O relatório da Microsoft ao ciberataque no Hospital de Ponta Delgada, Açores, aponta falhas à segurança do sistema informático daquela unidade do Serviço Regional de Saúde, como palavras-chave partilhadas e não encriptadas ou ausência de atualizações de proteção.
No documento, a que a Lusa teve acesso esta quarta-feira, os peritos informáticos referem que faltava ao sistema do Hospital Divino Espírito Santo (HDES), em Ponta Delgada, o pacote de segurança disponibilizado desde 20217 pelo sistema operativo para responder ao tipo de ataque a que a unidade de saúde foi sujeita.
“A Microsoft lançou, na altura [em 2017], patchs de segurança para essa vulnerabilidade e medidas de mitigação. Não estavam aplicadas no HDES”, lê-se no relatório da Microsoft sobre o ciberataque à unidade hospitalar da maior ilha açoriana.
Os peritos da empresa referem que o ciberataque ao HDES, com início a 16 de junho, é denominado “WannaCry”, um tipo de ciberataque difundido em 2017 após afetar várias instituições em todo o mundo, como o Serviço Nacional de Saúde Britânico.
O documento refere ainda que, no sistema do HDES, existiam várias contas de administrador “usadas em contexto não restrito”. A Microsoft lembra que as contas de administrador costumam estar limitadas a poucos utilizadores, porque são a “primeira etapa na elevação de privilégios” nos sistemas informáticos.
O relatório refere que existiam senhas “comuns” em várias contas, o que facilita o acesso de um pirata informático a vários computadores.
Esse tipo de “vulnerabilidade”, segundo o documento, pode ser “mitigada” através de um programa para a administração de palavras-chave, mas esse sistema só estava instalado “numa amostra residual dos computadores”.
O relatório alerta ainda para a falta de segurança de várias palavras-passe, uma vez que havia senhas não encriptadas [cifradas ou codificadas] em 11 computadores, relativas a 14 utilizadores. Os especialistas destacam que a utilização de palavras-passe em “texto não criptografado são arriscadas não apenas para a entidade exposta em questão, mas para toda a organização”.
Nas recomendações, a Microsoft apela à “sensibilização dos utilizadores”, avançando que “foram observadas atividades que colocam o meio ambiente em risco, especificamente o uso de torrents“, uma extensão para transferir arquivos, vulgarmente utilizada para instalar programas, filmes ou jogos. Os peritos sugerem também “reduzir o nível de privilégio para contas de serviço” e “alterar as senhas periodicamente”.
“Embora o comprometimento tenha ocorrido no domínio HDES, recomendamos que as recomendações e ativações discutidas ao longo do nosso trabalho sejam abordadas em todos os domínios da SRSA [Secretaria Regional da Saúde]”, aponta o relatório. A Microsoft diz ainda não ser possível identificar o autor do ataque, devido aos “baixos limites de retenção” das cópias de segurança e à ausência de um programa para monitorizar e detetar ataques informáticos.
O BE/Açores, que requereu na Assembleia Regional o relatório da Microsoft, considerou na quinta-feira que o Conselho de Administração do hospital de Ponta Delgada foi “irresponsável” na gestão do ataque informático, por ter revelado publicamente o ciberataque.
A 29 de novembro, a presidente do Conselho de Administração do Hospital de Ponta Delgada afirmou que a decisão de “isolar informaticamente” a unidade de saúde “foi correta e eficaz”, considerando que o ex-diretor de informática “desvalorizou” a suspeita de ataque informático.
Nesse dia, o ex-diretor de informática do Hospital de Ponta Delgada, Ricardo Cabral, rejeitou, no parlamento dos Açores, responsabilidades nos problemas informáticos ocorridos na unidade de saúde, criticando “o caminho errado” e “perda de raciocínio lógico” da administração.