Recentemente foi notícia de que o “unicórnio português que ofereceu ferramenta de IA já não vai colaborar com o INEM: “O que encontrámos é assustador”. Há alguns meses a “Sword Health” tinha proposto “disponibilizar inteligência artificial para integrar no INEM” mas, aparentemente não leram a nossa publicação https://cidadaospelaciberseguranca.com/2024/11/24/falha-no-sistema-do-inem-expoe-riscos-de-seguranca-e-sistemas-obsoletos-transparencia-e-urgente/ “o INEM usa ainda o Navision, atualmente conhecido como Microsoft Dynamics 365 Business Central, é um sistema de gestão empresarial (ERP – Enterprise Resource Planning) originalmente desenvolvido pela empresa dinamarquesa Navision, adquirida pela Microsoft em 2002. Contudo, o Navision deixou de se chamar assim há cerca de 19 anos, com a transição para o Dynamics 365 Business Central a ter lugar em 2018, há cerca de 6 anos. O facto de nos contratos públicos ainda aparecer com essa designação significa que o INEM ainda usa um sistema que é anterior a 2018 o que é reforçado pelas datas dos contratos públicos publicados no Base.gov e que, consequentemente, não corre sobre sistemas operativos devidamente actualizados”.

Se a “Sword Health” tivesse estado atenta não viria agora recusar e dizer que “O sistema do INEM é obsoleto, frágil e quem está a geri-lo não tem noção disso” (…) “O estado do sistema de informação assemelha-se à ponte em Entre-os-Rios. Caiu porque não teve manutenção e antevemos um desastre, um colapso, no INEM, dado o sistema de informação que tem”.

Este sistema obsoleto é o Navision tem vulnerabilidades que podem ser exploradas por atacantes, especialmente se não for devidamente actualizado e configurado. Entre os problemas mais comuns associados a sistemas ERP como este estão:
Falta de Actualizações: A ausência de patches de segurança pode deixar portas abertas para exploits.
Más Configurações: Contas administrativas com passwords fracas, permissões excessivas ou configurações inadequadas.
Ataques de Injecção: Casos onde inputs maliciosos são utilizados para manipular consultas a bases de dados.
Integrações Inseguras: Integrações de terceiros mal implementadas podem ser vectores de ataque.
Vulnerabilidades de Autenticação: Falhas em mecanismos de autenticação ou autenticação inadequada, como a ausência de MFA (autenticação multifactor).

O NAVISION (agora na posse da Microsoft) está certamente fora de suporte do fabricante sendo, portanto, obsoleto e mantido diretamente por terceiros:
https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2018.

Por outro lado, e ainda mais grave, é provável que estes servidores do INEM ainda corram em sistemas Windows Server 2019 (ou, ainda pior, em Server 2003) e sem actualizações de segurança críticas e com suporte técnico limitado.