Como é que o Luxemburgo protege os seus hospitais de ciberataques
Face ao recente roubo de dados de hospitais belgas Vivalia, a questão é como é que os estabelecimentos de saúde do Luxemburgo se podem proteger de um ciberataque desta magnitude.
Numa mensagem à empresa Vivalia, o grupo de hackers explicou que conseguiu roubar nada menos que 400 gigabytes de dados confidenciais. © Créditos: Getty Images
(Este artigo foi originalmente publicado na edição francesa do Luxemburger Wort)
A notícia fez manchetes na Bélgica. A empresa de cuidados intercomunitários Vivalia, que gere hospitais na província belga do Luxemburgo, foi vítima de um grande ciberataque.
O ataque levou a um bloqueio maciço dos hospitais e lares geridos pela estrutura. De acordo com a agência Belga, um total de quase 200 servidores de computador e 1.500 computadores foram afetados.
O ataque inicialmente perturbou completamente o calendário médico e forçou o pessoal a reprogramar quase todas as operações não urgentes. De acordo com a última atualização do Vivalia sobre a situação, várias centenas de computadores foram recuperados e "integrados numa zona limpa".
"A capacidade de acesso aos registos médicos dos pacientes aumenta com a instalação gradual de novos computadores nos locais, esta progressão está ligada ao ritmo imposto pelas condições de segurança. Nos laboratórios, em média para os nossos três locais, mais de 50% da capacidade funcional interna foi restaurada", lê-se ainda.
400 gigas de dados confidenciais roubados
Esta é apenas uma parte do problema. O ciberataque foi reivindicado por um grupo chamado Lockbit. Numa mensagem enviada à Vivalia, o grupo de hackers explicou que conseguiu roubar nada menos que 400 gigabytes de dados, ao mesmo tempo que exigiu um resgate à empresa intermunicipal para que esta informação confidencial (pacientes e as suas doenças, pessoal, entre outros dados) não acabasse na Internet para que todos pudessem ver.
Os hackers, que tinham inicialmente marcado um ultimato para a passada quinta-feira, deram finalmente à Vivalia um prazo adicional de dois dias para pagar o resgate. Resta saber se a empresa intermunicipal cumprirá as exigências dos hackers.
O caso de Vivalia não é extraordinário, várias outras estruturas em todo o mundo estão continuamente a enfrentar diferentes ataques informáticos, incluindo no Luxemburgo. Contudo, trata-se de um serviço público e o facto de a segurança informática dos hospitais, que supostamente é impenetrável, ser de facto deficiente, levanta uma série de questões. Poderá ter lugar um ataque semelhante no Grão-Ducado?
O risco zero não existe
Quando questionado sobre o assunto, o Ministério da Saúde explicou que o dito risco zero não existe. "Ninguém está protegido contra um potencial ciberataque. Contudo, é uma questão de mitigar o potencial e o impacto de um ataque através de medidas de proteção e deteção. Não sabemos quando poderá acontecer e é uma questão de minimizar os possíveis impactos através de medidas de sensibilização e prevenção relativamente aos riscos existentes num contexto de dados sensíveis", explicou a fonte ao Luxemburger Wort.
De acordo com o Ministério, existem planos para o caso dos hackers conseguirem roubar dados sensíveis dos hospitais luxemburgueses. "Os hospitais têm planos para gerir os vários riscos que podem surgir. Neste contexto, os planos de continuidade de negócios são cruciais no caso de uma possível rutura. A regulamentação em vigor obriga os intervenientes a respeitar um certo número de regras de segurança necessárias para a proteção das redes, a fim de, nomeadamente, garantir a governação, proteção e defesa das redes e sistemas de informação e assegurar a resiliência das suas atividades".
Várias medidas preventivas
Os hospitais luxemburgueses parecem estar prontos para enfrentarem o desafio. No entanto, a segurança dos dados do paciente e do pessoal deve ser garantida.
O Ministério assegura que as medidas de segurança estão em vigor, sem entrar em mais pormenores. "Dito isto, podemos citar medidas concretas, tais como backups regulares de dados. A ideia é proteger-se eficazmente contra ameaças, respeitando as disposições dos regulamentos aplicáveis. Em caso de ataque, é necessário ser capaz de reagir tanto do ponto de vista técnico como jurídico (ativação do seguro, notificações, informação das pessoas, comunicação de crise, gestão das responsabilidades dos prestadores de serviços, entre outros)".
De um ponto de vista mais técnico, não é possível saber como os hospitais estarão protegidos. No entanto, sabe-se que as estruturas de cuidados de saúde luxemburguesas se consultaram mutuamente a nível setorial e com o apoio de um perito mandatado pelo Ministério da Saúde. "Em breve participarão também num exercício da Cyber Europe 2022 para testar a resposta a tais incidentes", disse o Ministério da Saúde.
Tal como outros agentes económicos, os hospitais recebem ocasionalmente tentativas de phishing (uma técnica para roubar dados pessoais): "Felizmente, as consequências foram sempre limitadas, mas causaram um trabalho de acompanhamento operacional nos departamentos envolvidos", referiu a fonte.
