Há mais de cem mil utentes do SNS a quem foram roubados dados pessoais

A Polícia Judiciária calcula que o ataque informático através do qual foram roubados dados pessoais de utentes do Serviço Nacional de Saúde (SNS) possa ter atingido mais de cem mil pessoas.O inquérito-crime foi aberto na quinta-feira, após a PJ ter recebido relatos a dar conta de acessos indevidos a fichas de utente, não tendo os investigadores conseguido identificar até ao momento o suspeito ou suspeitos da autoria do ataque, nem as suas motivações. Tudo sucedeu depois de os autores do ataque se terem apoderado das credenciais de um médico que trabalha em Miranda do Corvo.Na altura, em comunicado, a Unidade Local de Saúde do Alto Minho (onde o clínico visado trabalha) esclareceu que, “tendo ouvido o médico, tudo indica que foram comprometidas as suas credenciais, não tendo os acessos sido realizados pelo profissional”, que nada terá a ver com o sucedido. “O compromisso das credenciais do médico terá resultado no acesso indevido a registos administrativos, não clínicos, de diversos utentes, entre os quais crianças”, explicou na altura a ULS. O PÚBLICO apurou entretanto que o médico visado será um prestador de serviços e que os dados a que os suspeitos terão tido acesso foram apenas administrativos.Numa conferência de imprensa realizada esta segunda-feira, o director da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica, José Ribeiro, explicou que neste momento as vítimas nada podem fazer, tendo os Serviços Partilhados do Ministério da Saúde (SPMS) já conseguido estancar a exfiltração de dados, desactivado as credenciais do clínico que foram usadas e tomado medidas adicionais de reforço da segurança do sistema. Ao contrário do que se supunha inicialmente, foram roubados dados pessoais quer de crianças quer de adultos do país inteiro, incluindo de utentes da Madeira e dos Açores. Com que fim, a Judiciária ainda ignora.”Tudo é possível””Pode ter sido para fins comerciais, publicitários, ou para fins maliciosos”, isto é, criminosos, aventou Luís Ribeiro, que também não descarta a hipótese de o ataque ter partido de outro país, num quadro de espionagem: “Tudo é possível”. Os investigadores ainda não perceberam se da informação roubada constam também dados clínicos dos utentes.O facto de tamanha quantidade de dados pessoais ter sido roubada no espaço de menos de uma semana faz as autoridades suspeitar de que a operação possa ter sido levada a cabo com recurso a inteligência artificial. Muitos utentes do SNS descobriram o que se estava a passar por terem sido notificados do acesso pelo médico em causa aos dados dos filhos. Luís Ribeiro aconselha os clínicos a alterarem as suas credenciais de acesso ao sistema, não descartando a hipótese de um incidente deste tipo e magnitude voltar a suceder: “O problema está do lado de quem gere o sistema, os Serviços Partilhados do Ministério da Saúde”.Os SPMS, entidade responsável pela gestão do portal e da linha SNS24, disseram na passada semana ao PÚBLICO não comentar casos concretos relacionados com matérias de segurança ou cibersegurança. Asseguraram, porém, que “todas as comunicações de possíveis incidentes de cibersegurança são analisadas” e que estavam “em permanente articulação com as autoridades competentes”, como sucede “sempre que há indícios de factos ilícitos”.Em comunicado, a Entidade Reguladora da Saúde explicou que os utentes dos serviços de saúde que se encontrassem naquela situação poderiam comunicar esses factos àquele organismo, mediante a apresentação de exposição, através dos canais disponíveis.À Ordem dos Médicos chegaram várias queixas sobre este caso. Num primeiro momento, suspeitou-se da possibilidade de se tratar de uma falha deontológica e de má conduta por parte do médico. “Falei com ele directamente e o médico afirmou-me que não tem absolutamente nada a ver com esta situação”, explicou na passada quinta-feira o bastonário Carlos Cortes, considerando a situação grave: “Tem de ser rapidamente resolvida e têm de se criar todas as condições para que isto nunca mais volte a acontecer. Estamos a falar de dados extremamente sensíveis.”Embora continuem a chegar à Polícia Judiciária muitas queixas relativamente ao sucedido, José Ribeiro explica que elas já não se revelam necessárias à investigação, uma vez que não fornecem informação que permita chegar aos criminosos.