Notícia do DN sobre ataques a hospitais

No passado dia 2 de Março, o DN publicou uma notícia sobre a existência de ataques a hospitais nacionais. Esta notícia gerou algum alarme porque a ênfase foi infelizmente colocada naquilo que vende jornais (os ataques) e não naquilo que efectivamente interessa (as formas de evitar os ataques). Este post serve como complemento da notícia e como resposta a comentários em vários fóruns.

A notícia do DN baseou-se num debate sobre ciber-crime que decorreu na passada quinta-feira, dia 1 de Março, na Faculdade de Ciências da Universidade de Lisboa (FCUL). Neste debate estavam presentes professores do Mestrado em Segurança Informática da FCUL, um adjunto do Ministro da Administração Interna, um representante da Symantec (patrocinador do evento) e eu próprio em representação da Maxdata. Ou seja, a notícia do DN não foi consequência de qualquer press release da Maxdata ou algo do género.

Um dos assuntos que lancei para o debate foi a segurança informática da área da saúde (genericamente, não apenas em Portugal), e apresentei algumas estatísticas sobre o que aconteceu nos EUA nos últimos anos. Referi também que nos EUA já ocorreram intrusões em unidades de saúde. Esta informação é pública uma vez que o Ministério da Saúde dos EUA (Department of Health and Human Services) publica no seu sítio web incidentes de segurança que ocorrem nas suas unidades de saúde e que afectem mais de 500 pessoas. As unidades de saúde são obrigadas por lei a enviar esta informação.

Seguiram-se várias perguntas sobre a situação portuguesa e aí o que foi referido (não só por mim) é que estas intrusões podem muito bem acontecer em Portugal, porque as vulnerabilidades existentes não são inferiores às das unidades de saúde dos EUA. E também porque em Portugal não existe legislação adequada que obrigue as unidades de saúde e os seus parceiros/fornecedores a adoptarem as melhores práticas em termos de segurança informática. Referiu-se ainda que as unidades de saúde deveriam ser mais rigorosas na selecção dos seus parceiros e que deveriam definir nos contratos penalidades para o caso de ocorrerem incidentes de segurança.

Relativamente à existência de ataques concretos contra unidades de saúde portuguesas, naturalmente que já existiram, assim como ataques contra organizações de outras áreas, como temos vindo a ouvir crescentemente nos últimos tempos. O que nos deve preocupar não é o facto de já terem existido ou não ataques, mas sim em melhorarmos ao máximo as defesas para que não ocorram incidentes graves no futuro.

Convido todas as unidades de saúde a fazer uma reflexão interna e a melhorar o que pode ser melhorado. Ajudaremos no que for possível. A Maxdata será em breve a primeira empresa portuguesa da área da saúde certificada segundo a norma internacional ISO 20.000, o que inclui ter um processo de gestão da segurança da informação alinhado com a ISO 27.001. Neste contexto, implementámos políticas internas que tiveram já efeitos positivos em várias unidades de saúde, tais como o cumprimento da Lei de Protecção de Dados Pessoais.

Por último, saliento que os problemas de segurança em qualquer organização não se restringem apenas à esfera do byte. Claro que existem outras dimensões, mas isso não invalida que se discuta num dado momento uma delas em particular. Especialmente num debate sobre ciber-crime.