L'Hospital Clínic no tenia mesures de seguretat per protegir-se del ciberatac

BarcelonaL'Hospital Clínic incomplia les mesures de seguretat informàtica quan va rebre el ciberatac del grup RansomHouse; una intrusió que va acabar amb la filtració de milers de dades personals de pacients, treballadors, estudis mèdics i del mateix centre. Davant d'aquests fets l'Autoritat Catalana de Protecció de Dades (APDCAT) ha sancionat l'hospital perquè no va avaluar correctament el risc associat a les dades sanitàries que tracta ni va prendre les mesures que se li requereixen. En concret, aquest organisme que penja del Govern determina que el Clínic va infringir la normativa de protecció de dades i també la seva responsabilitat en el tractament de dades confidencials.

Segons la Generalitat, el Clínic no tenia implementades les mesures de seguretat de detecció i contenció per a una prevenció mínima. La sanció també afecta tres entitats que pengen de l'hospital: el Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), l'Institut d’Investigacions Biomèdiques August Pi i Sunyer (Idibaps) i Barnaclínic, que es dedica a la medicina privada. Ara l'executiu els obliga a informar de la implementació de mesures correctores i del seu compliment fins al 2026, però no els imposa cap sanció econòmica.

D'acord amb la resolució de l'APDCAT, l'Hospital Clínic “no va implementar les mesures apropiades per garantir un nivell de seguretat adequat als riscos associats als tractaments de dades”. Si s’haguessin pres aquestes mesures, l’hospital hauria estat més protegit davant d’un ciberatac i en una millor capacitat de detecció i de resposta, recull la resolució. El Govern defensa que el centre hauria pogut minimitzar els efectes adversos, tant pel que fa a la filtració de dades sanitàries confidencials com per la interrupció de l’assistència sanitària. El ciberatac va obligar l'hospital a anul·lar operacions i sessions de radioteràpia programades.

Pel que fa a les altres tres entitats que depenen de l'hospital, l'APDCAT determina que no van adoptar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc del tractament de les dades. La resolució també recull que no van fer l'anàlisi dels riscos. Segons informa l'ACN, Barnaclínic ja ha interposat un recurs contenciós administratiu contra la resolució del procediment sancionador.

"El risc zero no existeix"

Fonts de l'hospital han recordat que, des que van tenir constància del ciberatac, van treballar amb la Generalitat per esmenar l'error. "Hem estat treballant des del primer dia amb l’Agència de Ciberseguretat de Catalunya. El risc zero no existeix", defensen. Mesos després de l'atac, els seus autors van publicar un paquet de dades de gairebé 4,5 terabytes. El robatori contenia tota mena de dades personals de treballadors, com noms i cognoms, DNI, currículums, llistes de contrasenyes de diferents serveis en línia, números de comptes bancaris i fins i tot firmes escanejades. També de pacients –sovint identificats amb nom i cognoms– com ara informes de seguiment d'estudis mèdics de fàrmacs per a diferents tipus de càncer i registres de donacions d'òrgans i teixits i d'analítiques de mostres i biòpsies. A més, també es van robar documents de recerca i treball, com esborranys d'articles científics i protocols mèdics.