Os nomes de 14 mil trabalhadores da Segurança Social foram expostos, mas os dados de contribuintes e empresas não foram comprometidos, no ciberataque ao sistema do instituto em novembro de 2022, revelou esta quarta-feira a presidente do Instituto de Informática.
Paula Salgado esteve esta manhã numa audição na Comissão de Trabalho, Segurança Social e Inclusão, a requerimento do PCP sobre o ciberataque ao sistema informático do Instituto da Segurança Social, que ocorreu em novembro do ano passado.
"Foram expostos dados dos trabalhadores da Segurança Social, nomeadamente o nome", afirmou Paula Salgado, garantindo, contudo, que "não houve qualquer comprometimento de dados pessoais de cidadãos e contribuintes".
Questionada pelo deputado do PSD, Nuno Carvalho, quanto ao número de nomes de trabalhadores divulgados, Paula Salgado indicou que foi divulgado “o nome de 14 mil contas” mas, vincou, "com esta informação não é feito nada", já que considera que "o nome não é a chave, o código de utilizador é que é a chave".
Em causa está o ciberataque ao Instituto da Segurança Social, notificado à Comissão Nacional de Proteção de Dados (CNPD) em 20 de novembro, segundo a uma resposta da mesma ao Parlamento, enviada em 7 de dezembro.
Em resposta às questões do deputado comunista Alfredo Maia, a presidente do Instituto de Informática disse que, "apesar de o incidente ter sido classificado como de baixo risco", optou por "efetuar essa comunicação à Comissão Nacional de Proteção de Dados".
Paula Salgado explicou que o Instituto de Informática contou, além da própria equipa, "com a ajuda de especialistas em cibersegurança internacional", tendo trabalhado "em estreita colaboração com a Polícia Judiciária", pelo que "está a decorrer um inquérito".
Entre as medidas implementadas pelo instituto para garantir que o ataque informático foi debelado, a responsável elencou a ativação do programa de crise interna, a constituição de uma equipa imediata de trabalho para a contenção e verificação e monitorização de todos os alertas e sistemas de informação, tendo ainda apostado em "ações técnicas absolutamente necessárias", bem como no alargamento da autenticação multifator.
"Fomos absolutamente claros [com os trabalhadores]", garantiu a responsável, detalhando: "Na madrugada de domingo para segunda-feira [de novembro] comunicámos a todos os trabalhadores".
O anúncio sem data
Em 21 de novembro, a Segurança Social anunciou ter sido alvo de um ataque informático, mas sem revelar a data em concreto do ataque.
"A Segurança Social foi alvo de um ciberataque que resultou numa intrusão intencional e maliciosa na sua rede informática. Da investigação forense do incidente de segurança, não foi apurado, até ao momento, qualquer facto que permita concluir ter havido acesso indevido a dados de cidadãos ou de empresas", indicou num comunicado divulgado na altura.
Segundo a Segurança Social, "foram de imediato desencadeadas as diligências necessárias, em estreita colaboração com o Centro Nacional de Cibersegurança, a Polícia Judiciária e especialistas em cibersegurança, no sentido de garantir a segurança dos sistemas e respetivos dados".
