Pular para o conteúdo

Investigação sobre Ataque Cibernético que Comprometeu Dados de Pacientes em Seis Estados Brasileiros

Expresso Rio

A Agência Nacional de Proteção de Dados (ANPD) iniciou uma investigação administrativa para apurar possíveis falhas de segurança no Instituto Saúde e Cidadania (Isac), uma organização social que administra unidades de saúde em seis estados brasileiros. A investigação foi motivada por um ataque hacker ocorrido no ano passado, que resultou na exposição de dados de aproximadamente 500 mil pacientes.

De acordo com a ANPD, o ataque permitiu o acesso indevido a informações altamente sensíveis, incluindo nomes, datas de nascimento, prontuários médicos, exames, diagnósticos e outros registros clínicos. Dentre os pacientes afetados, 78.772 são crianças e adolescentes, e 47.921 são idosos. O Isac opera em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

Em nota, o Isac afirmou que não houve vazamento de dados e que o ataque apenas causou a indisponibilidade temporária dos sistemas, sem evidências de extração ou divulgação das informações. No entanto, a ANPD aponta que as apurações preliminares indicam que o instituto não possuía mecanismos suficientes para garantir a segurança das informações armazenadas e falhou na comunicação com os titulares dos dados após o incidente.

O superintendente de Fiscalização da ANPD, Fabrício Guimarães, destacou a importância de instituições que lidam com dados de saúde adotarem os mais altos padrões de segurança da informação, devido ao risco elevado envolvido. A fiscalização também apontou a ausência de registros de atividades dos sistemas, conhecidos como logs, ferramenta essencial para rastrear acessos e identificar o que ocorreu durante um ataque cibernético.

O ataque foi do tipo ransomware, modalidade em que criminosos sequestram dados e bloqueiam o acesso aos sistemas até que seja pago um resgate. Os invasores conseguiram acessar inclusive os backups armazenados em servidores na nuvem, sequestrando os arquivos originais e interrompendo o acesso às informações pelo instituto.

A ANPD também afirma haver indícios de que o Isac minimizou a gravidade do episódio, não adotou medidas suficientes para proteger os dados pessoais e sensíveis e apresentou comunicação considerada insuficiente aos pacientes afetados, especialmente diante da presença de informações de crianças, adolescentes e idosos.

Em resposta, o Isac reiterou que não houve vazamento de dados pessoais e afirmou que o ataque não comprometeu o atendimento aos pacientes nem o funcionamento das unidades de saúde administradas pela organização. O instituto também informou que comunicou espontaneamente o incidente à ANPD e publicou esclarecimentos em seu portal institucional.

Caso as irregularidades sejam confirmadas ao fim do processo administrativo, o instituto poderá sofrer penalidades que vão desde advertência até multas de até R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais. Municípios que mantêm contratos com o Isac também estão acompanhando a investigação e se comprometem a adotar medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção das informações dos cidadãos, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

autores

Deixe seu comentário

Seu e-mail não será publicado. Campos obrigatórios são marcados com *.