A 14.11.2024 o sistema informático das centrais do INEM esteve em baixo duas horas e meia. Em declarações numa comissão parlamentar da Assembleia da República:
https://x.com/i/status/1859691879627215201
conseguimos saber que:
“houve uma máquina mais antiga (!?) que pôs em quarentena uma série de servidores” (…) “não há sinal de ciberataque”
Leitão Amaro, Ministro da Presidência
e que
“O nosso sistema informático detectou algo como uma potencial tentativa de intrusão. Esperemos que não tenha sido e as entidades competentes estarão a ver. Mas independentemente disso a prioridade foi sempre proteger os dados e a informação dos cidadãos”.
Sérgio Janeiro, Presidente do INEM
Para além da contradição evidente isto revela que houve uma alarmística que detectou sinais de um cibertaque e que os sistemas foram desligados em prevenção.
Contudo, no site do INEM, apenas encontramos um lacónico comunicado que diz:
“14-11-2024
Comunicado INEM sobre sistema informático do CODU
O INEM informa que o constrangimento no sistema informático verificado entre as 09h30 e as 12h00 está resolvido. Esse constrangimento não afetou o atendimento, a triagem nem o acionamento de meios de emergência.” (…) O INEM está agora a investigar a origem do problema.”

Aparentemente, houve risco de acesso externo a informação confidencial (daí o desligamento preventivo) mas os cidadãos têm direito a mais informação sobre um incidente de cibersegurança num tão importante instituto público.
Porque pensam ainda os responsáveis políticos que existe segurança pela obscuridade?!

Dias antes, o presidente da Associação Nacional dos Técnicos de Emergência Médica tinha dito que “os sistemas informáticos dos Centros de Orientação de Doentes Urgentes (CODU) estão “perigosamente” desadequados e desatualizados há vários anos.

Com efeito, o INEM usa ainda o Navision, atualmente conhecido como Microsoft Dynamics 365 Business Central, é um sistema de gestão empresarial (ERP – Enterprise Resource Planning) originalmente desenvolvido pela empresa dinamarquesa Navision, adquirida pela Microsoft em 2002.

Contudo, o Navision deixou de se chamar assim há cerca de 19 anos, com a transição para o Dynamics 365 Business Central a ter lugar em 2018, há cerca de 6 anos. O facto de nos contratos públicos ainda aparecer com essa designação significa que o INEM ainda usa um sistema que é anterior a 2018 o que é reforçado pelas datas dos contratos públicos publicados no Base.gov e que, consequentemente, não corre sobre sistemas operativos devidamente actualizados

Assistência técnica e manutenção da aplicação Navision
97,524.00€
Meta Estratégica – Soluções Tecnológicas, Lda. (509740782)
17-05-2024

AQUISIÇÃO DE SERVIÇOS DE ASSISTÊNCIA TÉCNICA E MANUTENÇÃO DA APLICAÇÃO ERP NAVISION/DESENVOLVIMENTO DO SNC-AP PARA O INSTITUTO NACIONAL DE EMERGÊNCIA MÉDICA, I.P. PARA 2023
Meta Estratégica – Soluções Tecnológicas, Lda. (509740782)
65.520,00 €
07-07-2023

SERVIÇOS DE ASSISTÊNCIA TÉCNICA E MANUTENÇÃO DA APLICAÇÃO ERP NAVISION/DESENVOLVIMENTO DO SNC-AP PARA O INSTITUTO NACIONAL DE EMERGÊNCIA MÉDICA PARA 2022
Meta Estratégica – Soluções Tecnológicas, Lda. (509740782)
65.520,00 €
17-03-2022

Assistência técnica e manutenção da aplicação ERP Navision
Meta Estratégica – Soluções Tecnológicas, Lda. (509740782)
44.948,00 €
26-05-2021

Como qualquer sistema de software, o Navision tem vulnerabilidades que podem ser exploradas por atacantes, especialmente se não for devidamente actualizado e configurado. Entre os problemas mais comuns associados a sistemas ERP como este estão:
Falta de Actualizações: A ausência de patches de segurança pode deixar portas abertas para exploits.
Más Configurações: Contas administrativas com senhas fracas, permissões excessivas ou configurações inadequadas.
Ataques de Injecção: Casos onde inputs maliciosos são utilizados para manipular consultas a bases de dados.
Integrações Inseguras: Integrações de terceiros mal implementadas podem ser vectores de ataque.
Vulnerabilidades de Autenticação: Falhas em mecanismos de autenticação ou autenticação inadequada, como a ausência de MFA (autenticação multifactor).

Algumas vulnerabilidades podem ser encontradas em
https://www.cvedetails.com/product/51637/Microsoft-Dynamics-Nav.html?vendor_id=26

O NAVISION (agora na posse da Microsoft) está certamente fora de suporte do fabricante sendo, portanto, obsoleto e mantido diretamente por terceiros:
https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2018

Por outro lado, e ainda mais grave, é provável que estes servidores do INEM ainda corram Windows Server 2019 o que, a ser verdade, significa que usam um sistema operativo que saiu do suporte da Microsoft em 9 de janeiro de 2024. A partir daqui a Microsoft fornecerá apenas actualizações de segurança críticas e suporte técnico limitado e a actualização de toda esta estrutura é urgente.