La web de vacunació covid s’ha dissenyat com un sistema específic per a la gestió de les vacunes, aïllat dels sistemes d’historial electrònic de la ciutadania. L’objectiu ha estat simplificar al màxim els tràmits de reserva de cites per afavorir la vacunació, reduir l’absència i facilitar en la gestió electrònica de les cites. Per tant, en aquest web únicament hi consten les dades específiques de citació al procés de vacunació.
Donada la visibilitat i transcendència del web se’n fa un seguiment continu. En el curs d’aquestes actuacions de monitoratge es van identificar sol·licituds d’accés per part de tercers fora del flux definit i que han estat objecte d’anàlisi. S’ha apostat per garantir un nivell de ciberseguretat adequat amb un seguiment proactiu de qualsevol vulnerabilitat tecnològica o operativa que pogués afectar al seu funcionament.
El Departament de Salut ha estat treballant conjuntament amb l’Agència de Ciberseguretat de Catalunya per identificar potencials incidents i aplicar millores en l’aplicació. En el curs d’aquestes actuacions, s’ha tingut coneixement d’un incident, relacionat amb l’aplicació, ja que s’han detectat peticions d’informació fora del que és habitual.
Les recomanacions de l’Agència Ciberseguretat de Catalunya es van aplicar de forma immediata per reforçar la seguretat d’aquesta aplicació. Aquesta situació va ser notificada a l’APDCAT dintre de les 72h perceptives tal i com marca la normativa vigent.
De l’anàlisi detallat posterior s’ha constatat l’existència d’una vulnerabilitat a un dels components de la solució que comportava d’un risc d’exposició de dades identificatives de les persones i de les cites de vacunació. Aquesta vulnerabilitat també ja s’ha corregit per l’empresa informàtica aplicant les accions indicades per la l’Agència de Ciberseguretat.
S’està aprofundint amb els diferents proveïdors quines han estat les causes i quines millores i controls cal incorporar als protocols per minimitzar els riscos de seguretat informàtica.
En paral·lel i com es perceptiu s’actualitzarà tota la informació a l’Agència Catalana de Protecció de Dades.