Red Seguridad 102

32 red seguridad tercer trimestre 2023 monográfico salud 5.0 El ciberataque de principios de marzo de este año al Hospital Clínic de Barcelona ha puesto de manifiesto públicamente la gravedad que supone para las personas físicas afectadas y para las propias enti- dades sanitarias este tipo de sucesos. El ataque fue del tipo ransomware (en este caso se bloquean los archivos y la infor- mación y se secuestran los datos, por los que se solicita un rescate), en el que además de paralizar la actividad normal y los servicios del centro sanitario se vieron comprometidos datos tanto de pacientes de tratamiento asistencial y de investigación clínica como de personas trabajadoras de dicho centro; a lo que se sumaron las posteriores y sucesivas filtraciones de parte de estos datos en la Internet profunda ( Deep Web ). No olvidemos que los datos persona- les relativos a la salud están conside- rados como una categoría especial de datos, por lo que deben estar especial- mente protegidos. Sin embargo, cualquier entidad, y no solo las sanitarias, puede ser damnifica- da. De hecho, en un futuro, muchas de ellas sufrirán este tipo de ataques y otras quiebras de seguridad que afectarán a datos personales y que, desgraciada- mente, se están convirtiendo en habi- tuales. Incluso entidades que implanten medidas de seguridad técnicamente correctas pueden sufrir ataques que se basen, por ejemplo, en fallos de seguri- dad ajenos a ellas, como errores de las arquitecturas o de los sistemas operati- vos y programas que éstas utilicen. Las consecuencias de estas brechas de seguridad que afectan a datos per- sonales son múltiples, si bien las más significativas son: pérdida de derechos y libertades de las personas físicas afecta- das por la quiebra de seguridad, indispo- nibilidad parcial o total de los servicios que prestan estas entidades y afectación reputacional, legal y económica que pueden sufrir las mismas. Para entidades del sector sanitario, las consecuencias de estos ataques con- sisten en que muchos servicios, que en algunos casos son urgentes y no pueden posponerse, no se puedan llevar a cabo. Esto puede acarrear problemas muy gra- ves para la salud de las personas físicas afectadas. No en vano, los sistemas de infor- mación de las entidades sanitarias son bastante complejos, ya que pivotan so- bre la historia clínica del paciente. Estos sistemas van desde una historia clínica que comprende un conjunto de docu- mentos en papel e información digitali- zada hasta, en los casos con un grado de automatización mayor, una historia clínica completamente electrónica, con contenido multimedia, y que puede ser compartida y completada por otros siste- mas de información, tanto locales como estatales y europeos, gracias a su intero- perabilidad. Medidas de ciberseguridad La pregunta desde el punto de vista de la protección de datos en el ámbito del sector público sanitario es la siguiente: ¿qué medidas de seguridad se deben implantar para, dentro de lo posible, Entidades públicas de salud, ENS y brechas G regorio P érez Auditor informático/ inspector de la Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad de la Agencia Vasca de Protección de Datos Incluso entidades que implanten medidas de seguridad técnicamente correctas pueden sufrir ataques