EscucharLa Contraloría General de la República alertó de problemas de seguridad con la gestión de permisos a usuarios para acceso al Expediente Digital Único en Salud (EDUS) de la Caja Costarricense de Seguro Social (CCSS), así como de riesgos de seguridad y que la base de datos ni siquiera está inscrita en la Agencia de Protección de Datos de los Habitantes.
En el informe la Contraloría indicó que existe un riesgo potencial de no garantizar que los datos contenidos en el EDUS se traten bajo las medidas técnicas y de organización necesarias.
La Contraloría emitió este 25 de abril un informe de la auditoría que realizó al EDUS entre enero 2018 y febrero 2022. “Las autoridades de la entidad deben corregir lo dispuesto por la CGR”.
Según el informe hay una débil gestión de permisos a los usuarios para acceso al sistema, lo que incluye situaciones como que 1.022 personas tienen sus accesos habilitados al EDUS y ya no laboran para la Caja ya sea porque se pensionaron o fallecieron incluso.
Hay 1.345 funcionarios que tienen habilitado el acceso al módulo del EDUS con perfiles para la atención de pacientes, a pesar de que su puesto no corresponde a este tipo de perfil.
Y otros 6.619 personas tienen permisos de acceso a módulos del EDUS que no aparecen registrados en planillas en los meses de setiembre y octubre de 2021.
La Contraloría también encontró problemas de seguridad lógica. El informe detalla que no se han definido las medidas para gestionar los riesgos de seguridad del EDUS, “lo cual podría exponer a accesos no autorizados, pérdida o modificación de información y degradación de los servicios”.
La tercera situación es que la CCSS no ha concluido la inscripción de la base de datos ante la Prodhab, pese a que inició este trámite en el año 2017. La inscripción debe hacerse en cumplimiento de la Ley de Protección de la Persona frente al tratamiento de sus datos personales (Nº 8968).
La Caja no se ha pronunciado, a esta hora de la mañana, sobre el informe de la Contraloría.
Disposiciones
La Contraloría recalcó que el sistema EDUS es un instrumento que fortalece la gestión clínica de la CCSS, en favor de los usuarios de los servicios de salud para facilitar el acceso a los servicios como coadyuvando, entre otros aspectos, a la toma de decisiones, la emisión de diagnósticos y definición de tratamientos.
La entidad agregó que el EDUS robustece y mejorar la gestión administrativa de la Caja, para procurar que la prestación de servicios se dé en forma oportuna, eficiente y eficaz.
“A pesar de lo señalado, las situaciones descritas por la Contraloría General, no permiten afirmar que la gestión de la seguridad lógica del Sistema de Información EDUS cumple razonablemente con el marco jurídico aplicable”, indica la Contraloría.
Y agrega: “En ese sentido, resulta necesario gestionar los riesgos que presenta la suite de aplicaciones que conforman el EDUS, a nivel administrativo, con el fin de garantizar la seguridad de la información recopilada en los servicios de salud institucionales y cumplir el marco normativo ante el tratamiento de los datos personales”.
La Contraloría indicó que la implementación de acciones dirigidas a garantizar la aplicación de controles para la correcta asignación de perfiles de usuarios del EDUS, según las funciones y responsabilidades actuales de los funcionarios que atienden directamente a los usuarios de los servicios de salud, así como aquellas que permitan corregir las inconsistencias en relación con los perfiles asignados a exfuncionarios institucionales, representan medidas para fortalecer la seguridad lógica de ese sistema.
Entre las disposiciones de la Contraloría a la Caja se incluye definir e implementar medidas específicas para revisar la asignación de roles y perfiles de los aplicativos del EDUS asignadas a los funcionarios cuya categoría de puesto no es correspondiente con perfiles de atención directa de pacientes, así como para dar seguimiento periódico sobre su pertinencia.
La Contraloría también pidió corregir las inconsistencias entre el perfil asignado y la categoría de puesto, determinar si se dieron accesos a información protegida por ley a través de los perfiles que fueran incorrectamente asignados, e instruir los procedimientos conforme a derecho corresponda para los casos que se identifiquen.
Otra medida solicitada es elaborar, divulgar e implementar mecanismos de control automatizados que permitan alertar y deshabilitar los perfiles de los usuarios en los sistemas de información del EDUS y las soluciones de inteligencia de negocios asociadas a la atención directa de pacientes, una vez que los funcionarios se jubilen, fallezcan o finalicen su relación laboral.
La Caja, además, deberá emitir un cronograma de las medidas específicas para gestionar los riesgos asociados a la seguridad lógica del EDUS y definir e implementar las medidas para concluir el proceso de inscripción de la base de datos del EDUS ante la Prodhab.
El informe se emite en momentos en los cuales se han sucedido los hackeos a los sistemas de los ministerios de Hacienda, Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y Trabajo y Seguridad Social.
También han sido afectados los sistemas de la misma CCSS en su portal web de recursos humanos y la cuenta de Twitter, Radiográfica Costarricense S. A. (Racsa), Instituto Meteorológico Nacional, y Fondo de Desarrollo y Asignaciones Familiares (Fodesaf).
Otra entidad afectada fue la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (Jasec). Asimismo, la firma Aeropost alertó a sus clientes de un posible incidente con el registro de las tarjetas de crédito.
Varios de estos ataques han sido provocados por el grupo Conti, que utilizan un ransomware que encripta (para inutilizar información y sistemas) y extrae datos.
Una de las vulnerabilidades más comunes, que los especialistas señalan en empresas e instituciones y que son aprovechadas por los ciberdelincuentes, son accesos habilitados a personas que no corresponde o que incluso ya no laboran para esas organizaciones.
Respuesta de la Caja
La Caja respondió —hasta pasadas las 5 p.m. de este mismo 25 de abril— que respeta las observaciones emitidas por la Contraloría sobre la seguridad de la información del EDUS.
La entidad reconoció que se debe hacer una depuración de las cuentas activas de funcionarios jubilados y fallecidos, y ya ha iniciado estas acciones. No obstante, también aclara que en el caso de personas que dejaron de ser funcionarios, no pueden acceder ya que existen niveles de seguridad lógica y requieren un control cruzado para acceder al Sistema del Expediente Digital Único en Salud.
Lo anterior implica que la persona debe estar registrada como funcionario de un servicio de salud de un establecimiento de la institución, además de tener asignado un usuario y una clave de acceso, según la Caja. Agregó que los funcionarios que tienen acceso al expediente de salud, se les define un perfil según las funciones que cumplen, por lo que solamente pueden realizar acciones en el nivel designado.
La Caja indicó que, debido a su dinamismo, requiere que el sistema facilite al personal que realiza sustituciones (por incapacidades, vacaciones o nombramientos) el acceso inmediato para que cumplan sus tareas por el periodo que se les nombra. Asimismo, que todas las acciones que realizan los usuarios dentro del EDUS quedan registradas en bitácora electrónica, por lo cual existe una trazabilidad de cada uno de los ingresos y transacciones a los expedientes de los usuarios.
Las entidad detalló que hay 13 áreas de salud son administradas por terceros, por lo que al no ser personal de la CCSS no pueden aparecer en la planilla institucional, y que deben tener acceso a los sistemas EDUS para brindar atención a la población y el seguimiento de sus accesos se registra en la bitácora digital del Sistema.
Entre las acciones tomadas en línea con lo mencionado por la CGR, la Gerencia Médica de la CCSS emitió el oficio GM-4985-2022 del 8 de abril pasado en el cual se solicita a todos los servicios la revisión de la asignación de perfiles en los aplicativos EDUS acorde al nivel de acceso autorizado según funciones y competencias.
La CCSS indicó que está en la fase final de la inscripción de la base de datos ante la Prodhab por la necesidad de darle confianza y transparencia a la protección de los datos de los usuarios de servicios de salud.
Reiteró que reiterar que, en lo referente a la seguridad física de la plataforma tecnológica institucional, la CCSS cuenta con las herramientas de control para detectar y repeler los ataques cibernéticos de diversa índole. “También mantiene procesos continuos de reforzamiento e incorporación de tecnologías y herramientas que brindan mayor protección a los datos, así como de incorporación de las mejores prácticas en estas temáticas”, indicó la institución.
NOTA DE RECACTOR: Información actualizada este 25 de abril a las 5:35 p.m.
