Introducció
Avui en dia, es pot afirmar que les tecnologies de la informació i les comunicacions (TIC) han revolucionat la nostra manera de comunicar-nos, no només en les relacions interpersonals sinó també en el mode de relacionar-nos amb la societat en general i amb les administracions públiques en particular.
Aquest fet, juntament amb l’impuls de l’ocupació i l’aplicació de les tècniques i dels mitjans electrònics, informàtics i telemàtics per part de l’administració en el desenvolupament de les seves activitats i en l’exercici de les seves competències —tal com vàrem veure en el darrer BUTLLETÍ INFORMATIU— ha propiciat l’expansió de l’ús d’aquestes tecnologies per part de la ciutadania.
Paral·lelament a aquesta evolució de les TIC han sorgit nous riscs per als sistemes d’informació. Per tant, el desenvolupament i la generalització de l’ús de les TIC impliquen també la necessitat de solucionar-ne els problemes de seguretat, és a dir, els atacs i les possibles vulnerabilitats que puguin comprometre la seguretat dels nostres sistemes d’informació.
La seguretat en les TIC és cada vegada més important i per això aquest número del BUTLLETÍ INFORMATIU pretén fer prendre consciència sobre l’ús segur de les TIC i informar sobre les darreres notícies relacionades amb incidents de seguretat, vulnerabilitats i altres temes d’actualitat relacionats.
Incidents de seguretat
Què són?
Es considera incident de seguretat qualsevol anomalia que afecti o pugui afectar la seguretat de les dades d’un sistema i qualsevol situació o eventualitat en la qual la seguretat pugui resultar amenaçada i, en conseqüència, pugui donar lloc a una pèrdua de confidencialitat, a integritat i/o a disponibilitat de la informació.
Per exemple, es considera com a incident de seguretat qualsevol situació que permeti l’accés no autoritzat a informació o que, al contrari, denegui l’accés a serveis o aplicacions als usuaris autoritzats.
Com es poden categoritzar?
Amb caràcter general i sense pretendre fer-ne una classificació exhaustiva, es poden establir les següents categories d’incidents:
• Accés no autoritzat. Aquesta categoria comprèn tot tipus d’ingrés i operació no autoritzats als sistemes, ja siguin intents reeixits o no:
– Accessos no autoritzats.
– Robatori d’informació.
– Esborrament d’informació.
– Alteració de la informació.
– Intents recurrents o no d’accés no autoritzat.
– Abús i/o mal ús dels serveis informàtics que requereixen autenticació.
• Suplantació i robatori d’identitat. Aquesta categoria conté, entre d’altres, les modalitats següents:
– Pesca (Phishing): accés a informació confidencial (contrasenyes, dades bancàries, etc.) de manera fraudulenta, obtinguda de l’usuari mateix o a través de mitjans telemàtics.
– Falsejament d’identitat (Spoofing): duita a terme per un intrús generalment amb usos de programari maliciós o d’investigació.
– Descaminament (Pharming): la suplantació de la identitat legítima es produeix en una entitat obtenint il·lícitament les dades dels seus clients.
• Codi maliciós. Aquesta categoria comprèn la introducció de codis maliciosos en la infraestructura tecnològica del Servei de Salut. En són part els virus informàtics, els troians i els cucs informàtics.
• Denegació del servei. Inclou els esdeveniments que ocasionen la pèrdua d’un servei en particular. Els símptomes per detectar un incident d’aquesta categoria són els següents:
– Temps de resposta molt baixos sense raons aparents.
– Serveis i/o informació inaccessibles sense raons aparents.
• Mal ús dels recursos tecnològics. Agrupa els esdeveniments que atempten contra els recursos tecnològics pel mal ús. Comprèn les subcategories següents:
– Mal ús i/o abús de serveis.
– Violació de les normes d’accés a Internet.
– Mal ús i/o abús del correu electrònic.
Com es produeixen?
Cal dir que els incidents de seguretat no sempre es produeixen de manera intencionada, sinó que en algun cas són la conseqüència de contingències, eventualitats i negligències o, fins i tot, del desconeixement d’usuaris o administradors.
Com es poden evitar?
Partint de la premissa que la seguretat total no existeix, l’objectiu és intentar reduir al mínim el risc que es produeixin aquests incidents.
Per aquesta raó, davant aquests riscs cal aplicar-hi no només solucions reactives als incidents de seguretat de la informació, sinó també accions de prevenció davant possibles amenaces i també accions d’informació, conscienciació i formació en matèria de seguretat per assegurar la protecció.
Com s’ha d’actuar?
Tot usuari ha d’informar dels incidents que, a parer seu, puguin tenir impacte en la seguretat dels actius del Servei de Salut, mitjançant el servei de suport corresponent. Cal indicar tots els detalls observats que hagin duit a la sospita i així mateix cal prestar la col·laboració necessària per resoldre la incidència.
Per gestionar i resoldre les incidències de seguretat més greus que afectin els sistemes d’informació del Servei de Salut es compta amb el suport i l’assessorament de l’Oficina de Seguretat (Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.).
Alguns incidents reals
• Portàtil amb 8,6 milions de dades mèdiques, perdut al Regne Unit
http://www.thesun.co.uk/sol/homepage/news/3637704/Missing-Laptop-with-86million-medicalrecords. html
El passat 15 de juny, el diari The Sun va publicar en l’edició digital el titular següent: “Se cerca: portàtil amb 8,6 milions de dades mèdiques confidencials. S’ha perdut un portàtil que conté dades mèdiques de vuit milions de pacients”.
L’ordinador, que no tenia contrasenyes d’accés i contenia dades sensibles de 8,63 milions de pacients, a més de registres de 18 milions de visites mèdiques, operacions i procediments, va desaparèixer d’un edifici del Servei Nacional de Salut.
• INTECO informa del robatori de dades de la seva plataforma de formació en línia
http://www.inteco.es/Prensa/Actualidad_INTECO/robo_datos
El passat 6 de juny, l’Institut Nacional de Tecnologies de la Comunicació (INTECO) va informar en la seva pàgina web sobre un incident en la seva plataforma de formació en línia. En un comunicat posterior (8 de juny) va informar que l’“anàlisi forense de l’incident” mostrava que l’atacant va obtenir la informació següent dels usuaris: nom i llinatges, número de telèfon, adreça, sexe i data de naixement.
• La Policia Nacional deté tres integrants de l’organització Anonymous a Espanya
http://www.policia.es/prensa/20110610_2.html
El passat 6 de juny, els mitjans de comunicació varen informar sobre la detenció de tres espanyols acusats d’associació il·lícita i de vulnerar l’article 264.2 del Codi penal. La policia els va definir com “la cúpula d’Anonymous a Espanya”, la qual cosa va provocar, juntament amb la detenció, que molts simpatitzants llançassin missatges als mitjans i advertències de revenja.
Informe de compliment de la LOPD als hospitals
Enllaç de descàrrega: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/ notas_prensa/common/octubre/INFORME_HOSPITALES.pdf
L’Agència Espanyola de Protecció de Dades (AEPD) va prendre la iniciativa d’elaborar un informe de compliment de la Llei orgànica de protecció de dades (LOPD) als hospitals com a conseqüència d’haver constatat l’increment de casos en aquests centres d’incompliment d’aquesta Llei, vinculats principalment a la vulneració dels deures de la seguretat i el secret que aquesta norma estableix.
Entre aquests incompliments es poden esmentar la difusió de dades clíniques per mitjà de xarxes d’intercanvi d’arxd’arxius P2P, l’abandonament de dades de salut a la via pública, l’emmagatzemament d’informació clínica en àrees no restringides dels centres sanitaris —i, per tant, a l’abast de qualsevol persona—, la utilització de dades sanitàries per a finalitats no autoritzades i la comunicació indeguda d’aquestes dades a terceres persones.
L’avaluació es va dur a terme enviant un qüestionari a més de sis-cents centres registrats en el Catàleg Nacional d’Hospitals, entre els quals els hospitals adscrits al Servei de Salut.
Codi de bones pràctiques: edició del nou curs
Ja està disponible l’edició del nou curs interactiu del Codi de bones pràctiques en l’ús dels sistemes d’informació i el tractament de les dades de caràcter personal del Servei de Salut.
Té l’objectiu de garantir i protegir la privacitat de la informació —especialment les dades de caràcter personal— contra els accessos, l’ús i la divulgació no autoritzats, la pèrdua, l’alteració, la destrucció i el robatori.
És accessible en l’adreça URL https://formacio.ssib.es/login/index.php per a tot el personal del Servei de Salut que empri els seus sistemes d’informació i que tracti dades de caràcter personal.
Quines circumstàncies s’han de comunicar?
Qualsevol incident que pugui tenir impacte —segons el parer de l’usuari— en la seguretat dels actius, i també tots els detalls observats que l’hagin duit a la sospita; per exemple, si observa que a l’ordinador es duen a terme accions estranyes (augment de la mida dels fitxers, aparició d’avisos de Windows no habituals, recepció de missatges de persones desconegudes o en idiomes no emprats habitualment, pèrdues de dades o de programes, etc.).
A qui cal notificar-les?
Al servei de suport corresponent, al qual s’ha de prestar la col·laboració necessària per resoldre la incidència.
L’omissió o el retard en la notificació d’un incident de seguretat pot arribar a constituir una falta i, per tant, donar lloc a la responsabilitat disciplinària que, si hi escau, pertoqui.
Què cal fer si es detecta una deficiència en una aplicació?
A causa de la naturalesa dinàmica i canviant dels requisits que han de satisfer les aplicacions informàtiques cal mantenir-les sempre actualitzades, i per a això resulta imprescindible la col·laboració de tots els usuaris. Per això us animam a comunicar qualsevol deficiència que detecteu o millora que considereu adequada.