Qualsevol que busqui una barrera de protecció per a les seves activitats digitals està, cada cop més, obligat a mirar cap a Catalunya. El sector de la ciberseguretat concentra al país un dels contingents empresarials més importants del sud d’Europa: amb 495 firmes especialitzades –la majoria petites i mitjanes empreses amb un nínxol de mercat molt clar– els entorns computacionals catalans haurien d’estar més que segurs. Segons l’agència per a la competitivitat de l’empresa del departament d’Empresa i Treball de la Generalitat, Acció, les iniciatives de protecció de l’activitat virtual catalanes facturen més de 1.000 milions d’euros cada any, amb prop de 10.000 treballadors ocupats –una de les verticals més dinàmiques del que s’ha vingut a anomenar nova economia digital–. Sisco Baiges, el CEO de Lleida.net –probablement la firma de ciber més atractiva del país, especialitzada en la verificació de documents– veu molt de camp per córrer. “A Catalunya hi ha molta oferta perquè hi ha molta demanda”, assegura l’empresari. No n’hi ha, però, la suficient per cobrir tots els riscos que comporta la digitalització.
Si bé és cert que la protecció de les dades, la identitat o l’activitat empresarial en línia ha ocupat un lloc central al darrer Mobile World Congress, les fonts del sector consultades pel TOT Economia asseguren que la consciència empresarial i privada de la necessitat de defensar-se dels atacants digitals encara no és capaç de moure el país. El director del màster en ciberseguretat de la Nuclio Digital School i emprenedor a la indústria Xavier Bertomeu assegura que, a diferència de molts dels grans mercats del planeta, a Catalunya només ens preocupa la defensa quan ja ens han atacat. “La ciberseguretat sempre ha estat una eina reactiva: tinc un ciberincident, reacciono i aplico una solució”. Ecosistemes més madurs, com els Estats Units, actuen a la inversa: s’instal·len barreres abans que hi hagi un incident. “Encara se’ns veu com secundaris, no primordials”, apunta l’expert.
Baiges identifica un problema similar. Tot i que des de les prestadores de servei cada cop veuen una millor disposició a adquirir productes i serveis de ciberseguretat –la suficient perquè les firmes que s’hi dediquen puguin “adquirir una certa capacitat de negoci” que justifica la seva proliferació–, Catalunya té encara una escletxa cultural amb la ciberseguretat. El CEO de Lleida.net parla d’una manca d'”intel·ligència emocional”: els usuaris de serveis digitals, siguin empreses, institucions o consumidors, no van amb prou cura quan s’hi connecten. Tant l’empresari com l’expert apunten que el rol de les empreses no pot ser el de proveir aquesta formació, sinó el d’acompanyar-la amb solucions. Són els compradors els que han d’aprendre a valorar correctament les seves carteres digitals. “No protegim la identitat digital igual que la real”, lamenta Bertomeu.
A manca d’aquesta formació en àmbits generals, són les mateixes empreses les que arrosseguen la seva competició a apostar per la ciberseguretat. Segons Baiges “cada cop més empreses necessiten serveis com els nostres” –l’exemple de Lleida.net, el de la verificació de signatures digitals, és clau per assegurar el trànsit d’informació, documents, factures entre negocis que han abandonat l’analògic–. Poques vegades, però, l’aposta sorgeix d’una iniciativa pròpia. Sovint són atacs a competidors o institucions, o les instal·lacions d’altri, les que forcen la mà dels directius. “L’ecosistema els obliga una mica”, apunta Bertomeu. “Veuen el que passa al costat: el veí ha patit un atac de ransomware, ha aturat la seva activitat i ha hagut de tancar”. És llavors, i només llavors, quan l’ecosistema català es decideix per aixecar parets.
Ciberatacs, una qüestió reguladora?
Val a dir que no només a Catalunya, l’Estat o el sud d’Europa calen incentius per impulsar la seguretat a les empreses digitals. Alguns dels grans mercats del planeta, de fet, ha aixecat una cultura de la protecció corporativa via reguladora. “Als Estats Units apliquen la seguretat per a tot”, precisament per exigències generals de protecció digital. “Aquí, si no ve el regulador o l’ISO, ningú aplica res”, lamenta Bertomeu. En aquest sentit, una obligació legal al fet que empreses de sectors clau es protegeixin seria “ideal”. Ja ho és, de fet, per a algunes empreses regulades, com les cotitzades o aquelles que es dediquen a l’energia, les telecomunicacions o les finances. Les seves activitats, però, formen part d’una cadena de valor que té molts punts desprotegits. Els negocis que sí que estan protegits aporten i reben serveis d’una munió d’altres empreses que no ho estan –perquè ningú els obliga a estar-ho–. Les escletxes i els punts cecs, per tant, poden formar-se a qualsevol punt de la producció. “Convindria definir uns mínims, una llei de protecció de la informació; seria el més lògic”, comenta el director del màster especialitzat.
Amb cada avenç tecnològic, a més, la necessitat es fa més aguda. Lluís Llibre, CEO de la catalana Bloock, recorda que la necessitat d’impulsar la seguretat a productes nous –i la lenta adopció de les mesures– ha existit sempre. “Fa 100 anys no anàvem amb cotxe”, argumenta, i les regulacions de seguretat a la producció de vehicles no existien. “Les normes es van posant a poc a poc”. L’acceleració en les eines digitals, però, és molt més ràpida que la de la indústria del segle XX. En pocs anys l’ecosistema empresarial ha passat de comptar amb poc més que un domini web a haver de pensar en la seva presència al metavers –un entorn on els potencials problemes de ciberseguretat “es disparen”–. “Cada cop hi ha més dades pul·lulant, i amb elles més risc: el Web3 aporta més risc; l’IoT, la IA…” afegeix Bertomeu.
Noves tendències: de les factures a la criptografia
Des de les empreses especialitzades cada cop detecten més potencials punts dèbils a la seguretat corporativa. El procés de digitalització del negoci, amb l’entrada de comerços digitals, xarxes socials i transaccions en línia al dia a dia de l’empresariat del país, reclama noves idees per protegir-se de potencials ciberatacs. Des de Lleida.net apunten a les tecnologies de verificació com a clau per garantir les operacions econòmiques que venen, mentre que el CEO de Bloock apunta a la identitat digital com el nucli a protegir. “Hi ha moltes vies d’innovació a la ciberseguretat”, complementa Bertomeu, també en els models de negoci de les empreses. Una clau per “democratitzar” l’activitat d’aquestes prop de 500 empreses catalanes és, de fet, fer-les més accessibles. “La ciber es veu encara com quelcom llunyà, friki“, lamenta l’expert. En aquest sentit, un trànsit cap al programari com a servei, en què l’empresari només hagi de contractar paquets tecnològics que es gestionin 100% des d’una operadora externa, sembla ser la modalitat més adient.
Amb tot, les fonts sectorials consultades comparteixen un significatiu optimisme de cara al rendiment de la indústria de la ciberseguretat en els pròxims anys. “En el dia a dia anem aconseguint nous reptes, i entre tots creem més cultura”, afirma Bertomeu. La clau, segons Llibre, és proveir els consumidors de bons serveis capaços de protegir les seves activitats a la xarxa. “El més important és que tinguem la capacitat de donar seguretat a tota mena de continguts a internet i certifiquem la seva veracitat”, corrobora. Així, el sector digital català celebra un lent canvi de paradigma: que no calgui que ens hagin atacat perquè optem per defensar-nos.
2 
