Requisits per al compliment de la normativa en ciberseguretat
L'Agència de Ciberseguretat de Catalunya és l’organisme que governa i desenvolupa l’estratègia de ciberseguretat a Catalunya amb la finalitat de garantir i augmentar el nivell de seguretat de les xarxes i dels sistemes d'informació, així com la confiança digital dels ciutadans.
Durant el 2023 es van viure diferents ciberincidents que van posar de manifest que el sector sanitari és clarament un sector objectiu del cibercrim. Durant el 2024, aquesta tendència és manté i s’incrementen el nombre d’atacs dirigits al sector sanitari.
Les tendències indiquen com les bandes cibercriminals de ransomware, o programari de segrest, davant la davallada de rescats pagats, opten per atacar sectors essencials com el sanitari perpetrant en molts casos una doble o triple extorsió: l’aturada del servei a causa del xifrat dels sistemes, el robatori de dades personals de pacients, treballadors, o informació de recerques mèdiques i l’amenaça d’una possible sanció per part de les autoritats de protecció de dades. Tot això per intentar forçar la víctima a efectuar el pagament del rescat.
Davant d'aquesta situació, el govern català veu necessari preparar el sector públic de la salut per poder fer front als incidents de seguretat que puguin impactar el ciutadà. Amb aquesta finalitat, el Departament de Salut i l’Agència de Ciberseguretat de Catalunya treballen conjuntament en el disseny i desplegament d’un model de ciberseguretat comú per a tot l’àmbit sanitari, tenint en compte l’elevat grau d’interconnexió entre totes les modalitats assistencials, així com la complexitat i l’heterogeneïtat associades de l'ecosistema.
Tal i com es va aprovar al Consell d'Administració, en el 2023, l'Agència de Ciberseguretat va accelerar el desplegament de les mesures estratègiques per intensificar les tasques per ampliar els perímetres de protecció i gestió del sistema sanitari amb l’objectiu d’augmentar la seva resiliència enfront de ciberatacs.
En resum, l’Agència ha desplegat un model i posa a disposició les seves capacitats per tal de vetllar per la protecció, prevenció, detecció i resposta d’un servei essencial com és la sanitat pública de Catalunya a través del desplegament del model de ciberseguretat a les entitats públiques del SISCAT.
Formació en ciberseguretat
L'Agència de Ciberseguretat de Catalunya ha desenvolupat un projecte per oferir formació, sensibilització i capacitació en matèria de ciberseguretat a les diferents entitats que formen part del Sistema Integral de Salut de Catalunya (SISCAT). Els objectius principals d’aquest projecte de formació són:
- Sensibilitzar els professionals sanitaris a través de la difusió d’accions formatives per adquirir coneixements i hàbits bàsics en matèria de ciberseguretat.
- Fomentar la capacitació dels perfils tècnics per tal d’aprofundir els seus coneixements en ciberseguretat.
- Conscienciar i transmetre als alts càrrecs la importància del rol que exerceixen a l'entitat.
Aquests continguts han estat desenvolupats en col·laboració amb algunes entitats que formen part del SISCAT per tal de complementar els coneixements tècnics de l'equip desenvolupador amb les necessitats que s'han detectat en les diferents entitats del sector.
El desplegament de les campanyes de difusió dels continguts l’ha de fer cada entitat a través dels canals de comunicació establerts. Tanmateix, els continguts de formació en línia i interactius es podran difondre des de la plataforma de formació habilitada pel Departament de Salut de la Generalitat de Catalunya.
Si esteu interessats a adherir-vos al pla de formació en ciberseguretat i conèixer, amb més detall, els continguts de formació, cal que contacteu aquí.
Relació dels principals requeriments bàsics
A continuació, s’ha elaborat una llista de requeriments bàsics. En cas que sigui necessari, caldrà ampliar aquests requeriments per tal d’assegurar que els requeriments necessaris estiguin en consonància amb la criticitat de la informació i dels sistemes.
- S’han d’aplicar les guies de configuració segura:
- Guia de protecció d’entorns
- Guia de contrasenyes
- Guia de còpies de seguretat
- Guia de gestió de traces
- Guia de gestió d’administradors de sistemes
- S'aplica el principi de segregació de funcions per a reduir oportunitats de modificació no autoritzada o mal ús de la informació o els serveis. Si més no, es mantenen segregades les funcions de:
- Desenvolupament - Operacions
- Configuració i manteniment de sistemes - Operació
- Auditoria de la resta
- Autorització/aplicació de canvis o peticions
Els desenvolupadors no han de tenir accés a l’entorn productiu. Si és necessari, s’hi ha de donar accés temporal mitjançant un procediment d'emergència.
- Els entorns de desenvolupament i test estan separats, de forma física i lògica, dels de producció.
- Prevenció d'ús de codi mòbil (Applets, ActiveX, etc.) no autoritzat.
- Les notificacions i publicacions electròniques de resolucions i actes administratius es realitzen tot garantint:
- l’autenticitat de l'organisme que les publica.
- la integritat de la informació publicada.
- l’evidència de data i d’hora de publicació i l’accés al contingut per l'interessat.
- l’autenticitat del destinatari.
- S'utilitza qualsevol mitjà de signatura electrònica previst a la legislació vigent per garantir integritat i no repudi.
- S'apliquen mesures de seguretat per garantir la integritat i l’exactitud dels continguts públics mitjançant el control d'edició, d’aprovació i de publicació d’aquests, garantint addicionalment l'observança de la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals.
- Si es generen fitxers, cal netejar les metadades, els camps ocults, els comentaris i les revisions dels documents que no sigui necessari que en continguin.
- S'ha determinat quines activitats cal enregistrar i el nivell de detall d'aquestes.
- S'estableix el període de retenció dels registres segons la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals, ajustant també els períodes de retenció a les còpies de seguretat.
- Cal la validació de les dades d'entrada, de sortida i processament de l'aplicació:
- Garantir que les dades siguin correctes i apropiades, i evitar errors.
- Delimitació dels camps d'entrada.
- Validació als rangs esperats.
- Veracitat de dades.
- Tractament d'errors.
- Garantir i protegir la integritat i l’autenticitat dels missatges entre clients i servidors i dins de la pròpia aplicació.
- Prevenir atacs de manipulació d'URL, injecció de codi, manipulació de galetes.
- Prevenir atacs de XSS o injecció de comandes perilloses en aplicacions web.
- Prevenir atacs a proxies i caches.
- Prevenir atacs d'escalat de privilegis.
- Garantir que les dades retornades siguin raonables, exactes i suficients i evitar accessos als documents per vies alternatives.
- Es fa una anàlisi de vulnerabilitats de l'aplicació abans de l'entrada a producció i després de canvis significatius.
- Si es fa servir signatura o xifrat, cal mantenir una política d'ús de controls criptogràfics que reguli/determini:
- els productes, algorismes i fortalesa de claus acceptables segons la sensibilitat de les dades i el nivell d'exposició d’aquestes (anàlisi de riscos),
- els rols i les responsabilitats en l'aplicació del xifrat/signatura i la gestió de claus,
- els usos previstos,
i que garanteixi l'adequació a la normativa legal aplicable i els estàndards internacionals.
- Només es troben oberts els ports que són necessaris per a l'ús de l'aplicació/del servei.
- No es disposa de vulnerabilitats web de nivell alt o crític.
- No es disposa de vulnerabilitat d’infraestructura de nivell crític o alt.
Document d’arquitectura: què és necessari?
És important elaborar un document d’arquitectura que reculli tots els aspectes necessaris i que segueixi les millors pràctiques. Com a mínim, hauria de poder respondre les qüestions següents:
- Segregació de funcions entre rols (administració, operació…).
- Mètode d’autenticació de cadascun dels actors que interactuen amb l’aplicació, i si es fa servir múltiple factor d’autentificació o MFA.
- Si es fan servir tokens de sessió, com es gestiona la seguretat d’aquests tokens.
- Finalitat d’ús de dades personals i el seu nivell de reglament general de protecció de dades (dades bàsiques o especialment protegides).
- Nivell de sensibilitat de les dades.
- Si s’aplica o no xifratge de la informació en repòs.
- Configuració de còpies de seguretat (retenció).
- Versió de les tecnologies de desenvolupament i desplegament.
- Versió dels sistemes operatius i middleware.
- Ubicació/repositori del codi de la solució.
- Segregació de les capes de l’arquitectura (frontal, aplicació, base de dades).
- En cas de tractar-se d’una solució al núvol, si té modalitat pública o privada.
- Quines activitats es registren als registres d’activitats o logs.
- Quina és la retenció dels registres d’activitats o logs.
- Confirmació que s’han tingut en compte les mesures de seguretat i disponibilitat aplicables al sistema, a partir de la classificació de seguretat.
- El temps objectiu de recuperació, o RTO, i l’objectiu de punt de recuperació, o RPO, de l’aplicació.
- Els dominis que es publicaran, ports oberts, protocol i entorn.
Especificacions i formularis
Formació
Contacta amb nosaltres
-

Un espai de comunicació i alineament amb les àrees de sistemes d’informació dels proveïdors del SISCAT per explicar els projectes en marxa i la visió del sistema de salut digital del futur.
