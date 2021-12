O relatório da Microsoft ao ciberataque no Hospital de Ponta Delgada, Açores, aponta falhas à segurança do sistema informático daquela unidade do Serviço Regional de Saúde, como palavras-chave partilhadas e não encriptadas ou ausência de actualizações de protecção.

No documento, a que a Lusa teve acesso esta quarta-feira, os peritos informáticos referem que faltava ao sistema do Hospital Divino Espírito Santo (HDES), em Ponta Delgada, o pacote de segurança disponibilizado desde 2017 pelo sistema operativo para responder ao tipo de ataque a que a unidade de saúde foi sujeita.

“A Microsoft lançou, na altura [em 2017], patchs de segurança para essa vulnerabilidade e medidas de mitigação. Não estavam aplicadas no HDES”, lê-se no relatório da Microsoft sobre o ciberataque à unidade hospitalar da maior ilha açoriana.

Os peritos da empresa referem que o ciberataque ao HDES, com início a 16 de Junho, é denominado WannaCry, um tipo de ciberataque difundido em 2017 após afectar várias instituições em todo o mundo, como o Serviço Nacional de Saúde Britânico. O documento refere ainda que, no sistema do HDES, existiam várias contas de administrador “usadas em contexto não restrito”. A Microsoft lembra que as contas de administrador costumam estar limitadas a poucos utilizadores, porque são a “primeira etapa na elevação de privilégios” nos sistemas informáticos.

Senhas comuns e falta de segurança

O relatório refere que existiam senhas “comuns” em várias contas, o que facilita o acesso de um pirata informático a vários computadores. Esse tipo de “vulnerabilidade”, segundo o documento, pode ser “mitigada” através de um programa para a administração de palavras-chave, mas esse sistema só estava instalado “numa amostra residual dos computadores”.

O relatório alerta ainda para a falta de segurança de várias palavras-passe, uma vez que havia senhas não encriptadas [cifradas ou codificadas] em 11 computadores, relativas a 14 utilizadores. Os especialistas destacam que a utilização de palavras-passe em “texto não criptografado são arriscadas não apenas para a entidade exposta em questão, mas para toda a organização”.

Nas recomendações, a Microsoft apela à “sensibilização dos utilizadores”, avançando que “foram observadas actividades que colocam o meio ambiente em risco, especificamente o uso de torrents”, uma extensão para transferir arquivos, vulgarmente utilizada para instalar programas, filmes ou jogos. Os peritos sugerem também “reduzir o nível de privilégio para contas de serviço” e “alterar as senhas periodicamente”.

“Embora o comprometimento tenha ocorrido no domínio HDES, recomendamos que as recomendações e activações discutidas ao longo do nosso trabalho sejam abordadas em todos os domínios da SRSA [Secretaria Regional da Saúde]”, aponta o relatório.

A Microsoft diz ainda não ser possível identificar o autor do ataque, devido aos “baixos limites de retenção” das cópias de segurança e à ausência de um programa para monitorizar e detectar ataques informáticos.

BE quer conhecer relatório da Microsoft

O BE dos Açores, que requereu na Assembleia Regional o relatório da Microsoft, considerou na quinta-feira que o Conselho de Administração do hospital de Ponta Delgada foi “irresponsável” na gestão do ataque informático, por ter revelado publicamente o ciberataque.

A 29 de Novembro, a presidente do Conselho de Administração do Hospital de Ponta Delgada afirmou que a decisão de “isolar informaticamente” a unidade de saúde “foi correcta e eficaz”, considerando que o ex-director de informática “desvalorizou” a suspeita de ataque informático. Nesse dia, o ex-director de informática do Hospital de Ponta Delgada, Ricardo Cabral, rejeitou, no parlamento dos Açores, responsabilidades nos problemas informáticos ocorridos na unidade de saúde, criticando “o caminho errado” e “perda de raciocínio lógico” da administração.