Ciberseguretat comprensible... per a què?

“El 44 % dels directius espanyols no prioritza la ciberseguretat perquè el llenguatge utilitzat en aquest sector és confús”. Aquest va ser el titular d’una notícia que Europa Press va publicar el passat 30 de maig, basada en l’estudi “Separats pel mateix llenguatge”, realitzat per l’empresa de ciberseguretat Kaspersky. https://media.kasperskydaily.com/wp-content/uploads/sites/88/2023/05/30114918/Kaspersky-Speaks-your-Language-Report-spain_DEF.pdf. Es podria considerar com l’enèsim estudi d’aquest tipus, encara que a mi em va cridar l’atenció perquè ressalta un assumpte que està en el més profund de la tecnologia altament complexa com és la ciberseguretat. Hi ha voluntat de democratitzar aquest coneixement? Hi ha interès de rebre aquest coneixement i assimilar-lo? No conec resposta d’ampli consens per a cap de les dues preguntes.

Democratitzar el coneixement en ciberseguretat implica un doble esforç. El primer, té a veure amb l’autoprotecció del col·lectiu, la defensa d’allò propi, la consolidació d’allò exclusiu. En un procés d’obertura es podria perdre l’especialització reservada a uns quants. Encara queden moltes intencions amagades de l’“antic” paradigma de seguretat per foscor, basat a limitar al màxim la informació i que actualment es mostra en forma d’inundar el discurs de tecnicismes o omplir forats amb frases de l’estil “la ciberseguretat és una inversió i no una despesa” i moltes d’altres, absolutament desgastades a hores d’ara. El segon d’aquests esforços se centra a aterrar els missatges ciber, molts d’aquests d’alta intensitat tècnica, a l’audiència més profana. En aquest cas, el perfil de l’audiència és de vital importància. Si aquest perfil no se sincronitza amb el nivell tècnic del missatge, es consideraria una pèrdua de temps per aquell que intenta transmetre el coneixement i, a l’altre costat, es produiria una pèrdua d’interès per part de l’audiència o, fins i tot, podria insultar la intel·ligència d’alguns d’ells.

Sobre l’interès d’entendre sobre ciberseguretat, va per barris i per moments. De vegades estic segur que sí que hi és i d’altres penso que no. En un costat de la balança tenim la necessitat de conèixer per què la cibercriminalitat ens afecta a tothom, i molt, a més en aspectes que ens fan mal (diners, reputació, orgull...); en l’altre costat, tenim la por i l’apatia que provoca el tema. Tampoc no estic segur que es pugui equilibrar l’hipotètic pes d’ambdós costats.

Per a mi, entendre de ciberseguretat resulta útil i pràctic. En el meu cas, primer em va cridar l’atenció (el món dels espies, el repte de desxifrar...) i això em va motivar a aprendre. La situació més habitual és ben diferent: primer pateixes un ciberincident i això et “motiva” a capacitar-te mínimament perquè no et torni a passar (aprendre a garrotades). Però si ens hi fixem una mica, ens adonarem que tots ja en sabem molt, de seguretat, en la vida no digital. En general, tenim interioritzades l’actitud de prevenció, de desconfiança sobre el “massa bonic per ser cert”, d’estar en guàrdia davant de determinades amenaces d’altres... i és senzill traslladar aquests aprenentatges a l’àmbit digital.

No ens deixem espantar amb tant tecnicisme i acrònim. Per exemple, la pràctica totalitat dels atacs de programari de segrest (ransomware) que han tingut èxit (per exemple, el programari de segrest Ryuk que tant mal va fer al SEPE el 2021) és perquè algú rep un correu electrònic maliciós i cau en la trampa digital de clicar en un enllaç que aquest correu conté o obre un suposat document adjunt amb la sorpresa dins, que, una vegada alliberada, s’estén amb extrema facilitat. Aquest “algú” és com tu i com jo, com el teu cap i com el meu cunyat, com Elon Musk o com Cristiano Ronaldo. En definitiva, un ésser humà amb les seves fortaleses i debilitats a qui poden enxampar de la manera més ximple i en el pitjor dels seus moments, així que no et castiguis si un dia et passa i procura entendre el cibercontext que t’envolta.

Autor: Javier Zubieta