«Oinarrizko pausoak emanda, arrisku maila nabarmen murriztu dezakegu»

Gaur irekiko da ofizialki Ziur zentroa, Donostiako Zuatzu enpresa parkean. Baina hilabeteak dira zibersegurtasun industrialeko zentroa lanean hasi zela, eta haren buruak, Carlos Abadek (Madril, 1982), jada oso ondo ezagutzen du zentroak zer ekarpen egin diezaiokeen industriari, eta baita Gipuzkoako zibersegurtasun sektoreari ere.

 

Unibertsitateko informatikako irakasle batek esan zidan ordenagailu seguru bakarra izango zela itzalita, deskonektatuta eta gela batean giltzapean dagoena… Eta, horrela ere, auskalo. Baina hori ezinezkoa da konektatutako mundu honetan, eta, gainera, gero eta konektatuago egongo gara.

Horren analogia zero abiaduran zero istripu litzateke, baina hori ez da aplikagarria. Oreka bat lortu behar da konektibitate horrek ekartzen dizkizun etekinen eta hartzen dituzun arriskuen artean. Gaur egun asko sustatu dira teknologiak eta konektibitateak dakartzan etekinak, baina arriskuena ez da horrenbeste landu, eta, ondorioz, oinarrizko ikasketa aldi batean gaude, ikasketa prozesu batean.

Zibererasoez eta zibersegurtasunaz aritzean, teknologia horien erabiltzaile xehea izan ohi da erreferentzia, edota instalazio kritikoak… Baina industrian ere gaia oso kritikoa izan daiteke.

Oso kritikoa da. Enpresa batean pertsona talde bat dugu, prozesu sorta bat eta aktibo jakin batzuk. Teknologia eta abarrei esker, prozesu eta aktibo horiek askoz hobeto lotu dira; bizkorrago lan egiten dugu, gehiago fakturatzen dugu, gutxiago gastatu. Baina, aldi berean, pertsonak, erabiltzaileak oraindik ikasten ari dira, eta nekez konturatzen dira arriskuez. Horri gehitu behar zaio merkatuaren sekulako abaila, zeinak behartzen gaituen lehiatzera, teknologietan sakontzera, eraginkortasunean hobetzera. Ondorioz, bizitza errazten diguten teknologia mordoa ditugu, baina inork ez digu arriskuez ohartarazi. Eta hori da ebatzi behar dugun oinarrizko ekuazioa. Baina enpresa txiki eta ertainentzat ez da horren erraza, ezta?

Gipuzkoako enpresen tamainaren ondorioetako bat da langileriaren %100 bere ekoizpen prozesuan dagoela espezializatuta; bere prozesurako lagungarri zaion heinean ezarriko du teknologia, erabiliko du. Baina, horri beste kudeaketa bat eman behar zaionean, edota bestelako euskarri prozesuak behar direnean, orduan ez dago langile espezializaturik, eta horren bila, kolaborazioen bila hasi behar dute. Momentu horretan gaude orain, eta bai, momentu kritikoa da.

Besteak beste, enpresa askok ez dakitelako dagoeneko troiarrak dituztela euren sistemetan.

Sektorean asko erabiltzen leloak dio bi enpresa mota daudela: batetik, erasoak izan eta hori gertatu zaiela badakitenak, eta bestetik, erasoak izan direnak eta horretaz jabetu ez direnak.

Jakitun ez izateak ez du arriskua are gehiago handitzen?

Inkontzientzia handia dago. Googlek orain gutxi esan du informazio egitasmo bat jarriko duela abian Espainian, konturatu delako ia enpresa guztiek, ia %100ek, uste zutela ez zeudela zibererasorik edo jazoerarik nozitzeko arriskuan. Eta, aldi berean, posta elektronikoa oinarrizko segurtasun neurririk gabe erabiltzen ari dira; edo web plataformen herenak ez dituzte seguruak diren protokoloak erabiltzen.

Argi dago badagoela segurtasun behar bat, enpresetan ere. Zer egingo du hor Ziurrek?

Orain arte aipatu dugun testuinguru horretan, Ziurrek eragile independente eta fidagarri izan nahi du. Enpresentzako espazio bat izan nahi du, zibersegurtasunari buruzko zalantza argitzeko balioko diena, baina non ez dagoen bezero-hornitzaile gatazka komertzialik. Eta bazkide estrategiko bezala aurkezten gara, enpresari bere zibersegurtasun estrategian laguntzeko. Izan ere, enpresarenak berarenak izan behar du zibersegurtasunaren inguruko ardura, nahiz eta gero hori hirugarren batzuen bitartez gauzatu. Ez bazara zure aktiboen eta zure prozesuen arduradun, erantzule… Proaktibitatea beharrezkoa da enpresaren aldetik, zibersegurtasuna zuzenean doalako lotuta aktiboei, prozesuei, pertsonei. Gauza da une honetan eskariak (enpresak) ez daukala oso argi zer eskatu eskaintzari (zibersegurtasun hornitzaileei).

Beharra ikusi bai, baina zehazki zer behar duten ez dakite.

Gertatu izan zaigu enpresa batek zibersegurtasuneko eskari bat egitea, eta elkarren antzik ez duten eskaintzak jasotzea; eskatzailearen nahasmena handitu egiten da hala. Hor, uste dugu Ziurrek funtsezko balio bat ekarriko duela. Ezagutzak bildu eta eskaini, bidelagun izan, espazioak erraztu. Lagungarri izan industriaren ahalmenak sendotzeko. Hori eskaini ahal izateko independentzia eta fidagarritasuna izango ditugu, eta baita baliabideak ere. Azkenean formakuntza, ikasketa prozesu horretan guztiak gaitasunak hartzen joan daitezen. Gainera, kontua ez da zerotik ehunerako jauzia egitea; oinarrizko pauso txiki batzuk eginda, arrisku maila nabarmen murriztu dezakegu.

Zein dira industriarentzako zibermehatxurik handienak?

Batetik, berezko mehatxua dute: industria enpresek denboran irauteko xedea duten prozesuak dituzte, baina automatizazioak, softwareen eta konektibitatearen mendeko teknologiak integratzera behartzen gaitu, eta mundu hori askoz bizkorrago doa; lauzpabost urtean behin berritzen dira, 15-20 urtera lan egiteko ekoizpen kateak ditugunean. Beste mehatxu batzuk hirugarrenei kontratutako zerbitzuen kudeaketan daude. Mantentzea azpikontratazioa... Eta mehatxu argiena konektibitateak dakarren esposizioan dago.

Gaiztoak hor daudelako ere bai. Zein dira?

Motibazioaz hitz egin ohi da hor, eta bi zergati daude nagusiki: batetik, helburu ekonomikoa dago. Diru bila egiten diren erasoak izaten dira, masiboagoak, eta enpresaren jarduera konprometitzea dute helburu, eta gero horiek askatzeko erreskatea eskatzea. Beste zergati nagusia informazioa lortzea da.

Espioitza industriala.

Bai, aurrekoan Municheko jardunaldi batean aipatzen zuten nola informazioa biltzeko helburuz egindako erasoak, normalean, ez diren gero jarduerak eteteko asmoz egiten, baizik eta enpresa horren prozesu produktiboak ezagutzeko.

Txinatarrak!

[Barre egin du] Ui... Gauza hauetan oso zaila da banderak jartzea. Eta, gero, beste mota bateko mehatxuak iruzurrak dira, engainuak, mezu faltsuak...

Gaiztoei buruz aritzeak agian piztu dezake arriskuen kontzientzia hori?

Interesgarria da horri buruz hitz egitea. Segurtasunaren salmenta bi ardatzen arabera egin izan da: beldurra eta arautegia. Arrisku batzuk oso erraz identifikatzen ditugunez, erraza da guri etxerako alarma bat saltzea. Baina, ziber mundu honetan, oraindik ez gara iritsi gure datuek duten balioaz jabetzera, eta, testuinguru horretan, beldurraren bidezko salmentak bi ahoko ezpata dauka, aldi berean eszeptizismoa sortzen dizulako. Aurrekoan ikusi nuen arrisku kudeaketa txosten orokor batean sentikortasun maila oso handia dela, baina kontzientzia maila oso txikia; eta, bitartean, eszeptizismoa gailentzen bada, «niri ez zait gertatzen, hori soilik telebistan pasatzen da edo Facebooken» eta albokoak ez duenez gertatu zaiona kontatzen, segurtasun sentsazio faltsu bat sortzen ari gara, eta lana errazten gaiztoei.

Ziurrek gehiago bilatzen du zibersegurtasuna beste modu batean ulertzea, merkatuarekiko eta lehiakideekiko posizio hobeagoa emango dizun zerbait bezala. Orain hobeagoa izateko, gero, besteak beste ziurrenez, ezinbestekoa izango dutelako. Ikuspegi horrek, gainera, hobeto egiten du bat enpresaren mentalitatearekin.

Zibersegurtasuna, industria helburu