Após ataque ao site do Ministério da Saúde, especialistas fazem alerta

O site do Ministério da Saúde saiu do ar após ser alvo de hackers na madrugada desta sexta-feira (10/12). Após o ataque, o site exibiu mensagem afirmando que dados dos sistemas haviam sido copiados e excluídos e que 50 terabytes de arquivos estavam em poder do hackers.

123RF

"Nos contate caso queiram o retorno dos dados", dizia o recado. O nome de um suposto coletivo, chamado Lapsus$ Group, aparecia no alto da mensagem, que depois desapareceu do site.

O episódio traz mais uma vez à tona uma ameaça que tem se tornado comum. Uma pesquisa feita pela empresa de segurança digital PSafe no meio deste ano apontou que mais de 200 milhões de brasileiros foram afetados por megavazamentos. No mundo todo, a empresa mediu mais de 4,6 bilhões de credenciais vazadas entre os anos de 2019 e 2021, com tendência de alta. No início do ano, outro megavazamento expôs dados de milhões de pessoas.

Na opinião de Rafael Gama, especialista da equipe de Direito Digital do PG Advogados, o caso do Ministério da Saúde foi ocasionado por um acesso indevido, que também pode ter sido contribuído por "falha humana". Ele recomenda às empresas a criação de uma robusta governança no segmento da segurança da informação, mas aconselha: "Considerando que 75% dos incidentes de segurança são ocasionados por despreparo ou desconhecimento de como agir, é necessário que haja um plano de ação envolvendo treinamentos e conscientização das áreas". 

Certificado de vacina
Em nota, o ministério informou que o ataque "comprometeu temporariamente alguns sistemas da pasta, como o e-SUS Notifica, Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e funcionalidades como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital".

De acordo com a pasta, o Gabinete de Segurança Institucional (GSI) e a Polícia Federal estão cuidando do caso. Não foi informado, porém, quando o portal voltará ao ar.

O ataque sofrido pelo site do ministério foi do tipo "ransomware", que se caracteriza por queda do sistema e exigência de pagamento de resgate para devolução dos dados.

LGPD
No caso do ataque a site de órgãos públicos, como o que ocorreu nesta sexta-feira no portal do Ministério da Saúde, a Lei Geral de Proteção de Dados (LGPD) pode ser aplicada para reparar os danos, explica o especialista em Direito digital e propriedade intelectual Márcio Chaves.

"Felizmente a pressão do governo para ficar de fora do texto da LGPD não prevaleceu, o que faz com que a lei seja plenamente aplicável nos casos de incidentes envolvendo entes públicos, como o Ministério da Saúde. Com a Resolução 1/2021 em vigor, o incidente já pode ser objeto de um procedimento administrativo para apurar as responsabilidades", disse o advogado.

Ele esclarece ainda que neste momento não é possível aplicar as penalidades administrativas, pois ainda não há a metodologia de cálculo das penas. Porém, os titulares afetados podem procurar a reparação dos danos causados.

"Inclusive morais, pela exposição de dados sensíveis, como são os dados da saúde, junto ao Judiciário em ações indenizatórias. É um direito expressamente reconhecido na LGPD", completa.