Relatório aponta falhas à segurança informática do Hospital de Ponta Delgada

No documento, a que a Lusa teve acesso, os peritos informáticos referem que faltava ao sistema do Hospital Divino Espírito Santo (HDES), em Ponta Delgada, o pacote de segurança disponibilizado desde 2017 pelo sistema operativo para responder ao tipo de ataque a que a unidade de saúde foi sujeita. “A Microsoft lançou, na altura [em 2017], ‘patchs’ de segurança para essa vulnerabilidade e medidas de mitigação. Não estavam aplicadas no HDES”, lê-se no relatório da Microsoft sobre o ciberataque à unidade hospitalar da maior ilha açoriana.Os peritos da empresa referem que o ciberataque ao HDES, com início a 16 de junho, é denominado ‘WannaCry’, um tipo de ciberataque difundido em 2017 após afetar várias instituições em todo o mundo, como o Serviço Nacional de Saúde Britânico.O documento refere ainda que, no sistema do HDES, existiam várias contas de administrador “usadas em contexto não restrito”.A Microsoft lembra que as contas de administrador costumam estar limitadas a poucos utilizadores, porque são a “primeira etapa na elevação de privilégios” nos sistemas informáticos.O relatório refere que existiam senhas “comuns” em várias contas, o que facilita o acesso de um pirata informático a vários computadores.Esse tipo de “vulnerabilidade”, segundo o documento, pode ser “mitigada” através de um programa para a administração de palavras-chave, mas esse sistema só estava instalado “numa amostra residual dos computadores”.O relatório alerta ainda para a falta de segurança de várias palavras-passe, uma vez que havia senhas não encriptadas [cifradas ou codificadas] em 11 computadores, relativas a 14 utilizadores.Os especialistas destacam que a utilização de palavras-passe em "texto não criptografado são arriscadas não apenas para a entidade exposta em questão, mas para toda a organização”.Nas recomendações, a Microsoft apela à “sensibilização dos utilizadores”, avançando que “foram observadas atividades que colocam o meio ambiente em risco, especificamente o uso de torrents”, uma extensão para transferir arquivos, vulgarmente utilizada para instalar programas, filmes ou jogos.Os peritos sugerem também “reduzir o nível de privilégio para contas de serviço” e “alterar as senhas periodicamente”.“Embora o comprometimento tenha ocorrido no domínio HDES, recomendamos que as recomendações e ativações discutidas ao longo do nosso trabalho sejam abordadas em todos os domínios da SRSA [Secretaria Regional da Saúde]”, aponta o relatório.A Microsoft diz ainda não ser possível identificar o autor do ataque, devido aos “baixos limites de retenção” das cópias de segurança e à ausência de um programa para monitorizar e detetar ataques informáticos.O BE/Açores, que requereu na Assembleia Regional o relatório da Microsoft, considerou na quinta-feira que o Conselho de Administração do hospital de Ponta Delgada foi “irresponsável” na gestão do ataque informático, por ter revelado publicamente o ciberataque.A 29 de novembro, a presidente do Conselho de Administração do Hospital de Ponta Delgada afirmou que a decisão de “isolar informaticamente” a unidade de saúde “foi correta e eficaz”, considerando que o ex-diretor de informática “desvalorizou” a suspeita de ataque informático.Nesse dia, o ex-diretor de informática do Hospital de Ponta Delgada, Ricardo Cabral, rejeitou, no parlamento dos Açores, responsabilidades nos problemas informáticos ocorridos na unidade de saúde, criticando "o caminho errado" e "perda de raciocínio lógico" da administração.