S’entrevista a la Roser Garcia, responsable d’administració a l’empresa Explotacions Forestals de l’Alt Urgell, S.A, a la seu d’El Bruc. Va experimentar un petit ciberatac fa tres anys i va haver de gestionar-ho amb els informàtics.
J: Bon dia, Roser.
R: Bon dia.
J: Per començar, com et vas adonar per primera vegada que l’empresa va tenir un atac cibernètic?
R: Perquè el programa de gestió d’empresa (ERP) no funcionava correctament. La nostra empresa té xarxa local i el servidor no enviava les dades amb normalitat als ordinadors.
Quin va ser el teu paper en l’empresa quan va ocórrer l’atac?
Vaig encarregar-me d’avisar als informàtics i després, juntament amb ells, vam fer proves per tal d’establir la normalitat.
Quin tipus d’atac cibernètic va experimentar l’empresa?
L’atac va ser a través d’un virus a l’ordinador d’un treballador que va traspassar al servidor. Després aquest treballador va rebre un missatge al seu correu electrònic dient que si volia recuperar les dades havia de pagar.
Com va afectar l’atac al teu treball diari?
Vam perdre informació que no es va poder recuperar fins un mes després. Vam haver de canviar els servidors i dos ordinadors perquè els altres van quedar inutilitzables. Mentre solucionàvem el problema, alguns documents els vam haver de fer a mà com els albarans i es va retardar l’emissió de factures.
Quin tipus de dades o informació es va veure compromesa durant l’atac?
Principalment, dades de clients i proveïdors.
Quina va ser la teva primera reacció emocional quan et vas assabentar de l’atac?
Va ser de preocupació per la pèrdua d’informació i si seríem capaços de recuperar-la.
Com vas notificar als teus superiors o a l’equip de TI sobre l’incident?
Als meus superiors ho vaig fer de paraula i als informàtics els hi vaig notificar mitjançant una trucada telefònica.
Quines mesures de seguretat es tenien en el seu lloc abans de l’atac?
Es tenien còpies de seguretat, auditories de la llei de protecció de dades i contrasenyes als equips i a les pàgines webs que ens ho demanaven.
Quines mesures inicials vas prendre per a ajudar a contenir l’atac?
Vam avisar als informàtics i als auditors de la llei de protecció de dades. Vam deixar també de treballar amb el servidor de xarxa local per si havia més virus escampant-se.
Com vas col·laborar amb l’equip de TI per a abordar l’incident?
Facilitant tota la informació que em demanaven i fent les proves que ells ens deien.
Quant temps va portar descobrir la causa arrel de l’atac?
Poc temps, perquè de seguida vam rebre el correu electrònic que ens demanaven els diners.
Quina evidència o indicadors van portar a la identificació de l’atacant?
No es va identificar mai l’atacant.
Es van prendre mesures legals contra l’atacant?
No es van prendre mesures legals perquè era quan van començar a haver aquests atacs i no havia la informació que hi ha ara.
Com es va comunicar l’incident als clients o usuaris afectats?
A través de correu electrònic, un que no estava en xarxa.
Va haver-hi repercussions financeres per a l’empresa a causa de l’atac?
Sí, perquè es van haver d’adquirir nous equips informàtics i es va haver de pagar les hores de treball als informàtics.
Quines mesures de seguretat addicionals es van implementar després de l’incident?
Es va reforçar l’antivirus i el servidor ara fa les còpies de seguretat al núvol.
Quina va ser la lliçó més important que vas aprendre d’aquest atac?
Que has tenir còpia de tota la informació, i si és en un núvol encriptat, millor.
Com ha canviat el teu enfocament quant a la ciberseguretat en l’empresa després de l’incident?
Pensava que les empreses grans eren més susceptibles als atacs, però m’he adonat que les empreses petites també poden ser víctimes d’aquestes estafes. Arrel d’això, intento estar més informada.
Quins són els procediments de resposta a incidents que es tenen en el seu lloc ara?
Es té el mateix protocol amb la millora que sí es prendrien mesures legals, com fer la denúncia a l’autoritat policial.
Quin va ser el paper dels teus companys en la gestió de l’atac?
Van ajudar a recuperar informació.
Quins recursos o eines vas trobar més útils durant la recuperació?
Vam tenir les còpies de seguretat, principalment.
Com va afectar l’atac a la confiança dels clients o usuaris de l’empresa?
Vam tenir la sort de que no els hi va afectar.
L’empresa es va comunicar amb les autoritats o agències reguladores?
Sí, mitjançant els auditors que ho van comunicar a l’Agència de Protecció de Dades (APD)
Van experimentar algun atac secundari després de gestionar l’incident principal?
No es va experimentar cap atac secundari, o si fos així, no ens vam adonar.
Quin consell donaries a altres empleats que enfrontin un atac similar?
Que tinguin còpies de seguretat al núvol, si pot ser encriptades i que denunciïn.
S’ha implementat un pla de continuïtat del negoci en cas de futurs atacs?
No s’ha implementat perquè és una empresa petita (PIME).
Existeix un sistema de monitoratge constant d’amenaces en el seu lloc?
A través de l’antivirus.
Quin és el seu enfocament per a mantenir-se al corrent de les tendències i novetats en ciberseguretat dins de l’empresa?
Mitjançant les xarxes socials, llegint articles i estar al corrent de les notícies que surten sobre aquest tema.
Gràcies Roser per les teves respostes.