Asier Martinez, CERT arduraduna BCSC-en: «Euskadi erreferentea da Estatuan zibersegurtasunaren arloko ekintzailetzan»

Segurtasun informatikoarekiko kezka funtsezko alderdia bihurtu da enpresentzat, testuinguru sozial eta ekonomiko hiperkonektatuan. Asier Martinezek 3 urte baino gehiago daramatza Larrialdi Informatikoen aurreko Erantzun Ekipoko (CERT) arduradun gisa Basque Cybersecurity Centre (BCSC) zentroan, baina ibilbide luzea du zibersegurtasunaren munduan. Euskadiko enpresek gaur egun arlo horretan bizi duten egoerari buruz galdetu diogu.

ENPRESENTZAKO BANKA: Berrikuntza eta digitalizazioa alderdi garrantzitsuak bihurtzen ari dira etorkizunerako, baina, zure ustez, zer heldutasun-maila dute Euskadiko enpresek zibersegurtasunaren arloan? Benetan behar duen garrantzia ematen diote?

ASIER MARTINEZ: «2018an azterketa bat egin genuen eskualdean gorakadarik handiena izan duten eta Euskadiko ekonomian pisu gehien duten sektoreek (manufaktura, elektrikoa, informazioaren teknologiak, industria kimikoa eta abar) zibersegurtasunaren arloan zer nolako heldutasuna duten jakiteko. Azterketa horren barruan, galdeketa bat egin zitzaien egoitza Euskadin duten 90 enpresatako segurtasun-arduradunei, eta 4 eremu hauetan multzokatutako galderak egin genizkien: antolakuntza, kudeaketa, teknika eta merkatua. Azterketa horretan oinarrituz, Euskadin industria-ehunaren babes-maila handitzen laguntzeko ekimenak sustatu beharra identifikatu genuen».

«Urte horretan bertan, Estatuan aitzindaria den zibersegurtasuneko laguntza-plan bat jarri genuen martxan SPRI – Enpresa Garapenerako Euskal Agentziaren bitartez. Euskadiko industria-enpresak zibermehatxuetatik babestea zen plan horren helburua, eta, horrela, lehiakortasuna hobetzen laguntzea. Lehen 3 edizioetan, 500 proiektu inguru onartu genituen; beraz, 4 milioi eurotik gorako laguntzak eman ziren, eta 10 milioi euro inguruko inbertsio pribatua. Duela gutxi, 4. edizioa argitaratu dugu, eta 2,4 milioi euroko aurrekontuko diru-izendapena izan dugu. Ekimen horri esker, Euskadiko industriaren heldutasuna ebalua dezakegu, onartzen ditugun proiektuen tipologia kontuan hartuta, eta nolabaiteko bilakaera izan arren, oraindik ez dugu lortu zibersegurtasunaren arloko babes- eta heldutasun-maila optimoa».  

E.B.: Gutxieneko zer prestakuntza izan beharko lukete enpresek, haien tamaina alde batera utzita?

A.M.: «Lehenik eta behin, enpresek, edozein tamaina dutela ere, zibersegurtasun-arriskuen azterketa egin beharko lukete, arrisku horiek modu egokian kudeatu ahal izateko. Azterketa horren bidez, jardueraren funtsezko nukleoa osatzen duten aktiboak identifikatzen dira, hala nola web-orria edo enpresa-baliabideen plangintza-sistema (ERP); horrez gain, izan ditzaketen mehatxuak eta ahultasun potentzialak identifikatu eta horiek tratatzeko arriskua kalkulatu behar da, hirugarren bati transferituz, ezabatuz, bere gain hartuz edo arintzeko neurriak ezarriz. Prozesu horrek guztiak Segurtasuneko Plan Zuzentzaile gisa ezagutzen dena osatuko luke. Plan horretan, erakunde batek bere segurtasuna hobetzeko eta, beraz, zibermehatxuen aurrean babes-maila hobetzeko gauzatuko dituen proiektu teknikoen (lege-edukikoak, antolakuntzakoak eta abar) plangintza jasotzen da».

E.B.: Enpresek edo autonomoek inbertsio handia egin behar dute arrazoizko segurtasun-maila izateko? A.M.: «Ez du zertan hala izan behar. Jardunbide batzuk egokiak dira arriskua nabarmen murrizteko, honako hauek, adibidez:

• Pasahitz sendoak erabiltzea, zerbitzu bakoitzerako bat desberdina, eta aldian behin eguneratzea.
• Ahal den guztietan, autentifikazio-faktore bikoitza aktibatzea.
• Gailu guztietan antimalware-tresnak instalatzea, ahal den guztietan eguneratzea, eta azterketak horiekin egitea.
• Gailuak eguneratuta mantentzea.
• Aldian behin segurtasun-kopiak egitea, horiek saretik kanpo mantenduz.
• Interneten erabiltzen ditugun zerbitzuen pribatutasuna behar bezala konfiguratzea».

«Era berean, zibersegurtasunaren arloan lan egiten duten erakunde publikoen orrietan doako informazio asko dago, gurean esaterako (www.basquecybersecurity.eus). Bertan, jardunbide osagarri ugari jasotzen dira, hala nola telelanean jarduteko, online erosketak egiteko edo gailu mugikorrak modu seguruan erabiltzeko».

«Gainera, BCSCk jende guztiari irekitako kontzientziazio-jardunaldiak egiten ditu (2020an 270 baino gehiago egin ziren). Jardunaldi horien helburua beharrezkoak diren ezagutzak hornitzea da, enpresek izaten dituzten arriskuak identifikatzeko eta arrisku horiek gu ez kaltetzeko».  

E.B.: BCSCk bere ibilbideari ekin zionetik, Euskadin hauteman al da igoerarik zibersegurtasunarekin lotutako enpresen eta teknologiaren sorkuntzari dagokionez?

A.M.: «Euskadik industria-ekosistema sendoa du, eta beraz, negozio-aukerak sortzen dira zibersegurtasunean. Era berean, ekintzailetzarekiko tradizio handia dago eta Eusko Jaurlaritzak mota horretako ekimenak babesteko apustu irmoa egiten du». «Egoera horren ondorioz, gaur egun zibersegurtasunaren esparruan lan egiten duten 29 startup ditugu identifikatuta Euskal Autonomia Erkidegoan; dentsitate-maila hori oso altua da beste eskualde eta herrialde batzuekin alderatuta. Hori bereziki garrantzitsua da, beste ekosistema batzuekiko mendekotasun teknologiko handia baitago gaur egun (Estatu Batuekiko edo Israelekiko, esaterako), eta Europar Batasuna egoera hori murrizteko ekimenak martxan jartzen ari da».

«Duela hilabete batzuk, zibersegurtasun-gaitasunen tokiko hazkunde hori berretsi zen, Cybasque Euskadiko Zibersegurtasun Industrien Elkartea sortu baitzen. Izan ere, Cybasque izan da Europako Zibersegurtasun Erakundearen aldetik “Cybersecurity made in Europe” etiketa erabiltzeko baimena jaso duen Estatuko lehen erakundea».

«Horregatik guztiagatik, esan dezakegu Estatuan erreferente bat garela zibersegurtasuneko ekintzailetzari dagokionez, baita Europako lehenengoetako bat ere».  

E.B.: Zentzu horretan, zer erronka dute Euskadiko enpresek hurrengo urteetarako?

A.M.: «Zoritxarrez, zibersegurtasunarekin lotutako gorabeheraren bat izan duten enpresen kopuruak nabarmen egin du gora azken urteetan. Hori argi eta garbi islatu zen ziberdelituen kasuan: 2017an, Ertzaintzak 9.217 salaketa kudeatu zituen ziberdelituekin lotuta, eta 2020an, berriz, 15.728».

«Ziberkrimenaren negozioa guztiz profesionalizatu da, eta beren zibersegurtasuna behar bezala kudeatzen ez duten enpresa guztiek beren biziraupenean zuzenean eragin dezakeen gorabeheraren bat izan dezakete».   Gai honi buruz gehiago jakin nahi baduzu, oraindik ere izena eman dezakezu LK Enpresen ziberarriskuei buruzko web-mintegian.

Asierrek eskainiko du web-mintegia, maiatzaren 7an, ostiralean, Gaizka Aralucea Seguros Lagun Aroko CISOarekin eta Ainara González Asterra Taldeko zibersegurtasun-arduradunarekin batera.