Os Serviços Partilhados do Ministério da Saúde (SPMS) apresentaram, em 2023, uma queixa-crime ao Ministério Público “contra incertos” na sequência do ataque de cibercrime que foi alvo, requerendo a sua constituição como assistente no processo, revelou a sua presidente.
A participação criminal foi apresentada em março de 2023, após ter reportado em janeiro desse ano à Polícia Judiciária (PJ), ao Centro Nacional de Cibersegurança e à Comissão Nacional de Proteção de Dados, “a deteção de uma notificação clínica suspeita por envolver linguagem obscena, e que foi inicialmente identificada pela Direção-Geral de Saúde, no âmbito do SINAVE [Sistema de Informação Nacional de Vigilância Epidemiológica]”, adiantou Sandra Cavaca na Comissão parlamentar de Saúde, onde esta quarta-feira foi ouvida.
No âmbito desta denúncia, a PJ realizou a operação “#PINKSp@m”, em que desmantelou um grupo organizado cibercriminoso e deteve três pessoas por acesso ilegítimo a plataformas dos SPMS e da Segurança Social Direta.
O resultado da operação foi divulgado no passado dia 10 de julho, em comunicado, pela PJ, cerca de um ano e meio após o processo ter sido desencadeado, disse a presidente da SPMS no parlamento, onde foi ouvida a pedido da Iniciativa Liberal (IL).
Segundo a PJ, citada pelos deputados da IL, os detidos recorreram a credenciais de médicos, posteriormente vendidas na internet, o que “permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opioides”.
Na sua intervenção, o deputado do PSD Miguel Guimarães, ex-bastonário da Ordem dos Médicos, afirmou que “uma parte dos médicos nem sequer sabe que aconteceu esta situação” e questionou como é que “se protegem os profissionais que todos os dias utilizam esse sistema e que podem ter “processos complicados em tribunais, ou outros, por ter sido violado o seu acesso [ao sistema] e terem usado indevidamente, por exemplo, medicamentos”.
Em resposta, Sandra Cavaca afirmou que, por a SPMS considerar que os profissionais de saúde “são os embaixadores” dos seus sistemas, considerou “oportuno fazer a queixa-crime”, porque permite defendê-los, constituindo-se assistente no processo, mas ainda não tem essa autorização.
Explicou que os SPMS têm colaborado com as entidades administrativas e policiais, mas não tem acesso aos autos porque o processo continua em fase investigação e em segredo de justiça.
Ao mesmo tempo que foi feita a denuncia da situação, os SPMS iniciaram auditorias internas ao SINAVE e auditaram a atividade de utilizadores no âmbito do Portal de Requisição de Vinhetas e Receitas e do Sistema de Prescrição Eletrónica Médica.
“Na sequência das situações identificadas, além da suspensão das credenciais comprometidas, os SPMS implementaram medidas mitigadoras e de melhoria da segurança, nomeadamente, a obrigatoriedade de alteração de ‘password’ de acesso a todos os profissionais registados nos sistemas, a alteração do formato da ‘password’, de forma a aumentar a sua segurança”, além de melhorias de segurança, em termos de configuração de infraestrutura tecnológica.
No sistema de Prescrição Eletrónica Médica foi incorporado um “duplo fator” na autenticação por credenciais.
Sara Cavaca realçou a importância de sensibilizar os profissionais para os riscos de entrar em alguns ‘sites’ porque “podem trazer problemas gravíssimos”.
É um trabalho preventivo, e não punitivo, que os SPMS estão a fazer para que não voltem a acontecer estas situações, disse, ressalvando, contudo, que “não há sistemas 100% seguros”.
Assegurou ainda o compromisso dos SPMS continuarem a investir em cibersegurança, tendo para esse efeito investimentos superiores a 20 milhões de euros do Plano de Recuperação e Resiliência.