El 30 de desembre de 2021 es va activar una alarma en els sistemes de monitoratge de seguretat del Servei de Salut dels Illes Balears. Aquesta indicava que es produïa un atac contra els sistemes d'informació.
- Quin ha estat el tipus d'atac contra els sistemes d'informació?
Una vegada analitzada l'alerta de seguretat, es va determinar que el Servei de Salut estava patint un ciberatac. Donades les característiques, tenia com a objectiu robar dades, xifrar la informació i demanar el pagament d'un rescat.
Aquest tipus d'incidents de ciberseguretat són comunament coneguts com segrestadors o ransomware. L'atac procedia d'un grup de ciberdelinqüents present al territori espanyol i molt actiu, especialment contra les administracions públiques.
- Quin ha estat l'abast d'aquest atac de seguretat?
Fruit de les investigacions, el Servei de Salut ha detectat que només s'han pogut veure compromeses un conjunt limitat de dades personals dels seus sistemes d'informació. Dins aquest, els atacants han pogut accedir a una determinada informació de caràcter personal d'alguns ciutadans, i també a informació relativa a professionals de l'organisme.
Com ha estat l'actuació del Servei de Salut de les Illes Balears?
Per al Servei de Salut, la privadesa dels seus pacients i professionals és una de les prioritats principals. Per això, vam treballar i desplegar totes les mesures al nostre abast per continuar amb la investigació de l'incident i minimitzar els possibles danys sobre la informació dels ciutadans i treballadors que puguin haver-se vist afectats.
Per a això, el Servei de Salut ha duit a terme les activitats següents:
Comunicació de la bretxa de seguretat al Centre de Resposta a Incidents del Centre Criptològic Nacional (CCN-CERT) i a l'Agència Espanyola de Protecció de Dades (AEPD)
Interposició de la denúncia davant la Direcció General de la Policia Nacional
Activació de l'equip de resposta a l'incident
Tall de les comunicacions cap a i des de l'exterior. Així s'han habilitat exclusivament els accessos necessaris mínims i sempre en funció de les necessitats per a la prestació ordinària dels serveis
Canvi forçat de contrasenyes dels usuaris
Identificació dels sistemes afectats i possibles filtracions de dades
Aïllament dels equips afectats
Triatge dels sistemes i accessos implicats en l'incident
Posada en marxa d'un pla d'acció definit en quatre àrees: ciberseguretat, comunicacions, sistemes i control d'accés i de recursos humans
Com puc saber si l'incident de seguretat ha afectat les meves dades personals?
El Servei de Salut de les Illes Balears ha posat a disposició de la ciutadania un nou servei digital que permet comprovar si les seves dades personals s'han vist afectades per l'incident de seguretat de desembre de 2021.
Podeu triar un dels dos mètodes d'identificació digital disponibles per iniciar el tràmit digital de comprovació d'afectació de dades personals degut a l'incident de seguretat de desembre de 2021
Iniciar el tràmit per mitjà de la identificació digital per SMS
Iniciar el tràmit per mitjà de la identificació digital per Cl@ve permanent
- Qui pot comprovar si les seves dades personals s'han vist afectades per l'incident de seguretat?
Qualsevol persona resident a les Illes Balears que s'identifiqui per mitjà de:
- Codi d'identificació del pacient (CIP): és el número que comença per 38 imprès en la targeta sanitària individual (TSI).
- Sistema d'identificació Cl@ve Permanent (usuaris amb o sense TSI).
- Com es pot consultar l'afectació de l'incident de seguretat amb codi SMS?
- En el servei digital d'aquest tràmit, en el menú de l'esquerra heu de seleccionar: «Afectació incident seguretat desembre 2021 (SMS)».
- Seguidament, accedireu a un formulari on heu d'introduir les dades següents:
- El codi d'identificació del pacient (CIP): s un número que comença per 38 i es troba imprès en la targeta sanitària individual.
- La data de naixement en format dd/mm/aaaa
- Els tres últims dígits del vostre telèfon mòbil
- El text de la imatge CAPTCHA que apareix en la part de baix
- Rebreu en el vostre telèfon mòbil un codi de seguretat per SMS que heu d'introduir en el pas següent.
- Finalment, podreu comprovar si l'incident de seguretat ha afectat les vostres dades personals en el pas «3. Afectació».
- Si voleu comprovar quines dades s'han vist afectades per l'incident de seguretat, us heu d'identificar per mitjà del sistema Cl@ve.
És important que les vostres dades administratives i de contacte estiguin actualitzades.
- Com podeu consultar l'afectació de l'incident de seguretat amb sistema d'identificació Cl@ve?
- En el servei digital d'aquest tràmit, en el menú de l'esquerra heu de seleccionar: «Afectació incident seguretat desembre 2021 (Cl@ve)».
- Seguidament, el sistema us redirigirà a la passarel·la d'identificació digital, on podeu escollir un dels sistemes d'identificació: DNIe/Certificat electrònic o Cl@ve permanent.
- Una vegada comprovada la veracitat de la vostra identitat digital la passarel·la d'identificació digital us redirigirà novament al Portal del Pacient. Allà podreu comprovar si l'incident de seguretat ha afectat o no les vostres dades personals. En cas afirmatiu, podreu conèixer també la relació de les categories de dades afectades.
- Què és el mètode d'identificació amb DNIe/certificat electrònic?
La signatura electrònica o el certificat electrònic del document nacional d'identitat electrònic (DNI electrònic o DNIe) garanteixen la identitat de la persona que fa la gestió i la integritat del contingut dels missatges que envia.
Quan accediu al servei digital d'aquest tràmit, per mitjà del DNIe, el sistema us demanarà que seleccioneu el certificat corresponent. Després de ser identificat i verificat, la Plataforma d'identitat electrònica per a les administracions us donarà accés al tràmit que vulgui efectuar.
- Què és el mètode d'identificació amb Cl@ve permanent?
- Cl@ve permanent és un sistema que unifica i simplifica l'accés electrònic dels ciutadans als serveis públics i permet identificar-se davant l'administració pública electrònica o seu electrònica.
- Per utilitzar aquest sistema de claus concertades i signatura en el núvol, els ciutadans han de registrar-se prèviament en el sistema, aportant les dades de caràcter personal sol·licitats.
- Com em puc registrar a Cl@ve permanent?
- Si és la primera vegada que emprau Cl@ve, us heu de registrar seguint els passos determinats en el sistema de registre de Cl@ve.
- Quan les dades hagin estat validades, rebreu una clau temporal en el telèfon mòbil associat al vostre usuari. Heu d'introduir-la per seguir el procés d'autenticació.
Ajuda sobre Cl@ve
Per obtenir més informació sobre el procés de registre, podeu consultar l'apartat «Registre» del «Portal informatiu» de Cl@ve.
A les Illes Balears disposau d'una xarxa d'oficines de registre amb servei especialitzat @Clave en diferents òrgans de l'administració local o autonòmica, per als quals podeu demanar cita digitalment.
Igualment, cal recordar que també podeu presentar un escrit a l'Atenció del Delegat de Protecció de Dades digitalment per mitjà del Registre Electrònic Comú (REGAGE) de l'Administració General de l'Estat o presencialment a qualsevol dels registres habilitats per la Llei 39/2015, de 1r d'octubre, del procediment administratiu comú de les administracions públiques.
- Equip de Resposta del Servei de Salut
L'Equip de Resposta del Servei de Salut treballa per contenir i reduir al mínim els perjudicis que es puguin derivar de l'incident. Així mateix, ens disculpam novament pels possibles problemes que us hagi causat aquest incident.
Restam a la vostra disposició per a les consultes que considereu oportú fer-nos arribar pels mitjans indicats en el paràgraf anterior.