Marcello Casal Jr./Agência Brasil
Marcello Casal Jr./Agência Brasil

Ataque hacker expõe Saúde como ministério da insegurança informacional; leia análise

Exige-se avaliação parlamentar à altura e atuação da Autoridade de Proteção de Dados

Rafael Zanatta*, O Estado de S.Paulo

11 de dezembro de 2021 | 05h00

Apesar da alta capacidade de seu corpo técnico e da exitosa campanha de vacinação por meio do SUS, o Ministério da Saúde tem despontado como uma das unidades governamentais mais problemáticas quando se trata de elementos basilares de segurança da informação e proteção de dados pessoais.

Se em dezembro de 2020 falhou ao permitir uma série de vulnerabilidades que habilitaram acesso indevido aos dados de saúde da população — “dados sensíveis” na terminologia da Lei Geral de Proteção de Dados Pessoais (LGPD) —, ontem o ministério foi alvo de ataque de “pixação” por meio do redirecionamento dos nomes de domínio (DNS), que deslocou o tráfego para uma página onde se exibia possível ameaça de ataques de criptografia e potencial destruição de dados de milhões de brasileiros.

A Polícia Federal anunciou, no fim da tarde, que identificou a conta de quem tinha as credenciais para mudar o DNS e não houve ataque por encriptação de dados. Mas o debate não pode girar em torno de uma ou outra pessoa ou se foi “menos grave” por não ter havido destruição. Evidente que há ilícito por um ou mais indivíduos, a ser apurado e convertido em processo penal. Mas há também violação permanente da LGPD, por condutas negligentes reiteradas ou por práticas precárias de segurança da informação que colidem com o princípio da prevenção, por parte do ministério. Isso sem contar casos bizarros onde há adulteração de dados pessoais de cidadãos no sistema SUS, em brutal violação do princípio da qualidade dos dados, assegurada na LGPD.

Os danos sociais são múltiplos e precisam ser considerados. Possivelmente haverá atrasos na atualização de dados de covid em sistemas que dependiam de comunicação com o servidor do SUS, como e-SUS Notifica. Houve ainda danos para aqueles que precisavam acessar a Carteira Nacional de Vacinação e não conseguiram emitir o certificado, justamente no momento onde há riscos com a expansão da Ômicron. A gravidade do caso exige avaliação parlamentar à altura – audiências públicas ou mesmo CPI –, além de atuação incisiva da Autoridade Nacional de Proteção de Dados Pessoais, devidamente instaurada e com corpo técnico experiente. É hora do basta à tamanha insegurança informacional.

*DIRETOR DA ASSOCIAÇÃO DATA PRIVACY BRASIL DE PESQUISA

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.