O serviço de saúde de Newfoundland and Labrador, no Canadá, emitiu um pedido público de desculpas após realizar um teste de phishing que prometia falsamente um dia de folga remunerado a funcionários exaustos. A mensagem, enviada pela própria equipe de TI da organização, usou como isca o reconhecimento do esforço dos trabalhadores durante a implantação do sistema CorCare — e resultou em condenação generalizada de sindicatos e especialistas.
Como ocorreu o teste
O email, intitulado “June Holiday”, informava que todos os funcionários receberiam um dia de folga adicional como reconhecimento pelo trabalho na transição para o CorCare, o novo sistema de prontuários digitais da rede. A mensagem continha um botão para clicar e registrar o benefício. Quem clicou recebeu uma marcação de falha — era um simulado de phishing interno.
Ron Johnson, CEO interino da NL Health Services, admitiu que o teste “errou o alvo” e prometeu apurar como a mensagem foi aprovada. “Não é reflexo de como valorizamos nossos funcionários”, declarou em coletiva de imprensa, segundo reportou The Register.
A investigação interna busca determinar quem autorizou e enviou o email. Johnson afirmou que “todas as lentes necessárias para revisar o cenário não foram aplicadas”.
O sistema CorCare e o esgotamento
O CorCare, orçado em 600 milhões de dólares canadenses para a próxima década, foi implantado recentemente em toda a rede de saúde da província. Funcionários relataram horas extras obrigatórias, férias negadas e casos de demissões voluntárias durante a transição, segundo o sindicato NAPE (SaltWire).
Não é a primeira vez que a rede lida com ameaças cibernéticas. Em outubro de 2021, o grupo de ransomware Hive atacou o sistema de saúde da província usando uma credencial comprometida de um usuário legítimo, paralisando serviços por semanas. O incidente foi considerado um dos maiores ataques cibernéticos a uma rede de saúde no Canadá (CBC News).
Sindicatos e especialistas reagem
Yvette Coffey, presidente do Registered Nurses Union de Newfoundland e Labrador, classificou o teste como “de péssimo gosto”. “Enfermeiras e profissionais de saúde passaram por pressão enorme nos últimos anos, incluindo escassez de pessoal, esgotamento e desafios com o CorCare. Usar a promessa de um dia de folga como isca para phishing explorou exatamente esse estresse”, afirmou.
Jerry Earle, presidente do NAPE, foi mais contundente: “Estou absolutamente nojado que a NL Health Services fizesse isso com nossa equipe. Muitos membros tiveram férias negadas e trabalharam incontáveis horas extras durante o lançamento do CorCare. Usar esses sacrifícios como isca é inaceitável.”
Catherine Connolly, professora de comportamento organizacional da McMaster University, observou à CBC News que a reação visceral dos funcionários expõe um desgaste na relação com a organização. “Se as pessoas já sentissem que suas contribuições eram valorizadas, não teriam tido essa reação ao teste.”
Cronologia do incidente
- Outubro de 2021 — O grupo Hive ataca a rede de saúde da província via credencial comprometida, paralisando serviços por semanas.
- 2024–2026 — Implantação do sistema CorCare com relatos de sobrecarga de trabalho, horas extras obrigatórias e férias negadas.
- 17 de junho de 2026 — Email de phishing simulado “June Holiday” é enviado aos funcionários, oferecendo dia de folga falso.
- 17 de junho de 2026 — Sindicatos RNU e NAPE emitem notas públicas condenando o exercício.
- 18 de junho de 2026 — CEO interino Ron Johnson pede desculpas públicas e anuncia investigação interna.
O que fazer agora
O caso de Newfoundland ilustra um ponto central do treinamento de segurança: simulados precisam alinhar realismo com respeito ao contexto organizacional. Frameworks como GoPhish e o Social Engineering Toolkit permitem criar campanhas realistas sem recorrer a gatilhos emocionais sensíveis.
Para organizações de saúde e infraestrutura crítica, a recomendação é combinar simulados genéricos com treinamento contínuo em reconhecimento de padrões de phishing — sem usar benefícios reais ou necessidades emocionais dos funcionários como isca. A cultura de segurança se constrói com confiança, não com armadilhas.
Eficácia dos testes em debate
Jonathan Anderson, professor de engenharia elétrica e computação na Memorial University, alertou que simulados realistas exigem copiar táticas de golpistas — o que gera um dilema ético. “Quanto mais você empresta do manual do golpista, mais realista é o teste. Mas golpistas são antiéticos — quanto mais você copia, mais antiético você se torna”, afirmou à CBC.
Na outra ponta, a realidade é que o setor de saúde permanece entre os mais visados por ransomware e phishing. O ataque de 2021 demonstrou que uma credencial comprometida pode paralisar hospitais inteiros. Organizações críticas dependem de funcionários conscientes como última linha de defesa — mas o episódio em Newfoundland mostra que a forma como essa conscientização é conduzida importa tanto quanto sua existência.
Estudos recentes indicam que simulados no estilo “escapamento de incêndio” — exercícios gerais em vez de armadilhas individuais — podem ser mais eficazes sem gerar desgaste organizacional. A discussão sobre o equilíbrio entre realismo e respeito no treinamento de segurança continua aberta.
Fontes e referências
- The Register — Health board apologizes for phishing staff with bogus vacation day
- CBC News — Phishing email highlights divide between N.L. health authority, employees
- SaltWire — NL health-care unions upset by internal cybersecurity test
- CBC News — N.L. says Hive ransomware group was behind 2021 cyberattack