O dia de hoje (26) foi marcado por mais um incidente envolvendo exposição de dados sensíveis na internet. Um cientista de dados do Hospital Albert Einstein, que trabalhava em um projeto em conjunto com o Ministério da Saúde, expôs dados pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19. Estima-se que pelo menos 16 milhões de pessoas tiveram seus dados pessoais expostos.
Com acesso privilegiado, o profissional fez “commit no GitHub” das pastas do código fonte que ele estava trabalhando. Dentro de uma destas pastas, havia uma planilha com senhas de acesso ao sistema do Ministério da Saúde. Com essas senhas, era possível acessar registros relacionados à Covid-19 em dois sistemas do governo federal: um com notificações de casos suspeitos e confirmados da doença e outro com as internações por síndrome respiratória aguda grave (SRAG), além de dados pessoais como CPF, endereço, telefone e doenças preexistentes.
A plataforma GitHub é um espaço aberto para programadores e cientistas de dados compartilharem códigos de programação. Segundo o profissional, o intuito era a realização de um teste na implementação de um modelo do projeto, porém esqueceu de remover o arquivo da página pública.
Em nota oficial, o Hospital Albert Einstein informou que tomou conhecimento do caso e que já tomou as providências, entre elas, o desligamento do funcionário por “por ter infringido as normas internas adotadas para garantir proteção e segurança de dados”.
Já o Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi – SUS (Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde), para esclarecimento dos fatos.
Opinião dos líderes de Segurança
Para Paulo Condutta, CISO da Ourinvest, o vazamento ocorreu por falta de controle de quem detém o acesso e privilégios associados ao colaborador. “Nesse caso, o funcionário que vazou os dados era um cientista de dados. Ele só poderia ter acesso às informações de forma anonimizada”, explica.
Outro ponto destacado por Condutta é o limite de acesso em função do escopo e necessidade da função do colaborador. “Há necessidade de ele ter acesso a toda base de forma irrestrita? Histórico médico e outros?”, questiona o CISO.
Na opinião de Condutta, no caso específico, há três fatores responsáveis pelo incidente: a segurança, a privacidade e o fator comportamental. “A Segurança por não ter efetuado o controle necessário, a privacidade pela não anonimização e o comportamental pela ação partir de alguém que recebeu o poder de ter a informação. Mas o incidente deve ser classificado pela área de Privacidade”, completa.
Marcelo Miola, CISO do Grupo Boticário, ressalta a importância de se refletir sobre casos como esse e repensar as melhores práticas. “Enquanto nós aqui, responsáveis pela Segurança da Informação das maiores empresas deste país, não pararmos para refletir sobre os cases e trocarmos experiências sobre melhores práticas, condução dos incidentes, responsabilização, etc, ficaremos cada vez mais atrás de culpados em vez de resolver o problema”, defende.
Privacidade
Sobre esse caso, a Lei Geral de Proteção de Dados Pessoais (LGPD) prevê multas se uma empresa não proteger os dados pessoais do cidadão, que é o cliente. A reportagem da Security Report também conversou com o advogado Guilherme Guimarães, que atua na área de direito digital e é especialista em segurança da Informação. Ele explica que sob os olhos da LGPD, somente pessoas jurídicas de direito privado poderiam ser penalizadas.
“Até o ano de 2021 estão suspensas a aplicação das penalidades. Mas, se fosse possível, o §3º do art. 52 da LGPD não prevê a aplicação da multa simples e/ou diária sobre as entidades e aos órgãos públicos. Desse modo, somente as pessoas jurídicas de direito privado poderiam ser penalizadas. Todavia, existe a possibilidade de as ações serem movidas pelos titulares, caso seja comprovado que o tratamento foi irregular, isto é, deixaram de observar a legislação ou não forneceram a segurança que o titular dele poderia esperar’’ diz o advogado.
Guilherme Guimarães explica também que anonimizar não é aconselhável neste caso, pois o propósito dos dados seria comprometido, mas ele destaca que o uso de criptografia seria altamente recomendável.
“Primeiramente, se foi realizado o mapeamento dos processos contendo dados pessoais, essa planilha deveria ter sido considerada como um ativo crítico. Desse modo, caberia ao Encarregado ter o mapeamento atualizado com a localização precisa da planilha contendo os referidos dados pessoais e o seu respectivo gestor, pois, assim, teria sob seu controle esses ativos”.
Na opinião dele, o profissional falhou fragorosamente na sua função, pois não seguiu as políticas internas para manter a segurança dos dados. E ele destaca as lições que devem ser tomadas dentro desse caso.
“As empresas devem investir nas capacitações sobre segurança da informação e na adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e, especialmente, de situações como a experimentada pelas referidas entidades. Além disso, os gestores das áreas das organizações devem manter sempre atualizado o mapeamento dos dados pessoais para que o Encarregado possa efetuar a gestão correta das informações e aplicar e/ou aumentar a proteção dos ativos quando necessário”, conclui o advogado.
Nota do Hospital Albert Einstein:
“São Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada.
Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.
O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.
A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados.”
Nota do Ministério da Saúde
“O Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no âmbito das medidas de segurança do ministério, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica.
O Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores – e não do sistema.
O Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha. É importante ressaltar que os dados não são de fácil acesso, uma vez que apenas login e senha não são suficientes para se chegar às informações contidas nos bancos de dados – e sim um conjunto de fatores técnicos. O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informação assinam termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas.”
