Per via d’urgència i sense espera. El Govern ha comprat, a la màxima velocitat que permeten els tràmits administratius en situacions de crisi, un sistema per impedir nous atacs a les bases de dades de Salut. Una reacció davant el ciberatac que el passat 19 de setembre de 2022 als sistemes i bases de dades de l’Institut Català d’Oncologia (ICO), i que tenia per objectiu un “segrest d’informació”. Un atac que els tècnics qualifiquen de “ransomware” i que l’Agència Catalana de Seguretat va haver de fer mans i mànigues per repel·lir activant un gabinet de crisi.
Segons un informe del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) al qual ha tingut accés El Món, l’atac va ser greu. De fet, el document que justifica la compra “d’emergència” dels sistemes de “detecció d’amenaces avançades per a l’àmbit sanitari” assegura que l’atac, tot i ser a l’ICO, tenia un “potencial afectació a tot l’àmbit sanitari i a gran part de la infraestructura de la Generalitat de Catalunya”. Un atac que feina “necessari i imprescindible” adquirir les llicències per mitigar el risc d’aquests tipus d’atac. El preu de la compra és de 757.566,09 euros amb IVA inclòs i el proveïdor escollit és un vell conegut del departament de Salut, sobretot durant la gestió de la pandèmia, SIRT S.L.
Un sistema “complex” per reduir el temps de resposta als ciberatacs
Els tècnics del CTTI alerten en el seu informe de necessitat del servei que “el temps d’identificació d’amenaces associades a l’àmbit sanitari és molt elevat”. “La identificació de noves ciberamenaces específiques del sector sanitari es un procés molt complex i que té una gran dependència de tercers, donada la manca de visibilitat dels principals entorns crítics”, alerten els experts en ciberseguretat del Govern. Així que defensen la compra urgent sobretot per incrementar la possibilitat de “detecció” i “millorar el temps de resposta”. “Aquesta solució ha de permetre evitar posar en risc entorns crítics dels serveis de salut de la Generalitat de Catalunya, com són els equips de treball d’hospitals i CAPs”, emfatitza el document.
En aquest sentit, el CTTI assevera que la “intrusió en els sistemes d’informació de salut” eren “impresivibles”. D’aquí que segons l’organisme es “fa impossible per al poder adjudicador la planificació de la necessitat, amb antelació suficient”. “Davant aquest fet incert, imprevisible i variant, cal fer aquest subministrament per garantir la seguretat dels serveis dels llocs de treball de salut, mentre es contracta una solució definitiva”, insisteixen.
L’Agència de Ciberseguretat i una empresa de confiança
El document remarca que la gravetat i el perill de nous atacs fa “impossible el compliment dels terminis dels altres procediments de contractació” i d’aquesta manera n’argumenta l’emergència. De fet, va ser la mateixa Agència de Ciberseguretat de Catalunya que, el 21 d’octubre, va subratllar “l’extrema urgència de la necessitat” d’aquests sistemes per “mitigar el risc d’intrusió en els serveis del lloc de treball de salut”, que titlla de “sobrevinguda”, és a dir, que no es podia preveure.
Amb aquests criteris sobre la taula, el CTTI tira de veta de la confiança i ha contractat aquestes llicències a SIRT, Sistemes Integrals de Xarxes i Telecomunicacions, SL, que ja ha fet tasques similars per al departament d’Educació, en canvis en la ciberseguretat durant la gestió de la Covid, per a la millora de la protecció de la xarxa que permet el teletreball dels treballadors públics, així com per millorar la capacitat de resposta i de treball de dades de la Generalitat durant la pandèmia. Una empresa que, segons l’entitat, “té la capacitat d’executar el subministrament requerit, tant pel seu coneixement d’anteriors subministraments d’emergència” com per la seva condició “d’habitual proveïdor” del departament de Salut.
El 7 d’octubre, un altre atac “sofisticat”
Per altra banda, i ja quan es trobava en tràmit l’adquisició de les llicències, es va perpetrar un altre ciberatac al sistema de Salut. En concret va ser el 7 d’octubre, quan el Consorci Sanitari Integral, format per un total de 12 centres (Hospital Sant Joan Despí Moisès Broggi; Hospital General d’Hospitalet; Hospital Dos de Maig; Hospital Sociosanitari d’Hospitalet; CAE Cornellà; CAE Sant Feliu; CAE Ronda la Torrassa; CAP La Torrassa; CAP Collblanc; CAP Sagrada Familia; Residència Collblanc Companys Socials; i Residència Francisco Padilla) va ser víctima d’un atac en tots els seus centres que van patir afectacions.
En una resposta parlamentària, el passat 23 de desembre, el conseller del ram, Manuel Balcells, presentava un informe on admetia que cap dels centres del Consorci havia quedat “exempt d’afectació de l’atac”. “Tots els sistemes informàtics del món connectats a internet estan exposats a potencials atacs de grups criminals especialitzats en extreure dades aprofitant les vulnerabilitats de cada sistema”, justificava el conseller. Ara per ara, la investigació de l’agència de Ciberseguretat de Catalunya segueix en curs, però els experts de l’organisme ja ressalten “la sofisticació de l’atac”. Una professionalitat molt alta que “fa poc probable que es pugui arribar a traçar el camí exacte que ha seguit l’atacant”.
“Una de les hipòtesis és que aprofitant alguna vulnerabilitat existent s’han apropiat de credencials amb permisos que els ha permès sostreure un petit volum d’informació de dades de gestió interna”, reconeix l’informe. Ara bé, Balcells assegura que en tractar-se de documents “ofimàtics” les dades manllevades per l’atac sobre “informacions sensibles de pacient és molt residual, ja que són documents que els professionals del Consorci Sanitari Integral fan servir més per a estudis o treballs fora de l’activitat assistencial del dia a dia”. En total es van filtrar 513 carpetes de 513 professionals sanitaris.