Na madrugada última sexta-feira (10.12.21), o site do Conecte SUS e a página do Ministério da Saúde sofreram um ataque hacker que resultou na indisponibilidade do sistema durante todo o fim de semana.
O ataque impediu a emissão dos passaportes da vacina e atrapalhou o cumprimento do calendário de imunização.
Considerando que esse é um fato que impacta diretamente na vida de todos nós, resolvi utilizá-lo como objeto para elucidação de alguns pontos acerca da correlação entre a Lei Geral de Proteção de Dados no âmbito do ecossistema da saúde e do tratamento de dados sensíveis dentro de diversas realidades.
Para isso, farei um passeio por eventos reais e da ficção mostrando as consequências e desdobramentos desse tipo de ocorrência. Dessa forma será mais fácil visualizar a gravidade dessas ações, mesmo no que consideraríamos como contextos “micro”.
1. Sobre o incidente no Conecte SUS, alguns pontos relevantes.
4. O que seria diferente se o prestador do caso hipotético estivesse adequado à LGPD?
5. Casos reais de incidentes com dados de saúde.
1. Sobre o incidente no Conecte SUS, alguns pontos relevantes.
Essa foi a mensagem veiculada nos grandes meios de comunicação acerca da vulnerabilidade que impediu milhares de brasileiros de emitirem os seus passaportes de vacina ao longo de todo o fim de semana.
Diante do ocorrido, tivemos diversos relatos de pessoas que não conseguiram tomar as suas doses de reforço e tantas outras tiveram seus planos de viagem e programações que exigiam o comprovante de vacinação frustrados ou, pelo menos, dificultados diante da impossibilidade da emissão do passaporte.
No caso do Conecte SUS, o primeiro ponto a ser destacado é a insegurança institucional causada por esse tipo de ataque em uma ferramenta de ampla utilização por todos os cidadãos, sobretudo em um momento no qual ela é demandada em tempo integral.
Uma das principais motivações desse tipo de ataque é a financeira, pois a manipulação e sequestro de dados tornou-se uma modalidade de crime absurdamente lucrativa, visto que no ápice da data driven society a perda ou indisponibilidade de bancos de dados pode representar prejuízos milionários.
No caso em questão, aparentemente não houve tentativa de extorsão ou contrapartida financeira, mas é inegável a imagem de fragilidade e insegurança que o incidente causa nos cidadãos, o que leva a crer que esse foi o elemento motivador do ataque.
Segurança da informação e proteção de dados caminham de mãos dadas e não se excluem.
A exploração intencional dessa vulnerabilidade do Conecte SUS nos coloca diante da violação de preceitos básicos da segurança da informação:
· Confidencialidade: garantia de que a informação não esteja disponível ou seja revelada a indivíduos não autorizados.
· Disponibilidade: propriedade de estar acessível e utilizável quando demandado.
· Integridade: Garantia de que as informações não sofram alterações indevidas.
1.1 Transparência
Um dos princípios norteadores da Lei Geral de Proteção de Dados é a transparência, de acordo com ele deve ser assegurada a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
Para a LGPD, a transparência deve ser ativa, elemento indispensável das boas práticas de tratamento de dados e deve ser considerada como elemento de boa-fé quando da ocorrência de um incidente.
No caso do ataque ao Conecte SUS, apesar da grande relevância para os titulares afetados e da breve manifestação da ANPD, ainda se sabe muito pouco acerca da natureza do ataque, de modo que o princípio da transparência se encontra consideravelmente prejudicado, o que é um elemento gerador de insegurança.
1.2 Atuação da Autoridade Nacional de Proteção de Dados (ANPD)
Nesta oportunidade, a ANPD notificou a o Ministério da Saúde para prestar esclarecimentos relacionados ao ocorrido, mostrando que está exercendo o papel ativo que lhe cabe na fiscalização desse tipo de incidente, contando também com o auxílio de outros órgãos para a realização de uma fiscalização efetiva.
Disso, podemos verificar que a ANPD está ativa, tentando utilizar os seus braços para zelar pelo cumprimento da Lei Geral de Proteção de Dados tanto no âmbito privado quanto no setor público, reforçando a abrangência multissetorial que a norma exige.
Daqui a um determinado tempo, poderemos acompanhar o resultado da apuração dessa investigação e saber quais serão as penalidades aplicadas ao caso.
No caso desse tipo de ocorrência, num ente público que exerce suas atividades sem finalidade lucrativa, podemos claramente observar algo que jamais pode ser esquecido quando nos referimos ao tratamento de dados de saúde: nem tudo é sobre a multa.
Conforme amplamente divulgado, o andamento das atividades de vacinação foi afetado em todo o país. Ou seja, estamos diante de um prejuízo assistencial incontestável.
2. Em serviços de saúde os prejuízos assistenciais de um incidente com os dados podem ser irreparáveis. (Episódio 14×08 – Out of Nowhere – Grey’s Anatomy).
No mote desse artigo eu trouxe o episódio 14×08 – Out of Nowhere, da famosíssima (e interminável) Grey’s Anatomy, que considero um exemplo MUITO ilustrativo da situação de caos que um incidente de segurança da informação pode causar quando tratamos dados de saúde.
Para quem gosta de usar de diversos tipos de mídia como material de estudo, assim como eu, fica a dica de um “case” perfeito para visualizar os desdobramentos e até danos gerados com esse tipo de incidente.
No começo do episódio, todos os monitores cardíacos começam a apitar ao mesmo tempo. Esses avisos sonoros deixam os médicos confusos, pois não conseguem mais identificar quais pacientes estão realmente em parada cardíaca.
Na cena seguinte, no momento de ronda matinal da ala pré cirúrgica, um interno é questionado sobre as últimas medicações administradas a um paciente inconsciente, com o intuito de evitar uma interação medicamentosa potencialmente fatal.
O interno tenta, em vão acessar o prontuário eletrônico, mas a informação não está disponível e, obviamente, por cuidar de muitos pacientes ao mesmo tempo, ele não conseguiria ter esse tipo de informação “de cabeça”.
Por fim, o acesso ao banco de sangue fica impossibilitado por conta do acesso negado à área restrita, que era liberado por senha eletrônica.
Ressalvadas as enormes pitadas de dramaturgia, vários elementos de suporte de vida em hospitais são controlados por meio de sistemas que, se falharem, podem causar risco de morte aos pacientes.
Guardadas as proporções de complexidade de cada tipo de unidade de atendimento e a robustez das medidas necessárias para promover a segurança, o sigilo e o bom andamento atendimento dos pacientes, todos os tipos de serviços de saúde necessitam e se beneficiam de boas práticas de proteção de dados dos pacientes.
Além disso, é realmente impraticável atender a uma grande demanda de casos de diferentes níveis de complexidade de forma completamente analógica, o que também é evidenciado no episódio.
3. Uma historinha hipotética: perda de dados em um laboratório de médio porte que não adotou medidas de adequação à LGPD.
Nem todos as instituições de saúde são gigantescas e contam com sistemas informatizados robustos como o hospital da série, mas nem por isso estão isentas de sofrer grandes prejuízos por não serem alvo de grandes ataques direcionados.
Criei esse caso hipotético para ilustrar.
Incidente: perda dos registros de uma manhã no banco de dados de um laboratório de análises clínicas de média rotatividade.
Na manhã do ocorrido, um funcionário foi demitido. Como não havia restrição de acesso individualizada nos computadores, o referido ex-funcionário viu que o patologista havia ido ao banheiro, apagou os registros de todos os exames realizados naquela manhã e retirou as identificações das amostras coletadas antes de deixar o local.
O backup de dados em nuvem não estava sincronizado no momento e não foi possível fazer a recuperação dos arquivos.
Era uma segunda-feira e, nesta manhã, 10 (dez) idosos com comorbidades distintas e 4(quatro) crianças se deslocaram de suas casas¹, fizeram jejuns e rotinas preparatórias específicas para os exames² e a maior parte deles precisava ido acompanhamento de um familiar ou cuidador³ para conseguir fazer os exames.
Diante do ocorrido, não havia outra forma a não ser submeter os pacientes à nova coleta.
Ficam alguns questionamentos:
- Como gerenciar essa crise diante dos pacientes?
- Esses pacientes se sentirão seguros para voltar nesse mesmo laboratório? Indicariam esse serviço?
- O plano de saúde pode descredenciar esse prestador por negligência?
- Os pacientes prejudicados podem solicitar à Agência Nacional de Saúde Suplementar que apure se o laboratório estava adequado à LGPD?
- O médico responsável técnico pode ser denunciado ou responsabilizado de alguma forma?
- Esses dados foram simplesmente apagados ou sequestrados? Havia minimização da coleta de dados e criptografia?
- Será necessária nova coleta de consentimento para o tratamento dos dados das crianças?
Mesmo numa situação hipotética podemos verificar o enorme incêndio provocado na realidade de um prestador de médio porte diante de um incidente com os dados sensíveis de seus pacientes.
Responder a um incidente de insegurança de 14 (quatorze) pacientes ao mesmo tempo afeta completamente o bom andamento do trabalho de uma instituição de saúde desse tamanho, o transtorno financeiro e jurídico para contornar essa situação pode ser imenso.
4. O que seria diferente se o prestador de saúde estivesse adequado à LGPD?
A situação de exemplo é totalmente imprevisível e decorrente de um evento aleatório, mas que talvez não tivesse ocorrido numa situação em que os processos estivessem bem definidos e o capital humano desse prestador estivesse bem treinado em relação à boas práticas de tratamento de dados. Veja alguns pontos:
- O acesso restrito às amostras teria impedido a avaria destas;
- Criação de acessos individualizados impediria a exclusão dos dados por pessoa não autorizada;
- Procedimentos definidos de backup periódico permitiriam a recuperação dos dados;
- Uma coleta de dados minimizada e a utilização de criptografia torna o impacto de um possível vazamento menor caso estes dados tenham sido copiados para utilização ilícita posterior;
- Um plano de resposta à incidentes tornaria as providências e o tempo despendido na resolução desse problema bem menor e menos desgastante.
Não existe eliminação de riscos, mas as consequências da adoção de medidas preventivas são enormes.
Quando da ocorrência de um incidente de segurança, tanto um plano de resposta à incidentes eficiente, quanto a capacidade de demonstrar Accountability serão levadas em consideração na hora da aplicação das penalidades e facilitarão a resolução de conflitos em relação aos titulares afetados.
Accountability nada mais é do que a capacidade de prestar contas e de demonstrar por meios efetivos que possuía uma política de governança e boas práticas em relação ao tratamento de dados.
Ou seja, demonstrar que as medidas de adequação à LGPD vinham sendo adotadas previamente e que a possibilidade de reincidência desse tipo de ocorrência é baixa abrandarão as penalidades e amenizarão as consequências.
5. Casos reais emblemáticos de vazamentos de dados na saúde
De uns anos pra cá, os dados sensíveis tem sido alvo de constantes ataques cibernéticos em virtude do alto poder de barganha envolvido na recuperação de dados que podem afetar vidas de forma tão substancial, seja no aspecto do suporte direto quanto do potencial discriminatório se utilizados de forma indevida.
Seguem abaixo os links dessas notícias de repercussão mundial.
5.1 Ciberataque no Hospital do Câncer de Barretos
5.2 Ataque ao sistema de saúde pública do Reino Unido (NHS) paralisa 16 hospitais
Ou seja, do serviço de saúde público ao particular, de pequeno ou grande porte, da ficção à vida real: é necessário adotar boas práticas de tratamento dos dados sensíveis dos pacientes, pois os prejuízos assistenciais podem custar vidas.
Ainda não tem um Programa de Governança em Privacidade e Proteção de Dados na sua instituição de saúde? Entenda melhor sobre
Leia Mais:
De Grey’s Anatomy ao ataque hacker ao Conecte SUS: a importância da Proteção de Dados no setor da saúde
Fotos de Antes e Depois: com a entrada em vigor da Lei Geral de Proteção de Dados, essa infração vai além do Código de Ética Médica
Tudo que sua vista toca precisa estar adequado à LGPD
LGPD nas Eleições: obrigações dos partidos políticos e candidatos