Sancionat el Clínic arran del ciberatac del 2023: no tenia prou mesures de seguretat

L'Agència Catalana de Protecció de Dades (ACPD) ha sancionat l'Hospital Clínic arran del ciberatac que va patir el març del 2023, quan uns pirates informàtics van robar informació sanitària --entre les quals dades sensibles de pacients-- i van publicar-les. 

L'organisme conclou que el Clínic no tenia les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima. A més, diu que no havia fet l'anàlisi de riscos necessària per definir les mesures de seguretat aplicables als tractaments de dades que feia. 

En tractar-se d'una entitat pública, la sanció imposada no és econòmica, i es demana a l'hospital que millori la seguretat dels sistemes informàtics. Segons l'organisme, el centre hospitalari ja ha començat a implementar les millores requerides.

L'ACPD també ha sancionat altres entitats vinculades que s'allotjaven als seus servidors i que també considera que tenen responsabilitats en la protecció de dades confidencials.

Es tracta del Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps), i l'entitat privada Barnaclínic.

En aquest últim cas, però, el procediment sancionador encara queda pendent perquè Barnaclínic ha interposat un recurs contenciós administratiu contra la resolució de l'ACPD.
 

Un atac perpetrat pel grup criminal Ransom House

L'atac que va patir el Clínic, del tipus ransomware, consisteix a segrestar els arxius d'una organització i demanar un rescat per alliberar-los. En aquest cas, es van demanar 4,5 milions de dòlars, però l'entitat sanitària sempre ha mantingut que no va pagar cap rescat. 

L'acció va fer que, a principis de març del 2023, calgués desprogramar visites externes, extraccions, operacions no urgents i alguns tractaments oncològics. L'atenció als pacients es va anar normalitzant, però es va trigar setmanes a restablir tots els sistemes informàtics. 

Mentrestant, el grup criminal Ransom House va començar a filtrar les dades robades el 30 de març, amb informació personal de pacients i treballadors. El juliol d'aquell any, els criminals asseguren que ja havien publicat tota la informació segrestada: 4,5 terabytes. 

Qualsevol empresa, entitat o institució pública que funcioni amb sistemes informàtics està exposada a aquest tipus d'atacs. De fet, també en van patir el Consorci Sanitari Integral i la Universitat Autònoma de Barcelona, entre d'altres. 

La recomanació de l'Agència de Ciberseguretat de Catalunya és no pagar mai cap rescat als atacants.