El correu electrònic és una eina indispensable en el nostre dia a dia i, com per a tota eina corporativa, és necessari definir un ús correcte i segur de la mateixa, ja que, a més d'abusos i errors no intencionats que puguin causar un perjudici al Servei de Salut, el correu electrònic s'ha convertit en un dels mitjans més utilitzat pels ciberdelinqüents per dur a terme els seus atacs cibernètics.
De fet, els missatges de correu electrònic són transmesos en ocasions a través de xarxes públiques no segures, on poden ser capturats, llegits i fins i tot modificats per tercers tal com queda de manifest al gràfic il·lustratiu de baix:
En aquest sentit, l'ús adequat d'aquesta eina s'ha desenvolupat en un capítol especial del Codi de Bones Pràctiques del Servei de Salut per a l'ús dels sistemes d'informació i en el tractament de les dades de caràcter personal, que és d'obligat compliment per a tots els usuaris dels sistemes d'informació del Servei de Salut. Així mateix, tal com s'indica en el Codi de Bones Pràctiques, el correu electrònic també ha de complir les mesures de seguretat de la informació de la legislació vigent en matèria de protecció de dades, així com la resta de lleis sanitàries que li són d'aplicació.
Així doncs, entre de totes les mesures de seguretat que s'aplica al correu electrònic, en aquest butlletí volem recalcar la correcta protecció de la informació sensible que enviam a través de correu electrònic, per evitar que informació sensible pugui arribar a mans de tercers no autoritzats.
Què entenem per informació sensible i com hem de protegir-la?
En el Servei de Salut quan parlam d'informació sensible ens referim a informació de caràcter personal amb dades de salut dels nostres pacients, així com a informació derivada d'actes de violència de gènere, religió o creences; és a dir, informació que manejam freqüentment en la nostra operativa diària.
A l'hora de manejar i tractar aquest tipus d'informació s'han d'aplicar mesures de seguretat més robustes i restrictives que habitualment, de manera que garanteixin la integritat i confidencialitat i que compleixin amb el Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques respecte al tractament de dades personals.
Amb caràcter general, no hem d'enviar informació de caràcter personal amb dades de salut per mitjà del correu electrònic. I en el supòsit que sigui estrictament necessari fer un enviament d'aquest tipus, mitjançant aquesta publicació volem posar de manifest la necessitat de xifrar els esmentats correus o, en el seu defecte, xifrar el contingut de la informació que s'envia per garantir un nivell de seguretat apropiat.
Com podem xifrar la informació?
El Servei de Salut disposa d'un programari ja instal·lat a tots els equips que permet xifrar la informació de manera segura. Estam parlant de l'aplicació WinZip, mitjançant la qual podrem xifrar la informació utilitzant una contrasenya que compleixi la política del Servei de Salut i un algorisme de xifrat robust (i.e. AES-256) que garanteixi la confidencialitat de les dades que es vulguin enviar.
La contrasenya haurà de ser notificada al destinatari telefònicament o a través d'una altra via que es consideri segura (i.e. SMS) diferent de la utilitzada per enviar la informació, de manera que algú que intercepti el correu no tingui coneixement de la contrasenya.
La distribució d'informació sensible requereix, a més, haver obtingut correctament el consentiment previ per part del propietari de les dades.
Ús inadequat del servei de correu electrònic i possibles conseqüències
La nostra obligació, com a professionals del Servei de Salut, és protegir la informació a què tenim accés complint les mesures de seguretat de la informació i evitant que tercers no autoritzats puguin accedir a ella. El tractament incorrecte o ús indegut de la informació pot suposar sancions econòmiques molt elevades per al Servei de Salut, així com un sever impacte en la seva reputació.
De fet, sovint podem llegir o escoltar notícies d'atacs cibernètics relacionats amb centres de salut que han vulnerat la seguretat de les dades sensibles dels seus pacients, publicant o comercialitzant amb l'esmentada informació de forma no autoritzada, com a conseqüència de no aplicar bones pràctiques de seguretat.
Així doncs, a tall de recordatori, a continuació s'enumeren alguns exemples de males pràctiques de seguretat de la informació que tots hem d'intentar evitar:
- Propagar contingut de caràcter racista, xenòfob, pornogràfic, sexual, d'apologia del terrorisme o que atempti contra els drets humans, que actuï en perjudici dels drets a la intimitat, l'honor i la imatge pròpia o contra la dignitat de les persones.
- Divulgar informació sensible sense l'autorització prèvia corresponent.
- Difondre missatges de correu electrònic sense identificar plenament el remitent. Si el compte de correu és utilitzat per grups d'usuaris, cal identificar l'autor.
- Fer circular cartes encadenades i participar en esquemes piramidals o en activitats similars.
- Enviar massivament missatges o informació que consumeixin injustificadament recursos tecnològics.
- Instal·lar o fer servir servidors o serveis de correu que no tinguin l'autorització prèvia corresponent.