Funcionarios ya fallecidos de la Caja Costarricense de Seguro Social (CCSS), pensionados y otros trabajadores de esa institución que no deberían tener acceso a datos de salud de los pacientes, aparecen habilitados para ingresar al Expediente Digital Único en Salud (EDUS), en el que se maneja información sensible sobre consultas, exámenes y procedimientos médicos de quienes acuden a los servicios de atención en Ebáis y hospitales públicos.
Las causas de esta situación se resumen en “debilidades en la gestión de los accesos al EDUS a lo interno de la CCSS”, concluyó un informe de la Contraloría General de la República (CGR), divulgado este lunes. Lo atribuyen a “la ausencia de seguimiento e implementación de controles para administrar las cuentas de usuario de acuerdo con el cambio de estado de la relación laboral”.
LEA MÁS: Acceso al informe completo de Contraloría sobre EDUS AQUÍ
La Contraloría identificó 14.412 perfiles habilitados para los sistemas del EDUS asociados a 1.002 funcionarios, de los cuales 877 están jubilados y 125 ya fallecieron. En un 83,7% de los casos, esos perfiles permitirían el acceso al menos a un aplicativo de ese sistema, un 14,57% a dos, y un 1,70% hasta tres aplicativos.
Otros 1.345 funcionarios tenían acceso a módulos del EDUS utilizados para la atención directa de pacientes, a pesar de que su categoría de puesto no se los permite. De ese grupo, un 36% es personal financiero contable, 33% de servicios de apoyo, 9% servicios generales, 7% recursos humanos, 6% de tecnologías de información, y 9% corresponde a otros puestos no relacionados.
“Según el nivel de acceso que se haya asignado al usuario, estos podrían incluir nuevos datos o registros o en su defecto actualizar, modificar o consultar datos existentes. Sobre el particular, se identificó que 806 funcionarios registraron al menos un acceso a los citados módulos, entre los meses de setiembre y diciembre de 2021.
LEA MÁS: Expediente digital de salud afectado por fallo en sistemas tecnológicos de CCSS
“Asimismo, se determinaron 6.619 personas con permisos de acceso a módulos del EDUS que no aparecen registradas en las planillas de los meses de septiembre y octubre de 2021, lo cual no permite tener certeza con respecto a la pertinencia de los accesos brindados. También se identificaron inconsistencias en el código de Unidad Ejecutora de 100 perfiles asociados a 60 funcionarios”, advierte el informe.
La investigación de la Contraloría es la primera sobre la seguridad de la información de ese expediente, utilizado en todos los servicios de salud de la CCSS. Se revisaron datos en el periodo comprendido entre el 1.° de enero de 2018 y el 15 de febrero de 2022. Ese plazo se extendió cuando se consideró pertinente
El informe, además, identificó riesgos de seguridad lógica, la cual resulta relevante para proteger al sistema de ataques cibernéticos como los que se han registrado en la última semana en plataformas de instituciones estatales; entre ellas, la misma CCSS, además del Ministerio de Hacienda o el de Ciencia y Tecnología.
Esos riesgos incrementan la vulnerabilidad de incidentes en sistemas, bases de datos o infraestructura que, según la Contraloría, pueden reducir la continuidad del servicio y comprometer la integridad, disponibilidad y confidencialidad del Expediente Digital Único en Salud, sobre los cuales no se han definido medidas específicas para su gestión.
A la fecha de la emisión de este informe, la CCSS se encontraba en proceso de actualizar la documentación para continuar con la inscripción de la base de datos del Expediente Digital Único en Salud ante la Agencia de Protección de Datos de los Habitantes (Prodhab), proceso que se inició en el 2017.
El 7 de marzo, el EDUS registró varias fallas, aunque la Caja no informó del origen ni precisó los problemas. Ese mismo día, los usuarios también confirmaron problemas en el Sistema Centralizado de Recaudación (Sicere), donde se manipulan las planillas de todos los trabajadores del país.
Medidas a ejecutar
La Contraloría ordenó a la CCSS poner manos a la obra y revisar los roles y perfiles de acceso al EDUS, dar seguimiento periódico e identificar y corregir las inconsistencias de los perfiles otorgados a los aplicativos del EDUS para que los riesgos detectados se reduzcan.
También le pidió elaborar y poner en ejecución mecanismos de control automatizados para alertar y deshabilitar la cuenta de usuario de funcionarios que mantienen perfiles en los sistemas de información del EDUS una vez que se jubilen, fallezcan o finalicen su relación laboral.
La Caja está obligada a presentar un cronograma de medidas de gestión de los riesgos asociados a la seguridad lógica del EDUS y concluir con el proceso de inscripción de la base de datos del expediente digital ante la Prodhab.
LEA MÁS: ¿Cómo beneficia el EDUS la atención médica?
El EDUS es un conjunto de aplicaciones y servicios para administrar y automatizar las atenciones clínicas en los centros de salud del país. Ahí se registran los antecedentes personales de enfermedades, no patológicos, familiares, quirúrgicos y de trauma, y antecedentes laborales, de salud sexual reproductiva y perinatales.
Hay una pestaña de diagnóstico en la que se encuentra un registro estructurado de los diagnósticos que ha recibido el asegurado y una para el registro de signos vitales y medidas antropométricas. Además, la plataforma registra todos los procedimientos por los que ha pasado el paciente; desde algo pequeño como un lavado de oído hasta una gastroscopia o una cirugía.
CCSS reconoce vulnerabilidad
En un boletín de prensa recibido a las 5:30 p.m. de este lunes, la Caja reconoció que se debe hacer una depuración de las cuentas activas de funcionarios jubilados y fallecidos, y aseguró que esas acciones ya se iniciaron.
La institución aclara que, en el caso de las personas que dejaron de ser funcionarios no pueden acceder pues hay niveles de seguridad lógica y se requiere un control cruzado. “Lo anterior implica que la persona debe estar registrada como funcionario de un servicio de salud de un establecimiento de la institución, además de tener asignado un usuario y una clave de acceso”, afirma la CCSS.
“La Caja es una institución muy dinámica y requiere que el sistema facilite al personal que realiza sustituciones por incapacidades, vacaciones o nombramientos, el acceso inmediato para que cumplan sus tareas por el periodo que se les nombra. Esto mismo aplica para el personal que realiza jornadas extraordinarias en funciones que no son de su perfil de nombramiento base.
“Otro aspecto clave de seguridad es que todas las acciones que realizan los usuarios dentro del EDUS quedan registradas en bitácora electrónica, por lo cual existe una trazabilidad de cada uno de los ingresos y transacciones a los expedientes de los usuarios. Cabe mencionar que 13 áreas de salud son administradas por terceros, por lo que al no ser personal de la CCSS no pueden aparecer en la planilla institucional, sin embargo, deben tener acceso a los sistemas EDUS para brindar atención a la población y el seguimiento de sus accesos se registra en la bitácora digital del Sistema”, manifestó la institución.
“En lo referente a la seguridad física de la plataforma tecnológica institucional, la CCSS cuenta con las herramientas de control para detectar y repeler los ataques cibernéticos de diversa índole. También mantiene procesos continuos de reforzamiento e incorporación de tecnologías y herramientas que brindan mayor protección a los datos, así como de incorporación de las mejores prácticas en estas temáticas”, afirma.
Información actualizada a las 5:39 p.m. del lunes 25 de abril, con reacción de CCSS.