‘No sabem per què el Sindicat de Policies de Catalunya ens acusa d’haver participat en el ciberatac’

  • Entrevista a Xavier Gatius, director del Centre de Seguretat de la Informació a Catalunya (Csicat), acusat pel Sindicat de Policies de Catalunya d'haver tramat un ciberatac que va deixar al descobert dades personals de 421 mossos

VilaWeb

Text

Josep Rexach Fumanya

05.07.2016 - 22:00
Actualització: 05.07.2016 - 22:25

Dilluns es va saber que el Sindicat de Policies de Catalunya (SPC) assenyalava el Centre de Seguretat de la Informació a Catalunya (Cesicat), un organisme de la Generalitat, de ser darrere el ciberatac contra els servidors de la seva web, que el 23 octubre de 2013 va deixar al descobert dades personals de 421 mossos afiliats al sindicat. El sindicat fa aquesta acusació en un recurs que ha presentat al jutjat que instrueix el cas per l’empresa que gestiona la web de l’SPC, que exerceix l’acusació particular. Reclamen la declaració com a encausats del director de l’organisme, Xavier Gatius, i dos treballadors més del Cesicat, un dels quals ja és encausat per haver actuat il·lícitament. Després d’unes hores de silenci per a escatir l’abast de les acusacions, que de moment només són informatives, Gatius pren la paraula per a explicar-se. Diu que està absolutament sorprès i respon a tots els interrogants sobre el cas.

—Primer de tot m’agradaria que m’expliquéssiu de què s’encarrega concretament el Cesicat.
—El Cesicat és l’entitat responsable de la ciberseguretat de la Generalitat de Catalunya, del sector públic que la conforma i del govern. Aquest és el nostre àmbit d’actuació. Addicionalment, el Cesicat és un centre de resposta d’incidents d’àmbit internacional. Per tant, també té la funció de donar consells, recomanar i acompanyar en aquells àmbits que els organismes puguin trobar-se afectats per un incident i així puguin resoldre’ls.

—Aquí hi ha una acusació molt greu. I és que l’SPC us atribueix el ciberatac de què fou objecte el 2013. Què hi dieu?
—A banda la perplexitat d’això que es diu en les informacions que es van publicar ahir, primer de tot volem desmentir i negar qualsevol relació del Cesicat amb aquest atac. Perquè precisament això és el món al revés. La funció que tenim és pràcticament la contrària. En aquest incident precisament vàrem fer una notificació perquè l’afectat pogués fer les accions que considerés oportunes per tal de preservar la seva informació i els seus actius.

—Els vàreu alertar de l’atac?
—Sí, els en vàrem informar i, fins i tot, els vàrem donar un seguit de consells i recomanacions. Que quedi clar que aquestes recomanacions les donem quan tenim informació que pugui haver-hi un incident de seguretat, encara que sigui aliè a l’àmbit de la Generalitat, com és el cas del sindicat, que és un organisme privat. Ho fem per contribuir a minimitzar aquestes afectacions, i més si es tracta de dades de funcionaris de l’administració. Per tant, en el moment que tenim informació que pot haver-hi un incident de seguretat, la primera cosa que fem és comprovar que sigui real. És habitual en el nostre negoci, per dir-ho d’alguna manera, que corrin determinats rumors que acaben essent falsos i que per tant no tenen cap transcendència. Quan constatem que hi pot haver un incident perquè es publica un seguit d’informació, els ho notifiquem.

—Com us assabenteu, doncs, que l’SPC pot rebre un atac, si és fora de la vostra competència vetllar per la seva seguretat?
—Perquè els que suposadament van perpetrar l’atac, ho van reivindicar a les xarxes socials, a través de Twitter. A partir d’aquí els ho notifiquem. També vull desmentir la informació que s’ha publicat en alguns altres mitjans: nosaltres no monitorem cap sistema d’informació ni cap actiu aliè a l’administració de la Generalitat i del seu sector públic. El nostre àmbit de protecció se circumscriu a la institució de la Generalitat. I el sindicat no hi és.

—Però el tècnic del Cesicat que va declarar com a testimoni va dir que l’SPC formava part de la Generalitat i, per tant, el Cesicat és responsable de la seva seguretat.
—Com que no ens hem presentat com a part, no tinc la declaració d’aquest tècnic. Sigui com sigui, entre els àmbits de responsabilitat del Cesicat hi ha l’administració de la Generalitat, el govern i el sector públic. I la nostra funció com a centre de resposta en cas d’un incident és de notificar i assessorar aquells organismes i centres igual que processar aquella informació que algú ens vulgui fer arribar. Hi ha entitats que ens reclamen perquè han estat atacades i ens expliquen què ha passat. A partir d’aquí analitzem com ha estat perquè ens pugui servir com a informació més endavant. Però, en aquest cas, el sindicat no és en el nostre àmbit d’actuació.

—En tot cas, el Cesicat és responsable del que fes aquest tècnic?
—Aquest tècnic era contractat per una empresa per donar un servei de resposta d’incidents i és aquesta empresa que respon per ell. En tot cas, jo no tinc aquestes declaracions. Si ha estat així, són les declaracions d’un tècnic que d’alguna manera fa la seva feina i que, per tant, en algun àmbit d’actuació pot tenir algun punt d’imprecisió. Nosaltres tenim clar que vàrem procedir com fem habitualment. No sabem ni la motivació ni els indicis en què es basen per acusar-nos d’haver participat en aquest atac. La nostra funció és precisament la contrària, amb l’objectiu que aquests incidents no passin, entre altres coses perquè poden posar en compromís dades i informació de personal de la Generalitat.

—Aquest tècnic encara treballa aquí?
—No, perquè els procediments de contractació duren un temps limitat i quan s’acaben es tornen a licitar. En aquest cas va guanyar una altra empresa.

—A banda allò que diu l’SPC, un informe de la policia espanyola explica que des del Cesicat algú es va connectar unes quantes vegades a la web del sindicat, abans de l’atac i després.
—Sí, però tornem al mateix punt. Primer hem de dir que nosaltres ens posem a disposició de col·laborar amb les autoritats judicials i policíaques que puguin portar la investigació, tot i que encara no ens han citat a declarar ni a donar cap explicació. En qualsevol cas, segons les notícies que he llegit, diuen que hi ha una adreça IP del Cesicat que es va connectar a la web del sindicat. Fins que no sàpiga a quina adreça IP es refereixen no puc saber si és del Cesicat o no. Sóc prudent i se’m fa difícil de donar-hi cap resposta concreta i particular, però resto a disposició per a poder esclarir els fets.

—Com que la filtració va acabar afectant funcionaris de l’administració, els 421 mossos afectats, el Cesicat ha investigat qui va fer la filtració?
—En aquest cas nosaltres no hem iniciat la investigació. Si l’han iniciat els mossos ho ha fet d’ofici. Nosaltres, en les dades filtrades, les credencials, és a dir, usuaris i contrasenyes, hi hem aplicat mesures per a mitigar aquest incident i que no tingués un efecte contagi als sistemes informàtics de la Generalitat.

Us proposem un tracte just

Esperàveu topar, com fan tants diaris, amb un mur de pagament que no us deixés llegir aquest article? No és l’estil de VilaWeb.

La nostra missió és ajudar a crear una societat més informada i per això tota la nostra informació ha de ser accessible a tothom.

Això té una contrapartida, que és que necessitem que els lectors ens ajudeu fent-vos-en subscriptors.

Si us en feu, els vostres diners els transformarem en articles, dossiers, opinions, reportatges o entrevistes i aconseguirem que siguin a l’abast de tothom.

I tots hi sortirem guanyant.

per 75 € l'any

Si no pots, o no vols, fer-te'n subscriptor, ara també ens pots ajudar fent una donació única.

Si ets subscriptor de VilaWeb no hauries de veure ni aquest anunci ni cap. T’expliquem com fer-ho

Recomanem

Fer-me'n subscriptor