En Pere Casas és l’assessor en matèria de ciberseguretat de Depuradores d’Osona. Amb una trajectòria professional vinculada des de sempre al sector tecnològic —passant per la programació, les telecomunicacions i finalment la ciberseguretat—, actualment treballa perquè l’empresa es mantingui a l’avantguarda en la protecció digital i el compliment normatiu. Conversem amb ell sobre la importància d’aquest àmbit en una entitat tan crítica com DOSL.
Per què és important la ciberseguretat en una empresa com DOSL?
Avui dia, les empreses estan més interconnectades que mai i gestionen grans volums de dades sensibles. DOSL, com a operador d’infraestructures crítiques, té una responsabilitat especial. Si les seves dades o instal·lacions fossin compromeses, podria tenir conseqüències molt greus per a la població. Per això, la ciberseguretat no és només una necessitat tècnica, sinó una prioritat estratègica.
Quin és el marc normatiu pel que fa la ciberseguretat per a DOSL? Hi ha hagut algun canvi recent?
La Unió Europea ha estat capdavantera en regulació amb normes com el Reglament General de Protecció de Dades (RGPD), que ha establert un marc sòlid. A nivell estatal, també s’ha produït una actualització important: les normatives anteriors establien uns mínims que ja no eren suficients davant l’augment d’amenaces com els robatoris de dades o atacs als serveis. Les noves regulacions no només exigeixen mesures més sòlides, sinó que incrementen la responsabilitat legal en cas de negligència.
Quines mesures de ciberseguretat s’apliquen a DOSL?
Seguim els estàndards normatius actuals i vam començar amb una anàlisi de riscos per identificar punts forts i febles del sistema. Hem segmentat la maquinària i els dispositius per limitar l’abast de possibles infeccions, i hem regulat les comunicacions entre aquests blocs perquè només es connectin quan sigui estrictament necessari. A més, prioritzem les actualitzacions de seguretat segons com de crítica és cada instal·lació: no és el mateix reiniciar un ordinador que un sistema clau com el d’un decantador.
Com controleu qui fa servir les eines informàtiques de DOSL?
Cada treballador que es connecta a una eina de DOSL ha de passar un control d’accés amb doble factor d’autenticació per verificar que realment són ells. Hi ha tres punts per demostrar que ets qui dius ser: una cosa que saps (una contrasenya), una cosa que tens (un xip, una targeta d’identificació) i una cosa que ets (l’empremta dactilar). En la mesura del possible estem aplicant aquest estàndard.
Com porteu a terme la monitorització de l’estat de la seguretat informàtica?
Estem implantant un nou sistema. Tenim ulls mirant a tot el que passa a la xarxa de depuradores. A través d’un panell de control podem veure qualsevol incidència en temps real. Gràcies a aquest sistema vam poder veure l’estat de totes les instal·lacions de DOSL en temps real durant l’apagada del passat 28 d’abril, per exemple. Vam poder veure si els generadors s’havien engegat, on havia tornat l’electricitat, etc.
Quin reptes heu trobat a l’hora d’implementar totes aquestes mesures?
En un món ideal hauríem parat el funcionament de totes les instal·lacions de DOSL i haguéssim implementat totes les mesures de ciberseguretat que volíem. Evidentment això és inviable. Per tant hem hagut de fer canvis de configuració mentre els sistemes funcionaven o en cas que fos imprescindible aturar-los, fer-ho durant el mínim temps possible.
Sempre hi ha una balança entre la seguretat i la comoditat. Ser més segurs dona una mica més de feina als treballadors. El doble factor d’autenticació, l’ús de VPNs o l’addició de passos entremitjos a l’hora d’entrar a certs programes milloren la seguretat però també donen més feina als treballadors.
Un gran repte sempre és ajustar-se al pressupost: els “dolents” no tenen límit de pressupost i nosaltres sí. Això ha provocat que apostem per actualitzar i crear configuracions noves als equips dels que disposem, que són bons.
Quins són els principals reptes que anticipa en l’àmbit de la ciberseguretat per a infraestructures de sanejament en els propers anys?
L’aplicació de noves normatives i la futura publicació del full de ruta per adaptar-s’hi marcaran el curt i mitjà termini. Ara per ara ens guiem per estàndards que ja existien, com l’Estàndard Nacional de Seguretat. Haurem d’aprendre a adaptar la ciberseguretat a noves tecnologies com la internet de les coses i tractar la privacitat de dades vinculada a l’ús de la intel·ligència artificial.
Com preveus que evolucionarà la integració de tecnologies emergents, com la intel·ligència artificial o la Internet de les Coses, en la gestió segura de les instal·lacions de DOSL?
La Internet de les Coses obre possibilitats enormes per monitoritzar i obtenir dades, però també representa un risc: molts d’aquests dispositius envien informació al núvol i això implica perdre sobirania sobre les dades. DOSL ha pres la decisió encertada de mantenir el control total dels sistemes que instal·la.
Pel que fa a la intel·ligència artificial, és una eina molt potent per automatitzar processos i analitzar grans volums d’informació, però també pot ser utilitzada amb finalitats malicioses. Un exemple són les estafes digitals cada cop més sofisticades, que es beneficien de la personalització generada per IA. Caldrà estar molt preparats per fer-hi front.
