O sistema informático do Serviço Nacional de Saúde (SNS) foi alvo de um ataque informático que está a deixar as autoridades em alerta. O hacker que executou o ataque usou como porta de entrada no sistema a conta de um médico assistente, situação que foi confirmada esta semana por fontes oficiais. De acordo com os peritos forenses, o atacante terá usado as credenciais profissionais do médico, possivelmente obtidas através de phishing ou reutilização de palavras-passe previamente expostas em breaches de outras plataformas.
Segundo o Jornal de Notícias, o médico está registado na Unidade Local de Saúde (ULS) do Alto Minho.
Os registos de acesso detetaram atividade anómala durante várias horas, incluindo a consulta de processos clínicos de crianças e adultos e a visualização de receitas médicas. A equipa de cibersegurança do SNS cortou o acesso remotamente e redefiniu as credenciais da conta comprometida, após o ataque ter sido detetado.
A Ordem dos Médicos informou que recebeu dezenas de queixas de pais relacionadas com o acesso indevido aos processos clínicos dos filhos. Vários utentes, receberam uma notificação sobre o acesso indevido aos seus dados, ou aos dados de menores sob a sua tutela.
O caso levantou críticas internas à demora na ativação da autenticação de 2 fatores para todos os profissionais que acedem ao sistema, principalmente quando já existem antecedentes. O ministério da tutela garantiu que a auditoria está em curso e que “não existem indícios de alteração de dados clínicos ou de prescrições efetivamente dispensadas”, mas admite que a fuga de informação poderá afetar a privacidade de centenas de utentes.
Influencers denunciaram a emissão de certidões de óbito e receitas falsas
Há cerca de oito meses, um caso semelhante veio a público, através de alguns criadores de conteúdo digital especializados em segurança informática, que denunciaram o acesso à base de dados do SNS, mas o caso nunca foi confirmado pelas autoridades. Na ocasião, alguns influencers portugueses afirmaram que, alguém (que não foi identificado) acedeu aos seus dados pessoais através dos registos do SNS, e que o sistema teria sido usado para emitir certidões de óbito em nome de pessoas vivas e gerar receitas médicas sem prescrição original.
As investigações preliminares da Comissão Nacional de Proteção de Dados (CNPD) e da Polícia Judiciária concluíram, na altura, que os documentos exibidos nos vídeos eram maioritariamente datasets manipulados – alguns com dados reais antigos, outros com campos inventados – e que não houve prova concreta de que o SNS tivesse sido diretamente comprometido para gerar aqueles atos clínicos. No entanto, a polémica expôs fragilidades no sistema informático, que nunca foram totalmente resolvidas.
Medidas e cuidados a ter
A ERS – Entidade Reguladora da Saúde anunciou a abertura de um processo de avaliação para “adoção das medidas de mitigação que venham a revelar-se necessárias”. Os utentes afetados por este caso podem reportar a situação à ERS.
Entretanto, recomenda-se aos utentes do SNS que estejam atentos a eventuais notificações invulgares do SNS ou de unidades de saúde, solicitando dados ou pagamentos. Nestes casos devem alertar as autoridades e confirmar com os serviços notificações anómalas que possam receber.
Deve fazer o login no portal do SNS através do computador e clicar na opção “o meu perfil“, no canto superior direito. No fundo da página encontra a opção “quem viu a minha informação” para confirmar se houve acesso indevido aos seus dados.
A Polícia Judiciária está no terreno a investigar este ataque informático através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T).
Entretanto, alguns utentes relatam que estão a ter constrangimentos no acesso à aplicação e no portal do SNS24.
Comentários