O alerta sobre um possível ciberataque à segurança social foi recebido a 18 de novembro, explicando-se agora, passados dois meses, que a notificação à Comissão Nacional de Proteção de Dados deveu-se à exposição do nome dos funcionários nesse ataque. Foram comprometidas 14 mil contas.
Paula Salgado, presidente do Conselho Diretivo do Instituto de Informática, foi ouvida esta quarta-feira no Parlamento, no âmbito de uma audição para apurar mais informações sobre o ataque informático à Segurança Social. Requerida pelo PCP, a audição teve como intuito obter esclarecimentos sobre este incidente de segurança, tornado público a 21 de novembro.
A presidente de Conselho Direito do Instituto de Informática especificou que foi recebido um alerta a 18 de novembro, por volta “das cinco e meia da manhã”, sobre uma possível ameaça. A data concreta de quando aconteceu a intrusão nos sistemas continuava a ser uma das perguntas por responder neste incidente com a Segurança Social, que concentra os dados de todos os portugueses.
Paula Salgado explicou que foram rapidamente ativados “mecanismos fundamentais para detetar e mitigar o ataque”, especificando que os trabalhos foram desenvolvidos ao “longo do fim de semana”, em colaboração com entidades competentes, incluindo a Polícia Judiciária. “Com uma estratégia diferenciada foi assim possível monitorizar e responder de forma muito célere” ao incidente, garantiu Paula Salgado, “mantendo toda a operação do ministério sem comprometimento de serviço”.
Segurança Social alvo de ataque informático. PJ está a avaliar a dimensão dos danos
Durante a audição, a presidente do Conselho Diretivo do Instituto de Informática foi sucessivamente questionada sobre as medidas de segurança que o Instituto tem em prática e se houve algum tipo de reforço para tentar prevenir mais incidentes no futuro. Paula Salgado garantiu que o instituto é um “dos poucos organismos da Administração Pública com certificação pela criticidade dos dados que gerimos.” Esta responsável garante que “há auditorias periódicas feitas anualmente”, além de serem realizados “testes internos mensais a uma série de ativos na temática da segurança”. “São as medidas que são implementadas pelas empresas na generalidade”, admitindo, ainda assim, que a segurança é um “tema que está sempre a evoluir.” “Os hackers de hoje em dia não são os do passado, são profissionalizados. Desde a Covid e a guerra na Ucrânia está mais visível o grau de profissionalização dos hackers.”
Na altura do incidente, foi explicado pela Segurança Social que o ciberataque “resultou numa intrusão intencional e maliciosa na sua rede informática”. O caso foi comunicado à Polícia Judiciária, ao Centro Nacional de Cibersegurança e também a especialistas em cibersegurança, explicou a Segurança Social na altura. E, alguns dias depois, a Comissão Nacional de Proteção de Dados (CNPD) também disse que foi notificada.
Os deputados quiseram saber se, uma vez que tem sido dito que não houve acesso a dados dos cidadãos, o que motivou esta notificação. Paula Salgado especificou que o instituto “optou por comunicar à CNPD esta intrusão uma vez que foram expostos dados dos trabalhadores da Segurança Social, nomeadamente o nome. E, como sabem, o nome é um dado pessoal.”
“Apesar de o incidente ter sido classificado de baixo risco na análise do encarregado de proteção de dados e na nossa análise, tendo havido exposição do nome e sendo isso um dado pessoal, optámos por comunicar à CNPD.”
Nuno Carvalho, do PSD, quis saber especificamente qual a dimensão destes dados comprometidos dos funcionários. “Só isso é que permite medir o dano.” À CNPD chegou a informação sobre “14 mil contas” comprometidas, onde o nome foi acedido. “É a totalidade”, disse Paula Salgado. Mas “o nome não é nada”, acrescentou, “o código [de acesso] do trabalhador” é que poderia gerar maiores consequências, defendeu.
Foi nesse momento que teve início uma divergência de ideias entre os membros da Comissão de Trabalho, Segurança Social e Inclusão parlamentar, já perto do final dos trabalhos. “O nome está acessível na lista telefónica”, ouviu-se na sala, em resposta a Nuno Carvalho, que garantiu que o PSD ainda pretende obter mais esclarecimentos sobre as consequências deste ataque informático.
Isabel Meireles, a presidente desta comissão, pediu a Paula Salgado que remetesse por escrito esclarecimentos mais específicos sobre os dados dos funcionários comprometidos neste ataque.
O Instituto Informático da Segurança Social diz que continua a reforçar as questões de segurança e destaca que o Plano de Recuperação e Resiliência (PRR) também servirá para alavancar mais investimentos na área da digitalização dos serviços da Segurança Social.
