successos
El Clínic confirma una nova filtració de dades segrestades el març passat
L’entitat sanitària estudia de quin tipus de dades es tracta
L’Hospital Clínic ha confirmat una nova filtració de dades segrestades a principis de març amb un atac de tipus ransomware. Des que el 30 de març va aparèixer publicat el primer paquet de dades, el Clínic ja va alertar que se n’anirien publicant de noves.
L’entitat sanitària i l’Agència de Ciberseguretat de Catalunya treballen de manera coordinada des del ciberatac i recorden que la publicació total o parcial de les dades és un delicte. L’atac va tenir lloc a principis de març i va afectar els serveis de laboratori, farmàcia i urgències. Els responsables de l’hospital van tardar setmanes a restablir tots els sistemes informàtics. Des d’un primer moment van dir que no pagarien als segrestadors per recuperar les dades.
El 30 de març els pirates informàtics agrupats en el col·lectiu RansomHouse va publicar el primer paquet de dades i va amenaçar de difondre’n més si no rebien rescat. En aquell moment van assegurar que tenien 4,4 Terabytes de dades i van demanar 4,5 milions de dòlars per tornar-los.
El 4 d’abril els Mossos d’Esquadra van aconseguir bloquejar l’accés dels ciberdelinqüents a les dades, però dos dies més tard els ciberatacants responien amenaçant de publicar dades sobre pacients amb malalties infeccioses així com sobre l’ús de fàrmacs experimentals per a la gent gran.
El 16 d’abril RansomHouse assegurava que havien publicat més dades confidencials amb un enllaç Torrent que permetia descarregar tota la informació. A través de diverses xarxes socials facilitaven, a més, detalls per realitzar la baixada de manera anònima i segura, per no deixar rastre.
A través del canal de Telegram que té el grup de ciberdelinqüents, el 27 d’abril s’assegurava que hi havia hagut una nova publicació de dades. Per aquesta mateixa via publicava els enllaços per descarregar la informació.
En paral·lel, el 22 de juny l’Autoritat Catalana de Protecció de Dades (APDCAT) anunciava l’obertura d’un expedient informatiu al Clínic i a les seves entitats vinculades per determinar si l’hospital mereix ser sancionat per incompliment de la normativa de protecció de dades després que aquestes es filtressin arran del ciberatac.
