Tentativas de ataque a hospitais de norte a sul continuaram mesmo após alerta no Garcia de Orta
Uma semana e meia depois do ataque informático ao Hospital Garcia de Orta (HGO), situado em Almada, há hospitais de norte a sul do país, desde os principais aos mais pequenos, passando pelos oncológicos, que continuam a receber e-mails suspeitos e a detetar tentativas de intrusão nos seus sistemas operativos. Segundo foi dito ao DN por várias fontes hospitalares, muitas unidades tiveram de desligar os sistemas por horas ou dias, como forma de prevenção de ciberataques, e até de cortar o acesso à rede externa de wi-fi, através da qual doentes e visitantes podem usar internet nos seus espaços.
"Foi necessário tomar medidas de prevenção, não sabíamos qual seria a dimensão do ataque ao Garcia de Orta e hoje todas as unidades estão em rede", explicou fonte de uma unidade hospitalar da Grande Lisboa. Nesta altura, ainda há hospitais que mantêm cortado o acesso à rede que permite trabalhar remotamente, o que também está a causar alguns condicionalismos. "Na nossa unidade, ainda temos equipas dos serviços administrativos que, rotativamente, estão em teletrabalho, mas como não podem aceder à rede VPN não conseguem trabalhar. E não sabemos quando é que esta rede poderá ser ligada novamente."
Fonte de outra unidade hospitalar da capital confirmou também que, na última segunda-feira, mais de uma dezena de profissionais, assim que chegaram ao seu local de trabalho, se depararam com a caixa de e-mail com várias mensagens de um endereço que supostamente era do SUCH (Serviço de Utilização Comum dos Hospitais). A sorte, conta a mesma fonte, "é que ninguém abriu esses e-mails. A informação de que o ataque ao HGO tinha começado precisamente através de um e-mail com este endereço passou rapidamente pelas unidades do SNS e alguns profissionais já sabiam do que se tratava".
Os e-mails em causa traziam um link que, caso fosse aberto, dava acesso à dark net, "onde estava depois a informação de que se tratava de um ciberataque e onde se solicitava o resgate para se voltar a ter acesso ao sistema informático", referiu, destacando que "numa unidade em que os funcionários não tivessem sido alertados para a situação, qualquer um poderia ter aberto o e-mail e o link, já que, supostamente, é de um dos organismos centrais da saúde".
Num hospital da região Norte, que nem sequer é dos principais, logo após o ataque ao HGO no dia 26 de abril, a equipa de informática detetou e-mails com este endereço em 80 computadores. "Tivemos de parar o sistema operativo para nova formatação dos computadores, o que nos causou vários condicionalismos em termos de trabalho e de atividade assistencial", assumiu um profissional.
Noutra unidade da mesma região, mas mais pequena, um funcionário "abriu o e-mail mas estranhou e não abriu o link, mesmo assim o hospital considerou que o sistema já estava comprometido e desligou-se tudo para nova formatação", explicaram ao DN. "Foi preciso mais de um dia para se voltar a ter o sistema operacional, o que implicou o adiamento de consultas, sobretudo de segundas consultas e de continuidade, bem como de exames de diagnóstico, já que não era possível aceder aos dados clínicos."
No entanto, como refere uma das fontes do DN, "hoje em dia, todos os hospitais têm planos de contingência para uma situação destas. E isto implica a existência de um "computador de crise" em cada serviço, que não está ligado à rede geral do hospital, mas através do qual se tem acesso à informação dos doentes em consulta ou internados. Mas se um hospital não tem um bom plano de contingência e se vê obrigado a desligar o sistema operativo, fica sem acesso não só à informação dos doentes, como os médicos deixam de poder prescrever receitas ou aceder aos resultados dos exames de diagnóstico realizados".
Por outro lado, salvaguarda a mesma fonte, "um plano de contingência é um plano com soluções provisórias, e quando estas têm de ser usadas durante muito tempo começam a criar dificuldades na atividade normal da unidade".
Ao fim de uma semana meia, e como o próprio hospital já assumiu, o HGO continua a funcionar em algumas áreas com plano de contingência. Ao DN foi dito que para aliviar a unidade foram adquiridos vários computadores pelos serviços centrais do ministério e que outros foram emprestados por unidades que não tinham sido afetadas.
Do que se sabe, o ataque à unidade de Almada envolveu a entrada na Rede Informática da Saúde (RIS), à qual têm acesso todas as unidades e serviços do Serviço Nacional de Saúde, bem como o cidadão, já que é através desta que é possível uma série de atos, como marcar consultas online.
Por isso "é que é necessário acionar de imediato medidas de proteção e evitar o acesso a redes externas, porque um ato destes nunca é uma situação isolada. Se há um ataque a um hospital, há, a partir daqui, um risco enorme de outros hospitais poderem ser atacados também. A partir do momento em que os atacantes conseguem entrar numa das redes da saúde, no caso do Garcia de Orta através da RIS, tentam explorar as mesmas fragilidades dentro de outros hospitais".
As unidades estão em estado de alerta. A Associação Portuguesa dos Administradores Hospitalares (APAH) assume ao DN que há muito que a questão da cibersegurança deveria ter sido assumida como "uma prioridade" e "uma responsabilidade de todos os que trabalham no sistema", sendo que "todos estes, desde conselhos de administração a profissionais, sejam clínicos ou não, devem estar sensibilizados para a questão e saber como lidar numa situação destas", defendeu Carlos Sousa, da APAH, e especialista na área das tecnologias de informação.
"Tem de haver o mínimo de formação sobre o assunto, até porque, em caso de ataque, os colaboradores são sempre o elo mais fraco. Têm de saber o que pode constituir um e-mails suspeito e como atuar." O representante da APAH vai mesmo ao ponto de defender ser preciso mudar o paradigma, porque "ainda há quem na saúde considere que a cibersegurança é uma responsabilidade exclusiva do informático e das suas equipas, quando não o é".
A APAH defende ser urgente a definição de "uma estratégia a nível nacional e para cada organização, onde o foco no fator ator humano é fundamental". Tanto mais porque "a legislação mais recente classifica os hospitais como operadores de serviços essenciais, aos quais compete um conjunto de regras bem definidas nesta matéria, mas se perguntarmos a muitos colaboradores do SNS do que se está a falar, se calhar, não sabem".
No mundo de hoje, e sobretudo na área da saúde, em que há cada vez mais uma enorme dependência dos sistemas operativos, tanto para o acesso aos cuidados como na realização dos mesmos, porque todos os equipamentos para a realização de exames de diagnóstico, como TAC, ressonâncias, análises e outros, envolvem sistemas operativos informáticos, "a questão da cibersegurança tem de ser considerada como uma prioridade e um objetivo estratégico, porque desta visão também depende a subsistência do sistema". Carlos Sousa questiona ainda: "Como se pode falar de transformação digital, de registo clínico eletrónico, se a cibersegurança não for acautelada? Se isto não for pensado, o sistema está em risco."
A partir de 26 de abril já ninguém pode dizer não ter a noção do impacto que um ataque informático pode ter numa unidade de saúde, mas há medidas que as próprias unidades podem implementar, como cortar o acesso a e-mails pessoais na rede institucional, já que esta é uma das situações que facilita o acesso à rede, defende o especialista.
Outra medida imediata era todos os CA "terem conhecimento do que está definido num documento que é o roteiro de capacidades mínimas de cibersegurança, que foi desenvolvido pelo Centro Nacional de Cibersegurança, e colocarem-no em prática".
"Se me pergunta se é preciso mais investimento para isto, direi que será algum, porque as unidades terão de investir em software que ajude a detetar problemas. Por outro lado, terão de fazer um inventário dos equipamentos médicos e de outros considerados críticos, com maiores vulnerabilidades, para depois definirem um plano para os proteger. Se não tiverem este levantamento, não podem tomar medidas."
Carlos Sousa diz que entre 2017 e 2019 o setor da saúde já foi considerado dos que melhor se estava a preparar para o que aí vinha em termos de cibersegurança e lamenta que a dinâmica já não seja a mesma. "Tivemos um recuo em termos de cibersegurança quer no investimento, na sensibilização e nas regras de proteção."
O representante da APAH recorda que o ataque informático no dia 26 abril ao HGO não foi o primeiro a esta unidade. Aliás, este hospital foi o primeiro a sofrer um ataque deste tipo no nosso país, pelo menos de que há conhecimento público, em outubro de 2016.
Na altura ainda muito pouco se falava em ataques informáticos, sobretudo na área da saúde, mas a partir daí havia que tomar medidas. No entanto, a nível das entidades centrais, e segundo explica ao DN Carlos Sousa (na altura a liderar um departamento da área num dos hospitais da Grande Lisboa), nada foi feito.
"No meu hospital consegui aplicar um conjunto de medidas, por conta do que tinha acontecido no Garcia de Orta, mas os Serviços Partilhados do Ministério da Saúde (SPMS) só em 2017, depois do ataque ao sistema do serviço nacional de saúde do Reino Unido, que parou todos os hospitais e sistemas de outros países, é que começaram a atuar. Na altura, em Portugal o SNS esteve com os e-mails desligados durante dois dias e até se perceber a dimensão da situação".
Nesta altura, "foram criados grupos de trabalho, emanadas circulares normativas, as números 1, 2, 3 e 4, que até ficaram muito famosas dentro do SNS, em que a tutela impunha um número de regras que depois muitos hospitais nunca chegaram a concretizar", argumenta. Mas não só. O ataque no Reino Unido também demonstrou que, de facto, "os colaboradores são o elo mais fraco".
Os SPMS lançaram ações de formação para os profissionais, através de um protocolo com o Centro Nacional de Cibersegurança, e um curso sobre o tema "Cidadão Ciberseguro", para que "todos tivessem formação sobre o que fazer numa situação de ataque", mas, segundo Carlos Antunes, "a percentagem de colaboradores a fazer esta formação, que está disponível online, foi muito baixa".
"Houve um esforço muito grande por parte dos SPMS para capacitar as unidades e os profissionais com competências em cibersegurança. Foi, inclusive, estabelecido que todos os crimes desta natureza deveriam ser reportados. Fizeram-se conferências; criou-se um grupo de trabalho, o GACS - Grupo de Acompanhamento para a Cibersegurança na Saúde -, que integrava representantes de todos os organismos da saúde, desde o Infarmed aos hospitais e à DGS, mas também as forças de segurança, militares e polícia, que eram quem mais lidava com estas situações, para partilharmos experiências e saber como lidar com as situações; Portugal integrou a ENISA - Agência Europeia para a Segurança das Redes e da Informação, participando em vários eventos na área da saúde; integrou ainda o Global Digital Health Partnership, realizando um evento em território nacional; criou-se uma equipa de resposta a incidentes que funcionava nos SPMS, e elaborou-se um documento estratégico, ENESIS 2020-2022, que inclui várias medidas. Mas onde está tudo o que foi construído nestes anos? Na gaveta?", pergunta, criticando: "Desde 2020 que, com a saída do então presidente dos SPMS, Henrique Martins, tudo parou nesta área. E isto é gravíssimo."
Na opinião do representante da APAH, quem está agora ao comando dos SPM, "não se tem interessado pelo assunto e as consequências estão à vista". Por outro lado, aceita que não seja fácil a uma unidade, que já se debate com "a falta de recursos humanos para a área clínica, priorizar a cibersegurança e as equipas de informática", dizendo que as equipas estão muito deficitárias, com os técnicos que existem a dividirem-se em várias funções.
Para o bastonário dos médicos, neste momento "a cibersegurança é uma grande preocupação para administrações e profissionais", considerando que a questão, que envolve tanto a segurança na atividade assistencial como dos dados clínicos dos doentes, "deve passar a constituir uma verdadeira prioridade para o governo e para as entidades que têm responsabilidades relacionadas com a cibersegurança na saúde".
Miguel Guimarães sublinha que as unidades de saúde são um alvo apetecido precisamente pela "importância e pelo valor vital que tem a informação que nelas se guarda". "Os médicos trabalham com informação que é sigilosa. Se há a ameaça de alguém de fora poder ter acesso a esta, é claro que é motivo de grande preocupação. Não se sabe com que intuito é que essa informação pode ser usada e as consequências podem ser gravíssimas."
O bastonário admite que até agora, e como não há conhecimento de "grandes problemas relativos à cibersegurança na saúde em Portugal, a questão não tenha sido prioritária, mas tem de passar a ser. É preciso proteger duas dimensões fulcrais: a utilização nos cuidados aos doentes e a confidencialidade dos dados".
A tutela diz estar a acompanhar a situação. O DN contactou o Ministério da Saúde explicando que estava a fazer um trabalho sobre este tema e que gostaria de falar com alguém dos organismos competentes para perceber como é que estes ataques afetam a atividade das unidades, como é possível detetar ou evitar este tipo de ataque, se a questão é uma preocupação para a própria tutela e o que está a ser feito para fortalecer a segurança dos sistemas e das unidades, mas não obteve resposta a estas questões, nem a outras que surgiram no decorrer da recolha de informação. Apenas recebeu o comunicado que já tinha sido divulgado publicamente aquando do ataque ao HGO, onde era referido que: "O Ministério da Saúde, através dos seus organismos, está a acompanhar, desde o primeiro momento e em estreita articulação com as autoridades competentes, os constrangimentos registados nas redes informáticas do Hospital Garcia de Orta."
O HGO não foi o único a ser atacado, o Hospital do Litoral Alentejano também foi e, há uns meses, o grupo de exames de diagnóstico Germano de Sousa também. A todos foi solicitado resgate.