Estoy leyendo mucho últimamente sobre ciberataques, principalmente a aseguradoras de salud.
Es un tema que me preocupa y del que resulta difícil protegerse.
Parece que es más sencillo proteger algo que uno puede ver de unos riesgos que uno puede entender y de los que se han visto multitud de películas, que de los ataques que vienen que son sobre activos intangibles realizados de forma casi invisible desde ubicaciones que pueden estar muy alejadas del lugar que recibe el ataque.
Como dice Román, todo el mundo es objetivo de este tipo de acciones:
Y siendo eso cierto, cuanto más jugosos los datos, más probabilidad hay que entre alguien a ver qué encuentra que pueda revender a compradores con pocos escrúpulos, y las aseguradoras de salud tienen muchos datos y muy jugosos.
Al hilo de uno de los últimos ataques publicados, leo esta reseña What You Need to Do Now to Avoid Cyber Attack de una entrevista en la que el entrevistado dice que le molesta (la traducción es mía y muy libre) la obsesión de la industria, forzada por el gobierno, de que se cumpla con los requisitos de la legislación de protección de datos y se queja de que «nos estamos centrando en las leyes en detrimento de mejorar la seguridad«:
«the industry obsession, forced upon by the federal government to make sure that the I’s are being dotted and the T’s are being crossed on all the compliance requirements of HIPAA. “We’re focusing on HIPAA at the expense of just improving security,” he laments.»
Y creo que con su queja da en la diana de parte del origen del problema: durante años las empresas han recibido una enorme presión para cumplir con las leyes de Protección de Datos (LOPD en España, HIPPA en EE.UU., etc) bajo la amenaza real de multas cuantiosas. Esta presión ha llevado a a establecer un listado de puntos para validar que establecen si «se cumple» o «no se cumple».
Una verificación meramente administrativa que actúa casi como escudo ante una posible auditoría frente a la autoridad competente. Un quitamultas. Pero esta verificación no garantiza que se estén tomando medidas reales de protección de la información y mucho menos que se esté haciendo lo que se debe hacer para proteger los sistemas de la empresa de ataques de cibercriminales.
Hemos dedicado muchos esfuerzos a cuestiones formales (que no digo que no fueran necesarias, lo eran y mucho), y nos hemos olvidado de las amenazas reales y de que en esto hay que trabajar todos los días sin descanso, porque los malos no descansan.
Ha llegado el momento de la protección de datos de verdad. Y en eso gente como Román tiene mucho que decir.