1. Sergi Marcén: “Catalunya no només ha de ser digital, ha de ser referent en la Transformació Digital i tenir una posició de lideratge en capacitació, col·laboració i innovació”

La Secretaria de Telecomunicacions i Transformació Digital, a través de l’Agència de Ciberseguretat de Catalunya, llença un programa de cerca de vulnerabilitats- conegut en anglès com a Bug Bounty- per tal d’identificar vulnerabilitats als departaments de la Generalitat de Catalunya i al seu sector públic com a mesura innovadora i complementària als escanejos tradicionals. En els tres primers mesos que el programa ha estat actiu s’han identificat set vulnerabilitats, entre les quals una és de categoria crítica i una altra d’alt nivell crític.

Es tracta d’un programa pioner entre les administracions públiques a tot l’Estat, iniciat l’abril de 2023 i que s’allargarà un any, com a mínim. El Govern de Catalunya és el primer que llença un projecte de hacking ètic d’aquest tipus, al qual s’hi destinaran 70.000 euros per premiar les vulnerabilitats que trobin el conjunt d’investigadors especialistes en ciberseguretat que hi participen.

El secretari de Telecomunicacions i Transformació Digital, Sergi Marcén, ha subratllat que “Catalunya no només ha de ser digital, ha de ser referent en la Transformació Digital i tenir una posició de lideratge en capacitació, col·laboració i innovació”.

Mitjançant aquesta acció, Catalunya promou el talent i el hacking ètic, es multipliquen les capacitats de protecció i prevenció i es fomenta la innovació en la ciberseguretat dels sistemes digitals. “Si no tiréssim endavant iniciatives com aquestes, els pirates informàtics només veurien un espai per focalitzar la seva vocació a la internet fosca i, per tant, en el tipus de hacking que destrueix. Nosaltres volem el hacking que construeix”, ha destacat el director de l’Agència de Ciberseguretat de Catalunya, Tomàs Roy Català.


El compromís de l'administració pública catalana per oferir els millors serveis públics possibles a la ciutadania i empreses comporta l'obligació de transformar-se digitalment, adoptar noves tecnologies i orientar els processos a la dada. Ara bé, al mateix temps que els entorns digitals complexos creixen, també ho fa el nivell de ciberamenaça. En aquest sentit, l’Agència de Ciberseguretat de Catalunya, a banda dels programes de ciberseguretat i el monitoratge constant dels sistemes integrats en el perímetre de ciberseguretat, du a terme accions com els escanejos de vulnerabilitats i les anàlisis de pentest.

No obstant això, aquestes proves es complementaran durant tot un any amb la realització del programa de cerca de vulnerabilitats, que consisteix a donar accés controlat a actius específics de l’Administració a un conjunt d'investigadors de seguretat informàtica, especialitzats en la detecció de punts vulnerables en els sistemes informàtics.

Per mitjà d’aquest programa ens assegurem arribar allà on els escanejos habituals no poden, incrementem la possibilitat d’identificar possibles vulnerabilitats aprofitant la intel·ligència col·lectiva a Catalunya -amb la participació de la comunitat d'investigadors-,i fem una supervisió continuada de la seguretat, donat que té una durada llarga.

En l’àmbit corporatiu, en el sector privat, accions de hackig ètic són una pràctica consolidada, però en el sector públic encara no són comuns.

El mes de desembre de 2020, l’Agència, amb la col·laboració de la de Direcció General de Serveis Digital i Experiència Ciutadana (Atenció Ciutadana llavors), va posar en marxa una prova pilot de cerca de vulnerabilitats sobre un conjunt d’actius de la Generalitat de Catalunya.

Gràcies a les conclusions positives en l’experiència del 2020, la Generalitat de Catalunya va decidir incorporar els programes d’aquest tipus com una nova eina per aconseguir uns sistemes d’informació públics més segurs, promoure la participació i el talent en ciberseguretat i aproximar l’administració pública a la ciutadania. Per aquest motiu des de la Secretaria de Telecomunicacions i Transformació Digital s’ha iniciat el programa, ja no com un pilot, sinó com una nova acció en la ciberseguretat del país.