El ciberatac que pateix l’Hospital Clínic de Barcelona ha obligat a desprogramar 150 intervencions no urgents, anul·lar 3.000 visites ambulatòries i posposar 400 analítiques de control. A més, l'atac, que és de tipus ramsonware (segrest de dades) no sols afecta a les tres seus de l'hospital (Villarroel, Plató i Maternitat) sinó que s’exten a tres CAPs: Casanova, Borrell i les Corts.

En aquest tipus d'atacs, els ciberdelinqüents tanquen l'accés als arxius de la informació clínica tot encriptant-los de manera que no s'hi pot accedir-hi. Després o bé demanen rescat a canvi de donar les claus per desencriptar o bé venen la informació a tercers. Sovint fan les dues coses alhora. Cal tenir en compte que, en l’actual era digital, l’autèntic or és la informació i que una base de dades financeres o sanitàries de mida mitjana pot vendre’s al mercat negre per quantitats que superen el mig milió de dòlars.

Arxiu - Diverses persones caminen a prop de la porta de l'Hospital Clínic de Barcelona. — Arxiu - Diverses persones caminen a prop de la porta de l'Hospital Clínic de Barcelona @europapress

Els ciberatacs a entitats del sector de la salut representen el 40% dels atacs cibernètics i s’estan convertint en una pràctica delictiva tan freqüent com deplorable. Les violacions de dades i els atacs de ransomware a les organitzacions de salut dels Estats Units representen un cost estimat en més 4 mil milions de dòlars. Al nostre país 500 institucions sanitàries han notificat incidents cibernètics d'alta perillositat i, malgrat que els tècnics en ciberseguretat han evitat a temps més de 50.000 intents de ransomware en organismes sanitaris públics, alguns atacs han arribat a aconseguir més de 4 milions d'euros.

Qualsevol ciberatac és reprovable i pot tenir greus conseqüències econòmiques i de reputació per a companyies de tots els sectors. Però un atac d'aquestes característiques a un hospital és execrable i inqualificable perquè origina riscos incalculables en relació amb l'atenció sanitària i la seguretat dels pacients en cas que aquests codis maliciosos bloquegin o encriptin informació de sistemes operacionals claus com la Història Clínica Electrònica, on resideix tota la informació mèdica d'un pacient.

La delicada naturalesa de les dades mèdiques els hi confereix una importància cabdal per la salut dels ciutadans més enllà del seu valor econòmic més o menys especulatiu. Si una empresa logística és víctima d'un ciberatac, les pitjors conseqüències són la suspensió total o parcial del servei de transport o la paralització de la cadena de subministrament. Però, per a un hospital o centre de salut, aquesta paralització es pot traduir en greus retards en els diagnòstics i tractaments (imaginem una intervenció quirúrgica urgent que ha de ser obligatòriament ajornada o suspesa), col·lapse dels centres mèdics per impossibilitat de tramitar altes i baixes i fins i tot una pèrdua d'informes i dades clíniques essencials. Quan es segresten dades mèdiques no només es causen agreujants legals o econòmics, sinó que la salut i les pròpies vides de les persones poden veure's afectades. No resulta estrany que alguns experts consideren aquest tipus d’atacs com una forma de ciberterrorisme.

Aquests tipus d’ensurts ens ha de fer pensar en la urgent necessitat de millorar la ciberseguretat de les nostres organitzacions sanitàries. Cal dedicar-hi més recursos atenent a que l’entorn informàtic dels nostres hospitals i centres de salut és, sovint, un ecosistema vulnerable (molts encara empren programaris desactualitzats o no compatibles) i que el creixement en la integració de dispositius mèdics connectats a Internet (IoMT o Internet of Medical Things) augmenta el risc en representar una superfície vulnerable més gran per atacs informàtics.

La transformació digital ha arribat a les nostres entitats de salut i el seu desenvolupament és imparable. Només cal passejar per qualsevol centre sanitari per adonar-nos. Des dels escàners o RMN que recullen i analitzen informació en temps real fins a les aplicacions de salut que cada pacient porta al telèfon personal. Les grans organitzacions sanitàries poden tenir més de 26.000 dispositius connectats a la xarxa. I això anirà a més. Per tant cal conèixer l’enemic de la confidencialitat dels nostres registres mèdics.

L’enemic no és el que molts ciutadans creuen. No ens enfrontem als típics hackers solitaris, asseguts davant d'un ordinador teclejant llargues línies de codis informàtics, sinó que es tracta d'organitzacions cibercriminals molt sofisticades i amb ampli coneixement de l'entorn tecnològic que s'estenen a nivell internacional i són capaces de llançar atacs de forma indiscriminada i sovint letal.

Davant d’un enemic tan sofisticat i ben organitzat cal prendre mesures defensives amb urgència. Per això la transformació digital s'ha de blindar amb eines adequades que la defensin de la manera més segura possible. L’esforç ha se ser proporcional a la seva importància i la confidencialitat de les delicades dades que gestiona.

Es requereix més inversió per la ciberseguretat del nostre sector sanitari. Hauria de ser una prioritat social, econòmica i política a nivell nacional i internacional, perquè quan un hospital o centre de salut està en perill, també ho estem els pacients que en depenem del mateix.

S’ha disposar d'un inventari de tots els dispositius connectats en un hospital o centre de salut i tenir així una visió dels actius que cal protegir. Les institucions mèdiques han de promoure la formació i la conscienciació dels professionals i els pacients, de manera que siguin la primera barrera de seguretat.

Tots hi estem implicats. L'ús segur de la tecnologia és un repte que no podem defugir.