Ara toca ciberatac! Aprenentatges i reflexions

10/04/2023

“Què bèstia!” que diu el Tortell Poltrona. Així començava, fa tres anys, el post titulat Coses a seguir fent després de la COVID 19.

Avui començo de la mateixa manera per parlar del ciberatac que va patir l’Hospital Clínic de Barcelona el diumenge 5 de març. Els ciberdelinqüents van utilitzar el Ransomware o programari de segrest per xifrar els sistemes d’informació després de robar dades, demanant un rescat per la recuperació dels sistemes i per evitar la publicació de les dades.

El que pot semblar excepcional no es pot considerar així de cap manera. Un article del JAMA Health Forum titulat Trends in Ransomware Attacks on US Hospitals, Clinics and Other Health Care Delivery Organizations, 2016-21 identifica un total de 374 atacs i mostra que el nombre anual s’ha més que doblat els darrers anys, de 43 a 91, i ha augmentat la seva sofisticació i que en el 44% dels casos es va interrompre la prestació de serveis de salut.[1] L’Agència de Ciberseguretat de Catalunya parla d’increments també molt elevats dels atacs  en tots els sectors del nostre entorn, sent rellevant l’interès dels ciberdelinqüents pel sector sanitari.

Des del diumenge 5 de març han passat moltes coses que m’agradaria compartir per reflexionar sobre maneres de treballar de les organitzacions que ens fan ser millors.

El ciberatac ha representat un viatge en el temps. Hem tornat uns anys enrere a fer receptes en bolígraf i paper, a que els professionals del Servei de Farmàcia interpretessin, amb més o menys èxit, la lletra dels metges, hem desempolsat els formularis de petició de laboratori i hem recorregut uns quants kilòmetres portant peticions al laboratori i recollint els informes de resultats. Tenir còpies de seguretat diàries ens ha permès, mica en mica, tornar al  present i a somiar en el futur.

Reflexions sobre organització i cutura organitzativa

El llibre Corporate Rebels. Make Work More Fun, de Joost Minnaar i Pim de Morree, parla de la importància del propòsit com element decisiu per a que les institucions avancin. Cita dos estudis europeus en que un 25% dels treballadors en un cas i un 37% en un altre dubten de la utilitat del seu treball i de la contribució a la societat. En sanitat tenim un clar propòsit i és comú i compartit pels professionals que hi treballem. És, sens dubte, un factor clau d’èxit per respondre adequadament davant situacions complexes. La resposta a la COVID i ara al ciberatac així ho han demostrat.

També ha demostrat quines són les millors eines de gestió, moltes d’elles recollides a Corporate Rebels. M’agradaria destacar:

  • El treball en equip recolzat per un lideratge de suport, fugint de la jerarquia. Un Comitè de Crisi diari i la coordinació de tots i molt especialment de la Direcció de Sistemes d’Informació, de l’Àrea de Comunicació i dels Serveis Jurídics són exemple d’aquesta manera de fer. I l’equip de Sistemes d’Informació que treballa des de fa anys amb la metodologia agile, a partir d’un propòsit i organitzats en cercles amb rols i sense jerarquies.
  • La priorització d’accions per resoldre els problemes i l’agilitat en ajustar i reconduir decisions, acceptant els errors. El fundador de Spotify diu que un dels seus objectius és cometre errors més ràpid que cap altra institució perquè les millors organitzacions estan en contínua experimentació i adaptació.
  • L’establiment d’aliances basades en la confiança i la transparència. Es el que ha succeït aquest dies  amb el treball conjunt de les àrees de Sistemes d’Informació i de Comunicació del Departament de Salut, de l’Agència de Ciberseguretat de Catalunya i de l’hospital Clínic Barcelona. I amb la col·laboració del SEM, de diferents hospitals, del Centre d’Urgències d’Atenció Primària i de centres d’imatge i de laboratori que ha permès redireccionar els codis d’activació i el transport urgent bàsic, que els pacients no discontinuessin el tractament de radioteràpia o que es pogués recuperar, en gran part, l’activitat de laboratori i radiologia.

Fa unes setmanes vaig veure un TED Talk de la metgessa d’urgències Darria Long. Tracta de com passar del mode angoixat al mode preparat. Tal com succeeix a Urgències, la clau és prioritzar sense descans. I classificar els problemes en vermell (requereix atenció immediata), groc (urgent però que no requereix atenció immediata), verd (menor) i negre (quan no es pot fer res), entenent que el que fa més soroll no sempre té prioritat.

L’equip de Sistemes d’Informació de l’Hospital ha demostrat, amb la priorització constant que demana Darria Long, com abordar una crisi en mode preparat. Es aconsellable escoltar-lo i sobretot posar-ho en pràctica sempre. De nou hem estat capaços de treure el millor de cadascú de nosaltres i de la institució, tal com va succeir en el conjunt del sistema sanitari per fer front a la COVID. És bo recordar les receptes màgiques que fem servir en aquestes ocasions i que no quedin oblidades en un calaix esperant un nova situació límit que ningú no desitja. Deixar-ho per escrit i reflexionar-hi ens pot ajudar.


Referència

[1] Neprash HT, McGlave CC, Cross DA, Virnig BA, Puskarich MA, Huling JD, Rozenshtein AZ, Nikpay SS. Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016-2021. InJAMA Health Forum 2022 Dec 2 (Vol. 3, No. 12, pp. e224873-e224873). American Medical Association.

Foto de Mika Baumeister

Comparteix: