im MÉDICO | 60.2 16 Riesgos para el paciente de la información sustraída Después de varias amenazas efectuadas por parte de los ciberatacantes del Hospital Clinic, en caso de no atender la recompensa solicitada de 4,25 millones de euros, el cuerpo de Mossos d’Esquadra daba la alerta de que el grupo RansomHouse había hecho público en la web oscura archivos sustraídos tras dicho acto delictivo. Según datos del centro hospitalario, lo publicado, hasta ahora, por los cibercriminales forma parte del material robado: 3,6 Gb del 4,5 Tb de datos de carácter personal de pacientes, profesionales y entidades colaboradoras, así como de proveedores. Desde el Clinic, se aseguraba que no se ha accedido a información de la historia clínica compartida. “Por suerte, no llegaron al núcleo central de la historia clínica, aunque sí afectó a algunos servidores adicionales periféricos que pueden contener información de pacientes, que, a veces, se utiliza para hacer procesos intermedios de trabajo, etc.”, explica, en este sentido, el Dr. Pastor. “No se ha podido acceder al sistema central que es donde está integrada y organizada esa información”. El jefe de la Unidad de Informática Clínica considera que la información sustraída “es muy parcial, es muy difícil organizarla y extraer conclusiones importantes. Es decir, no se han podido llevar un historial completo de un paciente y, probablemente, se trate de informaciones parciales”. Una vez detectada la publicación de los datos por el patrullaje continuado de los Mossos en la red, el objetivo es bloquearlos y eliminarlos, explicó el Clinic en un comunicado. Se trata de una investigación difícil porque se encuentran en la ‘dark web’ sin indexación. Para ello, se estableció un trabajo conjunto con las autoridades catalanas, en una respuesta coordinada entre el Hospital Clínic, la Agencia de Ciberseguridad de Cataluña la Unidad de Cibercrimen de Mossos d’Esquadra. Al respecto, y según explica el Dr. Pastor, “nos hemos puesto en las manos de la Agencia Catalana de Ciberseguridad, que, evidentemente, tiene mucha experiencia en este tema y estamos aplicando un protocolo muy estricto para poner de nuevo en marcha nuestros servidores, a partir de los dinteles de seguridad que se ha establecido”. Ello supone, como concreta el responsable de Informática Clínica, “que la actualización de los servidores es obligada, lo cual implica un coste en tiempo y en dinero, variable según los casos”. Por otra parte, tal como expone, “hemos activado los sistemas con la máxima seguridad recomendada por la Agencia de Ciberseguridad. En este sentido, hemos procedido a introducir la ‘doble autentificación’, es decir, que, a partir de ahora, para acceder al sistema no solamente es válido el usuario y contraseña habituales, que ya era, de por sí, una contraseña robusta y autogestionada por el usuario. Ahora, se ha sustituido por un sistema doble que requiere, una vez hecha la autentificación, una segunda validación por parte del usuario a través de un sms o a través de una aplicación de autentificación, similar al sistema implantado desde hace tiempo por entidades de otros sectores”. sin más”. Como es bien sabido, las técnicas se basan en datos, por tanto, remarca,“hay que conocer de qué tipo de datos se dispone, si están realmente completos y si, verdaderamente, representan todo el universo en el que luego se van a aplicar o, si, por el contrario, son datos que están, de alguna manera, orientados hacia subpoblaciones muy concretas y, por tanto, los resultados que se obtengan no son generalizables”. “Y claro, eso sin hablar de la calidad de los datos, porque partimos de que la fuente es la historia clínica, que se recoge en el mundo real y sabemos que el mundo real no es perfecto, es muy diferente, por ejemplo, a un laboratorio de investigación donde todo está muy controlado”. “Por tanto, hay que manejar todo con mucha prudencia”, insiste. Uno de los requisitos, para ello, es mejorar el aprendizaje, tal como indica, al tiempo que se muestra convencido de que la tecnología “nos va a ayudar en un futuro, pero hay que ir paso a paso. Y ello implica, por ejemplo, algo que no se suele hacer en la investigación, y creo que, cada vez más, se exigirá por parte de las revistas científicas, es que la comprobación de conclusiones obtenidas con datos y una metodología concreta sea refrendada por otro grupo de investigación para que, sobre los mismos datos, y aplicando otra metodología, se obtengan conclusiones muy similares”. La aplicación de Inteligencia Artificial es una de las preocupaciones que se aborda desde hace tiempo por la Unidad de Informática Clínica del Clínic
RkJQdWJsaXNoZXIy NTI5ODA=