A Catalunya, els ciberatacs a través de correu electrònic simulant una identitat falsa (phishing) contra el sector sanitari han experimentat un increment del 198% durant la covid-19. Així mateix, al llarg de l’any 2020, aquest sector ha estat el principal objectiu dels atacs amb programari de segrest o ransomware. En plena pandèmia i enmig de la transformació digital del sector de la salut, el sistema sanitari ha hagut de fer front a un seguit d’amenaces especialment rellevants, segons l’anàlisi de l’últim informe de tendències de ciberseguretat de l’Agència de Ciberseguretat de Catalunya.

La promoció de la teleassistència, l’acceleració en la compartició de dades i l’aplicació de noves tecnologies durant la pandèmia ha esdevingut un repte en matèria de ciberseguretat i privacitat; i als atacs de phishing i ransomware s’han sumat les fuites de dades personals i les vulnerabilitats de les tecnologies de la salut en línia.

El cibercrim ha aprofitat les conseqüències de la pressió assistencial d’un sector sanitari esgotat per atacar-lo mitjançant la suplantació de persones o entitats de confiança del sistema de salut: professionals del sector, centres mèdics, empreses farmacèutiques, autoritats sanitàries, organitzacions i organismes internacionals, etc. Aquests atacs no s’han centrat exclusivament en els centres mèdics, sinó que s’han dirigit també contra tota la cadena de subministrament: laboratoris d’investigació, productors de material i equipament, companyies farmacèutiques, asseguradores, etc.

Per augmentar l’èxit dels atacs, els cibercriminals han adaptat el phishing a una versió més creïble i difícil d’identificar, és l’spear-phishing, un atac en què arriben a suplantar la identitat de contactes reals i de confiança. A nivell global, l’spear-phishing va augmentar un 667% durant els primers dies de pandèmia i el 86% dels professionals sanitaris han experimentat atacs d’aquest tipus de phishing dirigit. Habitualment, l’objectiu és el robatori de credencials, però també la infecció amb programari  maliciós i els fraus per aconseguir una transferència econòmica.

Segons exposa l’Informe de l’Agència de Ciberseguretat de Catalunya, durant la primera i segona onada de la covid-19, aproximadament un de cada quatres incidents de ransomware publicats en els mitjans especialitzats afectaven el sector sanitari. Un exemple en el territori català és l’atac del 3 de setembre de 2020 en què un grup ciberdelinqüent xifrava alguns sistemes del Consorci Sanitari Integral i afectava els serveis de l’Hospital de Sant Joan Despí Moisès Broggi, quatre centres d’atenció primària i tres residències.

El 70% dels atacs amb programari de segrest es realitzen a través de connexions remotes RDP o VPN, desplegades abastament durant la pandèmia per poder teletreballar, i el 26% a través de correus de phishing.

La crisi sanitària també ha generat un context molt favorable a les fuites de dades personals. Han augmentat els incidents i el risc de la doble extorsió: atacs de programari de segrest amb el robatori d’informació sensible i l’amenaça de difondre-la públicament. En una anàlisi de 201 fuites de dades, es van arribar a identificar 12.581 comptes de correu electrònic de professionals del sector sanitari català i el 58% de les entitats estaven afectades.

Un altre risc important en matèria de ciberseguretat el plantegen les vulnerabilitats de les tecnologies de la salut en línia que acostumen a tenir l’origen en la manca d’actualitzacions. El desembre de 2020, l’Agència de Ciberseguretat de Catalunya alertava d’una vulnerabilitat que afectava una llarga llista de sistemes d'imatges per tomografia computeritzada(TC), raigs X i ressonància magnètica, fabricats per GE Healthcare, que permetia la captura de dades confidencials, afectar la disponibilitat del sistema o manipular-lo.

Transformació digital sanitària cibersegura

El Govern català vol sumar-se a la transformació digital sanitària cibersegura i, en aquest sentit, l’Agència de Ciberseguretat de Catalunya col·labora amb el Departament de Salut en el disseny i l’execució d’un programa de ciberseguretat. A més de la protecció de la infraestructura tecnològica, s’han desplegat plans de conscienciació adreçats als professionals de la salut; i, en cas d’incident, el Catalonia-CERT exerceix les funcions d’equip de resposta.

El Govern considera que les ciberamenaces són un autèntic risc i que un país digitalment avançat necessita dotar-se d’un servei de ciberseguretat públic que és l’Agència de Ciberseguretat de Catalunya, operativa des de l’1 de gener de 2020.

Més informació: Informe de tendències de ciberseguretat en el sector sanitari