Els ciberatacs a través de correu electrònic simulant una identitat falsa ("phishing") contra el sector sanitari català han experimentat un increment del 198% durant la covid-19. Així mateix, al llarg de l’any 2020, aquest sector ha estat el principal objectiu dels atacs amb programari de segrest o "ransomware". En plena pandèmia i enmig de la transformació digital del sector de la salut, el sistema sanitari ha hagut de fer front a un seguit d’amenaces especialment rellevants, segons l’anàlisi de l’últim informe de tendències de ciberseguretat de l’Agència de Ciberseguretat de Catalunya.





La promoció de la teleassistència, l’acceleració en la compartició de dades i l’aplicació de noves tecnologies durant la pandèmia ha esdevingut un repte en matèria de ciberseguretat i privacitat, i als atacs de "phishing" i "ransomware" s’han sumat les fuites de dades personals i les vulnerabilitats de les tecnologies de la salut en línia.





El cibercrim ha aprofitat les conseqüències de la pressió assistencial d’un sector sanitari esgotat per atacar-lo mitjançant la suplantació de persones o entitats de confiança del sistema de salut: professionals del sector, centres mèdics, empreses farmacèutiques, autoritats sanitàries, organitzacions i organismes internacionals, entre altres. Aquests atacs no s’han centrat exclusivament en els centres mèdics, sinó que s’han dirigit també contra tota la cadena de subministrament: laboratoris d’investigació, productors de material i equipament, companyies farmacèutiques i asseguradores, entre altres.





Per augmentar l’èxit dels atacs, els cibercriminals han adaptat el "phishing" a una versió més creïble i difícil d’identificar. Es tracta del "spear-phishing", un atac en què arriben a suplantar la identitat de contactes reals i de confiança. A nivell global, l’"spear-phishing" va augmentar un 667% durant els primers dies de pandèmia i el 86% dels professionals sanitaris reconeixen haver experimentat atacs d’aquest tipus. Habitualment, l’objectiu és el robatori de credencials, però també la infecció amb programari maliciós i els fraus per aconseguir una transferència econòmica.





Segons exposa l’Informe de l’Agència de Ciberseguretat de Catalunya, durant la primera i segona onada de la covid-19, aproximadament un de cada quatres incidents afectaven el sector sanitari. Un exemple en el territori català és l’atac del 3 de setembre de 2020 en què un grup ciberdelinqüent xifrava alguns sistemes del Consorci Sanitari Integral i afectava els serveis de l’Hospital de Sant Joan Despí Moisès Broggi, quatre centres d’atenció primària i tres residències.





La crisi sanitària també ha generat un context molt favorable a les fuites de dades personals. Han augmentat els incidents i el risc de la doble extorsió amb el robatori d’informació sensible i l’amenaça de difondre-la públicament. En una anàlisi de 201 fuites de dades, es van arribar a identificar 12.581 comptes de correu electrònic de professionals del sector sanitari català i el 58% de les entitats estaven afectades.





Un altre risc important en matèria de ciberseguretat el plantegen les vulnerabilitats de les tecnologies de la salut en línia que acostumen a tenir l’origen en la manca d’actualitzacions. El desembre de 2020, l’Agència de Ciberseguretat de Catalunya alertava d’una vulnerabilitat que afectava una llarga llista de sistemes d'imatges per tomografia assistida per ordinador (TC), raigs X i ressonància magnètica, fabricats per GE Healthcare, que permetia la captura de dades confidencials, afectar la disponibilitat del sistema o manipular-lo.





LA GENERALITAT VOL IMPULSAR UN PROGRAMA DE CIBERSEGURETAT





El Govern català vol sumar-se a la transformació digital sanitària cibersegura i, en aquest sentit, l’Agència de Ciberseguretat de Catalunya col·labora amb el Departament de Salut en el disseny i l’execució d’un programa de ciberseguretat. A més de la protecció de la infraestructura tecnològica, s’han desplegat plans de conscienciació adreçats als professionals de la salut i, en cas d’incident, el Catalonia-CERT (l'equip de respostes i incidents de l'Agència de Ciberseguretat de Catalunya) exerceix les funcions d’equip de resposta.





El Govern considera que les ciberamenaces són un autèntic risc i que un país digitalment avançat necessita dotar-se d’un servei de ciberseguretat públic que és l’Agència de Ciberseguretat de Catalunya, operativa des de l’1 de gener de 2020.