Vulnerabilidade DGS: “não podemos continuar a manter estas coisas no obscurantismo”

Foi detetado, em março deste ano, uma vulnerabilidade no Sistema Nacional de Vigilância Epidemiológica (Sinave), criado em 2014, de acordo com o jornal Público. A vulnerabilidade descoberta permitia extrair dados pessoais, como nomes, moradas, datas de nascimento e números de contribuinte.

Não se sabe por quanto tempo a vulnerabilidade esteve disponível para ser explorada nem se a falhar foi utilizada por alguém. Por mero acaso, de acordo com a mesma fonte, um programador português descobriu o erro, bastando colocar mais uns caracteres no URL do site.

O jornal Público confirmou, também, que a falha foi corrigida dias depois de a vulnerabilidade ter sido apontada e o Centro Nacional de Cibersegurança foi alertado para o caso em março.

Nesta segunda-feira, em declarações à RTP, a diretora-geral de saúde, Graça Freitas, comentou o sucedido e procurou deixar “uma palavra de segurança” aos portugueses, indicando que casos como este são “resolvidos com rapidez”. Graça Freitas lamentou o sucedido e admitiu que “é uma preocupação” e um “problema de segurança”.

No entanto, a diretora-geral de saúde referiu que a informação colocada nesta plataforma – que existe para tentar descobrir a tempo o risco de surtos e de situações de perigo para a saúde pública – chega sem a o nome das pessoas. “O que lá está é uma informação sobre a doença, anonimizada quando chega à DGS, de qualquer maneira, é sempre lamentável que dados das pessoas, seja sob que forma forem [possam ser disponibilizados de forma indevida]”, indica Graça Freitas.

Contactado pela IT Security, o Centro Nacional de Cibersegurança esclareceu que “teve conhecimento da situação relativa à plataforma SINAVE em março, sendo que esta ficou resolvida no prazo de três dias úteis. Até ao momento, o CNCS não tem qualquer conhecimento que a vulnerabilidade tenha sido explorada”.

Uma base de dados que vale ouro

Em declarações à IT Security, Sérgio Silva, CEO da CyberS3c, relembra que “uma situação destas é algo que não é possível evitar”, uma vez que “todos os sistemas são permeáveis. A diferença está no esforço que existe para comprometer o sistema”. Assim, o que tem de acontecer é “saber lidar com estas situações”.

Na opinião de Sérgio Silva, “devia ter sido feita uma comunicação a quem tivesse os seus dados [nesta plataforma]. Isto aconteceu em março e só vem a público cinco meses depois. Devia ter sido feita uma comunicação para, se começássemos a receber alguns contactos, algumas tentativas de phishing relacionados com os nossos dados que estão nesta plataforma, já estarmos prevenidos”.

O CEO da CyberS3c explica que alguém que estivesse com COVID-19 poderia ter essa informação descoberta por ciberatacantes. Depois, poderia receber um email como se fosse a DGS ou outra instituição de saúde a dizer que ‘está com COVID desde data ‘x’ e deve fazer ‘y’ e entrar nesta plataforma’. “Quando se faz um ataque de phishing destes, temos uma confiança plena porque estamos à espera daquela informação, à espera de sermos contactados”, afirma.

Definir um valor do que uma base de dados como esta poderia custar não é uma tarefa simples, até porque seria necessário saber com exatidão o tipo de dados que constavam neste site e que se poderia ter tido acesso. 

“Vamos imaginar que tem histórico de saúde. Os dados de histórico de saúde de todos os portugueses têm um valor incalculável para, por exemplo, seguradoras”, refere. “É difícil dar um valor porque não sabemos que informação é que está lá. Depende muito de quem está disposto a pagar por essa informação, mas tendo em conta o valor da informação, os valores não devem ser baixos”.

“Passados cinco meses, qualquer tentativa de phishing ou ataque onde são utilizados estes dados pode já ter acontecido, houve mais do que tempo para isso”, explica Sérgio Silva, que acrescenta que “não podemos continuar a manter estas coisas no obscurantismo, de que fomos atacados e que vamos esconder de toda a gente e depois logo se vê. Não. Fomos atacados, vamos assumir, tratar os nossos clientes com respeito e dizer o que aconteceu”.

Reconhecendo que apenas sabe “o que veio a público na comunicação social”, até porque “foi uma surpresa para todos”, Sérgio Silva estranha que, com a vulnerabilidade a ter sido descoberta há cinco meses, não tenha sido feita uma investigação. “Houve mais do que tempo para olhar para os logs e procurar se houve informação que saiu cá para fora. Era procurar nos logs para trás e ver se havia acessos anormais, que tipo de informação é que estava a sair, etc.”, diz.

“A administração pública está a ser esvaziada de profissionais”

Sérgio Silva acredita que é de esperar mais ciberataques contra organizações do Estado no futuro, até porque “há uma enorme falta de investimento nesta área” e as organizações, de um modo geral, “não estão a levar isto muito a sério”.

Na administração pública, diz, “há outro problema: é impossível captar um bom recurso de cibersegurança para a administração pública; com a tabela salarial que existe na carreira de informática, é impossível, não vamos ter ilusões”. O CEO da CyberS3c acrescenta, ainda, que “a administração pública está a ser esvaziada destes profissionais”.

Depois, nem sempre a legislação é cumprida. “Há uma resolução do conselho de ministros de 2018 que tem uma série de diretrizes relativamente à administração pública – o que tem e o que não tem de ter em termos de bases de dados de front end e etc. – e são muito poucas as entidades da administração pública que sequer conhecem essa resolução do conselho de ministros”, defende.

Para Sérgio Silva, não é uma questão de existirem mais ciberataques a terem lugar, mas sim “é que os ataques estão a acontecer e não há ninguém a olhar para as infraestruturas e, como tal, nem sequer são detetados”.

Melhorar a comunicação

O CEO da CyberS3c defende, também, que não conseguir passar a mensagem “ao comum dos mortais” invalida a cibersegurança. Mesmo com um caso que é importante para os cidadãos – como é o caso deste – a “maior parte das pessoas não vai entender” do que se trata e da sua importância para a sua vida, não percebendo o perigo que existe.

“A cibersegurança passa muito por conseguir passar a mensagem numa linguagem corrente” às pessoas. “Se não conseguirmos fazer isso, as coisas não funcionam”, diz. Neste aspeto, Sérgio Silva defende que os profissionais de cibersegurança – “que não são bons relações públicas” – têm de trabalhar “muito essa parte. Tanto para administrações como para as outras pessoas, se conseguirmos passar a mensagem, explicar como as coisas são e o que é que elas devem fazer, conseguimos transformar cada pessoa num agente de cibersegurança”.

Notícia atualizada às 09h52 do dia 6 de setembro de 2022 com declaração do Centro Nacional de Cibersegurança