La interconnexió digital dels dispositius planteja la necessitat de posar remei a les escletxes de seguretat que es generen.
La seguretat informàtica és una qüestió complicada. Si no us ho creieu, pregunteu-ho a l’Oficina de Gestió de Personal dels Estats Units: el 9 de juliol va reconèixer que uns pirates informàtics havien sostret del seu arxiu informació personal sensible relativa a 22 milions de treballadors del sector públic. O a Anthem, una gran asseguradora que al mes de gener va informar del robatori de 80 milions d’expedients de clients. O a l’Agència de Seguretat Nacional dels Estats Units, que el 2013 va ser víctima de la filtració més gran de la seva història a mans d’Edward Snowden, un contractista que va fugir amb un gran botí de documents confidencials.
Malauradament, la seguretat informàtica està a punt d’esdevenir encara més complicada. Els ordinadors ja s’han escampat per tot arreu gràcies al salt que els ha dut de l’escriptori a la butxaca dels usuaris. Ara s’incorporen a aparells de tota mena, des de cotxes fins a televisors, passant per joguines infantils, frigorífics i maquinària industrial. Cisco, un fabricant d’equips de telecomunicacions, calcula que actualment hi ha 15.000 milions de dispositius connectats al món, i estima que el 2020 aquesta xifra podria assolir ser de 50.000 milions. Els partidaris d’aquest procés prometen que un món ple d’ordinadors i sensors interconnectats serà un lloc incomparablement còmode i eficient. En diuen l’internet de les coses.
La gestació d’una catàstrofe
Però els especialistes en seguretat informàtica, per la seva banda, prefereixen referir-s’hi com la gestació d’una catàstrofe. Els preocupa que les empreses que produeixen ciberdispositius es deixin portar per les presses a l’hora de comercialitzar-los i no hagin après les lliçons dels primers anys d’existència d’internet. Els grans fabricants d’ordinadors dels anys 80 i 90 van tractar la seguretat com una qüestió menor. Microsoft, Apple i companyia només van començar a intentar esmenar els problemes quan les amenaces (en forma de virus i atacs de pirates informàtics, entre d’altres) ja s’havien fet paleses. Però ocupar-se de la seguretat després d’haver patit els problemes és molt més difícil que incorporar-la al producte des de bon principi.
Paga o el frigorífic prendrà mal
Amb l’internet de les coses tornem a ensopegar amb la mateixa pedra. Ja estan sorgint exemples dels riscos que comporta convertir objectes quotidians en ordinadors. En un cas, un pirata informàtic va descobrir que podia controlar a distància la bomba que li dispensava medicaments. Altres han sigut capaços de desactivar els frens o la direcció assistida de cotxes nous. Els ciberdelinqüents són gent creativa. En el futur potser es podrà alterar el funcionament d’una rentadora o un frigorífic informatitzats perquè enviïn correu spam, posem per cas, o per convertir-los en servidors de pornografia infantil. I una porta de casa informatitzada podria negar-se a deixar-te entrar fins que no entreguessis un rescat enbitcoins.
Hi ha tres mesures que contribuirien a fer que l’internet de les coses fos menys vulnerable. La primera seria establir normes bàsiques que regulessin el sector. S’hauria d’obligar els fabricants de ginys a garantir que es poden posar pedaços als seus productes per tapar qualsevol escletxa en la seguretat que es descobreixi un cop venuts. Per exemple, si es pot administrar un dispositiu a distància, s’hauria d’obligar els usuaris a canviar el nom d’usuari i la contrasenya que obtenen per defecte per evitar que els pirates informàtics se’n serveixin per accedir-hi. Les lleis en matèria d’infraccions de seguretat, que ja existeixen a la majoria d’estats nord-americans, haurien d’obligar les empreses a assumir i reconèixer els problemes en lloc de mirar d’amagar-los.
La segona defensa consisteix en un règim de responsabilitat adequat. Durant dècades, els fabricants de programes informàtics han redactat acords de concessió de llicència en què declinaven tota responsabilitat per les conseqüències lesives derivades de l’ús dels seus productes. Amb la incorporació d’ordinadors a objectes de tota índole, des de cotxes fins a productes sanitaris, aquesta postura esdevindrà insostenible. És possible que, a tall d’exemple, els desenvolupadors de programes informàtics es vegin obligats a establir quin hauria de ser el funcionament correcte dels productes, cosa que els podria exposar a recursos judicials en cas d’incompliment. Mai és massa d’hora perquè les asseguradores, els fabricants i els desenvolupadors comencin a examinar en profunditat totes aquestes qüestions.
En tercer lloc, les empreses de tots els sectors han de parar atenció a les lliçons que les companyies de l’àmbit de la informàtica van aprendre anys enrere. Dissenyar un programa informàtic totalment segur és pràcticament impossible. Per tant, la millor defensa és una cultura de transparènca i obertura, atès que ajuda a divulgar les solucions.
Quan uns investigadors acadèmics es van posar en contacte amb un fabricant de xips que treballava per a Volkswagen per comunicar-li que havien trobat una feblesa en el sistema d’obertura i tancament a distància dels vehicles, la resposta de Volkswagen va anar acompanyada d’una ordre judicial que prohibia la divulgació de la descoberta. Matar el missatger no funciona. De fet, actualment companyies com Google ofereixen recompenses econòmiques als pirates informàtics que els informin de punts febles que hagin descobert.
Fa 30 anys els fabricants d’ordinadors que no es prenien seriosament la seguretat podien escudar-se en la seva ignorància. Avui dia ja no. L’internet de les coses ens reportarà molts beneficis. És el moment de posar fil a l’agulla i concebre solucions per a les escletxes que inevitablement apareixeran.
CATEi 