Edición testing
24 de agosto de 2019, 3:07:38
El rincón del director


Nos han hackeado el software de la residencia



En una residencia como las Marismas, de la que por cierto eres directora, el hecho de que no pase nada poco común es en sí algo poco común. Por eso, el correo electrónico que estás leyendo te parece normal por lo poco normal que resulta.

La empresa de software con quien tenéis contratado el programa de gestión de la residencia te escribe para explicarte por qué hace unos días os dejó durante unas horas sin servicio. Te comunican que ha sufrido un ataque y que es posible que algunos datos de los residentes (incluido nombre, fecha de nacimiento, número de DNI, número de habitación y medicación que toman, entre otros) pueden haber sido robados por alguien no identificado.

La comunicación te dice que el ataque ha venido acompañado de ‘ramsonware’ (petición de dinero a cambio de devolver los datos). La empresa inmediatamente emprendió esfuerzos para restaurar sus servidores. Las copias de seguridad y otra información mantenida en diferentes lugares se utilizaron para permitir una restauración casi perfecta de la seguridad y los servicios ese mismo día. Además han tomado medidas afirmativas para salvaguardar aún más la seguridad de sus sistemas de software. Contrataron simultáneamente una firma de investigación forense para determinar la naturaleza del compromiso de seguridad e identificar a cualquier persona cuya información personal y/o información de salud protegida pueda haber sido comprometida.

La investigación no ha podido concluir qué datos de qué residentes en concreto se han podido robar, aunque sí que los accesos irregulares se produjeron tres semanas antes de la detección del ataque.

Después de intentar hablar con la empresa de software durante media hora, has conseguido saber que, además de el mail, ellos mismos se están poniendo en contacto telefónico con el responsable de seguridad de las residencias clientes (“¿tenemos uno?”, has pensado), ya que como dice el mensaje enviado, la situación se está tratando como una “brecha de seguridad” y como tal ha sido comunicada a la Agencia de Protección de Datos.

Repasando el texto recibido vemos que era mucho más largo pero que nos ha preocupado tanto que hemos decidido llamar antes de acabar de leerlo.

Vemos que en el texto recibido nos adjuntan un enlace a una página en la que la Agencia de Protección de Datos informa sobre cómo actuar ante brechas de seguridad https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf

A la espera de que nos llame la empresa, hojeamos el documento y nos preguntamos qué debemos hacer nosotros. La brecha de seguridad no la ha tenido la residencia sino la empresa de software. ¿Debemos decir algo a los residentes y familiares? La respuesta no está clara en la información recibida, concretamente en la página 43 nos dice:

Existen diversos factores a tener en consideración para decidir si se ha de realizar la comunicación a las personas afectadas:

  • Cuáles son las obligaciones legales y contractuales.
  • Riesgos que comporta la pérdida de los datos: daños físicos, daños reputacionales, etc.
  • ¿Existe un riesgo razonable de suplantación de identidad o fraude (en función del tipo de información que se ha visto afectada y teniendo en cuenta si la información estaba seudonimizada o cifrada)?
  • Hasta qué punto la persona afectada puede evitar o mitigar posibles daños posteriores.

Si después del análisis correspondiente es necesario realizar la notificación pero se prevé que la comunicación a los afectados puede comprometer el resultado de una investigación en curso, la comunicación podría posponerse siempre bajo la supervisión de la autoridad de control.

La comunicación a los afectados se realizará a la mayor brevedad posible, en un lenguaje claro y sencillo y siempre en estrecha cooperación con la autoridad de control y las autoridades policiales, de acuerdo con sus orientaciones.

Esta comunicación, debería contener como mínimo:

  • Datos de contacto del Delegado de Protección de Datos, o en su caso, del punto de contacto en el que pueda obtenerse más información.
  • Descripción general del incidente y momento en que se ha producido.
  • Las posibles consecuencias de la brecha de la seguridad de los datos personales.
  • Descripción de los datos e información personal afectados.
  • Resumen de las medidas implantadas hasta el momento para controlar los posibles daños.
  • Otras informaciones útiles a los afectados para proteger sus datos o prevenir posibles daños.

La notificación preferentemente se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que el responsable considere adecuado”.

Suponemos que pronto recibiremos la llamada de la empresa de software y la que nos preparó la documentación para adaptarnos al RGPD.

A ver qué nos dicen. ¿Se le ocurre a alguien cuál puede ser la respuesta?

Autor: Josep de Martí Vallés

Jurista y gerontólogo. Profesor del Máster en Gerontología Social y de Dirección de residencias en varias universidades. Director de Inforesidencias.com y Eai consultoria.

perfil de linkedin

Este caso está basado en una situación real vivida en Estados Unidos en junio de 2019 en el que los datos de salud de 78.000 residentes de más de 60 residencias fueron comprometidos al recibir un ataque la empresa de software que ofrecía el sistema.

Fuentes:

https://www.calhipaa.com/about-60-assisted-living-facilities-and-78000-patients-prescription-data-affected-by-breaches/

http://www.elimcare.org/potential-residex-computer-breach/

https://www.databreaches.net/ma-residex-software-discloses-ransomware-incident-affecting-clients-patients-protected-health-information/

Dependencia.Info.  Todos los derechos reservados.  ®2019   |  dependencia.info