Numa circular de 13 de setembro enviada para as Unidades Locais de Saúde, Hospitais EPE (Entidades Públicas e Empresariais), SPA (Sector Público Administrativo) e PPP (Parcerias Público Privadas) do Serviço Nacional de Saúde, o Ministério da Saúde avisa para a necessidade do reforço contra o cibercrime. Assumindo que são as “entidades menos protegidas” a nível de segurança informática, o Ministério da Saúde (MS) quer nos próximos 30 dias o envio de um Plano de Contingência referente a situações de “crise” com TIC’s (tecnologias de informação e comunicação).
As entidades às quais se dirige a circular terão de preparar um plano para garantir a funcionalidade dos sistemas em caso de ataque informático, em especial no funcionamento das urgências, cuidados intensivos, blocos operatórios, cirurgia de ambulatório e outros departamentos que se considerem “críticos”.
Além de requerer o plano de contingência, o Ministério da Saúde deixa também recomendações para um funcionamento “forte e robustecido contra o cibercrime”. Na lista de precauções deixadas aos serviços encontram-se a realização de auditorias externas a cada dois anos à segurança dos sistemas e a troca de equipamentos de 4 em 4 anos.
As razões apresentadas pela tutela para a um maior investimento na compra de novos equipamentos a cada quatro anos deparam-se com os “custos diretos e indiretos em toda a infraestrutura” ao manterem-se estes por períodos superiores. Atacando o conceito “buy and hold” (manter equipamentos adquiridos o mais tempo possível), o MS menciona a perda de eficiência energética ao não trocar sistemas, as “horas de inatividade não planeadas devido a avarias”, os custos de manutenção aumentarem com a longevidade e o “incremento exponencial da complexidade de gestão, administração e suporte dos sistemas”.
O Ministério ressalva na circular a importância de uniformização no “âmbito das infraestruturas e parque informático”, recomendado o uso da mesma “marca e modelo” para todos os equipamentos da infraestrutura de rede das entidades.
O Ministério da Saúde avisa também as entidades do Serviço Nacional de Saúde para fazerem “pelo menos” um simulacro para falhas de sistema, que deve ser executado todos os anos.