L'OMS alerta del perill creixent de ciberatacs als centres de salut que posen vides en risc

Contundent advertiment del director general de l'Organització Mundial de la Salut sobre el perill creixent que representen els ciberatacs per als sistemes de salut globals. Durant la seva intervenció davant del Consell de Seguretat de les Nacions Unides, Tedros Adhanom Ghebreyesus ha explicat que no només paralitzen infraestructures tecnològiques, sinó que també posen en risc la vida dels pacients i la seguretat de dades personals d'usuaris i metges.

"Quan afecta els hospitals, pot ser una qüestió de vida o mort."

"Els ciberdelinqüents operen així", ha dit, "com més gran sigui l'amenaça a la seguretat del pacient, a la confidencialitat i l'aturada del servei que puguin provocar, més gran serà el rescat que podran exigir.

"Si els centres de salut no paguen, les conseqüències no seran només financeres i operatives. Potencialment, posen els pacients en risc. Per això, per restaurar el sistema i recuperar les dades ràpidament, els centres de salut estan disposats a pagar un rescat substanciós."

Segons les investigacions, "aquests atacs contra el sector sanitari han augmentat tant en escala com en freqüència", ha subratllat Adhanom, que ha reclamat la importància de la cooperació internacional per combatre'ls.

Un advertiment que reforça una realitat. Per exemple: al Servei Català de Salut els hospitals públics són víctimes d'un ciberatac cada 8 hores de mitjana. I el sector sanitari és el que pateix més atacs informàtics.

Atacs a la seguretat internacional

El Consell General de l'ONU ha demanat que aquests atacs es considerin "un greu risc per a la seguretat internacional". Una cinquantena d'estats --entre ells Corea del Sud, Ucraïna, Japó, Argentina, França, Alemanya, Regne Unit-- ho han signat en una declaració conjunta.

"Aquests atacs són una amenaça directa per a la seguretat pública, posen en perill vides humanes (...) i poden suposar una amenaça per a la pau i la seguretat internacionals."

Durant la reunió es va demanar que els estats no permetin "conscientment" que els responsables d'aquests atacs operin des del seu territori. Els Estats Units van apuntar Moscou, i França i Corea del Sud, Pyongyang. "Sabem que els atacs de ransomware poden ajudar a finançar la proliferació d'armes de destrucció massiva", va dir l'ambaixador adjunt francès, Jay Dharmadhikari.

Rússia va reiterar que el Consell no era el lloc per discutir la ciberdelinqüència, recordant els atacs d'Israel als hospitals de Gaza. "Desviar l'atenció del Consell de Seguretat cap al món virtual sembla contraproduent, fins i tot cínic", va dir l'ambaixador rus, Vassili Nebénzia.

El Clínic, obligat a millorar la seguretat informàtica

Precisament, aquesta setmana l'Agència Catalana de Protecció de Dades (ACPD) ha sancionat l'Hospital Clínic arran del ciberatac que va patir el març del 2023, quan uns pirates informàtics van robar informació sanitària --entre la qual, dades sensibles de pacients-- i van publicar-les.

L'organisme conclou que el Clínic no tenia les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima, i el condemna a millorar la seguretat dels sistemes informàtics.

L'ACPD també ha sancionat altres entitats vinculades que s'allotjaven als seus servidors i que també considera que tenen responsabilitats en la protecció de dades confidencials: el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps) i l'entitat privada Barnaclínic.

El Clínic va patir un atac del tipus ransomware, que consisteix a segrestar els arxius d'una organització i demanar un rescat per alliberar-los: en aquest cas, 4,5 milions de dòlars. El Clínic sempre ha mantingut que no va pagar cap rescat, tal com recomana l'ACPD.

Així el 30 de març van començar a publicar la informació, un total de 4,5 terabits de dades. Finalment, els Mossos van fer caure els dos servidors on el grup de ciberdelinqüents RansomHouse publicaven que havien fet l'atac i el que n'havien aconseguit.

Altres casos de ciberatac a ens públics a Catalunya

No és el primer cop que passa a Catalunya. L'octubre del 2021 a la Universitat Autònoma de Barcelona hi va haver un ciberatac que va afectar tot l'entorn virtual del centre.

L'octubre del 2022 també un ciberatac ransomware va afectar tres hospitals i alguns CAP del Baix Llobregat i Barcelona.

També el mes de març del 2023 un ciberatac a la farmacèutica Alliance Healthcare va afectar la distribució de medicaments a les farmàcies.