Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 110: Informe de la situació actual sobre ciberatacs a Espanya

En els últims anys la ciberseguretat s’ha anat afermant com una de les prioritats de les empreses a Espanya i al voltant del món. Es constata amb l’augment de la inversió i participació de les empreses i organismes públics i amb la inclusió dels responsables de seguretat informàtica en els comitès de les empreses.

 

Els nous models de treball i les amenaces cibernètiques creixents han fet que les companyies dediquin més personal i capital a mitigar aquest tipus de riscs, ja sigui de manera interna o externa. Un bon punt d’inici per comprendre la importància de la ciberseguretat i la seva urgència és conèixer el comportament dels ciberatacs examinant-ne les xifres, tipologies i objectius.

 

Actualment tant a Espanya com en altres parts del món, les grans companyies inverteixen molt més per protegir-se dels cibercriminals. Això no té lloc en la mateixa proporció en les pimes ni fins i tot entre usuaris, en part per raons econòmiques, però també per la creença de no formar part de l’objectiu de les amenaces dels cibercriminals. Per això, l’augment de ciberatacs a petites i mitjanes empreses i als usuaris ha augmentat en gran mesura, per la debilitat tecnològica i el desconeixement sobre aquest tipus d’atacs.

 

Un dels factors que va propiciar l’augment de ciberatacs va ser la pandèmia de la COVID-19, que va donar als ciberdelinqüents l’oportunitat per atacar a les empreses en un moment d’incertesa total i en el qual es trobaven més desprotegides. Així, els atacs de programari maliciós (malware) van augmentar un 358 % l’any 2020.

 

Actualment, l’impacte de la cibercriminalitat creix any rere any. Així, cada vegada augmenta més el nombre de fets coneguts i el seu pes proporcional en la delinqüència en general, ja que, en concret a Espanya, en comparació del total d’infraccions penals, la cibercriminalitat ha passat de representar el 7,5 % en 2018 al 16,1 % en 2022.

 

Quant a la tipologia de delictes, en el cas d’Espanya, l’INCIBE-CERT ha gestionat des del 2016 diversos tipus d’incidents, que han anat variant la seva naturalesa amb el pas dels anys. En 2022 els incidents més nombrosos van tenir relació amb els sistemes vulnerables, amb un total de 51.711; això és més de 31.000 casos més en comparació a 2021. Els incidents relacionats amb el frau han estat 33.576, la qual cosa significa un augment de 2.000 casos respecte a l’any 2021.

 

L’Oficina de Seguretat del Servei de Salut de les Illes Balears vol posar l’accent en l’amenaça creixent de ciberatacs contra el sector de la salut, on cal destacar que no només hi ha conseqüències econòmiques, sinó que aquests ciberatacs també poden afectar el benestar de les persones.

 

En el sector de salut d’Espanya hi ha diversos exemples recents de ciberatacs, com el de l’Hospital Clínic (Barcelona) del tipus programari de segrest (ransomware), en el qual els ciberdelinqüents van filtrar dades en la web fosca (dark web) com a dades sanitàries, resultats identificadors, assaigs clínics i molts d’altres. A més, els ciberdelinqüents van demanar un rescat de quatre milions d’euros. Els danys soferts, per la seva magnitud, encara no s’han calculat del tot. Un altre ciberatac molt rellevant va ser a l’empresa majorista de medicaments Alliance Healthcare, que va causar interrupcions en la distribució i va afectar el benestar dels pacients.

 

En les organitzacions de la salut no només cal protegir els actius d’informació mèdica i sistemes d’assistència sanitària, sinó que també les dades empresarials, la propietat intel·lectual i els pacients.

 

Els ciberatacs que s’han produït en el sector de salut espanyol inclouen atacs de programari de segrest, programari maliciós, atacs DDoS, enginyeria social i atacs a les cadenes de subministrament. Aquests tenen principalment motius econòmics, però poden llançar-se també amb intencions d’espiar i fins i tot amb motivacions ideològiques.

 

Amb l’objectiu de crear un marc comú per incrementar el nivell de protecció de les empreses dels sectors crítics europeus, on s’inclouen les empreses del sector salut, es va aprovar a finals de 2022 la directiva NIS2, que podeu consultar en el Butlletí de 24 de febrer de 2023, clicant aquí.

 

Finalment, per ajudar a combatre els ciberatacs, tant les empreses com les administracions públiques han d’enfortir la seguretat per mitjà de proves de seguretat, auditories de seguretat de dispositius IoT i infraestructures en el núvol, proves contra atacs DDoS, gestió i detecció de vulnerabilitats, proves de penetració (pentesting) i activitats de formació i conscienciació perquè tots els professionals siguin conscients de les amenaces actuals.

 

Els ciberatacs contra el sector de la salut són una tendència que ha augmentat els últims anys i que poden generar pèrdues econòmiques i de reputació per a hospitals públics i privats, asseguradores, farmacèutiques i altres actors del sector salut, però sobretot poden danyar la salut dels pacients, ja que poden retardar l’atenció i els tractaments, amb conseqüències fatals.

 

Per tot això, tots els professionals del Servei de Salut de les Illes Balears tenen accés a formacions en ciberseguretat i conscienciació. A més, hi ha protocols i procediments de prevenció i actuació; en el Codi de Bones Pràctiques del Servei de Salut s’han establert varies pràctiques de protecció; també s’ha obtingut la certificació en l’Esquema Nacional de Seguretat i es treballa diàriament per combatre els ciberatacs que puguin causar qualsevol dany tant al Servei de Salut com als professionals i pacients que l’integren.

 

Igualment, us recomanam que consulteu els butlletins anteriors següents: