• El consell d'administració decideix sancionar els treballadors per la seva «manca de reacció»
• Delgado parla només d'una consulta «que podria semblar estranya» i que caldria analitzar

El president del consell d'administració de la CASS, ahir. Foto: ÀLEX LARA

No només va ser un error humà el que va provocar que durant més de quatres dies quedessin al descobert les dades privades dels usuaris de la Caixa Andorrana de la Seguretat Social, també va ser un error en els protocols de seguretat. Així ho va admetre ahir el president de la CASS, Josep Delgado, durant la compareixença pública davant la Comissió de Sanitat. Delgado va explicar que, per una banda, els protocols només establien un control setmanal del sistema d'accés a les dades (els dimecres), i per l'altra, directament no existien protocols de control per «als punts crítics» com el de migració de les dades (moment en el qual el treballador de l'empresa subcontractada va deixar l'accés obert).

En el primer cas, des de l'incident ja s'han pres mesures i s'ha decidit començar a revisar la seguretat del portal web diàriament, tal i com va explicar el president de la parapública: «ara ja es comproven contrasenyes cada dia». Pel que fa al segon, la ministra de Salut i Benestar, Cristina Rodríguez, va dir que «cal identificar de manera molt més curosa alguns punts crítics i adequar els protocols, i fer-ho de manera cada vegada més sistemàtica» ja que els «sistemes d'informació, particularment en l'àmbit de salut, evolucionen molt ràpid i cada vegada calen més exigències».

Delgado també va explicar ahir que, abans que es produís l'incident, just el mes de març passat, «es va fer un concurs per realitzar una auditoria per detectar els possibles errors i deficiències en temes de seguretat informàtica de la CASS», ja que l'última va ser realitzada el 2008. Actualment estan decidint l'empresa, tot i així Delgado va voler deixar clar que «ni se'ns passava pel cap que hi hagués aquest error» quan van decidir fer el concurs.

LES SANCIONS / Així doncs, si era una qüestió de protocols, ¿per què s'ha decidit –a banda de rescindir el contracte amb l'empresa externa, LEM S. L– sancionar als tres treballadors del departament d'informàtica de la CASS? Doncs perquè tot i que la migració no entrava en el protocol, tant Delgado com Rodríguez es van mostrar convençuts que aquests treballadors haurien d'haver fet el control per iniciativa pròpia. El president del Consell d'Administració de la CASS va admetre que «pot semblar una decisió dura en el sentit de sancionar un treballador per no seguir un protocol que no existia, però el que hem volgut és sancionar el no tenir la reacció de pensar-hi» i va afegir que «no voldria parlar d'exemplaritat, però si hem volgut marcar que un departament té funcions i no només es tracta de complir protocols, són gent que ha d'estar a l'aguait. Un departament que col·labora amb gent subcontractada ha de pensar en qualsevol eventualitat que es pugui produir, estigui protocol··laritzada o no».

Delgado també va explicar que s'ha «advertit» a la directora general «tot i que no té res a veure amb l'error humà, i per tant no pensem que sigui adequat sancionar-la». Ara bé, «sí li hem dit que no pot tornar passar» i que comencessin a aplicar els protocols «que s'ha demostrat que eren necessaris», com és el del control diari del sistema de contrasenyes.

Actualment, tal i com va informar Delgado, s'encarrega del manteniment del portal una de les empreses que es va presentar al concurs que va guanyar LEM: «Dins dels àmbits de qualificació garantits, hem escollit la segona empresa més barata». Aquesta hi treballarà fins «al proper concurs, que es farà a final d'any. Prepararem des d'ara el concurs i a partir de l'1 de gener ja hi haurà una empresa que se'n ocupi dins uns estàndards de contractació pública i que segueixi una sèrie de criteris».

ELS INFORMES / Tal i com va explicar ahir Rodríguez, el primer que es va fer va ser encarregar un primer informe tècnic detallat, realitzat per la pròpia empresa que va efectuar l'error. Aquest es va entregar a l'Agència de Protecció de Dades per tal que elabori un segon informe en el qual han de «realitzaran un dictamen» per tal de valorar si s'han vulnerat drets fonamentals. A més, Rodríguez va dir que l'informe tècnic respon a les set preguntes entrades a tràmit pels socialdemòcrates referent a l'incident i va afegir que el document està a disposició de tots els consellers.

LES DADES ACCESSIBLES / El president de la CASS va informar que «les dades a les quals no es va poder accedir van ser totes aquelles sotmeses a certificat digital», i les que van quedar al descobert «van ser totes les econòmiques», a les quals s'accedeix a través de la contrasenya: número de compte, prestacions, reembossaments i també dades personals com l'adreça o l'e-mail, entre d'altres. «A tall d'exemple, podien saber que hem anat a la farmàcia i quan ens hem gastat, però no quin medicament hem comprat».

«Sense voler buscar excuses», Delgado va dir que dels 11.012 usuaris de la CASS, només se'n van veure afectats 159. D'aquests només 8 van fer modificacions (de l'adreça i número de compte), 7 dels quals ja està comprovat que les van efectuar propis usuaris. Els altres 151, van fer 377 consultes, «la mitjana habitual» i tot i que Delgado va defensar «que totes les tipologies de consultes són estàndards», també va admetre que «mai no es podrà afirmar de manera absoluta que no s'ha fet un ús indegut, a partir del moment que tens adreça IP però no saps qui estava davant del teclat de l'ordinador».

El president de la CASS va parlar només d'una consulta «que semblaria estranya»: tres usuaris diferents, sense cap relació aparent entre ells, es van connectar des de la mateixa IP. Tot i així no li va donar importància i va dir que «és possible que quan acabem estirant del fil sigui una wifi del bar pepito». El que va assegurar és que «ningú ha anat a cercar dades de manera general. Si algú vol tenir informació, aprofita i es descarrega la informació del màxim de gent».

Finalment, el president de la CASS va concloure que la gent «està tranquil·la» pel que fa la seguretat «ja que cap afiliat ha preguntat si s'ha vist afectat».

Per a més informació consulti l'edició en paper.