Duas semanas após a divulgação do acesso indevido a dados de utentes do Serviço Nacional de Saúde (SNS), a investigação entra agora na fase de análise forense. Depois de termos noticiado o ataque inicial, que comprometeu o Portal SNS 24 a partir das credenciais de um médico, importa fazer o ponto de situação: o que mudou, o que foi confirmado e que novos contornos o caso assumiu.
Ponto de situação: a investigação forense em curso
O Centro Nacional de Cibersegurança (CNCS) confirmou ter sido notificado do incidente a 21 de maio. Desde então, em conjunto com os Serviços Partilhados do Ministério da Saúde (SPMS) e em articulação com a Polícia Judiciária, prossegue a recolha de informação e as ações forenses necessárias para identificar os vetores de ataque utilizados. O CERT.PT, equipa de resposta a incidentes que opera no âmbito do CNCS, tem acompanhado a situação junto dos responsáveis pelos sistemas afetados.
Segundo as autoridades, o incidente está contido: as contas associadas ao acesso foram desativadas pela SPMS, a exfiltração de dados foi estancada e foram recolhidas máquinas para análise. Estão também em curso medidas adicionais de reforço de segurança. A análise forense procura agora reconstituir como ocorreu a intrusão e que dados foram efetivamente acedidos.
Mais de 100 mil vítimas confirmadas, de norte a sul
Um dos dados consolidados desde a nossa primeira notícia é a dimensão do incidente. A Polícia Judiciária confirmou que a intrusão comprometeu dados pessoais de mais de 100 mil utentes, distribuídos por todo o território nacional, incluindo as regiões autónomas dos Açores e da Madeira. A força de investigação tem recebido diariamente centenas, ou mesmo milhares, de comunicações relacionadas com o caso.
A hipótese da inteligência artificial
Um elemento novo e particularmente relevante diz respeito ao método. A Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica admite duas hipóteses: o recurso a métodos tradicionais de roubo de credenciais ou a utilização de inteligência artificial para automatizar os acessos em larga escala. As autoridades mostram-se mais inclinadas para a segunda possibilidade — um cenário que, a confirmar-se, tornaria a investigação mais complexa e ilustraria como a IA está a transformar também o lado ofensivo da cibersegurança.
A correção sobre os dados de menores
As primeiras informações sobre o caso sugeriam que o roubo de dados incidia de forma expressiva sobre informação de crianças e menores. As autoridades vieram entretanto classificar essas indicações iniciais como tendo sido feitas de forma precipitada. O apuramento rigoroso de que dados foram comprometidos — e de quantos titulares são, de facto, menores — faz parte das ações forenses ainda em curso.
Coimas até 20 milhões de euros no horizonte
A vertente sancionatória ganhou também contornos mais concretos. As entidades públicas responsáveis pela gestão dos dados — designadamente a SPMS e as Unidades Locais de Saúde — podem vir a ser responsabilizadas. Tratando-se de dados de saúde, considerados de categoria especial pelo Regulamento Geral sobre a Proteção de Dados (RGPD), as contraordenações graves preveem coimas entre os cinco mil e os 20 milhões de euros.
A este risco acresce outro: a eventual falta de comunicação atempada do incidente aos titulares dos dados, “sem demora injustificada”, é igualmente suscetível de penalização ao abrigo do RGPD. A Comissão Nacional de Proteção de Dados, que recebeu centenas de participações de todo o país, apresentou denúncia ao Ministério Público pela eventual prática de crimes.
Investigações em várias frentes
O caso mobiliza hoje várias entidades em simultâneo: a Polícia Judiciária conduz o inquérito-crime; o Ministério Público instaurou o respetivo inquérito; a CNPD desenvolve um processo de averiguações; e a Entidade Reguladora da Saúde abriu um processo de avaliação. O CNCS, por seu lado, mantém o foco técnico na identificação dos vetores de ataque.
Porque é que este caso continua a importar
Mais do que um incidente pontual, o ataque ao SNS tornou-se um teste à capacidade de resposta do Estado em matéria de cibersegurança e proteção de dados sensíveis. A forma como a investigação forense decorrer, as conclusões sobre o eventual uso de IA e as consequências sancionatórias para as entidades responsáveis serão determinantes — não apenas para este caso, mas como precedente para a proteção da informação de saúde dos portugueses.
Seguimento da nossa cobertura sobre o ataque ao SNS 24. Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelas autoridades competentes (CNCS, Polícia Judiciária, CNPD, ERS e SPMS).