EscucharEl hackeo a la Caja Costarricense de Seguro Social (CCSS) ocurrido hace dos meses, obligó a realizar un cambio masivo de contraseñas y a fortalecer la doble autenticación de cada funcionario que ingrese a los sistemas informáticos para evitar nuevos ataques de ciberdelincuentes. Además, trabaja en endurecer el régimen de responsabilidades administrativas para blindar a la institución de un nuevo incidente.
La CCSS tiene alrededor de 50.000 equipos y más de 50.000 usuarios registrados. Lo que pretende es fortalecer la seguridad de los sistemas. “No solo que yo entre, sino que mandamos otros elementos para garantizar que el que entra al computador es la persona correcta. Esa doble autenticación existía pero con mecanismos no tan seguros. Lo estamos fortaleciendo”, aseguró Idannia Mata Serrano, subgerente de la Dirección de Tecnologías de Información y Comunicaciones.
LEA MÁS: ‘Hackeo’ a CCSS: Ramos espera encender computadoras en menos de dos meses
El fortalecimiento de la ciberseguridad para contener incidentes y ataques a la plataforma tecnológica de la Caja es una de las dos líneas de trabajo que desarrolla Mata, quien asumió la Dirección el 20 de junio en sustitución de Roberto Blanco Topping, separado de su cargo temporalmente junto con la jefa del Área de Seguridad y Calidad, Mayra Ulate, Ambos son sujetos de investigación interna.
En el análisis forense de esta emergencia institucional, dijo Mata, se identificó al menos una máquina en la cual habría iniciado el ciberataque. La información ya está en manos del Organismo de Investigación Judicial (OIJ) y de la Auditoría Interna de la CCSS.
“Un sistema de seguridad tiene tres grandes pilares: el primero es la gente. Los otros son los procesos y procedimientos asociados a cada tarea dentro de una organización, y el tercero es la plataforma de software y hardware. Pero la primera línea de defensa está en el ser humano.
“Hemos venido fortaleciendo el cambio de contraseñas, con un cambio masivo, y la cultura de no ceder la contraseña a nadie. La siguiente línea son los procesos y procedimientos y la plataforma reforzando aún más”, dijo Idannia Mata.
La institución, informó, recibe 60 millones de ataques al año: cinco millones por mes. En el 2015, se hablaba de 1.000 diarios, que eran repelidos por los sistemas de seguridad institucionales de aquel entonces.
“La CCSS requiere muchos esfuerzos en recurso humano, procedimientos y sistemas (equipos) para detectar cuáles son accesos permitidos y cuáles no. Es muy complejo”, dijo al informar de un plan de fortalecimiento de la ciberseguridad con acciones a corto, mediano y largo plazo, cuyo costo aún se cuantifica.
¿Qué pasó con EDUS?
La otra línea de trabajo que se ha venido desarrollando desde el hackeo a la CCSS del 31 de mayo es la rehabilitación de servicios, con prioridad del Expediente Digital Único en Salud (EDUS), los sistemas financieros, y los considerados como sistemas de misión crítica, informó Mata Serrano.
El ataque informático obligó a todos los servicios institucionales a regresar en el tiempo y hacer trámites en papel, incluidas las consultas médicas, la entrega de medicamentos y algunos trámites financieros. A la fecha, muchas de estas gestiones siguen en papel.
Rehabilitar el EDUS está a un paso de completarse. El llamado “corazón del EDUS” ya está habilitado tecnológicamente, aseguró Mata. Ese corazón lo componen el Sistema Integrado de Expediente en Salud (SIES), y el Sistema Integrado de Identificación, Agendas y Citas (SIAC). Otros módulos que también integran el EDUS están avanzados en un 60%, informó la funcionaria.
Hace falta que la Gerencia Médica eche a andar el plan de habilitación. “No es suficiente que estén las bases de datos, las redes y los temas de seguridad habilitados. Hay un componente que es de procesos. (...) Estos procesos de ajuste deben revisarse para ponerse en operación”, aclaró la subgerenta.
David Monge Durán, asistente de la Gerencia Médica en este tema, confirmó a La Nación que ya se hizo un plan piloto en tres áreas de Salud (Montes de Oro, Chacarita y Cóbano, en Puntarenas), con resultados exitosos. Lo que esperan para ejecutarlo en más centros de salud de todo el país es completar la vacunación con el programa microCLAUDIA para empezar a levantar los sistemas.
LEA MÁS: ‘Hackeo’ a CCSS obligó a cancelar casi 80.000 citas en hospitales en un mes
“Como Gerencia Médica, la parte logística está preparada. Las unidades están deseosas de arrancar. En esas tres áreas de salud fue muy rápido hacer el levantamiento Lo que queda es completar la seguridad. Por completar este tema, el avance será muy rápido”, dijo Monge.
El funcionario no se atrevió a dar fechas precisas, pero, al igual que Mata, cree que los sistemas retornarán antes de que se cumplan los tres meses del ciberataque, el 31 de agosto.
“Con las pruebas controladas se logró ver el funcionamiento de la consulta externa, ver reportes de laboratorio, farmacia, consultas. Igual en Emergencias. Parte del piloto fue ver el tema de accesos, contraseñas... Las pruebas han funcionado correctamente.
“Hay un nivel de completitud bastante elevado, y esto ayudará a que arranquemos con unidades. Está por arriba de un 90%. Vemos a corto plazo ir arrancando con más unidades”, expresó Monge.
Por su parte, Idannia Mata, manifestó que desde la Dirección de Tecnologías se han ido cumpliendo con las habilitaciones y ya fue entregada la plataforma que soporta el EDUS. Ahora, adelantó, revisan otros módulos pues se trata de un conjunto de aplicaciones.
“Se van liberando una cantidad importante de aplicaciones y todos los módulos conocidos como ARCA, que tienen que ver con hospitalización, están empezando a liberarse para que la Gerencia Médica empiece su plan de habilitación y de continuación con sus establecimientos de salud, agregó Idannia Mata.
