Entradas

Hospital sufre ataque de Ransomware – Brecha de Seguridad

Desafortunadamente nos estamos acostumbrando a que los ataques de ransomware, secuestro de datos, sean noticia. En el caso que nos atañe, El Hospital Universitario Central de Asturias ha sufrido un ciberataque que ha comprometido su funcionamiento.

Desde el comienzo de la pandemia de Covid-19, diversos hospitales, no solo en España, han sufrido ataques de ransomware. Los atacantes se hacen con el control de información sensible y necesaria para el funcionamiento normal de la empresa o institución atacada, encriptando dicha información, lo que la hace inaccesible, pudiendo paralizar completamente el funcionamiento de cualquier empresa, incluso, en los casos más graves, suponiendo una severa amenaza para la seguridad nacional.

Todo secuestro suele ir acompañado de su correspondiente petición de rescate, si la victima quiere acceder nuevamente a los datos secuestrados ha de pagar una elevada suma de dinero.

El Sistema de Gestión de PCR se ha visto comprometido

Los hackers han atacado al sistema informático Millennium del Hospital Universitario Central de Asturias, quedando comprometido el sistema de seguimiento de la pandemia de coronavirus, donde se almacenan tanto resultados como peticiones de pruebas PCR. Afortunadamente el ataque ha sido neutralizado y se ha conseguido solucionar a tiempo, sin embargo, como medida de protección, algunos sistemas siguen parados.

Los cibercriminales han intentado hacer el máximo daño posible, sin embargo no se ha pedido rescate, ni ha habido robo de datos según ha indicado el responsable de seguridad.

El ataque ha supuesto que las sesiones de radioterapia de no menos de 200 pacientes hayan tenido que ser suspendidas temporalmente.

¿Por qué hospitales?

Los ataques a hospitales y otros centros de salud que custodian datos sensibles, como son los sanitarios, están dirigidos a conseguir dichos datos, ya sea para que los propios secuestradores cometan todo tipo de ciberdelitos, o de cara a vender dichos datos a otros criminales.

Recordamos que, tal y como marca el artículo 33 de Reglamento General de Protección de Datos, cualquier ataque de este tipo supone una brecha de seguridad que ha de ser comunicada a la Agencia Española de Protección de datos en las siguientes 72 horas, adicionalmente, el responsable del tratamiento de datos deberá llevar a cabo una valoración del nivel de riesgo que supone la brecha de datos personales, estando obligado según el artículo 34 del RGPD, cuando dicho riesgo sea considerado alto, a comunicar la brecha a las personas afectadas.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Protección de Datos para administración de fincas (I)

Desde el 25 de mayo de 2018 se aplica el Reglamento General de Protección de Datos (RGPD), lo que supone la introducción de importantes cambios en la normativa aplicable en España. Parte de estos cambios afectan de manera directa al administrador de fincas, como, por ejemplo, el no ser necesario notificar los ficheros a los registros públicos de protección de datos.

Los administradores de fincas gestionan diversos asuntos en relación a las comunidades de propietarios a las que asesoran, desempeñando habitualmente el papel de encargados del tratamiento de los datos personales de los propietarios. Por otro lado las propias funciones de consultoría y asesoramiento que los administradores prestan a las comunidades de propietarios suelen incluir asuntos relacionados con la propia protección de datos. Teniendo el administrador de fincas un doble papel como gestor de los tratamientos que llevan a cabo en el marco de los servicios prestados a las comunidades y como asesores en materia de la protección de datos.

Legitimación para los tratamientos de datos

Los administradores de fincas al actuar por cuenta de las comunidades de propietarios realizan varios tratamientos de datos, estando legitimados, según la normativa de protección de datos, para tratar los datos de los copropietarios de los que sea preciso disponer para poder llevar a cabo sus funciones, actuando como encargados del tratamiento.

Identificación de Tratamientos de Datos

Los tratamientos de datos más habituales de las comunidades de propietarios son realizados de cara a gestionar las mismas, siendo el tratamiento más usual el que incluye información de datos personales de las personas físicas que componen la comunidad. Dentro de este tratamiento se suelen incluir  nombre de los propietarios, teléfonos de contacto, direcciones postales, números de DNI y direcciones de correo electrónico. A dicho tratamiento se suele referirse como “gestión de la comunidad de propietarios”, sirviéndose la comunidad de el mismo a la hora de llevar su gestión contable, fiscal y administrativa.

Otro tratamiento habitual, que tiene lugar cuando la comunidad dispone de cámaras de videovigilancia, es el relacionado con tratamientos de imágenes de personas físicas identificadas o identificables. En este caso, existiría un tratamiento que se puede denominar “videovigilancia” o de “cámaras de seguridad”, siendo la finalidad principal la seguridad y control de accesos y/o vigilancia de las instalaciones y elementos comunes del inmueble.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Día Internacional de la Ciberseguridad. El Binomio con Protección de datos.

Con motivo del día Internacional de la Ciberseguridad, el pasado 30 de noviembre, no viene mal recordar, de nuevo, la importancia que la seguridad de la información tiene.

Como hemos venido repitiendo en diferentes artículos, hoy en día, en un mundo cada vez más digitalizado, protección de datos y ciberseguridad forman parte de un mismo ámbito dentro del cumplimiento normativo de las empresas. La primera no se puede entender sin la segunda, pues podemos contar con todos los protocolos necesarios en cumplimiento del RGPD y la LOPDGDD, pero si no tomamos medidas encaminadas a proteger nuestra información automatizada posiblemente de nada servirán nuestros esfuerzos.

Directiva europea de ciberseguridad

Lo anterior se refuerza si tenemos en cuenta que está en camino la conocida como NIS2, o nueva Directiva Europea de Ciberseguridad, aún en fase de borrador, y que vendrá a sustituir, cuando se apruebe, a la Directiva NIS, adaptada en España mediante el Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021.

La nueva Directiva pretende ampliar los sujetos obligados, reforzar las medidas de control de los servicios de computación en nube,  homogeneizar la normativa en el ámbito de los Estados europeos, e implementar un proceso sancionador más restrictivo y exigente. 

Dentro de esta exigencia se contempla en la NIS2 que la ciberseguridad sea reconocida de forma expresa como una responsabilidad en la empresa al más alto nivel, involucrando a los altos directivos

No es extraño que se pretenda elevar el nivel de exigencia en ciberseguridad. Sabemos los datos que nos ha dejado la pandemia en este campo, duplicando, por ejemplo, los ciberdelitos y triplicando los ataques mediante ramsomware. Sin embargo, no parece que en las empresas esto haya supuesto un incremento de las medidas de seguridad en la misma proporción, lo cual es preocupante, no solo en aras a evitar sanciones, sino para no poner en juego la propia continuidad del negocio.

La cultura de la ciberseguridad en las empresas

Al igual que ocurre con el RGPD y la LOPDGDD, es fundamental, más allá del mero cumplimiento formal o “estético”, introducir en las empresas una verdadera cultura de la ciberseguridad, que permita, no solo adoptar medidas técnicas, sino concienciar al personal que tenga acceso a la información del importante papel que juegan en la prevención de posibles ataques informáticos.

A la espera de la NIS2, y con los medios y conocimiento de los que ya disponemos, uno de los puntos clave a la hora de implementar esta cultura de ciberseguridad que perdure en el tiempo sería el de “formación, formación, formación y después…más formación”. Fundamental en todos los campos, y especialmente importante en el de la seguridad informática. Los trabajadores deben tener conciencia de los riesgos y ser capaces de identificar cuándo se encuentran ante uno de ellos (páginas poco seguras, correos con virus malicioso, etc…), proporcionándoles por parte de la empresa los medios y herramientas adecuadas para obtener una capacitación y conocimientos mínimos en conceptos relacionados con la ciberseguridad.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD apercibe a entidad por no tener adecuadas la política de privacidad y de cookies de su web

En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

“Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

«Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
trasfiere de forma segura (encriptada) (…)”.

Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

«Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

La Agencia Comprueba e inicia Procedimiento Sancionador

Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

  • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

  • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

  • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

La Consejería es Apercibida

Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

  • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
    web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
  • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.