La Generalitat desplega el model de ciberseguretat a les entitats sociosanitàries i de salut mental
Avui dia tot allò que fa funcionar les entitats de salut depèn cada cop més de sistemes digitals. La informació dels pacients, els informes mèdics, les proves diagnòstiques, les receptes i la coordinació dels equips assistencials es gestionen a través de xarxes informàtiques complexes i interconnectades. En aquest escenari, protegir la salut digital del nostre sistema sanitari esdevé una necessitat. L’anomenada ciberseguretat no és una opció; és una condició imprescindible perquè el servei públic de salut pugui funcionar amb seguretat i confiança.
El cibercrim ja ha donat proves del seu poder devastador en l’àmbit sanitari. Amb dades de la memòria del 2024, l’Agència de Ciberseguretat de Catalunya va detectar 6.900 milions d’atacs i 1.250 milions van ser en l’entorn de salut. Aquestes xifres van en línia amb la tendència global: el Cyber Security Report de Check Point apuntava que el 2024 els ciberatacs dirigits a l’àmbit sanitari van augmentar a escala mundial un 47% respecte del 2023, arribant a una mitjana de 2.210 atacs setmanals.
Davant l’augment de les amenaces digitals, la millora contínua és necessària. En aquesta línia, el Govern ha decidit ampliar el Model de ciberseguretat al Sistema sanitari integral d’utilització pública (SISCAT), desplegant-lo a les entitats sociosanitàries i de salut mental. Aquest model es va començar a implementar a l’atenció especialitzada i durant el 2023 l’Agència de Ciberseguretat de Catalunya i el Departament de Salut van accelerar el seu desplegament, amb l’objectiu de millorar la resiliència de les entitats i garantir els serveis assistencials.
L’ampliació d’aquest Model de ciberseguretat, es finança a través dels fons europeus RETECH, una iniciativa que s’emmarca en el Pla de Recuperació, Transformació i Resiliència i que compta amb el suport de l’INCIBE, i té una durada prevista d’aproximadament d’un any. Posteriorment, el Departament de Salut preveu finançar la continuïtat del projecte amb fons propis fins al 2027.
Un model imprescindible per un sector imprescindible
El Model, que representa un pas decisiu en la protecció digital del sistema sanitari català, es desplega en cinc fases. La primera, el diagnòstic, consisteix a identificar el grau d’exposició de cada entitat, localitzar vulnerabilitats en molts casos derivades de sistemes obsolets i analitzar quins punts febles, o quines vies podrien aprofitar els atacants. La segona fase és el pla de seguretat, que defineix accions concretes per reduir riscos, incloent-hi actualitzacions, proteccions tècniques i formació del personal. La tercera fase és la integració operativa amb l’Agència, establint un vincle permanent amb el Centre d’Operacions de Ciberseguretat, que monitoritza i respon 24 hores al dia, 7 dies a la setmana. La quarta fase, els serveis recurrents, inclou proves de penetració, simulacres d’incidents, reavaluacions constants i capacitació contínua, mentre que la cinquena fase condueix cap a la certificació en l’Esquema Nacional de Seguretat, que reconeix el nivell de maduresa i robustesa en ciberseguretat de cada entitat.
Un cop desplegat el Model de ciberseguretat i integrades les entitats, els resultats obtinguts el 2024 en van demostrar l’eficàcia. Durant aquell any, el Model va permetre disposar d’una major visibilitat de les entitats, detectar encara més atacs i evitar que qualsevol d’ells tingués un impacte rellevant en els serveis assistencials.
Hospitals, salut sociosanitària, salut mental i atenció primària
La clau del Model rau també en la seva extensió. Inicialment desplegat en tots els hospitals del SISCAT, l’estratègia ara s’estén a altres entitats sanitàries. Durant el 2025 i 2026, el Model s’anirà fent extensiu a la salut sociosanitària, la salut mental i l’atenció primària, consolidant un sistema de ciberprotecció homogeni. Els serveis recurrents asseguraran una evolució contínua, amb monitorització permanent, simulacres d’incidents per estar preparats, formació i revisió de vulnerabilitats.
Les dades dels centres sanitaris tenen un valor altíssim i són molt anhelades pels ciberdelinqüents. Els grups criminals orientats al ransomware, o programari de segrest, i altres formes d’atac no busquen només bloquejar els sistemes: busquen beneficis econòmics i troben en aquest tipus d’informació una font molt lucrativa.
En aquest context, el Model actua com una estructura viva de protecció i vigilància. No és només un conjunt de procediments tècnics; és una cultura organitzativa. Les entitats sanitàries, juntament amb l’Agència, aprenen a detectar anomalies, a reaccionar davant de símptomes d’intrusió i a recuperar-se ràpidament si algun incident arriba a produir-se. Aquesta coordinació i capacitació continuada genera un efecte multiplicador: els professionals coneixen els riscos, saben com actuar i contribueixen a la resiliència global del sistema.
Mantenir una cultura de protecció i prevenció
Aquest enfocament no només protegeix les dades, sinó que transforma la manera com els centres sanitaris funcionen. Amb un sistema de ciberseguretat robust, els hospitals poden operar amb més confiança, els professionals poden centrar-se en l’atenció al pacient sense por a interrupcions tecnològiques, i la ciutadania pot confiar que la seva informació està protegida. Així, la ciberseguretat esdevé una peça clau de la qualitat assistencial, una capa invisible que garanteix la seguretat i la continuïtat del servei.
Mirant cap al futur, el repte és mantenir aquesta cultura viva de protecció i prevenció. Els ciberatacs evolucionen constantment, i només un sistema flexible, adaptatiu i col·laboratiu podrà fer front a aquestes amenaces. Això implica no només desplegar tecnologies de protecció, sinó també formar els professionals, compartir informació entre entitats, fomentar la conscienciació i establir protocols sòlids per a la detecció i resposta. La ciberseguretat, així com la salut, és un procés continu que requereix vigilància, manteniment i evolució constant.