Insegurança informacional no Ministério da Saúde e a proteção de dados pessoais
Ataque hacker sofrido pelo Ministério, que comprometeu diversos sistemas da pasta incluindo a emissão do Certificado Nacional de Vacinação da COVID-19, escancara insegurança informacional dos órgãos públicos brasileiros
No dia 10 de dezembro de 2021, um ataque ao site do Ministério da Saúde tornou o sistema indisponível, afetando principalmente o aplicativo ConecteSUS, responsável pela emissão do Certificado Nacional de Vacinação da COVID-19. Este documento é exigido para acesso a diversos locais públicos, como estabelecimentos comerciais ou viagens. A impossibilidade de acessar os dados de vacinação causaram transtornos ao redor do país, como embarque em viagens e notificação de novos casos e mortes da covid.
A página principal do site reivindicava o ataque pelo Lapsu$ Group. Afirma-se terem copiado e excluído 50tb de dados, assemelhando-se a um ataque de ransomware, um tipo de vírus que tenta sequestrar determinada base de dados.
A Polícia Federal abriu inquérito e apurou que não houve ataque ransomware, mas sim a indisponibilidade dos serviços e apagão dos dados. Através do Twitter, algumas especialistas se manifestaram afirmando que poderia ser um redirecionamento do DNS (em inglês, Domain Name System). Dentro da arquitetura de rede da internet, o DNS responsável por “traduzir” um endereço URL e direcioná-lo ao número de IP no qual os dados daquele site se encontram hospedados. Ou seja: os dados não teriam sido apagados, e sim “desencontrados” nos caminhos que originalmente permitiam a integração de bases e sistemas do Ministério da Saúde.
Ainda assim, o incidente é muito grave. Para Márcia Araújo Sabino
[1] [1] Graduada em Direito pela Universidade Federal de Minas Gerais – UFMG (2008). Pós-graduada em Bioética pela Georgetown University/EUA (2011). Mestre em Direito pela Universidade de São Paulo – USP (2012) e Doutora em Saúde Pública, também pela USP (2017). Foi pesquisadora da Escola de Direito de São Paulo da Fundação Getúlio Vargas, ligada ao grupo de Direito dos Negócios. É professora de cursos jurídicos e da área da saúde. Autora de publicações jurídicas no Brasil, Alemanha e Inglaterra. Atuação em Direito Civil e Tributário.Currículo lattes: http://lattes.cnpq.br/6195936073380741, ainda que a indisponibilidade não afete todo o sistema do SUS, como a regulação de leitos, a notificação de novos casos e acesso aos dados atualizados para fins de tomadas de decisão em políticas de saúde pública têm consequências imediatas no país. Segundo a especialista, isso prejudica “o endereçamento das questões sanitárias que assolam o país e, inclusive, o acompanhamento da pandemia em um momento chave, que é o da entrada e início da disseminação da variante Ômicron no país”.
Para Daniel Dourado
[2] [2] Médico e advogado sanitarista, pesquisador do Centro de Pesquisa em Direito Sanitário da USP e do Institut Droit et Santé da Universidade de Paris., a vulnerabilidade dos sistemas e falta de preparo do Ministério é especialmente preocupante em um cenário que discute a unificação do registro de prontuário eletrônico. “Não é possível que um redirecionamento de DNS seja capaz de travar o sistema de informação de um ministério. Isso deveria ser restabelecido em questão de minutos, poucas horas no limite. Já estamos aí a quase 24 horas e os dados não voltaram”.
Os ataques ao Ministério da Saúde não são novidade. Em dezembro de 2020, dados de 243 milhões de pessoas foram expostos em uma falha de segurança; em fevereiro de 2021, a página principal do ministério foi alterada alertando para a fragilidade dos sistemas. Outros ataques, de cunho político, alteraram os dados de Manuela D’Ávila (PCdoB-RS) ex-candidata à vice-Presidência em 2018, e do microbiologista e divulgador científico Atila Iamarino, demonstrando um histórico de falhas de segurança nos sistemas. Para Sabino, isso é um indicativo que, mesmo com a vigência da LGPD, “a segurança de dados não parece estar dentre as prioridades de investimento de governo, tampouco a pasta da Saúde em si, que vem sofrendo sucessivos cortes nos últimos anos”.
Dourado comenta que o ataque foi específico para tornar indisponível o e-SUS e ConecteSUS, que focam na notificação de novos casos e registros da imunização no país. Embora seja apenas uma suspeita, afirma ter sido equivocada a decisão de suspender a exigência de vacinação para entrada no país em decorrência do incidência, uma vez que havia outras formas de confirmar o esquema vacinal que não fossem dependentes do ConecteSUS. Para Dourado, o caso é “mais simbólico, um susto que mostra a fragilidade e um certo amadorismo da condução do ministério. Isso deve estar na ordem do dia de todas as esferas da gestão pública”.
Em entrevista concedida à Associação Data Privacy Brasil de Pesquisa, a ANPD afirmou que “após finalizado o processo de investigação em curso ou o processo de auditoria, poderemos ter informações sobre as possíveis negligências ou quais foram as medidas adequadas de segurança adotadas pelo Ministério da Saúde” e que “está atuando conforme os ditames da Lei e poderá aplicar sanções, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso”.
Ainda que a campanha de vacinação possa continuar, os incidentes de segurança afetam diretamente a logística da distribuição das doses em um momento crucial para o país. Além disso, a indisponibilidade dos sistema pode comprometer outros serviços públicos do SUS, como cirurgias e atendimentos médicos, afetando diretamente a população brasileira. Com a vigência da LGPD e a ANPD estruturada, os próximos passos a serem tomadas serão fundamentais para entender como as instituições irão apurar o caso.
Foto: Geraldo Magela/Agência Senado
Veja também
-
Como construir uma identidade digital conjunta e inclusiva? Lançando as bases para uma ID cidadã
Você sabe o que é uma identidade? Pensando em facilitar o acesso ao tema, a Data Privacy Brasil desenvolveu uma série de conteúdos para dar as bases e as ferramentas necessárias a todos os interessados no assunto. Com isso, conseguiremos discutir, enquanto comunidade, o que queremos com uma identidade digital e como podemos chegar lá.
-
Data Privacy Brasil participa de evento inaugural do T20
Entre 4 e 6 de março, o Comitê Organizador do T20 Brasil - composto por CEBRI, FUNAG e IPEA - realizou o primeiro evento oficial do grupo de engajamento. O evento aconteceu de modo completamente virtual e teve transmissão aberta ao público.
-
Mesa Redonda Regional da América Latina e Caribe sobre Fragmentação da Internet e Soberania Digital
A Data Privacy Brasil, com o apoio da Global Partners Digital, promove no dia 12 de março a mesa redonda “Latin American & Caribbean Regional Roundtable on Internet Fragmentation and Digital Sovereignty”.
-
Transformação Digital Inclusiva no T20
O ano de 2024 marca a presidência do Brasil no G20, grupo das maiores economias do mundo, presidido por nós pela primeira vez. É um ano, portanto, de uma grande oportunidade para o país influenciar uma ampla agenda de governança global, priorizando temas como desigualdade, mudanças climáticas, e claro, as transformações digitais.
-
Data Privacy Brasil no T20: Transformação Digital Inclusiva
O Grupo dos 20, também denominado de G20, é um dos principais fóruns de cooperação econômica mundial, desempenhando um papel fundamental no enfrentamento de grandes questões socioeconômicas mundiais. O G20 é composto por 19 países e dois órgãos regionais (União Africana e União Europeia).
-
UNIDIR publica documento sobre fragmentação da Internet e cibersegurança
No dia 6 de dezembro, um primer sobre fragmentação da Internet e cibersegurança foi publicado através do Instituto das Nações Unidas para Pesquisa sobre o Desarmamento (UNIDIR). O documento surge como primeiro resultado de um estudo em duas partes sobre os tópicos em questão que vem sendo conduzido pelos pesquisadores do programa.
-
Data Privacy Brasil, Paradigm Initiative and Aapti Institute announce the launch of the “Datafication and Democracy Fund”
The fund aims to finance activities that strengthen the work of NGOs in the Global South on issues of datafication and democracy
-
Recentering User Needs in Digital Financial Infrastructures: The Global South Way
Through India’s G20 leadership in 2023, global agendas of digital transformation and financial growth have come to be intimately reoriented to challenges, priorities and special developments in the Global South.
Veja Também
-
Como construir uma identidade digital conjunta e inclusiva? Lançando as bases para uma ID cidadã
Você sabe o que é uma identidade? Pensando em facilitar o acesso ao tema, a Data Privacy Brasil desenvolveu uma série de conteúdos para dar as bases e as ferramentas necessárias a todos os interessados no assunto. Com isso, conseguiremos discutir, enquanto comunidade, o que queremos com uma identidade digital e como podemos chegar lá.
-
Mesa Redonda Regional da América Latina e Caribe sobre Fragmentação da Internet e Soberania Digital
A Data Privacy Brasil, com o apoio da Global Partners Digital, promove no dia 12 de março a mesa redonda “Latin American & Caribbean Regional Roundtable on Internet Fragmentation and Digital Sovereignty”.
-
Transformação Digital Inclusiva no T20
O ano de 2024 marca a presidência do Brasil no G20, grupo das maiores economias do mundo, presidido por nós pela primeira vez. É um ano, portanto, de uma grande oportunidade para o país influenciar uma ampla agenda de governança global, priorizando temas como desigualdade, mudanças climáticas, e claro, as transformações digitais.
-
Data Privacy Brasil no T20: Transformação Digital Inclusiva
O Grupo dos 20, também denominado de G20, é um dos principais fóruns de cooperação econômica mundial, desempenhando um papel fundamental no enfrentamento de grandes questões socioeconômicas mundiais. O G20 é composto por 19 países e dois órgãos regionais (União Africana e União Europeia).
-
UNIDIR publica documento sobre fragmentação da Internet e cibersegurança
No dia 6 de dezembro, um primer sobre fragmentação da Internet e cibersegurança foi publicado através do Instituto das Nações Unidas para Pesquisa sobre o Desarmamento (UNIDIR). O documento surge como primeiro resultado de um estudo em duas partes sobre os tópicos em questão que vem sendo conduzido pelos pesquisadores do programa.
-
Data Privacy Brasil, Paradigm Initiative and Aapti Institute announce the launch of the “Datafication and Democracy Fund”
The fund aims to finance activities that strengthen the work of NGOs in the Global South on issues of datafication and democracy
-
Recentering User Needs in Digital Financial Infrastructures: The Global South Way
Through India’s G20 leadership in 2023, global agendas of digital transformation and financial growth have come to be intimately reoriented to challenges, priorities and special developments in the Global South.
-
Na UNCTAD eWeek, painel da Data Privacy Brasil discutirá a intersecção entre economia digital e direitos humanos na regulação de IA
Entre os dias 4 e 8 de dezembro, acontecerá a primeira edição da UNCTAD eWeek, iniciativa da Conferência das Nações Unidas para o Comércio e Desenvolvimento (UNCTAD), com parceiros da eTrade for all.
-
Empowering the Global South: Seizing the Opportunity for Digital Rights Governance in G20 and Beyond
The G20 represents a critical policy space for addressing emergent challenges on a global scale and its importance as a platform is pronounced when we consider its significance for the Global South.
-
IGF 2023 e os futuros possíveis para a governança da Internet
Entre os dias 08 e 12 de outubro, a Data Privacy Brasil participou, presencialmente, do 18º Internet Governance Forum (IGF). A edição deste ano aconteceu em Quioto, no Japão, e reuniu diversos atores em debates sobre os principais temas que concernem a governança da Internet globalmente.
-
Pesquisa destaca o envolvimento do Sul Global na formulação de políticas para direitos digitais
A Associação Data Privacy Brasil de Pesquisa anuncia o lançamento de um relatório de pesquisa sobre as experiências e expectativas do Sul Global em engajamentos internacionais no campo de direitos digitais. O lançamento ocorreu durante a 18ª reunião anual do Internet Governance Forum (IGF), em Kyoto.
-
No Fórum Público da OMC, Data Privacy Brasil e REBRIP vão discutir a intersecção entre regulação de IA e compromissos de comércio digital envolvendo código fonte e algoritmos
O Fórum Público da OMC 2023 ocorrerá entre os dias 12 e 15 de setembro em Genebra.
-
Reportagem completa – Pecuária ilegal pode ser considerada uma das principais motivações para invasão e exploração de terras indígenas no Brasil
O país é um dos maiores produtores e exportadores de carne do mundo. O crescimento da pecuária bovina apresenta forte ligação com o cerceamento aos direitos dos povos tradicionais
-
Pecuária ilegal pode ser considerada uma das principais motivações para a invasão e exploração de terras indígenas no Brasil
Confira a reportagem resultado da bolsa de jornalismo ofertada pela Data Privacy Brasil de Pesquisa, como parte do projeto “Ambiente e informação: contestando a instrumentalização da política da LGPD na regulação ambiental”.
-
Data Privacy Brasil envia contribuição ao Comitê de Direitos Humanos da ONU
Em conjunto com Privacy International e InternetLab, a Associação destacou violações à proteção de dados de crianças e adolescentes no contexto escolar.
-
Vaga de Consultoria em Pesquisa com Crianças e Adolescentes
A Associação Data Privacy Brasil de Pesquisa torna público o edital com inscrições até o dia 07 de agosto de 2023.
-
Contribuição | Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais
Confira a contribuição da Associação Data Privacy Brasil de Pesquisa e Data Privacy Brasil Ensino a Tomada de Subsídios da Autoridade Nacional de Proteção de Dados.
-
A honra de quem desmata versus a proteção ambiental
Pesquisa realizada pela Associação Data Privacy Brasil de Pesquisa aponta como a LGPD tem sido utilizada para impedir o acesso a dados relacionados a questões ambientais.
-
Data Privacy Brasil’s contribution to the Thematic Deep Dive of Artificial Intelligence and other Emerging Technologies of the Global Digital Compact
As other civil society organizations already pointed out, notable preference was given to the speech of Member States, UN agencies, and the private sector, at the expense of human rights civil society organizations, which prevented the speech that had been prepared by the DBPR and other civil society stakeholders.
-
Nota pública sobre apresentação do projeto de lei de Inteligência Artificial
Saiba mais sobre o posicionamento da Associação Data Privacy Brasil de Pesquisa em relação ao Projeto de Lei n° 2338/2023 apresentado no último dia 03 de maio pelo senador Rodrigo Pacheco.
-
Associação Data Privacy Brasil de Pesquisa realiza evento “Dados pessoais e controle de políticas ambientais: caminhos para a transparência pública”
Evento realizado na sede do Data no âmbito do projeto "Ambiente e informação: contestando a instrumentalização política da LGPD na regulação ambiental", financiado pelo Instituto Clima e Sociedade (iCS).
-
Southern Alliance for the Global Digital Compact
Atendendo ao chamado realizado pela Organização das Nações Unidas, a Associação Data Privacy Brasil de Pesquisa em conjunto com organizações do Sul Global apresenta contribuição ao Pacto Global Digital.
-
Associação Data Privacy Brasil de Pesquisa envia contribuição para ONU na chamada sobre novas tecnologias
Recebemos a chamada como uma oportunidade para enviar sugestões a fim de informar o relatório do OHCHR sobre a relação entre os direitos humanos e os processos de definição de padrões técnicos para novas e emergentes tecnologias digitais.
-
Associação Data Privacy Brasil participa do grupo de engajamento da sociedade civil do G20
Veja como a Associação Data Privacy Brasil de Pesquisa tem buscado se engajar com o C20, tanto para conhecer mais das propostas que estão sendo trazidas ao grupo em nível internacional, quanto para contribuir com pesquisas e advocacy que temos realizado no Brasil recentemente.
-
União Internacional de Telecomunicações – Relatório do segundo workshop da série Datafication and Democracy
In the second meeting of the Datafication and Democracy Workshop Series, we received Raquel Renno, Digital Programme Officer of Article 19, who spoke about the International Telecommunication Union (ITU) for third sector organizations.
-
Brasil busca retomada do protagonismo na governança da Internet em evento da UNESCO
Leia o relato das representantes da Associação Data Privacy Brasil de Pesquisa, que fizeram parte da delegação brasileira no Internet for Trust.
-
Associação Data Privacy Brasil de Pesquisa participa da Reunião Ministerial da OCDE sobre economia digital
Evento teve como principal tema de debate os caminhos para um futuro inclusivo no ambiente virtual
-
Vamos ficar de olho no Pacto Global Digital
O que é o Pacto Global Digital e por quê é importante ficar atento a ele?
-
Why should we all pay attention to the Brazilian Digital ID system?
The implementation of digital identity systems is increasing around the world, especially in Global Southern countries. The model widely adopted is known as Big ID, promoted by or linked to public administration bodies which use centralized biometric databases to identify and authenticate citizens (Access Now, 2021).
-
Associação Data Privacy Brasil de Pesquisa lança edital de bolsas de Tecnoinvestigação em parceira com o The Intercept Brasil
Projeto, feito em conjunto com Conectas e Data Labe, selecionou quatro bolsistas para realizar a produção de reportagens sobre Tecnoautoritarismo
-
A LGPD no Congresso após 4 anos de promulgação de 2 anos de vigência
Surgimento da lei e a modificação do contexto brasileiro de proteção de dados foram acompanhados de perto pela Associação Data Privacy Brasil de Pesquisa
-
Degustação de dados pessoais de cidadãos brasileiros por bancos na mira do Ministério Público Federal
Após recurso apresentado pela Coalizão Direitos na Rede, “degustação experimental” de dados pessoais por associações bancárias será investigada
-
Cooperação internacional em proteção de dados: conhecendo a Rede Iberoamericana de Proteção de Dados e seu Fórum da Sociedade Civil
Organização busca estabelecer o desenvolvimento de uma agenda sólida de proteção de direitos digitais no Sul Global
-
13º Seminário de Proteção à Privacidade e aos Dados Pessoais
Painel sobre pesquisa “Privacidade e proteção de dados pessoais 2021” (CETIC)
-
Data Privacy Brasil submete contribuição à tomada de subsídios da Autoridade Nacional de Proteção de Dados sobre transferência internacional de dados
Colaboração busca contribuir com o desenvolvimento do debate acerca do tema
-
Data Privacy Brasil participa da CPDP 2022
Evento reuniu especialistas de todo o mundo para debater os atuais desafios do campo da privacidade e da proteção de dados
-
Organização Mundial do Comércio realiza a sua 12ª Conferência Ministerial
A cobertura do evento, dedicado a acordos e negociações envolvendo comércio internacional, foi acompanhada pela Associação Data Privacy Brasil de Pesquisa.
-
Alguns significados do anúncio do Global CBPR Forum para a agenda de dados e comércio
Estabelecimento do Fórum busca unir abordagens regulatórias e estabelecer um sistema de certificação para empresas que desejam demonstrar conformidade com os regulamentos de proteção de dados em todo o mundo
-
Interface entre dados e comércio foi tema central da UNCTAD e-commerce week 2022
Evento buscou colocar em pauta os principais debates sobre direitos digitais, comércio internacional e desenvolvimento global
-
Data Privacy Brasil participa do webinário “Microdados educacionais e a LGPD: Impactos e aspectos legais”
Evento buscou abordar as mudanças realizadas pelo INEP na divulgação de metadados
-
PL 454/22: Assim como a transparência na educação, proteção de dados de crianças e adolescentes também é prioridade absoluta
Coalizão Direitos nas Redes destaca que discussão em torno dos direitos digitais de crianças e adolescentes deve ser realizada de maneira técnica pelas autoridades e com participação da sociedade civil
-
Álbuns de suspeitos e a regulação do ciclo de vida dos dados
Prática de reconhecimento de possíveis criminosos utilizada em delegacias brasileiras viola o direito constitucional à intimidade
-
Comissão de juristas responsável pela criação do projeto de regulação da Inteligência Artificial no Brasil é instalada no Senado
Grupo de especialistas tem prazo de 120 dias para apresentar proposta ao Congresso Nacional
-
Ativistas latino-americanos fazem balanço sobre proteção de dados pessoais na Bolívia
Evento realizado na Bolívia foi guiado pelo contexto cada vez mais datificado da América do Sul
-
A Convenção de Crimes Cibernéticos da ONU e a guerra entre Rússia e Ucrânia
Inicio das atividades do Comitê de Convenção de Cibercrimes da ONU é marcado pelo clima diplomático instável
-
Nova Carteira de Identidade Nacional é apresentada pelo Governo Federal
Lançamento do documento esbarra na iniciativa do TSE, iniciada em 2017, de implementar o Documento Nacional de Identificação (DNI)
-
Comitê da ONU inicia discussões para Convenção Internacional de Crimes Cibernéticos #UNCyberCrime
Os debates que serão realizados pela comissão procuram um caminho para facilitar a cooperação internacional no combate a crimes na internet
-
Associação Data Privacy Brasil participa do evento Critical Juncture For Global Privacy: EU, Asia and Beyond
Encontro abordou os diferentes caminhos de elaboração e execução das leis de proteção de dados
-
Data Privacy Brasil solicita ao MPF investigação sobre sistema de vigilância utilizado pelo governo federal
Representação elaborada em conjunto com Conectas, Transparência Internacional e Artigo 19 demanda averiguação da atuação do Ministério da Justiça
-
Conectas e Data Privacy Brasil lançam a 31° edição da Revista Sur
Publicação proporciona debates a respeito dos impactos da pandemia sobre os direitos coletivos e liberdades individuais no Sul Global
-
Associação Data Privacy brasil de pesquisa é finalista da 3° edição do prêmio Livre.Jor
Relatório elaborado por meio da plataforma Dados Virais foi indicado na categoria Rastilho
-
Mais de 100 organizações pedem participação e inclusão em Comitê sobre cibercrimes da ONU
Documento enviado à ONU busca combater o uso de tecnologias com finalidades criminosas e garantir direitos digitais a todas as pessoas
-
Data Privacy organiza painel sobre tecnoautoritarismo no Fórum de Governança da Internet
Conferência buscou debater a ascensão de práticas autoritárias por meio da tecnologia
-
Decifrando a mensagem do caso Whatsapp enviado pelo grupo de autoridades brasileiras
Nova política de privacidade do whatsapp gera reação conjunta de órgãos públicos.
-
Data Privacy participa de audiência pública sobre crimes cibernéticos e proteção de dados
Seminário virtual buscou debater o papel do legislativo brasileiro no combate a crimes virtuais.
-
12° Seminário de Privacidade e Proteção de Dados do CGI.br: um balanço da LGPD e olhares prospectivos a partir da lógica multissetorial
12° Seminário de Privacidade e Proteção aos Dados Pessoais do CGI.br traz balanço da LGPD e olhares para o futuro
-
Data Privacy participa de painel sobre futuro da economia digital cooperativa
Evento internacional debate cooperativismo de plataforma no mundo digital.
-
Data Privacy participa do evento China In The World Summit
Evento internacional discute influência chinesa por meio de pesquisas.
-
LGPD faz três anos e debate sobre privacidade e proteção de dados no Congresso não tem hora para acabar
A PEC 17/2019, que dentre outras coisas torna a proteção de dados pessoais um direito fundamental explicitamente reconhecido pela Constituição Federal, está na pauta do Plenário da Câmara dos Deputados. Aprovado há mais de um ano na Comissão Especial destinada a analisar a PEC, o parecer na forma de substitutivo do relator, deputado Orlando Silva, também envolve […]
-
LGPD e sistema de justiça: a voz e a vez das Defensorias Públicas
* Texto originalmente publicado no site Jota, este artigo contempla alguns dos principais achados do Guia de Primeiros Passos para a Adequação das Defensorias à LGPD, documento produzido pela Associação Data Privacy Brasil após mais de um ano do projeto Defensorias Públicas e Proteção de Dados Pessoais. Desde sua entrada em vigor em setembro de 2020, a LGPD tem […]
-
Levando os metadados a sério
No artigo “Vigilância em massa ou combate à desinformação: o dilema do rastreamento“, publicado no Conjur em 04 de agosto, Juliana Abrusio, Ricardo Campos, Matthias Kettemann e Florian Wittner apresentam uma defesa do polêmico artigo 10 do PL 2630/2020. Trata-se do artigo que prevê a rastreabilidade das mensagens de grupos de Whatsapp e Telegram, desde […]
DataPrivacyBr Research | Conteúdo sob licenciamento CC BY-SA 4.0