Governo estabelece medidas para proteger Saúde de ciberataques
O número crescente de incidentes de segurança que afetaram instituições de saúde um pouco por todo o lado levou o Governo a estabelecer um novo modelo de governação para este sector. As medidas levam em conta os traços gerais da Estratégia Nacional de Segurança do Ciberespaço e a diretiva europeia 2016/1148, que pretende a garantir um nível comum de segurança das redes e dos sistemas de informação na UE.
As medidas aplicam-se aos estabelecimentos, serviços e organismos do Serviço Nacional de Saúde, do Ministério da Saúde, e das entidades do sector empresarial do Estado da área da saúde.
Segundo o Despacho n.º 8877/2017, publicado em Diário da República, a intenção é dotar o ecossistema de saúde dos recursos necessários para garantir a proteção da informação dos utentes, cuja exposição ao risco é maior devido à utilização de meios tecnológicos na área da saúde. O Governo pretende também garantir o cadastro atualizado do parque aplicacional em operação no Ministério da Saúde e Serviço Nacional de Saúde. Esta é uma das primeiras medidas a entrar em vigor: as entidades visadas têm 90 dias para criar um cadastro das aplicações informáticas do SNS/MS.
Antes disso, porém, terão de nomear um responsável de segurança da informação (Chief Information Security Officer) e um responsável técnico de segurança (Chief Security Officer), algo que terá de acontecer nos próximos dois meses.
Em fevereiro deste ano, o Centro Nacional de Cibersegurança assinou um protocolo com a SPMS – Serviços Partilhados do Ministério da Saúde para estabelecer as formas de cooperação entre as duas entidades na troca de conhecimentos e no desenvolvimento das capacidades nacionais de cibersegurança.
«Tendo em conta a verificação de um crescente número de incidentes de segurança e considerando a ameaça que estes representam para o funcionamento das redes e dos sistemas de informação, torna-se premente reforçar os mecanismos de proteção desses sistemas, particularmente para proteção dos dados de saúde e do funcionamento do Serviço Nacional de Saúde e Ministério da Saúde», lê-se no despacho assinado pelo secretário de Estado da Saúde, Manuel Martins dos Santos Delgado.
O modelo de governação reforça as obrigações de acompanhamento das medidas de proteção e resposta dos sistemas críticos do SNS e pede a criação de ações de formação e campanhas de sensibilização sobre os riscos de cibersegurança, querendo promover “uma cultura de gestão de risco” em matéria de hardware e software. É também pedida a definição de estratégias de combate à fraude no âmbito da cibersegurança e a utilização de boas práticas comuns.
Haverá ainda ações auditoria e incentivos à investigação em parceria com instituições públicas de ensino.
A lista de medidas é extensa e inclui a aquisição de tecnologias e a certificação dos quadros técnicos. O despacho diz que as instituições devem «prever nos seus orçamentos as verbas necessárias para acautelar os investimentos necessários no âmbito da modernização tecnológica crítica em cada momento», As auditorias e avaliações de cibersegurança ficarão a cargo das próprias entidades auditadas, numa lógica de auto-responsabilização.
Não sendo obrigatório para as entidades convencionadas com o SNS, a intenção do Governo é convencê-las a aderir ao programa de cibersegurança, o que incluirá a celebração de um contrato com a SPMS.
Publicado em:
AtualidadePartilhe nas Redes Sociais