“Falar com as pessoas e explicar o objetivo torna mais fácil que percebam e entendam a necessidade das medidas de cibersegurança”

Gerir cibersegurança num hospital é diferente de gerir noutro setor; existem sistemas que não podem ser desligados e equipamentos médicos em rede, por exemplo. Na sua experiência, qual é a maior diferença que quem está fora desta realidade consegue perceber?

O setor de saúde é crítico, talvez não tanto económico, mas para os cidadãos. A maior diferença é possivelmente a dificuldade em encontrar agendas temporais para realizar intervenções que impliquem paragens de sistema.

Os serviços de saúde estão com uma pressão enorme, e quando falamos de uma ULS do Tâmega e Sousa, que muitas vezes é a segunda maior urgência do Norte em termos de afluência – os números de ontem [13 de abril de 2026] davam quase 500 utentes só na urgência médico-cirúrgica –, percebemos que a disponibilidade e o acesso à informação não são apenas um KPI, é muito mais do que isso: representa a continuidade dos cuidados de saúde.

Em cibersegurança, o princípio é restringir. Em saúde, o princípio é aceder no momento certo. Como se gere esta contradição no dia a dia?

É muito difícil encontrar um equilíbrio que nos permita dar o acesso à informação e aplicar as todas as regras de segurança. Encontrar esse equilíbrio é uma luta diária para as instituições de saúde.

Temos assistido nos últimos anos a uma proliferação dos acessos VPN, algo que até não era muito usual nos casos dos colaboradores, mas após o COVID passou a ser uma prática comum. Temos ainda as necessidades de integrações com parceiros externos, nomeadamente nos meios complementares de diagnóstico, onde temos de integrar todo o circuito desde o pedido até à integração do resultado e, muitas vezes, não conseguimos assegurar o compliance do parceiro a nível de segurança, tentamos falar com os colegas da área do IT dessas empresas. Todas estas portas abertas são necessárias e temos de saber conviver com isso e com essas necessidades.

De uma forma geral, todos conhecem os constrangimentos que é gerir o IT de uma unidade local de saúde, seja orçamento, talento técnico ou outro. Se tivesse de escolher o recurso mais difícil de conseguir, qual seria e porquê?

O talento técnico. Os recursos técnicos são escassos – o mercado sabe isso – o que, associado a rigidez das regras de contratação pública e mesmo à tabela salarial praticada na administração pública é quase impossível cativar e recrutar recursos especializados. Recorremos aos parceiros externos; é a nossa fonte de trabalho especializado e, com isso, conseguimos ir levando as nossas funções.

Nos ataques a hospitais que têm acontecido na Europa, o vetor mais comum não é técnico, mas sim humano. Como se aborda a cultura de segurança numa organização com centenas ou milhares de profissionais de saúde que não são, nem têm de ser, técnicos?

A cultura de cibersegurança numa instituição como a minha, e mesmo na sociedade em geral, é muito baixa. Nós percebemos que as pessoas vão tendo alguma apetência agora com o apoio da comunicação social, que vai divulgando estes ataques conhecidos. Ainda mais difícil é quando temos uma instituição que tem diversas classes profissionais, algumas delas mais difíceis no trato, e falo principalmente da classe médica, que tem sempre um tempo muito reduzido e escasso e é muito difícil conseguir que eles participem nas nossas formações – contam-se quase pelos dedos da mão o número de médicos que assistiram a essas formações.

O que nós fazemos é seguir as regras internacionais, implementamos as práticas com constantes campanhas de sensibilização, alertas constantes, muito também aquilo que o Centro Nacional de Cibersegurança nos vai fazendo chegar, e as ações de formação, que infelizmente não conseguimos ainda que fossem obrigatórias para todos os colaboradores e todas as classes profissionais. Fazemos sempre as formações mais curtas possíveis, e evitando termos demasiados técnicos e o mais interativo também possíveis, para conseguir cativar as pessoas, e que mesmo a palavra-passe, que é algo essencial dentro da organização.

A NIS2 trouxe obrigações novas para entidades essenciais como as ULS. Na prática, a regulação ajudou- o a ter argumentos internos para investir em segurança, ou criou mais burocracia do que proteção real?

Sem dúvida alguma que potenciou o investimento. As administrações conseguem perceber a obrigatoriedade legal e tornou-se muito mais simples cativar financiamento para as questões da cibersegurança, quer seja investimento em software, quer mesmo para pentesting, simulações de phishing. Estão muito mais disponíveis para disponibilizar esse financiamento, sem dúvida.

Houve alguma decisão de segurança que tomou e que sabe que causou fricção operacional, que tornou o trabalho de alguém mais difícil, mas que manteve na mesma? O que aprendeu com isso?

Recordo-me de uma situação que foi talvez a primeira grande decisão que nós tomamos que teve impacto no diário no trabalho foi a quando do Wannacry em que se bloqueou o acesso às contas de email e que depois conseguimos com o apoio do conselho de administração para manter esse bloqueio a tudo o que é contas de e-mail, do Hotmail, por exemplo, e isso causou, na altura, muita constatação interna e foi um bocado difícil de gerir, mas conseguimos manter essa decisão.

Outra situação que às vezes causa algum mal-estar é os ciclos dos conselhos de administração das unidades públicas, no caso dos hospitais, são de três anos. Quando chega o novo conselho de administração, tenho um novo equipamento, um novo PC, e depara-se com o impedimento de não conseguir instalar pequenas aplicações, às vezes até em casa, com o portátil que leva para casa, e depende de nós. Causa ali algum desconforto, mas percebi ao longo destes anos que falando com as pessoas e explicando o objetivo daquela medida e a sua necessidade torna mais fácil que percebam e depois entendam, e as coisas correm melhor.

Qual é o problema que sabe que existe, tem em cima da mesa, mas ainda não tem solução adequada?

Sem dúvida, as vulnerabilidades já identificadas, nomeadamente nos equipamentos médicos, em muitos equipamentos médicos e muitos IoT. Os ciclos de atualização, principalmente em equipamentos médicos, são quase inexistentes.

Consideram aquilo um medical device que vem certificado e, então, é sempre uma dificuldade para conseguir fazer atualizações, nem permitem; tem de ir à fábrica, tem de ser testado, porque não sabem que implicações pode ter no software do equipamento. O que nós fazemos é criar segmentações de rede; temos esses equipamentos todos atrás de uma VLAN específica, uma vez mais uma firewall para controlar todas as comunicações e só deixamos passar o tráfego estritamente necessário e é a forma que nós temos para mitigar um pouco o risco e temos de o aceitar.

Que conselho deixa para outros líderes de segurança?

Estar preparado para o pior. Acho que a mensagem passou aqui hoje e o estar preparado para o pior passa, desde logo, por ter backups testados, ter plano de continuidade de negócios do conhecimento da organização e essencialmente dos key users e ser transversal para que as pessoas conheçam esse plano de continuidade de negócios.

Os planos de contingência também considero essencial e numa instituição em que qualquer paragem tenha essas implicações, como nós falámos, as pessoas saberem qual é a forma alternativa para continuar a prestar os cuidados de saúde, até porque eu costumo dizer aos colegas, os sistemas ainda não tratam doentes, mas são o suporte à decisão do tratamento a aplicar ao doente. E aí podemos estar a correr alguns riscos mesmo, ou corre-se alguns riscos.

Outro conselho que posso deixar é manter-nos firmes nas nossas decisões, nunca ceder a pressões e aquela tentação de que ‘é o presidente que veio pedir, facilite lá, faça lá isto’, é essencial também mantermos firmes às nossas decisões.

A última é que não devemos ser o ‘departamento do não’. É essencial encontrar com os nossos colegas, que basicamente são colegas com outras funções dentro da instituição, a melhor solução para satisfazer e endereçar a necessidade que nos é colocada.