Auditores externos advierten de la falta de seguridad informática de la Generalitat
El Clínic, el Hospital Moisès Broggi o la UAB son algunas de las grandes instituciones públicas catalanas víctimas de ataques de 'hackers'. Esta gestión es una de las cuestiones pendientes del Govern
Una sanitaria del Hospital Clínic de Barcelona trabaja toma notas durante un ciberataque el pasado 6 de marzo. (EFE/Clínic/Francisco Avia)
Un informe de la Sindicatura de Comptes de Catalunya (auditor externo de las cuentas y del control de eficiencia) pone en evidencia el coladero que es la Generalitat para la seguridad informática en un momento en que el sector público ha recibido numerosos y destacados ataques de hackers informáticos. El último fue el del Hospital Clínic, el pasado 7 de marzo. Pero no es el único. En octubre de 2022, el hospital de referencia del Baix Llogregat, Moisès Broggi, sufría un ciberataque similar. Y en noviembre de 2021, el objetivo fue la Universitat Autònoma de Barcelona (UAB). Unos daños que implicaron que la Administración tuviese que aportar al centro 3,7 millones de euros extraordinarios para que la institución recuperase la normalidad. El informe de la del órgano fiscalizador sobre el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat destapa fallos de seguridad en el nivel más básico, incluso incumpliendo la legalidad vigente.
El CTTI cuenta con un presupuesto de 591 millones, según las cuentas de la entidad en 2021, y controla 1.800 aplicaciones y un total de 206.000 entornos de trabajo. En su informe sobre el año 2019, la Sindicatura de Comptes pone de manifiesto en su conclusión número 22 que “el CTTI no disponía de ninguna auditoría de cumplimiento de requerimientos del Esquema Nacional de Seguridad, contrariamente a lo que establece el artículo 34 del Real Decreto del Esquema Nacional de Seguridad”.
Se da la circunstancia, como señala el análisis en otro punto, de que “de acuerdo con el artículo 3 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (RDENS), el CTTI está dentro de su ámbito subjetivo de aplicación”. Es decir, el CTTI tenía obligación de someterse a esa auditoría, pero no lo hizo, y seguía así cuando la sindicatura acabó de recoger los datos en noviembre de 2021, cuando ya se había producido el ataque a la UAB, que paralizó la vida de esta universidad durante semanas.
En enero de 2023, el CTTI envió las alegaciones al informe, que también están adjuntas, y allí consta que “durante este año 2022, el CTTI se ha adherido al Contrato Programa de la Agencia de Ciberseguridad e iniciado el proyecto de adecuación del CTTI al Reglamento General de Protección de Datos (RGPD) para poder incorporarnos al Modelo de Cumplimiento Normativo, para implementar el modelo de protección de datos y de ciberseguridad existente en la Administración de la Generalitat, donde entre otros se elaborará un plan de acción en el que se incorporará la realización de auditorías sobre el grado de cumplimiento del ENS y el RGPD”. En ese momento, ya se había atacado el Broggi, pero el CTTI seguía con los deberes de seguridad pendientes.
Ampliar el escudo
El CTTI no incluye en su perímetro de actuación el Hospital Clínic. Tampoco la UAB o el Broggi. Fuentes de Presidencia reconocen que incluir estos organismos en el perímetro de seguridad del CTTI está en los planes de Pere Aragonès. "Ampliar el perímetro de seguridad está en la agenda del Govern y se está implementando. Lo que se hace es acelerar el proceso", explican.
“El Govern da servicio de ciberprotección a toda la estructura de la Generalitat y da apoyo y respuesta a quien lo pide, aunque no sea de titularidad pública. La Generalitat implementa la ciberseguridad como modelo de país. A partir de la creación de la Secretaría de Telecomunicacions i Transformació Digital (STTD), se impulsa la aceleración del plan de transformación digital y de ciberseguridad”, señalan desde Presidencia, que dirige Laura Vilagrà, la mano derecha de Pere Aragonès. Así se ampliaría el escudo de seguridad del CTTI a los entes y consorcios que se han mostrado más vulnerables a los ataques informáticos.
Pero eso no serviría de nada si el CTTI incumple la normativa de seguridad. Según el informe de la Sindicatura de Comptes, "desde el ejercicio 2017 hasta la fecha de finalización del trabajo de campo de este informe [finales del 2021], el CTTI no se ha sometido a ninguna auditoría de cumplimiento de las medidas de seguridad en el tratamiento de datos de carácter personal".
Illa, preocupado
El líder de la oposición, Salvador Illa, también mostró su preocupación en la última sesión de control en el Parlament. “Tres semanas después del ataque informático, el Hospital Clínicaún no ha recuperado la normalidad. Aportaremos lo que podamos de una manera positiva, pero las cosas no pueden seguir así”. La responsabilidad afecta no solo al actual Govern, ya que los problemas del CTTI se arrastran desde la época en que estaba encuadrado en la Conselleria de Políticas Digitales, bajo el mando de Jordi Puigneró, miembro de JxCAT y protegido de Carles Puigdemont.
Ahora, ya bajo la tutela de Vilagrà, la Generalitat recuerda que, “en este ejercicio, hemos aumentado un 12% el presupuesto de la Agencia de Ciberseguridad de Cataluña. Sin embargo, la Generalitat destinará muchos más recursos —tanto económicos como humanos— para seguir mejorando y ampliando el perímetro de ciberseguridad. La cantidad y los recursos humanos todavía se están definiendo con nuevos programas específicos para este ámbito”.
Un informe de la Sindicatura de Comptes de Catalunya (auditor externo de las cuentas y del control de eficiencia) pone en evidencia el coladero que es la Generalitat para la seguridad informática en un momento en que el sector público ha recibido numerosos y destacados ataques de hackers informáticos. El último fue el del Hospital Clínic, el pasado 7 de marzo. Pero no es el único. En octubre de 2022, el hospital de referencia del Baix Llogregat, Moisès Broggi, sufría un ciberataque similar. Y en noviembre de 2021, el objetivo fue la Universitat Autònoma de Barcelona (UAB). Unos daños que implicaron que la Administración tuviese que aportar al centro 3,7 millones de euros extraordinarios para que la institución recuperase la normalidad. El informe de la del órgano fiscalizador sobre el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat destapa fallos de seguridad en el nivel más básico, incluso incumpliendo la legalidad vigente.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F499%2Fcd7%2F16d%2F499cd716dfa58b972b5429a4d1d945e8.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd1%2Fb8e%2Fa0f%2Ffd1b8ea0fededf9f0fa6c3018319b788.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd1%2Fb8e%2Fa0f%2Ffd1b8ea0fededf9f0fa6c3018319b788.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F72e%2F612%2F3e3%2F72e6123e30ea568cbad0a19a27ef5ac2.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcb4%2Fe77%2Fbd3%2Fcb4e77bd32f028f910126cff877d9635.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0dd%2F2d5%2Fb26%2F0dd2d5b26ea618e7896158c96f4cc0ac.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2b3%2Fe5f%2F989%2F2b3e5f9893908a729abf05df57bae9e5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5bc%2Fe57%2Fbfb%2F5bce57bfbd0db087f621d073384eb9fd.jpg)