hi, els representants dels estats membres (Coreper) van arribar a una posició comuna sobre l’anomenat acte de cibersolidaritat. El projecte de reglament estableix les capacitats de la Unió per fer que Europa sigui més resistent i reactiva davant les amenaces cibernètiques, alhora que reforça els mecanismes de cooperació.

La proposta de la Comissió té com a objectiu principal:

  • Donar suport a la detecció i la conscienciació d’amenaces i incidents de ciberseguretat importants o a gran escala.
  • Reforçar la preparació davant d’amenaces i protegir les entitats crítiques i els serveis essencials, com ara hospitals i serveis públics.
  • Reforçar la solidaritat en l’àmbit de la UE, la gestió concertada de les crisis i les capacitats de resposta entre els estats membres.
  • Contribuir a garantir un paisatge digital segur tant per als ciutadans com per a les empreses.

Per detectar les principals amenaces cibernètiques de manera ràpida i eficaç, l’esborrany de reglament estableix un escut cibernètic europeu, que és una infraestructura paneuropea formada per centres d’operacions de seguretat nacionals i transfronterers a tota la Unió. Són entitats encarregades de compartir informació per detectar les ciberamenaces i actuar.

Aquest esborrany també preveu la creació d’un mecanisme d’emergència cibernètica per augmentar la preparació davant d’incidents a la UE i millorar les capacitats de resposta. Es preveu donar suport a:

  • Accions de preparació, incloent-hi entitats de prova en sectors molt crítics (sanitat, transport, energia, etc.) per a detectar possibles vulnerabilitats, basades en escenaris i metodologies de risc comuns.
  • Serveis de resposta a incidents de proveïdors de confiança del sector privat contractats prèviament i, per tant, disposats a intervenir, a petició d’un estat membre o d’institucions, òrgans i agències de la UE, en cas d’un problema important o a gran escala fruit d’un incident de ciberseguretat.
  • Assistència mútua en termes financers, en què un estat membre podria oferir suport a un altre.

Finalment, el reglament proposat estableix el mecanisme de revisió d’incidents de ciberseguretat per millorar la resiliència de la UE mitjançant la revisió i l’avaluació dels incidents significatius o a gran escala després que hagin tingut lloc, extreure’n les lliçons apreses i, si escau, emetre recomanacions per millorar la postura cibernètica de la UE. A petició de la Comissió o de les autoritats nacionals, l’Agència de la Unió Europea per a la Ciberseguretat (ENISA) revisaria determinats incidents i lliuraria un informe amb les lliçons apreses i les recomanacions necessàries.

Al llarg del text s’ha subratllat el caràcter voluntari de la implicació dels estats membres en els mecanismes establerts per la proposta de la Comissió i s’han aclarit les interaccions entre les entitats existents i les definides pel projecte de reglament.

L’acord sobre la posició comuna del Consell permetrà a la presidència entrant obrir negociacions amb el Parlament Europeu sobre la versió final de la proposta de legislació.

El pressupost total de totes les accions de cibersolidaritat de la Unió és d’1.100 milions d’euros, dels quals aproximadament dos terços seran finançats per la UE a través del Programa Europa digital.

_____

Esta entrada en español / This post in English / Post en français

Estats Units publica l’Estratègia Nacional de Ciberseguretat 2023

Notes de seguretatDeixa un comentari

A començaments del mes de març d’enguany i tal com informa el web OODALoop, l’acte de presentació de l’Estratègia Nacional de Ciberseguretat 2023 a la Casa Blanca va suposar dimensionar el pes que el Govern nord-americà atorga a la seguretat informàtica, ja que considera la publicació com una cosa realment increïble i el millor de tots els documents estratègics produïts al llarg de les dècades, així com una feina ben feta pels líders de l’Oficina del Director Nacional Cibernètic de la Casa Blanca.

Cal no oblidar que l’any 2022 va estar marcat per amenaces, incidents i vulnerabilitats d’una freqüència, volum i escala impressionants i implacables. Des del govern nord-americà es va destacar el paper vital dels professionals federals de la ciberseguretat. Són considerats com els defensors que lluiten amb èxit en la protecció de la pàtria contra un ciberatac important en l’àmbit de les tecnologies de la informació i la comunicació (TIC), la seguretat física, la infraestructura crítica o els sistemes de control industrial (ICS).

Tanmateix, el document estratègic és un clar cop d’ull al paper crucial que sempre ha tingut el sector privat en un sector industrial liderat gairebé exclusivament per la governança, la innovació, les forces del mercat, les plataformes i els productes del sector privat.

Amb aquesta finalitat, l’Estratègia Nacional de Ciberseguretat de 2023 estableix dos canvis fonamentals en la manera com els Estats Units assignen els rols, les responsabilitats i els recursos al ciberespai, i afirma que, en fer realitat aquests canvis, no només s’aspira a millorar les defenses, sinó a canviar aquelles dinàmiques subjacents que actualment contravenen els interessos nord-americans. Els dos canvis fonamentals són:

  • Reequilibrar la responsabilitat de defensar el ciberespai traslladant la càrrega de la ciberseguretat lluny de les persones, les petites empreses i els governs locals, i fer-ho envers les organitzacions que són més capaces i més ben posicionades per reduir els riscos per a tots els ciutadans.
  • Reajustar els incentius per afavorir les inversions a llarg termini i aconseguir un acurat equilibri entre defensar-se de les amenaces urgents d’avui i alhora planificar estratègicament i invertir en un futur resilient.

Aquesta estratègia reconeix que el govern ha d’utilitzar totes les eines del poder nacional de manera coordinada per protegir la seguretat nacional, la seguretat pública i la prosperitat econòmica.

L’estratègia també trasllada la càrrega de fer front a les amenaces cibernètiques dels consumidors i les petites empreses a les empreses tecnològiques que ofereixen programari, sistemes i serveis.

El full de ruta, si s’adopta per llei, probablement farà que les empreses tecnològiques siguin responsables de qualsevol vulnerabilitat del seu codi que condueixi a un ciberatac.

El document estratègic de la Casa Blanca també crida els governs de la Xina, Rússia, l’Iran, Corea del Nord i altres estats considerats autocràtics per la seva desconsideració imprudent envers l’estat de dret i els drets humans al ciberespai.

_____

Esta entrada en español / This post in English / Post en français

Acord europeu per millorar l’accés transfronterer a l’evidència electrònica

Notes de seguretatDeixa un comentari

Els ambaixadors dels estats membres de la Unió Europea han confirmat l’acord assolit entre la presidència del Consell i el Parlament Europeu sobre el projecte de reglament i el projecte de directiva referent a l’accés transfronterer a l’evidència electrònica. Els textos acordats permetran que les autoritats competents puguin dirigir les ordres judicials de proves electròniques directament als proveïdors de serveis d’un altre estat membre.

L’acord respon a una petició clau de les autoritats judicials, ja que cada cop es planifiquen o cometen més delictes en línia i les autoritats necessiten les eines per processar-los com ho fan per delictes fora de línia. Les noves normes permetran que jutges i fiscals puguin actuar ràpidament, accedir a les proves que necessiten, independentment d’on s’emmagatzemen, abans que desapareguin.

El reglament sobre les ordres europees de producció i conservació de proves electròniques en processos penals pretén introduir un mecanisme alternatiu a les eines de cooperació internacional i assistència judicial mútua existents. Aborda específicament els problemes derivats de la naturalesa volàtil de l’evidència electrònica i l’aspecte de la pèrdua d’ubicació mitjançant l’establiment de nous procediments per a un accés transfronterer ràpid, eficient i eficaç.

El reglament crea ordres europees de producció i conservació que poden ser emeses per les autoritats judicials per tal d’obtenir o conservar proves electròniques independentment de la ubicació de les dades. Aquestes ordres poden cobrir qualsevol categoria de dades, incloses les dades de subscriptors, trànsit i contingut. S’ha establert un llindar per a les dades de trànsit (excepte les dades sol·licitades amb l’única finalitat d’identificar l’usuari) i per a les dades de contingut. Només es poden sol·licitar per delictes castigats al país emissor amb una pena màxima de presó de tres anys com a mínim, o per delictes específics relacionats amb la ciberdelinqüència, la pornografia infantil, la falsificació de mitjans de pagament no monetaris o el terrorisme.

Hi ha un termini obligatori de 10 dies per respondre a una ordre de producció. En casos d’urgència degudament establerts, el termini es podrà reduir a vuit hores. Els proveïdors de serveis poden enfrontar-se a sancions si no compleixen una ordre. Es poden imposar sancions econòmiques de fins a un 2% del seu volum de negocis anual total a escala mundial de l’exercici anterior.

Excepte en els casos en què l’autoritat emissora consideri que el delicte s’ha comès o probablement es comet al país emissor o la persona de la qual es demanen les dades resideix al seu propi territori, un sistema de notificació de dades de trànsit i per al contingut es crearan dades. Aquesta notificació té per objecte informar l’estat d’execució i donar-li l’oportunitat de valorar i, si s’escau, plantejar un o més dels motius de denegació previstos a la legislació, per exemple, que les dades sol·licitades estan protegides. L’estat d’execució disposarà de 10 dies o, en situacions d’emergència, de 96 hores, per aixecar els motius de denegació. Si això passa, el proveïdor de serveis haurà d’aturar l’execució de la comanda i no transferir les dades i l’autoritat emissora retirarà la comanda.

La directiva sobre designació d’establiments i designació de representants legals per a la recollida de proves electròniques en els processos penals serà un instrument essencial per a l’aplicació del reglament. S’estableixen les normes aplicables al nomenament dels representants legals dels prestadors de serveis o a la designació dels seus establiments designats que s’encarreguen de rebre i donar resposta a aquestes ordres. Això és necessari a causa de la manca d’un requisit legal general perquè els proveïdors de serveis no comunitaris estiguin presents físicament a la Unió. A més, els representants legals o els establiments designats en virtut d’aquesta directiva també podrien participar en els procediments nacionals.

_____

Esta entrada en español / This post in English / Post en français

La Unió Europea reforça la seguretat informàtica de les entitats financeres

Notes de seguretatDeixa un comentari

Tenint en compte els riscos cada cop més creixents amb referència als ciberatacs, la Unió Europea està reforçant la seguretat informàtica de diferents sectors, en especial la d’entitats financeres com ara bancs, companyies d’assegurances i empreses d’inversió.

Les presidències del Consell Europeu i del Parlament van arribar a un acord provisional sobre la Llei de resiliència operativa digital (DORA), que assegurarà que el sector financer a Europa sigui capaç de mantenir operacions resilients en cas d’una interrupció operativa severa.

DORA estableix requisits uniformes per a la seguretat de la xarxa i els sistemes d’informació d’empreses i organitzacions que operen en el sector financer, així com de tercers que els proporcionen serveis relacionats amb les TIC (tecnologies de la informació i la comunicació), com ara plataformes en núvol o serveis d’anàlisi de dades.

DORA crea un marc regulador sobre la resiliència operativa digital pel qual totes les empreses han d’assegurar-se que poden suportar, respondre i recuperar-se de tot tipus d’interrupcions i amenaces relacionades amb les TIC. Aquests requisits són homogenis a tots els estats membres de la UE. L’objectiu principal és prevenir i mitigar les amenaces cibernètiques.

En virtut de l’acord provisional, les noves normes constituiran un marc molt sòlid que potenciï la seguretat informàtica del sector financer. Els esforços demanats a les entitats financeres seran proporcionals als riscos potencials.

Els proveïdors crítics de serveis TIC de tercers països a entitats financeres de la UE hauran d’establir una filial dins de la UE perquè es pugui implementar correctament la supervisió.

Pel que fa al marc de supervisió, els colegisladors van acordar optar per una xarxa conjunta addicional de supervisió que reforçarà la coordinació entre les autoritats de supervisió europees sobre aquest tema transversal.

Pel que fa a la interacció de DORA amb la Directiva de seguretat de la xarxa i de la informació (NIS), en virtut de l’acord provisional, les entitats financeres tindran tota la claredat sobre les diferents normes de resiliència operativa digital que han de complir, en particular per a aquelles entitats financeres titulars de diverses autoritzacions i que operen en diferents mercats de la UE. La directiva NIS continua aplicant-se. DORA es basa en la directiva NIS i aborda possibles superposicions mitjançant una exempció de lex specialis.

L’acord provisional assolit està subjecte a l’aprovació del Consell Europeu i del Parlament abans de passar pel procediment formal d’adopció.

Un cop aprovada formalment la proposta DORA, cada estat membre de la UE l’aprovarà. Les autoritats europees de supervisió (AES), com ara l’Autoritat Bancària Europea (ABE), l’Autoritat Europea de Valors i Mercats (ESMA) i l’Autoritat Europea d’Assegurances i Pensions de Treball (EIOPA), desenvoluparan normes tècniques per a totes les institucions de serveis financers, des de la banca fins a les assegurances i la gestió d’actius. Les respectives autoritats nacionals competents assumiran el paper de supervisió del compliment i faran complir el reglament quan sigui necessari.

Aquest paquet cobreix un buit en la legislació vigent de la UE i assegura que el marc legal actual no suposi obstacles a l’ús de nous instruments financers digitals i, al mateix temps, garanteix que aquestes noves tecnologies i productes entren dins l’àmbit de la regulació financera i els acords de gestió del risc operacional de les empreses actives a la UE. Així, el paquet pretén donar suport a la innovació i l’adopció de noves tecnologies financeres, alhora que ofereix un nivell adequat de protecció dels consumidors i inversors.

_____

Esta entrada en español / This post in English / Post en français

El Consell Europeu construirà un Centre de la Competència en Ciberseguretat a Romania

Notes de seguretatDeixa un comentari

La Unió Europea ha arribat a un acord per impulsar la seguretat d’internet i d’altres xarxes i sistemes d’informació essencials mitjançant la creació d’un Centre de Competència en Ciberseguretat, per posar en comú les inversions en recerca, tecnologia i desenvolupament industrial en matèria de ciberseguretat.

El nou organisme, que tindrà la seu a Bucarest (Romania), canalitzarà el finançament relacionat amb la ciberseguretat d’Horitzó Europa i del programa Europa Digital.

Aquest Centre Europeu de Competència Industrial, Tecnològica i de Recerca en Ciberseguretat treballarà de manera conjunta amb una Xarxa de Centres Nacionals de Coordinació designats pels estats membres.

El Centre també reunirà les principals parts interessades europees, entre elles la indústria, les organitzacions acadèmiques i de recerca i altres associacions de la societat civil pertinents, per formar una Comunitat de Competències en Ciberseguretat, amb la finalitat de reforçar i difondre els coneixements especialitzats en matèria de ciberseguretat a tota la Unió Europea.

El Consell Europeu ha adoptat el Reglament pel qual s’estableixen el Centre i la Xarxa. Posteriorment, el Parlament Europeu ho aprovarà de forma definitiva.

Des de la Presidència de Portugal, actualment en presidència de torn de la Unió Europea, es va considerar que el nou Centre de Competència en Ciberseguretat i la nova Xarxa desenvoluparan un paper clau a l’hora de contribuir a la seguretat de les infraestructures digitals que tothom utilitza diàriament per la feina o el lleure, així com els sistemes i les xarxes d’informació en àmbits fonamentals com la salut, el transport, l’energia, els mercats financers i els sistemes bancaris.

Alhora, reforçarà la competitivitat de la indústria de ciberseguretat de la Unió Europea en l’àmbit mundial, en particular de les pimes, i reafirmarà el lideratge i l’autonomia estratègica en l’àmbit de la ciberseguretat.

El Centre de Competència cooperarà estretament amb l’Agència de la Unió Europea per a la Ciberseguretat (ENISA).

La votació ja efectuada mitjançant procediment escrit suposa l’adopció pel Consell de la seva posició en primera lectura. Ara, l’acte jurídic ha de ser aprovat pel Parlament Europeu en segona lectura, abans de ser publicat al Diari Oficial de la Unió Europea.

_____

Esta entrada en español / This post in English / Post en français

L’Agència Espanyola de Protecció de Dades informa sobre els avenços en relació amb la política de privacitat de Google

Notes de seguretat1 comentari

Agencia espanyola de protecció de dades

L’Agència Espanyola de Protecció de Dades (AEPD) ha participat recentment a la reunió plenària del Grup d’Autoritats europees de protecció de dades (GT29). El grup analitzà, entre altres qüestions, els avenços realitzats en els procediments nacionals oberts respecte a la política de privacitat de Google l’any 2012. Al desembre de 2013, l’AEPD va declarar l’existència de tres infraccions greus a la normativa de protecció de dades i va imposar a la companyia una sanció de 900.000 euros, així com un requeriment per tal que adoptés les mesures necessàries per ajustar la seva política de privacitat a la normativa espanyola.

L’AEPD ha pogut constatar que la companyia ha introduït modificacions significatives en matèria d’informació oferta als usuaris, consentiment i exercici de drets. Algunes de les mesures posades en marxa per la companyia a instàncies de l’agència espanyola són:

  • S’ha habilitat el centre “Informació personal i privacitat” a partir de l’enllaç “El meu compte” als usuaris amb compte a Google, on s’ofereix informació addicional i opcions de gestió de la informació recollida per Google.
  • S’ha llançat una campanya de recordatoris en línia quan algun usuari pretén fer ús dels serveis de Google que obliga a accedir a la informació de privacitat i fixar els paràmetres de configuració.
  • L’usuari disposa de la capacitat de desconnectar selectivament serveis que abans tenia activats de forma obligatòria i als quals es comunicaven dades de la seva activitat, i incloent-hi la possibilitat d’eliminar completament el compte.
  • S’ha suprimit la limitació a l’ús de diversos comptes oberts per un mateix usuari. Ara pot tenir-ne diversos i evitar la comunicació de dades entre ells.
  • La companyia ha inclòs un formulari per exercir el “dret a l’oblit”, un enllaç per posar-se en contacte amb la companyia i eines per consultar els historials d’activitat.

Google s’ha compromès a adoptar un seguit de millores addicionals específicament sol·licitades per l’AEPD, com augmentar la llista de serveis amb polítiques de privacitat i estendre les campanyes de recordatoris de privacitat tant a altres serveis de Google com als usuaris d’Android.

Agència Espanyola de Protecció de Dades: Nota de premsa

_____

Esta entrada en español / This post in English / Post en français