Os Serviços Partilhados do Ministério da Saúde (SPMS) apresentaram, em 2023, uma queixa-crime ao Ministério Público "contra incertos" na sequência do ataque de cibercrime de que foi alvo, requerendo a sua constituição como assistente no processo, revelou a sua presidente

A participação criminal foi apresentada em Março de 2023, após ter reportado em Janeiro desse ano, à Polícia Judiciária (PJ), ao Centro Nacional de Cibersegurança e à Comissão Nacional de Protecção de Dados, "a detecção de uma notificação clínica suspeita por envolver linguagem obscena, e que foi inicialmente identificada pela Direcção-Geral de Saúde, no âmbito do SINAVE [Sistema de Informação Nacional de Vigilância Epidemiológica]", adiantou Sandra Cavaca na Comissão parlamentar de Saúde, onde foi ouvida nesta quarta-feira.

No âmbito desta denúncia, a PJ realizou a operação "#PINKSp@m", em que desmantelou um grupo organizado cibercriminoso e deteve três pessoas por acesso ilegítimo a plataformas dos SPMS e da Segurança Social Directa.

O resultado da operação foi divulgado no passado dia 10 de Julho, em comunicado, pela PJ, cerca de um ano e meio após o processo ter sido desencadeado, disse a presidente da SPMS no Parlamento, onde foi ouvida a pedido da Iniciativa Liberal (IL).

Segundo a PJ, citada pelos deputados da IL, os detidos recorreram a credenciais de médicos, posteriormente vendidas na Internet, o que "permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opióides".

Na sua intervenção, o deputado do PSD Miguel Guimarães, ex-bastonário da Ordem dos Médicos, afirmou que "uma parte dos médicos nem sequer sabe que aconteceu esta situação" e questionou como é que "se protegem os profissionais que todos os dias utilizam esse sistema e que podem ter "processos complicados em tribunais, ou outros, por ter sido violado o seu acesso [ao sistema] e terem usado indevidamente, por exemplo, medicamentos".

Em resposta, Sandra Cavaca afirmou que, por a SPMS acreditar que os profissionais de saúde "são os embaixadores" dos seus sistemas, considerou "oportuno fazer a queixa-crime", porque permite defendê-los, constituindo-se assistente no processo, mas ainda não tem essa autorização.

Explicou que os SPMS têm colaborado com as entidades administrativas e policiais, mas não tem acesso aos autos porque o processo continua em fase de investigação e em segredo de justiça.

Auditorias internas

Ao mesmo tempo que foi feita a denúncia da situação, os SPMS iniciaram auditorias internas ao SINAVE e auditaram a actividade de utilizadores no âmbito do Portal de Requisição de Vinhetas e Receitas e do Sistema de Prescrição Electrónica Médica.

"Na sequência das situações identificadas, além da suspensão das credenciais comprometidas, os SPMS implementaram medidas mitigadoras e de melhoria da segurança, nomeadamente, a obrigatoriedade de alteração de password de acesso a todos os profissionais registados nos sistemas, a alteração do formato da password, de forma a aumentar a sua segurança", além de melhorias de segurança, em termos de configuração de infra-estrutura tecnológica.

No sistema de Prescrição Electrónica Médica foi incorporado um "duplo factor" na autenticação por credenciais.

Sandra Cavaca realçou a importância de sensibilizar os profissionais para os riscos de entrar em alguns sites, porque "podem trazer problemas gravíssimos". É um trabalho preventivo, e não punitivo, que os SPMS estão a fazer para que não voltem a acontecer estas situações, disse, ressalvando, contudo, que "não há sistemas 100% seguros".

Assegurou ainda o compromisso dos SPMS continuarem a investir em cibersegurança, tendo para esse efeito investimentos superiores a 20 milhões de euros do Plano de Recuperação e Resiliência.