O vazamento de dados no SUS demonstra que os fundamentos mais elementares de segurança das informações foram ignorados.

Senhas

O jornal Estadão publicou em sua edição de 26/11/2020, matéria sobre o vazamento de senhas contida em uma planilha de dados do Ministério da Saúde. Segundo o artigo, as senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país. Ainda segundo a matéria, as senhas foram publicadas no GitHub, uma plataforma de hospedagem de código fonte, em 28/10/2020.

Ainda segundo as informações obtidas, a falha de segurança aconteceu devido a um erro cometido por um Cientista de Dados, contratado pelo Hospital Albert Einstein para executar um projeto em convênio com o Ministério da saúde. Ou seja, este vazamento pode ser creditado a uma falha humana – uso indevido de senhas por um profissional, contratado, teoricamente ciente das implicações de uso inadequado de dados confidenciais.

 

As informações prestadas pelo Hospital e pelo Ministério da saúde não permitem uma análise objetiva da cadeia de fatos que provocou o incidente de segurança, mas como em todos os incidentes graves, este provavelmente foi ocasionado por um um conjunto de falhas:

a) Guarda inadequada de credenciais de acesso – definitivamente, planilhas não são o lugar adequado para a guarda de credenciais (códigos de usuários e senhas) de acesso a dados sensíveis. Muito menos deveriam ser publicadas em locais de acesso público.

b) Falhas na gestão dos direitos de acesso – O acesso a uma base de informações tão grande e sensível deveria estar submetido a um processo de gestão de acessos que garantisse que apenas um grupo restrito de pessoas tivesse acesso às informações, oferecendo em contrapartida um conjunto bastante rígido de garantias de proteção. É no mínimo temerário que um profissional contratado tenha direito de acesso a tantas informações, aparentemente, sem controles, trilhas de auditoria e monitoração.

c) Uso indevido de dados sensíveis – considerando que este profissional estivesse desenvolvendo algum modelo de análise de dados, seria de se esperar que a base de informações fosse anonimizado, de forma a proteger os proprietários das informações. A anonimização é uma premissa fundamental para a utilização de informações em bases analíticas.

d) Falhas de Accountability – evidentemente, uma falha desta natureza deveria envolver mais que apenas as assessorias de imprensa do hospital e do Ministério da Saúde. Demitir o funcionário contratado não garante que novas falhas com a mesma ou maior gravidade não venham a acontecer no futuro.

Está em jogo a credibilidade de um hospital de primeira linha e de uma instituição pública responsável por zelar pela saúde e bem estar de milhões de cidadãos.

LGPD

Em resumo, nenhuma ferramenta, manual ou termo de responsabilidade, por si, garante que as boas práticas previstas na Lei Geral de Proteção de Dados sejam aplicadas com a eficiência e o rigor necessários.

Esta responsabilidade é principalmente dos Gestores, em todos os níveis, que devem patrocinar uma estratégia de Segurança das Informações, assegurar que os processos estejam adequados aos requerimentos de segurança e sejam cumpridos, avaliados auditados e revisados periodicamente para a correção das não conformidades.

Visite o nosso Blog e saiba mais sobre Segurança das Informações