Topo

ANPD cobra explicações do Ministério da Saúde após ataque cibernético

Sites do Ministério da Saúde e do ConecteSUS saem do ar após ataque hacker - Reprodução
Sites do Ministério da Saúde e do ConecteSUS saem do ar após ataque hacker Imagem: Reprodução

Letícia Naísa

De Tilt, em São Paulo

11/12/2021 12h07Atualizada em 13/12/2021 11h25

A ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar a aplicação da LGPD (Lei Geral de Proteção de Dados), notificou o Ministério da Saúde (MS) a prestar explicações sobre o ataque cibernético que sofreu na madrugada da última sexta-feira (10). A pasta tem dois dias úteis para responder a solicitação.

Os sites do Ministério da Saúde e do ConecteSUS ficaram fora do ar após a ação dos cibercriminosos, que chegaram a exibir em um dos sistemas uma mensagem de que a tática envolvia um ransomware. Ou seja, ataque que sequestra, criptografa os dados e libera o acesso somente após pagamento de um resgate.

Esta não foi a primeira vez que o MS sofreu um ataque cibernético. A Polícia Federal está investigando o caso.

A ANPD solicitou ao Ministério que encaminhasse uma Comunicação de Incidentes de Segurança. Por email, o órgão detalhou à reportagem que o documento deverá conter:

  • uma descrição dos dados vazados
  • informações sobre os titulares de dados pessoais envolvidos
  • a indicação das medidas que irá usar para proteger os dados pessoais dos afetados
  • qual o risco desse evento sobre os dados
  • quais os motivos da demora em comunicar sobre o ataque
  • as medidas que serão tomadas pelo MS para reverter ou mitigar os efeitos dos prejuízos causados

Quando o detalhamento for entregue à ANPD, dependendo da complexidade do caso, informações complementares podem ser solicitadas para garantir os direitos dos titulares.

A pasta tem dois dias úteis para entregar as informações necessárias para o órgão fiscalizador da LGPD, mas o prazo pode ser estendido para uma apresentação mais completa que contenha os resultados da investigação interna feita pelo MS.

O que virá a seguir?

Em seguida, a ANPD vai avaliar a gravidade do incidente e determinar ao Ministério a adoção de medidas sobre divulgação dos fatos aos meios de comunicação e orientações para mitigar os danos.

"Posteriormente à apuração dos fatos, a ANPD também solicitará comprovação de que foram adotadas as medidas técnicas adequadas para tornar os dados pessoais afetados inacessíveis para terceiros", escreve o órgão em nota enviada a Tilt.

A LGPD indica que, caso exista um vazamento comprovado de dados sensíveis (que podem identificar as pessoas), a empresa pública ou privada deve notificar os órgãos competentes e as pessoas envolvidas.

A legislação determina aplicação de multa, entre outras penalidades, como advertência e obrigação de eliminar os dados pessoais envolvidos.

Segundo o ministro Marcelo Queiroga, "os dados não serão perdidos". Em Belo Horizonte (MG), ao ser indagado se há backup dos dados, respondeu: "Claro que existe".

Segundo especialistas ouvidos por Tilt, ainda na sexta-feira, o ataque ao Ministério da Saúde pareceu mais uma "pichação virtual" (chamada defacement) para fazer suas ameaças do que um sequestro mediante a exigência de dinheiro (o ransomware).

Até a manhã deste sábado (11) ainda não era possível acessar o comprovante de vacinação por meio do portal ou do aplicativo ConecteSUS, do governo federal.

Diante da falha dos sistemas, o governo adiou a exigência de comprovante de vacina a viajantes (que poderiam ser emitidos pelo ConecteSUS). O problema tem repercutido entre especialistas do setor, internautas, cientistas e políticos.

Outros ataques cibernéticos

Sistemas do STJ (Superior Tribunal de Justiça) foram alvo de um ataque em novembro do ano passado. Na ação, os cibercriminosos criptografaram dados e forçaram o tribunal a suspender sessões e a tirar seu site do ar. A ameaça não atingiu a cópia de segurança (backup) dos arquivos. Por conta disso, foi possível recuperar as informações sequestradas.

Em janeiro de 2021, uma falha no site do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) expôs informações pessoais de 5,1 milhões de motoristas. Dados de RH, CNH (Carteira Nacional de Habilitação), Renach (Registro Nacional de Carteira de Habilitação), multas e placas de carros ficaram expostos.

Mais recentemente, em setembro deste ano, o site da Anvisa (Agência Nacional de Vigilância Sanitária) também foi alvo de uma ação cibernética. A agência informou que o ataque foi do tipo defacement (modificação estética da página web) sem alteração de dados ou impacto nos demais sistemas da Anvisa.