Os Serviços Partilhados do Ministério da Saúde (SPMS) só tiveram conhecimento do acesso indevido a dados de 100 mil utentes do SNS cerca de dois dias depois do início do incidente, reconheceu hoje o seu presidente.
Ouvido na comissão parlamentar de Saúde, a pedido da bancada da Iniciativa Liberal, Luís Goes Pinheiro confirmou que o acesso aos dados teve um primeiro momento em 19 de maio, por via das credenciais de um médico, que não terá tido qualquer participação neste caso.
Posteriormente, as consultas ilegítimas dos dados de mais de 100 mil utentes, de várias idades e localizações geográficas, passaram a ser feitas de forma automatizada, não se verificando um comportamento que indiciasse a ação humana, referiu.
“Tomamos conhecimento deste facto ao início da tarde do dia 21 de maio, na sequência de quatro pedidos de explicações por parte de utentes”, que foram notificados de acessos ao seu registo de saúde eletrónico, que não conseguiram compreender, admitiu o responsável pela entidade que gere todos os sistemas de informação e infraestruturas tecnológicas do Serviço Nacional de Saúde (SNS).
Na audição parlamentar, Luís Goes Pinheiro adiantou que, apesar de este caso ter sido bem-sucedido, os sistemas dos SPMS são alvo de uma média superior a 10 tentativas diárias de ataques, a “larguíssima maioria” sem qualquer impacto, porque são “rechaçadas numa fase inicial”.
Assegurou ainda que os dados acedidos foram apenas de natureza administrativa, não se registando o acesso às informações clínicas dos utentes.
O presidente dos SPMS salientou que o registo de saúde eletrónico tem, entre os vários sistemas de segurança, a possibilidade de avisar o utente de que os seus dados foram consultados e por quem, permitindo a esse utilizador avaliar se essa consulta faz sentido no quadro do seu relacionamento com o sistema de saúde.
Após o acesso ilegítimo e como medida de contingência, o registo de saúde eletrónico foi retirado da internet durante um período de tempo, passando apenas a estar disponível dentro da rede informática da saúde, uma medida que permaneceu em vigor até à implementação do duplo fator de autenticação que ocorreu em 01 de junho, avançou Luís Goes Pinheiro.
Segundo o presidente dos SPMS, o incidente foi reportado à Polícia Judiciária, ao Centro Nacional de Cibersegurança e à Comissão Nacional de Proteção de Dados, enquanto a comunicação aos utentes foi feita através da publicação no portal dos SPMS das informações necessárias para que pudessem verificar se os seus dados foram acedidos injustificadamente.
Realçou ainda que uma das “boas notícias” que os SPMS tiveram recentemente foi a possibilidade de executar as medidas do Plano de Recuperação e Resiliência (PRR) até ao final deste ano, o que constituiu um “balão de oxigénio” para a melhoria e desenvolvimento de novos sistemas de informação, que serão mais atualizados e seguros.
“Temos um investimento no PRR de cerca de oito milhões de euros exclusivamente para esta área da cibersegurança”, adiantou Luís Goes Pinheiro.