PJ revela que acesso indevido a dados do SNS atinge mais de 100.000 vítimas de todo o pais

A Polícia Judiciária adiantou esta segunda-feira, 25 de maio, que o acesso indevido a dados de utentes do SNS através de credenciais comprometidas de um médico fez, pelo menos, mais de 100.000 vítimas e admitiu que pode ter sido usada inteligência artificial.

José Ribeiro, diretor da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica (UNC3T), explicou em conferência de imprensa na sede da Polícia Judiciária (PJ) que o ataque informático que permitiu recolher “um grande volume” de informação decorreu no espaço de dias, permitindo extrair informação que “há poucos meses levaria três meses” a obter.

Daí que admita, e receie, que se tenha recorrido a inteligência artificial, o que para a investigação “vai tornar o trabalho muito mais complexo”.

Neste momento, a investigação encontra-se na fase de recolha de dados e informação, estando a ser seguidas pistas, mas não havendo ainda suspeitos identificados nem qualquer cenário completamente posto de parte.

No entanto, José Ribeiro afirmou que “dificilmente poderemos dizer que o médico [a quem pertencem as credenciais comprometidas] foi o autor” do ataque.

O diretor da unidade de cibercrime da PJ disse também que as mais de 100.000 vítimas de acesso indevido a dados pessoais estão espalhadas por todo o território nacional, incluindo ilhas, e afirmou que as indicações iniciais de que o roubo de dados incidia de forma expressiva sobre informação de crianças e menores foram feitas “de forma precipitada”.

Os utentes do Serviço Nacional de Saúde (SNS) afetados pela situação não podem fazer nada para garantir mais segurança dos seus dados, uma vez que a responsabilidade da plataforma de dados é dos Serviços Partilhados do Ministério da Saúde.

Segundo informação que a PJ obteve junto dos serviços do Ministério da Saúde, as credenciais que permitiram o acesso indevido já foram desativadas, a exfiltração de dados já foi estancada, foram recolhidas máquinas para análise e estão em curso medidas adicionais de reforço de segurança.

José Ribeiro apelou, no entanto, a que os médicos alterem as suas credenciais de acesso como medida de segurança.

As vítimas ter-se-ão apercebido do acesso indevido às suas fichas de utente sobretudo por notificações ativadas no portal do SNS, através da chave móvel digital, explicou José Ribeiro.

Sobre os objetivos do ataque, José Ribeiro disse que “quem e para quê” são as perguntas que todos fazem, sobretudo as vítimas, e às quais a investigação procura agora dar resposta.

Ainda sem saber quem está por trás do roubo de dados, a PJ coloca como cenários possíveis que o roubo sirva “objetivos maliciosos”, que José Ribeiro não quis especificar, ou “objetivos comerciais”, de venda de dados para fins publicitários, por exemplo, sublinhando que os dados pessoais “são de grande riqueza”.

Sobre a possibilidade de o ataque ter partido de um país terceiro ou ter objetivos de espionagem, José Ribeiro disse que “neste momento, tudo é possível”.

Ainda por esclarecer está também se para além de dados pessoais foi acedida e roubada informação clínica dos utentes.

O diretor da UNC3T referiu também que a PJ continua a receber queixas de utentes afetados por este roubo de dados e referiu que estas já não são necessárias à investigação, uma vez que não trazem dados novos.

A PJ confirmou na sexta-feira à Lusa que abriu um inquérito ao caso do acesso indevido a registos de utentes do SNS, entre os quais crianças, na sequência de suspeitas de utilização por terceiros das credenciais de um médico na ULS do Alto Minho.

A ULS do Alto Minho esclareceu na semana passada que os acessos em causa terão resultado da utilização das credenciais de um médico por terceiros, afastando a hipótese de terem sido realizados pelo próprio profissional.

“O compromisso das credenciais do médico terá resultado no acesso indevido a registos administrativos, não clínicos, de diversos utentes, entre os quais crianças”, segundo a ULS do Alto Minho.

A Unidade Local de Saúde do Alto Minho esclarece, ainda, que informou as entidades competentes para a apreciação da ocorrência de possíveis atos ilícitos.

O caso surgiu após denúncias e relatos de utentes nas redes sociais sobre notificações de acesso aos seus processos através do SNS 24, o que levou à apresentação de queixas junto de várias entidades de saúde.