Acesso indevido a dados do SNS afetou mais de 100 mil utentes, PJ acredita que foi usada IA

A Polícia Judiciária (PJ) revelou, na segunda-feira em conferência de imprensa, que o acesso indevido a dados de utentes do SNS através de credenciais comprometidas de um médico atingiu, pelo menos, mais de 100.000 pessoas, comprometendo os dados pessoais de crianças e adultos, e admitiu que pode ter sido usada inteligência artificial.

PUBLICIDADE

PUBLICIDADE

O diretor da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica (UNC3T) da PJ, José Ribeiro, não quis avançar um número em concreto, mas garantiu que a intrusão afetou "mais de uma centena de milhar" de utentes do SNS.

Segundo o responsável, o acesso ilegítimo a bases de dados dos utentes, feita com recurso às credenciais de um médico na semana passada, foi realizada "num espaço de tempo muito curto, e provavelmente teve intervenção de agentes de Inteligência Artificial". Os mais de 100 mil acessos foram feitos em menos de uma semana, adiantou José Ribeiro, sublinhando que, no passado, este volume de acessos demoraria muito mais tempo a concretizar.

Daí que admita que se tenha recorrido a Inteligência Artificial, o que para a investigação "vai tornar o trabalho muito mais complexo".

Por agora, a investigação está na fase de recolha de dados e informação, mas não há ainda suspeitos identificados nem qualquer cenário completamente posto de parte. Contudo, José Ribeiro afirmou que "dificilmente poderemos dizer que o médico [a quem pertencem as credenciais comprometidas] foi o autor" do ataque.

O diretor da unidade de cibercrime da PJ adiantou também que o acesso indevido a dados pessoais afetou utentes de todas as regiões do país, inclusive das ilhas.

Neste momento, a PJ coloca como cenários possíveis que o roubo sirva "objetivos maliciosos", que José Ribeiro não quis especificar, ou "objetivos comerciais", de venda de dados para fins publicitários, por exemplo.

Ainda por esclarecer está também se para além de dados pessoais foi acedida e roubada informação clínica dos utentes.

Segundo informação que a PJ obteve junto dos serviços do Ministério da Saúde, as credenciais que permitiram o acesso indevido já foram desativadas, a exfiltração de dados já foi estancada, foram recolhidas máquinas para análise e estão em curso medidas adicionais de reforço de segurança.

A responsabilidade da plataforma de dados é dos Serviços Partilhados do Ministério da Saúde, mas José Ribeiro apelou, no entanto, a que os médicos alterem as suas credenciais de acesso como medida de segurança e recomenda que os utentes também alterem palavras-passe.

José Ribeiro também explicou que as vítimas ter-se-ão apercebido do acesso indevido às suas fichas de utente sobretudo por notificações ativadas no portal do SNS, através da chave móvel digital.

O diretor da UNC3T confirmou ainda que a PJ continua a receber queixas de utentes afetados por este roubo de dados.

A PJ abriu uma investigação ao caso do acesso indevido a dados de utentes do SNS, entre os quais crianças, na sequência de suspeitas de utilização por terceiros das credenciais de um médico que trabalha no Centro de Saúde de Monção, integrado na Unidade Local de Saúde do Alto Minho.

A ULS do Alto Minho esclareceu na semana passada que os acessos em causa terão resultado da utilização das credenciais de um médico por terceiros, afastando a hipótese de terem sido realizados pelo próprio profissional.

O caso começou a ganhar dimensão nas redes sociais e grupos de WhatsApp, depois de vários pais relatarem ter recebido notificações, por SMS ou através do histórico de acessos do SNS24, a indicar que as fichas dos filhos tinham sido consultadas por um médico associado à ULS do Alto Minho, apesar de não existir qualquer relação clínica com os utentes.

Por estarem em causa registos de menores, o que aumentou a preocupação dos pais e levantou dúvidas sobre o motivo do acesso aos dados, foram apresentadas queixas junto de várias entidades de saúde.