O setor da saúde em Portugal enfrentou um aumento significativo de incidentes relacionados com cibercrime em 2023, de acordo com o mais recente relatório do Centro Nacional de Cibersegurança (CNCS). A 5.ª edição do relatório intitulado “Cibersegurança em Portugal – Riscos e Conflitos”, divulgado este mês, revela um incremento de 106% nos casos reportados de cibercrime no setor da saúde, totalizando 107 incidentes. Este aumento está amplamente associado à prática de phishing e smishing, técnicas de fraude que envolvem o envio de mensagens enganosas para obter ganhos financeiros ou acesso a informações sensíveis.
O relatório, citado pelo Público, detalha dois ataques informáticos específicos a entidades de saúde ocorridos em janeiro e agosto de 2023. Um dos alvos foi o Serviço Regional de Saúde da Madeira, que ficou completamente privado de acesso ao seu sistema informático. A situação do setor da saúde é ainda preocupante, uma vez que figura entre os mais notificados à Comissão Nacional de Proteção de Dados (CNPD), com um total de 32 notificações, sendo a maioria provenientes de prestadores privados.
No contexto da evolução tecnológica, Portugal está a avançar com a implementação do Registo de Saúde Eletrónico (RSE), que permitirá a partilha de dados clínicos dos utentes do Serviço Nacional de Saúde com hospitais privados. Esta mudança pretende facilitar o acesso dos profissionais de saúde a informações cruciais, como resultados de exames e histórico de medicamentos, desde que haja autorização dos utentes.
O CNCS reporta que, em 2023, a confidencialidade dos dados foi o princípio mais comprometido, com a falha humana a ser a causa predominante (23%) das violações. As notificações de violações de dados pessoais à CNPD aumentaram em 11%, passando de 367 em 2022 para 409 em 2023. O CNCS considera os dados pessoais como “um dos ativos mais relevantes no ciberespaço”, refletindo a crescente importância da proteção das informações pessoais.
Evolução do Cibercrime e Setores Mais Afetados
O relatório indica um aumento de 249% nos incidentes de cibercrime associados a prestadores de serviços da Internet, com destaque para um crescimento superior a 10.000% nos casos relacionados com serviços de computação em nuvem. Em termos de tipos de ataques, o phishing e smishing lideram as estatísticas, representando 35% dos casos, seguidos por tentativas de login (19%) e engenharia social (10%), com o caso conhecido como “Olá, pai… Olá, mãe” a ilustrar bem a manipulação emocional.
Ameaças Emergentes: Inteligência Artificial
O relatório do CNCS também destaca a inteligência artificial (IA) como uma ameaça emergente significativa para a cibersegurança. A proliferação de plataformas de IA generativa, como o ChatGPT, apresenta novos desafios. O CNCS alerta que a acessibilidade a estas ferramentas permite a indivíduos com pouca experiência técnica, mas motivados, a praticarem crimes. Grupos criminosos podem usar a IA para massificar ações de engenharia social e atores estatais e hacktivistas podem disseminar desinformação.
O CNCS traça três cenários de ameaça para 2023 e além. O primeiro é o impacto das guerras na Ucrânia e no Médio Oriente, que estimula a polarização político-ideológica e a beligerância online, através de ciberespionagem e cibersabotagem. O segundo cenário é a cibercriminalidade internacional, altamente organizada e focada em ganhos económicos, com alvos como cidadãos, PME, administração pública e setores críticos como a banca e a saúde.
O aumento de ataques cibernéticos no setor da saúde e o advento de novas tecnologias ameaçadoras como a IA sublinham a necessidade urgente de reforçar as medidas de segurança cibernética em Portugal, não só na saúde como em todos os setores.
