Protecció de dades sanitàries: compliment del RGPD en hospitals

El sector sanitari és un dels més susceptibles de patir ciberatacs. Això es deu a la gran quantitat de dades i informació sensible o confidencial que gestiona. És un dels sectors que genera més dades i, per aquest motiu, complir amb el RGPD i disposar de sistemes de seguretat informàtica que minimitzin el risc de patir una bretxa de dades és una preocupació que qualsevol empresa, organització, entitat o associació d’aquest àmbit ha de tenir present i incloure dins de les seves polítiques de funcionament.

El 89% de les organitzacions sanitàries ha patit una mitjana de 43 atacs l’any 2022. Gairebé un cada setmana.

Tot i això, dins de l’àmbit sanitari no només és obligatori el compliment del RGPD, sinó que també trobem la Llei d’Autonomia del Pacient, que estableix la confidencialitat de les dades mèdiques.

No obstant això, garantir que la informació no es transfereixi a tercers no significa que no pugui ser vulnerada mitjançant ciberatacs, especialment si no s’apliquen les mesures de seguretat adequades.

Com complir amb el RGPD en hospitals i clíniques?

Tal com expliquem al nostre article anterior Aspectes tècnics del RGPD: protecció de dades en sistemes informàtics, complir amb aquesta normativa no és només un tràmit burocràtic. Hi intervenen aspectes tècnics que cal implementar a la infraestructura IT de l’organització per garantir-ne el compliment real.

Complir amb el RGPD és sinònim de prevenir ciberatacs. Quan un hospital o una clínica pateix un atac cibernètic, vol dir que les dades han estat exposades, vulnerant tant el reglament com la Llei d’Autonomia del Pacient. Per minimitzar el risc d’entrada de malware, hospitals i clíniques han de complir una sèrie de requisits tècnics i implementar solucions de ciberseguretat als seus sistemes informàtics.

Mesures de seguretat informàtica imprescindibles per a la protecció de dades en hospitals i clíniques

Abans d’implementar qualsevol solució de seguretat informàtica, cal conèixer les necessitats reals del sistema que es vol protegir. Existeix la creença que com més mesures s’implantin, més segur serà el sistema. Tanmateix, des d’ESED, com a especialistes en ciberseguretat, podem confirmar que no sempre és així. Per reduir el risc d’infecció per malware, és més efectiu disposar només de les mesures que realment aportin protecció.

Mesures mal configurades o no adequades per a determinats sistemes poden acabar convertint-se en una bretxa de seguretat.

Per tant, el primer pas és realitzar una auditoria del sistema per identificar vulnerabilitats i determinar la millor manera de corregir-les.

Un cop realitzada l’auditoria, de quines solucions estem parlant?

Disposar d’una estratègia de ciberseguretat: guia de bones pràctiques

Les estratègies de ciberseguretat defineixen com es protegeixen les dades, el seu tractament i el seu ús. Es tracta d’un manual de bones pràctiques per minimitzar els riscos de ciberatacs i saber com actuar de manera correcta i legal si un atacant aconsegueix superar les barreres de seguretat del sistema informàtic de l’hospital o la clínica. És el que coneixem com a protocol de resposta davant ciberatacs.

Implementació de firewalls i endpoints per bloquejar amenaces

Els firewalls i els endpoints són la primera barrera amb què es troba un ciberdelinqüent quan intenta infectar un sistema amb malware.

A ESED treballem amb endpoints que integren sistemes XDR, que permeten identificar l’origen de l’amenaça, aïllar els dispositius en risc per evitar la propagació i eliminar-la de manera automàtica.

Solucions antiphishing Els atacs a través del correu electrònic continuen sent els més utilitzats i efectius per als ciberdelinqüents.

El factor humà és una de les principals causes d’entrada de malware en una organització sanitària. Fer clic en enllaços no segurs o descarregar fitxers infectats, com ara ransomware, continua sent una de les maneres més eficients de trencar les barreres de seguretat. Això és el que coneixem com a phishing.

Les solucions antiphishing filtren els correus abans que arribin a la safata d’entrada del destinatari.

Gestor de credencials: Un ciberdelinqüent pot descobrir una contrasenya d’entre 7 i 8 caràcters en només 2 segons.

Segons un informe de la consultora Deloitte, gairebé el 90% de les contrasenyes dels usuaris a nivell mundial són vulnerables als ciberatacs. Per això és fonamental crear contrasenyes segures i utilitzar gestors de contrasenyes per accedir als diferents serveis digitals.

A més, afegir l’autenticació multifactor o de doble factor (2FA) és clau per maximitzar la seguretat dels comptes.

Un cas real viscut a l’oficina

Recentment, una companya de l’equip de màrqueting va iniciar sessió al compte de TikTok de l’empresa des del seu mòbil. De manera immediata, vam rebre un avís al correu corporatiu alertant que un dispositiu nou o desconegut havia iniciat sessió. Tot va quedar en un ensurt, però sense autenticació de doble factor, qualsevol persona amb la contrasenya hauria pogut accedir al compte.

Còpies de seguretat periòdiques

Disposar de còpies de seguretat actualitzades permet recuperar la informació de manera ràpida i senzilla en cas de ciberatac. Quan aquestes còpies no existeixen o estan desactualitzades, l’organització no pot recuperar les dades sense negociar amb el ciberdelinqüent, una situació que mai acaba bé.

Implementar aquestes mesures de seguretat en hospitals i clíniques contribueix de manera directa al compliment del RGPD i redueix significativament el risc de patir un ciberatac.