No documento, a que a Lusa teve hoje acesso, os peritos informáticos referem que faltava ao sistema do Hospital Divino Espírito Santo (HDES), em Ponta Delgada, o pacote de segurança disponibilizado desde 20217 pelo sistema operativo para responder ao tipo de ataque a que a unidade de saúde foi sujeita.

“A Microsoft lançou, na altura [em 2017], ‘patchs’ de segurança para essa vulnerabilidade e medidas de mitigação. Não estavam aplicadas no HDES”, lê-se no relatório da Microsoft sobre o ciberataque à unidade hospitalar da maior ilha açoriana.

Os peritos da empresa referem que o ciberataque ao HDES, com início a 16 de junho, é denominado ‘WannaCry’, um tipo de ciberataque difundido em 2017 após afetar várias instituições em todo o mundo, como o Serviço Nacional de Saúde Britânico.

O documento refere ainda que, no sistema do HDES, existiam várias contas de administrador “usadas em contexto não restrito”.

A Microsoft lembra que as contas de administrador costumam estar limitadas a poucos utilizadores, porque são a “primeira etapa na elevação de privilégios” nos sistemas informáticos.

O relatório refere que existiam senhas “comuns” em várias contas, o que facilita o acesso de um pirata informático a vários computadores.

Esse tipo de “vulnerabilidade”, segundo o documento, pode ser “mitigada” através de um programa para a administração de palavras-chave, mas esse sistema só estava instalado “numa amostra residual dos computadores”.

O relatório alerta ainda para a falta de segurança de várias palavras-passe, uma vez que havia senhas não encriptadas [cifradas ou codificadas] em 11 computadores, relativas a 14 utilizadores.

Os especialistas destacam que a utilização de palavras-passe em “texto não criptografado são arriscadas não apenas para a entidade exposta em questão, mas para toda a organização”.

Nas recomendações, a Microsoft apela à “sensibilização dos utilizadores”, avançando que “foram observadas atividades que colocam o meio ambiente em risco, especificamente o uso de torrents”, uma extensão para transferir arquivos, vulgarmente utilizada para instalar programas, filmes ou jogos.

Os peritos sugerem também “reduzir o nível de privilégio para contas de serviço” e “alterar as senhas periodicamente”.

“Embora o comprometimento tenha ocorrido no domínio HDES, recomendamos que as recomendações e ativações discutidas ao longo do nosso trabalho sejam abordadas em todos os domínios da SRSA [Secretaria Regional da Saúde]”, aponta o relatório.

A Microsoft diz ainda não ser possível identificar o autor do ataque, devido aos “baixos limites de retenção” das cópias de segurança e à ausência de um programa para monitorizar e detetar ataques informáticos.

O BE/Açores, que requereu na Assembleia Regional o relatório da Microsoft, considerou na quinta-feira que o Conselho de Administração do hospital de Ponta Delgada foi “irresponsável” na gestão do ataque informático, por ter revelado publicamente o ciberataque.

A 29 de novembro, a presidente do Conselho de Administração do Hospital de Ponta Delgada afirmou que a decisão de “isolar informaticamente” a unidade de saúde “foi correta e eficaz”, considerando que o ex-diretor de informática “desvalorizou” a suspeita de ataque informático.

Nesse dia, o ex-diretor de informática do Hospital de Ponta Delgada, Ricardo Cabral, rejeitou, no parlamento dos Açores, responsabilidades nos problemas informáticos ocorridos na unidade de saúde, criticando “o caminho errado” e “perda de raciocínio lógico” da administração.

LUSA/HN