Várias unidades de saúde em todo o país continuam a receber emails idênticos ao que deu origem ao ataque informático no hospital Garcia de Orta em Almada há quase duas semanas e a trabalhar com limitações para prevenir novos ataques. Uma reportagem do Diário de Notícias dá conta que várias unidades tiveram de desligar sistemas durante horas ou dias para minimizar a possibilidade de ataques e há queixas de falta de investimento e de uma política centralizada para a cibersegurança na saúde.

O ataque ao Garcia de Orta, que mantém o Hospital a trabalhar com limitações, terá sido despoletado por um link numa mensagem de correio eletrónico, supostamente enviada pelo Serviço de Utilização Comum dos Hospitais. Alguém seguiu o link e o ataque consumou-se, capturando dados dos sistemas informáticos da entidade e solicitando um pedido de resgate para devolver o acesso. O jornal falou com várias unidades de saúde que continuam a receber emails com as mesmas características.

Tendo em conta a ligação em rede das unidades de saúde através da Rede Informática da Saúde (RIS) que cobre todas as unidades e serviços do Serviço Nacional de Saúde e também suporta a marcação de consultas pelos utentes e outros atos médicos, as medidas de mitigação eram indispensáveis. Por outro lado, muitas unidades têm optado por desligar serviços ligados ao exterior, que podem ser uma via privilegiada para os atacantes tentarem explorar as mesmas vulnerabilidades que encontraram no Garcia de Orta. Foram bloqueados serviços de correio eletrónico, VPNs, ou redes Wi-Fi usadas pelos doentes. Algumas destas medidas mantêm-se em vigor, com as limitações que daí decorrem.

"Na nossa unidade, ainda temos equipas dos serviços administrativos que, rotativamente, estão em teletrabalho, mas como não podem aceder à rede VPN não conseguem trabalhar. E não sabemos quando é que esta rede poderá ser ligada novamente", garantiu fonte de uma unidade hospital.ar da grande Lisboa ao DN.

Na semana passada cerca de 10 profissionais de uma unidade de saúde em Lisboa receberam um email semelhante ao isco do ataque ao Garcia de Orta e logo a seguir a este ataque 80 profissionais de uma unidade de saúde no Norte também.

A Associação Portuguesa dos Administradores Hospitalares (APAH) pede uma estratégia nacional de cibersegurança para a saúde e formação adequada dos dois profissionais do sector, para que saibam identificar uma tentativa de ataque e como agir. A APAH admite que ainda subsiste na saúde a convicção de que a “cibersegurança é uma responsabilidade exclusiva do informático e das suas equipas, quando não o é".

O organismo recorda um conjunto de medidas e decisões nesta área tomada ao longo dos últimos anos que nunca chegaram a ter impacto no terreno, como o roteiro de capacidades mínimas de cibersegurança, desenvolvido pelo Centro Nacional de Cibersegurança, admitindo que nem todos os conselhos de administração dos hospitais o conhecem e menos ainda o puseram em prática.

"Se me pergunta se é preciso mais investimento para isto, direi que será algum, porque as unidades terão de investir em software que ajude a detetar problemas. Por outro lado, terão de fazer um inventário dos equipamentos médicos e de outros considerados críticos, com maiores vulnerabilidades, para depois definirem um plano para os proteger. Se não tiverem este levantamento, não podem tomar medidas", sublinhou Carlos Sousa da APAH da DN.

Para a associação, entre 2017 e 2019 Portugal fez avanços importantes na estratégia de cibersegurança para o sector da saúde, mas o tema passou para segundo plano depois da mudança de liderança nos Serviços Partilhados da Saúde, em 2020, quando Henrique Martins deixou o cargo.

A falta de recursos é uma das explicações encontradas pelos responsáveis da APAH para a falta de estratégia e investimento em cibersegurança na área da saúde, numa altura em que o registo clínico eletrónico se tornou a regra e a maioria dos equipamentos num hospital, incluindo os que se usam para exames, também têm conectividade, mas não é a única.

Na mesma semana em que o Garcia de Orta foi atacado também o Hospital do Litoral Alentejano foi alvo de uma tentativa de ataque, alegadamente, sem consequências.