Pedro Ribeiro, especialista em cibersegurança e vencedor da maior competição de hackers do mundo em 2021, admite que um ciberataque ao SNS seria apetecível e aponta vulnerabilidades dos sistemas de saúde públicos
"Todos os dados que o Serviço Nacional de Saúde (SNS) tem, toda a história clínica, tudo poderia ser obtido por hackers". A afirmação é de Pedro Ribeiro, especialista em segurança informática especializado em engenharia reversa, ou seja, a análise de um objeto - neste caso, hardware ou software informático - para perceber o seu funcionamento e, eventualmente, detetar falhas e vulnerabilidades.
A trabalhar atualmente na Tailândia, Pedro Ribeiro é o fundador e diretor de pesquisa da Agile Information Security, uma empresa de cibersegurança que opera a partir de Londres.
Questionado pela CNN Portugal sobre as consequências de um eventual ataque de pirataria informática ao SNS, o especialista respondeu por email: admitindo que o conhecimento que tem da realidade portuguesa é limitado, o vencedor da maior competição de hacking do mundo em 2021, a pwn2own, não deixa de acrescentar que a Saúde é uma área com pouco investimento em cibersegurança, sobretudo no que diz respeito aos serviços que fazem parte da tutela do Estado.
"Conheço vários médicos e enfermeiros e todos falam em coisas como usar passwords muito simples nos sistemas com dados dos pacientes, partilha de passwords, etc., que demonstram que existem problemas de cibersegurança básicos. E, na minha experiência, se há falhas de cibersegurança básicas, então certamente existem problemas mais profundos", refere.
"Noutros países, como Inglaterra, há muito mais investimento. É natural, visto que é um país mais rico", acrescenta, recordando que ainda no ano passado o serviço nacional de saúde da Irlanda sofreu um ataque informático com consequências graves, que comprometeu mesmo a prestação de cuidados de saúde.
"Os sistemas de saúde são alvos extremamente apetecíveis, por duas razões principais", explica Pedro Ribeiro. "Primeiro, sendo sistemas públicos, têm naturalmente menos investimento em segurança do que um sistema privado", reflete. "Segundo, pela quantidade de informação de que dispõem", acrescenta.
Roubo de identidade ou extorsão
O último relatório do Centro Nacional de Cibersegurança revela que os ciberataques na área da saúde quase triplicaram em Portugal, de 11 em 2019 para 29 em 2020. E já esta semana, depois do ataque à Vodafone, os laboratórios Germano de Sousa foram alvo de um ataque informático, que se soma, por exemplo, ao relatado em 2018 pelo grupo José de Mello Saúde, proprietário dos hospitais CUF, ou ao registado em 2019 pela Fundação Champalimaud, que teve durante 44 horas os sistemas informáticos limitados devido a um vírus com pedido de resgate.
No setor público, recorde-se o ataque ao Hospital Garcia de Orta em 2016, que atingiu o sistema de arquivo de exames médicos. "Como são estruturas organizacionais já antigas, tendem a usar software e sistemas antiquados, logos menos seguros", aponta Pedro Ribeiro, que regressa ao episódio do sistema de saúde irlandês para lembrar que um ataque desta magnitude pode ter implicações sérias. "Certos serviços pararam completamente ou passaram a andar a passo de caracol", sublinha.
Sobre os dados ou serviços que poderiam ser comprometidos, Pedro Ribeiro é contundente: "Certamente, todos os dados que o SNS tem". Desde informação clínica, moradas, números de utente ou contribuinte. "Como podem ser usados varia", admite o especialista em cibersegurança, mas um pirata informático poderia facilmente roubar a identidade de alguém ou optar pela extorsão.
"No caso do ataque irlandês, que foi um ataque de "ransomware", foi extorsão. Mas também pode ser um ataque destrutivo, como aconteceu agora à Vodafone, por pura diversão, e que teria certamente consequências gravíssimas", aponta.
