Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

IBSALUT INFORMA

  • 12/05/2022 - Nº 7 - REVISTA IBSALUT INFORMA

    Ya está disponible el número 7 de la revista IB-SALUT informa de mayo 2022, un medio con información de interés para el personal del Servicio de Salud.

  • 20/12/2021 - ORDEN DE SERVICIO pruebas de detección del SARS-CoV-2 en profesionales del Servicio de Salud de las Islas Baleares

    En aplicación de lo que dispone el Acuerdo del Consejo de Gobierno de 13 de diciembre de 2021 sobre las pruebas de detección del SARS-CoV-2, autorizado por el Tribunal Superior de Justicia de las Islas Baleares, el director general ha dictado la Orden de servicio, que es de obligado cumplimiento, por lo que pedimos la máxima colaboración.

    Todos los profesionales del Servicio de Salud daberán cumplimentar, antes del 31 de diciembre de 2021, el FORMULARIO CCD TRABAJADORES IBSALUT.

  • 11/11/2021 - Letra de desempate para nuevos procesos de la bolsa única

    El 10 de noviembre de 2021, la Comisión de Seguimiento de Bolsa Única llevó a cabo el sorteo para establecer la letra de desempate en la clasificación de los nuevos procesos de bolsas de empleo para la selección de personal temporal estatutario y de llamamientos: la letra resultante fue la Ñ.

    Este criterio de desempate se aplicará en los nuevos procesos que se convoquen a partir de esa fecha.

  • 28/04/2021 - AVISO IMPORTANTE PARA LOS CANDIDATOS DE NUEVOS PROCESOS SELECTIVOS DEL SERVICIO DE SALUD DE LAS ISLAS BALEARES

    En la próxima convocatoria y en adelante, para participar en los procesos selectivos de concurso oposición del Servicio de Salud de las Islas Baleares deberá hacer la inscripción electrónica

    Por eso, es imprescindible que disponga del Certificado digital de persona física y de la aplicación de Firma electrónica.  

    Desde la Dirección de Área de Profesionales y relaciones laborales le recomendamos que consulte esta guía para saber cómo hacerlo

  • 11/03/2021 - Notificación y Registro de Agresiones (NIRA) a los profesionales

    Disponible para todos los profesionales del Servicio de Salud la aplicación informática NIRA, para facilitar el registro, la investigación y el análisis de las agresiones de usuarios a profesionales

Peligros tecnológicos para la salud

Boletín nº95 - Lista de los principales peligros tecnológicos para la salud en 2022

Durante los últimos años han aumentado notablemente los riesgos informáticos para los organismos públicos, las empresas y los usuarios particulares; por ello se espera que el año 2022 no sea una excepción.

 

El sector sanitario es un entorno altamente complejo en términos de procesos, lo cual, sumado al hecho de que tiene una actividad constante durante todo el año, provoca que este tipo de riesgos esté muy presente. Además, hay que tener en cuenta que la gran mayoría de los equipos y medios de diagnóstico modernos de los centros asistenciales contienen muchos componentes informatizados, conectados a la red cada vez más. A esta gran complejidad organizativa y a la gran cantidad de sistemas dispersos interconectados se añade el mayor de los incentivos para los ciberdelincuentes: la información clínica de los pacientes.

 

A continuación describimos algunos de los riesgos para los usuarios particulares y las organizaciones del sector sanitario a los que la Oficina de Seguridad considera que debe prestarse especial atención durante 2022 a fin de protegerse.

 

  1. Digitalización del sector sanitario y adopción de la telemedicina. Aunque los programas de telemedicina resultaron muy útiles durante la peor etapa de la pandemia de COVID-19, hay que valorar todos los casos asistenciales de forma individual y evitar las valoraciones sobre todos los casos telemáticamente sin garantizar que el canal de comunicación sea seguro y confiable. Datos como un historial médico pueden venderse en la DarkWeb por cantidades que van desde poco más de un euro hasta grandes cuantías, y pueden utilizarse para fines maliciosos, como la extorsión, estafas, etc.
  2. Uso inadecuado de datos recopilados por conectados (wearable). Estos dispositivos son complementos que monitorizan las constantes médicas de un paciente durante las 24 horas del día recopilando una gran cantidad de datos personales sensibles, que quedan en manos de empresas privadas: la ubicación del paciente en cada momento, el registro de las constantes vitales (frecuencia cardíaca, saturación del oxígeno en la sangre, etc.), datos de actividad (cuenta de pasos o kilómetros…), entre otros. Quizás estos datos por sí solos no sirvan de mucho, pero si se dispone de una gran base de datos con muchos usuarios con rutinas distintas se pueden crear perfiles de personas que pueden aportar gran cantidad de información para utilizarla con fines ilícitos, como campañas de publicidad o envío de correo basura según el perfil de cada usuario.
  3. Secuestro de dispositivos médicos (medjacking). Consiste en el hackeo (compromiso) de sistemas de rayos X, escáneres de tomografía computarizada, refrigeradores médicos, desfibriladores, etc. Esto puede provocar grandes problemas en el uso de estas herramientas de diagnóstico, incluso puede imposibilitar que funcionen correctamente.
  4. Resultados imprecisos de la inteligencia artificial. Se están mejorando los métodos tradicionales para reconstruir imágenes de pruebas (resonancias magnéticas, radiografías o tomografías computarizadas) añadiéndoles capacidades de inteligencia artificial, lo cual es positivo porque optimiza la calidad y la velocidad del análisis. No obstante, dado que la tecnología presenta ciertas limitaciones, pequeñas desviaciones en la captura de resultados pueden producir un gran cambio en los resultados si el motor de razonamiento no ha sido bien entrenado con una gran variedad de casos. Por ello los profesionales del Servicio de Salud deben ser conscientes de las limitaciones de cada herramienta y tratar toda información con cierta prudencia.
  5. Error humano. Aunque los ataques maliciosos son los más frecuentes, en ocasiones los incidentes pueden ser el resultado de la negligencia o la falta de información de los usuarios. Por ello se les considera el eslabón más débil de la cadena. Tal fue el caso, en abril de 2018, de un empleado de una empresa de seguros médicos estadounidense que publicó accidentalmente un archivo que contenía la información médica y personal de pacientes. La compañía tardó dos meses en detectar este error humano.
  6. Suplantación de identidad (phishing). Se ha registrado un gran aumento de ataques de este tipo, una gran parte de los cuales relacionados con la pandemia. Palo Alto Networks ha cifrado el aumento de este tipo de amenaza dirigida a farmacias y hospitales en aproximadamente un 190 % en el último año. Cabe subrayar que los ataques de suplantación de identidad relacionados con la vacunación aumentaron más de un 500 %.
  7. Secuestrador (ransomware). Los atacantes han descubierto que las organizaciones médicas que ofrecen tratamientos vitales a sus pacientes pueden ser extorsionadas más fácilmente que las empresas de cualquier otro sector. Según datos de Tenable, entre enero de 2020 y febrero de 2021, los ataques de ransomwarehan sido la causa principal del 55 % de las violaciones de la información en el sector de la salud.
  8. Cortes en las comunicaciones por cable o inalámbricas. Este tipo de incidente puede provocar la imposibilidad de acceder a recursos (datos de la historia clínica de los pacientes, resultados de pruebas diagnósticas, monitorización de los sistemas de almacenamiento de medicamentos…). Por ello los fallos en las comunicaciones pueden interrumpir el flujo de trabajo, lo cual retrasa la atención a los pacientes e incluso les causa lesiones graves o el fallecimiento por el hecho de no recibir alertas críticas. Estos riesgos se pueden minimizar monitorizando las redes continuamente y manteniendo activamente los sistemas de comunicaciones.

 

Todos los riesgos descritos nos recuerdan la importancia de educar a los usuarios de cualquier organización —especialmente a los profesionales de la salud— sobre las buenas prácticas en materia de ciberseguridad. Por ello el Servicio de Seguridad de la Información ha desarrollado un plan de concienciación de manera específica para este fin, que actualiza periódicamente: en el Código de buenas prácticas se detallan las buenas prácticas en materia de ciberseguridad que los trabajadores del Servicio de Salud de las Islas Baleares han de cumplir y en la política de seguridad se recogen las acciones que el Servicio de Salud lleva a cabo para paliar los ciberataques que sufre y para valorar sus posibles efectos.

 

Para ahondar en esta materia le recomendamos que consulte estos otros boletines de seguridad:

 

Finalmente, le recordamos que la seguridad de la información es cosa de todos y que empieza por cada uno de nosotros. Muchas gracias por su colaboración.