Escolha a Sábado como "Fonte Preferida"
Veja as nossas notícias com prioridade, sempre que pesquisar no Google.
Um pirata informático terá acedido a fichas clínicas de menores registados no SNS. Na sequência de dezenas de queixas, as suspeitas estão a levantar preocupações sobre falhas de cibersegurança no sistema de saúde.
Um pirata informático terá acedido a um elevado número de fichas clínicas de menores no portal do Registo de Saúde Eletrónico (RSE/SNS24). O acesso terá sido feito através das credenciais profissionais associadas a um médico registado no Centro de Saúde de Miranda do Corvo, mas que já não exerce funções nesta unidade.
Em declarações à agência Lusa, a Ordem dos Médicos (OM) esclarece que recebeu dezenas de queixas relativas a uma potencial consulta indevida de processos clínicos de crianças por parte de um médico da ULS Alto Minho. O bastonário, Carlos Cortes, disse que contactou pessoalmente o Ministério Público, os Serviços Partilhados do Ministério da Saúde (SPMS), bem como a referida ULS, avançando que podemos estar “perante uma situação de cibersegurança, de falha em termos de segurança informática”. Ao mesmo tempo, a OM desencadeou procedimentos internos para averiguar se se pode tratar de "um ato de má conduta deontológica".
Entretanto, a iniciativa CpC: Cidadãos pela Cibersegurança, fez uma queixa formal dirigida a várias entidades, emitindo um comunicado sobre o assunto, onde se lê que apesar do médico já não exercer funções naquela unidade de saúde, “as suas credenciais de acesso ao sistema nunca foram revogadas”, lê-se no comunicado da CpC, que assume que o próprio médico é uma potencial vítima neste caso.
Os relatos têm-se multiplicado nas redes sociais. "Segundo informações partilhadas por vários encarregados de educação, o médico John Freddy Bermudez, associado à ULS de Miranda do Corvo, terá acedido a dados clínicos de menores sem relação clínica conhecida, incluindo informações potencialmente sensíveis como contactos, moradas e dados dos pais", lê-se numa publicação de um grupo de Facebook.
A investigação está a ser desencadeada pelas “autoridades competentes”, assegura à SÁBADO a SPMS – entidade pública que presta serviços na área dos sistemas e tecnologias de informação e comunicação: “A SPMS não comenta casos concretos relacionados com matérias de segurança ou cibersegurança. Assegura, porém, que todas as comunicações de possíveis incidentes de cibersegurança são analisadas e que está em permanente articulação com as autoridades competentes. Sempre que há indícios de factos ilícitos, estes seguem os trâmites instituídos.”
A Entidade Reguladora da Saúde (ERS) também já reagiu. Em comunicado diz ter avançado com "um processo de avaliação com vista ao acompanhamento da situação e da adoção, pelas entidades responsáveis, das medidas de mitigação que venham a revelar-se necessárias. Além de divulgar um canal disponível para receber queixas, a ERS diz que "os estabelecimentos prestadores de cuidados de saúde devem garantir que essa informação [dos utentes] fica devidamente armazenada, protegida e acessível aos profissionais de saúde".
O tema chegou também ao Portal da Queixa, onde podem ser consultados vários relatos associados ao nome do médico e à unidade de saúde. "Tomámos conhecimento de que foi efetuado acesso e/ou abertura de registos clínicos pelo médico JFB na unidade de saúde de Miranda do Corvo que desconhecemos totalmente e onde a menor nunca foi acompanhada, autorizada ou inscrita", lê-se numa das queixas.
“Com base na informação que é pública até ao momento, é importante haver alguma prudência, porque ainda não existe, pelo menos de forma pública, um relatório técnico ou forense que permita confirmar exatamente como ocorreu o acesso indevido”, começa por alertar David Russo, Chief Technology Officer (CTO) da CyberS3c, empresa portuguesa da área da cibersegurança que tem como parceiras entidades públicas como a PSP ou a GNR.
O que tem sido divulgado passa por um alegado roubo de credenciais válidas, ou seja, estamos perante “denúncias de acessos indevidos a dados ou processos de utentes, incluindo menores”, diz o especialista em resposta à SÁBADO. Um “ponto importante, porque significa que poderemos não estar perante uma intrusão direta aos sistemas centrais do SNS, mas sim perante a utilização abusiva de uma conta legítima”, diz, acrescentando uma “analogia simples”: “Seria alguém conseguir obter a chave verdadeira de uma casa. A porta não foi arrombada, mas isso não significa que a entrada tenha sido autorizada”.
Este tipo de intrusão, avança, é comum no universo da cibersegurança e pode acontecer por várias razões, “incluindo campanhas de phishing, reutilização de passwords, equipamentos comprometidos ou software malicioso conhecido como ‘infostealer’”. E o que são esses ‘infostealers’ que representam “um dos maiores problemas atuais da cibersegurança”? David Russo explica: “São programas maliciosos criados para recolher informação dos dispositivos das vítimas, incluindo usernames, passwords, cookies de sessão e credenciais guardadas nos browsers. Depois, essa informação é frequentemente organizada em listas e vendida em mercados criminosos”. E volta a simplificar para que leigos entendam melhor: "Imagine alguém que não rouba apenas uma chave, mas também uma cópia do cartão de acesso já validado à entrada do edifício. Em alguns casos, os atacantes conseguem obter cookies de sessão, que funcionam precisamente como uma sessão já autenticada. Isto pode levar o sistema a interpretar aquele utilizador como legítimo, tornando a deteção muito mais difícil”.
Ainda não é conhecido o que aconteceu em concreto neste caso, mas este “é um cenário cada vez mais comum a nível internacional e compatível com incidentes deste tipo”. Sobre se poderá ou não existir erro humano na origem deste acesso indevido, David Russo não descarta essa hipótese, mas defende que “seria demasiado simplista reduzir o problema apenas a isso” e que os sistemas deveriam acautelar uma série de situações. “Um profissional pode reutilizar passwords, guardar credenciais no browser, abrir uma mensagem fraudulenta ou utilizar um equipamento comprometido. Porém, sistemas críticos, sobretudo na saúde, devem ser desenhados assumindo que as credenciais podem acabar comprometidas”, sublinha.
Ou seja, para o especialista os níveis de segurança atuais não podem apenas depender de medidas de segurança mais básicas, devem sim incluir “várias camadas de proteção, como autenticação multifator forte, limitação de permissões, monitorização contínua e capacidade para detetar acessos fora do padrão habitual”.
Em particular na gestão dos acessos nos sistemas públicos: “Não basta criar contas para profissionais. É necessário garantir que essas contas são revistas regularmente, que mantêm apenas as permissões necessárias e que qualquer atividade anómala é rapidamente detetada”.
No passado dia 14 de maio, durante uma sessão sobre cibersegurança no Instituto Politécnico de Santarém, a vogal executiva da SPMS, Isabel Baptista, destacou que o setor da saúde é um dos mais visados por ciberataques na União Europeia. David Russo explica porquê: “As bases de dados de saúde são particularmente apetecíveis para grupos criminosos, porque concentram informação extremamente sensível e duradoura. Dependendo das permissões da conta utilizada, podem estar em causa dados pessoais, contactos, histórico administrativo ou informação clínica. Ao contrário de uma password, estes dados não podem simplesmente ser ‘alterados’ depois de expostos”. Informação que pode posteriormente ser utilizada para “fraude, engenharia social, criação de perfis pessoais ou abordagens direcionadas às vítimas” e que se torna mais preocupante no caso de menores “porque estamos a falar de informação extremamente sensível que poderá acompanhar essas crianças ao longo da vida”.
Para o especialista em cibersegurança, este incidente “deve servir para reforçar algumas prioridades fundamentais” como uma “autenticação multifator robusta para todos os acessos a dados sensíveis, revisão periódica das permissões atribuídas aos profissionais, monitorização contínua de acessos anómalos e maior investimento em formação e consciencialização”.
“Neste momento, a resposta mais responsável é aguardar pela investigação técnica das entidades competentes. Contudo, este caso já deixa uma lição clara: proteger apenas os sistemas já não é suficiente. É igualmente essencial proteger as identidades digitais das pessoas que têm acesso a esses sistemas”, conclui.
