Ciberatac a l’Hospital Clínic: Estan fora de perill les nostres dades mèdiques?

El ciberatac que pateix l'Hospital Clínic de Barcelona ha obligat a desprogramar 150 intervencions no urgents, anul·lar 3.000 visites ambulatòries i posposar 400 analítiques de control. A més, l'atac, que és de tipus ramsonware (segrest de dades), no només afecta les tres seus de l'hospital (Villarroel, Plató i Maternitat) sinó que s'estenen a tres CAP: Casanova, Borrell i les Corts.

En aquest tipus d'atacs, els ciberdelinqüents tanquen l'accés als arxius de la informació clínica encriptant-los de manera que no s'hi pot accedir. Després o bé demanen rescat a canvi de donar les claus per desencriptar o bé venen la informació a tercers. Sovint fan totes dues coses alhora. Cal tenir en compte que, a l'actual era digital, l'autèntic or és la informació i que una base de dades financeres o sanitàries de mida mitjana es pot vendre al mercat negre per quantitats que superen el mig milió de dòlars.

Els ciberatacs a entitats del sector de la salut representen el 40% dels atacs cibernètics i s'estan convertint en una pràctica delictiva tan freqüent com deplorable. Les violacions de dades i els atacs de ransomware a les organitzacions de salut dels Estats Units representen un cost estimat en més de 4 mil milions de dòlars. Al nostre país 500 institucions sanitàries han notificat incidents cibernètics d'alta perillositat i, tot i que els tècnics en ciberseguretat han evitat més de 50.000 intents de ransomware a organismes sanitaris públics, alguns atacs han arribat a aconseguir més de 4 milions d'euros.

Qualsevol ciberatac és reprovable i pot tenir greus conseqüències econòmiques i de reputació per a companyies de tots els sectors. Però un atac d'aquestes característiques a un hospital o centre de salut és execrable i inqualificable perquè origina riscos incalculables en relació amb l'atenció sanitària i la seguretat dels pacients en cas que aquests codis maliciosos bloquegin o encriptin informació de sistemes operacionals claus com la Història Clínica Electrònica on resideix tota la informació mèdica d'un pacient.

La delicada naturalesa de les dades mèdiques els confereix una importància cabdal per a la salut dels ciutadans més enllà del seu valor econòmic més o menys especulatiu. Si una empresa logística és víctima d'un ciberatac, les conseqüències pitjors són la suspensió total o parcial del servei de transport o la paralització de la cadena de subministrament. Però, per a un hospital o centre de salut, aquesta paralització pot traduir-se en greus retards en els diagnòstics i tractaments (imaginem una intervenció quirúrgica urgent que ha de ser obligatòriament ajornada o suspesa), col·lapse dels centres mèdics per impossibilitat de tramitar altes i baixes. fins i tot una pèrdua d'informes i dades clíniques essencials. Quan se segresten dades mèdiques no només es causen agreujants legals o econòmics, sinó que la salut i les pròpies vides de les persones poden veure's afectades. No és estrany que alguns experts considerin aquest tipus d'atacs com una forma de ciberterrorisme.

Aquest tipus d'ensurts ens ha de fer pensar en la necessitat urgent de millorar la ciberseguretat de les nostres organitzacions sanitàries. Cal dedicar més recursos atenent que l'entorn informàtic dels nostres hospitals i centres de salut és, sovint, un ecosistema vulnerable (molts encara fan servir programaris desactualitzats o no compatibles) i que el creixement en la integració de dispositius mèdics connectats a Internet ( IoMT o Internet of Medical Things) augmenta el risc en representar una superfície vulnerable més gran per a atacs informàtics.

La transformació digital ha aconseguit les nostres entitats de salut i el seu desenvolupament és imparable. Només cal passejar per qualsevol centre sanitari per adonar-nos-en. Des dels escàners o RMN que recullen i analitzen informació en temps real fins a les aplicacions de salut que cada pacient porta al telèfon personal. Les grans organitzacions sanitàries poden tenir més de 26.000 dispositius connectats a la xarxa. I això anirà a més. Per tant, cal conèixer l'enemic de la confidencialitat dels nostres registres mèdics.

L'enemic no és qui creuen molts ciutadans. No ens enfrontem als típics hackers solitaris, asseguts davant d'un ordinador teclejant llargues línies de codis informàtics, sinó que es tracta d'organitzacions cibercriminals molt sofisticades i amb ampli coneixement de l'entorn tecnològic que s'estenen a nivell internacional i són capaços de llançar atacs de forma indiscriminada i sovint letal.

Davant d'un enemic tan sofisticat i ben organitzat cal prendre mesures defensives amb urgència. Per això la transformació digital s'ha de blindar amb eines adequades que la defensin de la manera més segura possible. L'esforç ha de ser proporcional a la importància i confidencialitat de les delicades dades que gestiona.

Cal més inversió per la ciberseguretat del nostre sector sanitari. Hauria de ser una prioritat social, econòmica i política a nivell nacional i internacional, perquè quan un hospital o centre de salut està en perill, també ho estem els pacients que en depenem.

S'ha de disposar d'un inventari de tots els dispositius connectats a un hospital o centre de salut i tenir així una visió dels actius a protegir. Les institucions mèdiques han de promoure la formació i la conscienciació dels professionals i els pacients, de manera que siguin la primera barrera de seguretat.

Tots hi estem implicats. L'ús segur de la tecnologia és un repte que no podem defugir.