07.11.2024 - 14:36
|
Actualització: 07.11.2024 - 16:21
L’Hospital Clínic de Barcelona no complia les mesures de ciberseguretat exigides pel reglament general de protecció de dades (RGPD) i l’esquema de seguretat espanyol en quan va rebre el ciberatac del març del 2023, que va implicar una interrupció molt greu del funcionament normal del centre sanitari i el robatori i publicació en obert de més de 4 terabytes de dades que hi havia als servidors de l’hospital i d’uns altres organismes associats. Així ho ha dictaminat l’Autoritat Catalana de Protecció de Dades (ACPD), que l’ha sancionat per aquest incompliment i per no haver identificat les amenaces existents ni la probabilitat de rebre un atac i posar en risc les dades personals, cosa que, tal com va passar, dificultava que es poguessin identificar i implantar les mesures necessàries per a protegir la informació confidencial.
L’ACPD no solament ha sancionat l’Hospital Clínic, sinó també el Consorci d’Atenció Primària de Salut Barcelona Esquerra, la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer i l’empresa Barnaclínic SA; totes tres són entitats vinculades a l’Hospital Clínic i que s’allotjaven als seus servidors, però que també considera que tenen responsabilitats en la protecció de les dades confidencials. En el cas de Barnaclínic, la resolució sancionadora no és ferma perquè l’empresa l’ha impugnada al jutjat contenciós administratiu.
L’Hospital Clínic va ser atacat per RansomHouse, un grup criminal especialitzat a aprofitar forats de seguretat d’organismes i empreses privades per accedir als seus servidors, blocar-los i robar-ne dades privades per extorquir-los. Durant uns quants dies el ciberatac va repercutir en l’atenció sanitària que podia proporcionar el centre, però aviat es va poder recuperar de l’incident i la preocupació principal va passar a ser la gestió de les dades personals robades. A causa d’aquest ciberatac es van publicar noms complets, números de telèfon, adreces físiques i de correu electrònic, horaris, contractes laborals, dades bancàries, números de la seguretat social, fotografies de documents d’identitat i signatures d’alguns treballadors, col·laboradors i directius de l’Hospital Clínic. També hi havia informació de pacients identificats amb noms i cognoms, i dels quals hi havia anàlisis, diagnòstics, receptes, observacions mèdiques i calendaris de tractaments. Una informació molt delicada que feia que l’hospital hagués de tenir-ne una cura especial.
Malgrat tot, l’Autoritat Catalana de Protecció de Dades no li imposa cap sanció econòmica, sinó que estableix un seguit de mesures correctores perquè repari la deixadesa en les mesures de seguretat exigides. La resolució constata que l’Hospital Clínic ja ha fet passos en aquesta direcció abans que la sanció fos ferma. Per exemple, quan encara era una proposta de resolució ja s’exposava que requeriria un cronograma amb els terminis necessaris per a fer les anàlisis de riscs associades als tractaments de dades personals a la plataforma corporativa que va ser atacada; a més d’implantar les mesures que va proposar l’Agència de Ciberseguretat de Catalunya. Doncs bé, l’Hospital Clínic ja ha presentat un document que exposa les mesures implantades del juny del 2023 –tres mesos després del ciberatac– fins al maig del 2024, i un cronograma amb les actuacions previstes per millorar els sistemes de seguretat durant la resta del 2024, el 2025 i el 2026. Així doncs, l’Autoritat Catalana de Protecció de Dades constata que l’Hospital Clínic ja ha implantat unes quantes mesures per a millorar la seguretat, però li demana que l’informi anualment sobre el grau de compliment de les mesures previstes per al 2025 i el 2026.
Abans que la resolució fos ferma, l’Hospital Clínic va mirar de defensar-se dient que sí que havia pres totes les mesures possibles per a protegir-se, però que no van ser prou per a l’alta complexitat de l’atac, cosa que en dificultava la prevenció. De fet, va dir que l’estat de la tècnica en l’àmbit de la ciberseguretat en aquell moment no permetia de prevenir correctament un atac d’aquesta mena. A més, argumentava que el ciberatac va coincidir amb la recuperació de l’hospital després de l’impacte de la pandèmia de la covid –que diu que va dificultar que apliqués millores addicionals en ciberseguretat– i amb una escassetat de dotació pressupostària.
Tanmateix, l’Autoritat Catalana de Protecció de Dades exposa que una prova que la tecnologia actual permetia d’adoptar més seguretat i que no era excessivament costosa és que, després del ciberatac, l’Hospital Clínic va aplicar noves mesures de seguretat que no s’aplicaven fins aleshores. I, malgrat tot això, afegeix que aquestes justificacions no l’eximeixen perquè les obligacions de seguretat informàtiques no eren noves, sinó que ja eren incloses a l’RGPD –que es va començar a aplicar el 2018, abans de la pandèmia– i a l’Esquema espanyol de seguretat del 2010.
De fet, la sanció no és per haver rebut el ciberatac, sinó per no haver estat a l’altura dels estàndards de ciberseguretat exigits. “L’autoritat coincideix a l’hora de considerar que no es pot exigir a les organitzacions un risc zero, però sí que s’implantin mesures amb la màxima diligència, i en atenció a les circumstàncies concurrents en cada cas”, diu la resolució. Afegeix que, tenint en compte la investigació, “no hi ha dubtes que la sensibilitat de la informació que emmagatzemaven els sistemes d’informació de l’Hospital Clínic, l’estat de la tècnica, els costos i la tendència creixent d’atacs amb programari de segrest evidenciaven la necessitat d’implantar més seguretat per protegir la informació”.
Fins i tot, l’autoritat remarca que s’han exposat diferents situacions en què l’Hospital Clínic sabia la insuficiència d’implantació de les mesures de seguretat en diferents períodes temporals, abans del ciberatac del març del 2023. “L’autoritat no comparteix que l’Hospital Clínic actués de manera diligent en la implantació i aplicació de mesures de seguretat –tant tècniques com organitzatives–, respecte dels tractaments de dades personals que duia a terme per mitjà de la plataforma corporativa que va ser atacada”, deixa clar.
Els altres organismes sanitaris també en són responsables
Malgrat que l’Autoritat Catalana de Protecció de Dades assenyala l’Hospital Clínic de Barcelona com a responsable principal de la manca de compliment amb els estàndards de seguretat, també assenyala el Consorci d’Atenció Primària de Salut Barcelona Esquerra i la Fundació de Recerca Clínic Barcelona – Institut d’Investigacions Biomèdiques August Pi i Sunyer.
Tot i que el consorci depenia dels sistemes d’informació de l’Hospital Clínic, l’ACPD diu que no va establir mesures de seguretat necessàries per a protegir les dades ni va fer una anàlisi de riscs. A més, diu que l’acord multilateral d’encàrrec de tractament amb l’Hospital Clínic va ser considerat insuficient perquè no tenia els elements necessaris per a garantir la seguretat de les dades que tractaven.
En una situació semblant, la Fundació de Recerca del Clínic també depenia dels seus sistemes d’informació, però no va complir les obligacions a l’hora d’establir i garantir mesures de seguretat adequades de les seves dades. També se li imputa la manca d’una anàlisi de riscs i l’absència d’un acord multilateral amb prou garanties per a assegurar un tractament i seguretat adequats.
