No dia 10 de dezembro de 2021, um ataque ao site do Ministério da Saúde tornou o sistema indisponível, afetando principalmente o aplicativo ConecteSUS, responsável pela emissão do Certificado Nacional de Vacinação da COVID-19. Este documento é exigido para acesso a diversos locais públicos, como estabelecimentos comerciais ou viagens. A impossibilidade de acessar os dados de vacinação causaram transtornos ao redor do país, como embarque em viagens e notificação de novos casos e mortes da covid.

A página principal do site reivindicava o ataque pelo Lapsu$ Group. Afirma-se terem copiado e excluído 50tb de dados, assemelhando-se a um ataque de ransomware, um tipo de vírus que tenta sequestrar determinada base de dados. 

A Polícia Federal abriu inquérito e apurou que não houve ataque ransomware, mas sim a indisponibilidade dos serviços e apagão dos dados. Através do Twitter, algumas especialistas se manifestaram afirmando que poderia ser um redirecionamento do DNS  (em inglês, Domain Name System). Dentro da arquitetura de rede da internet, o DNS responsável por “traduzir” um endereço URL e direcioná-lo ao número de IP no qual os dados daquele site se encontram hospedados. Ou seja: os dados não teriam sido apagados, e sim “desencontrados” nos caminhos que originalmente permitiam a integração de bases e sistemas do Ministério da Saúde.

Ainda assim, o incidente é muito grave. Para Márcia Araújo Sabino

[1] [1] Graduada em Direito pela Universidade Federal de Minas Gerais – UFMG (2008). Pós-graduada em Bioética pela Georgetown University/EUA (2011). Mestre em Direito pela Universidade de São Paulo – USP (2012) e Doutora em Saúde Pública, também pela USP (2017). Foi pesquisadora da Escola de Direito de São Paulo da Fundação Getúlio Vargas, ligada ao grupo de Direito dos Negócios. É professora de cursos jurídicos e da área da saúde. Autora de publicações jurídicas no Brasil, Alemanha e Inglaterra. Atuação em Direito Civil e Tributário.Currículo lattes: http://lattes.cnpq.br/6195936073380741

, ainda que a indisponibilidade não afete todo o sistema do SUS, como a regulação de leitos, a notificação de novos casos e acesso aos dados atualizados para fins de tomadas de decisão em políticas de saúde pública têm consequências imediatas no país. Segundo a especialista, isso prejudica “o endereçamento das questões sanitárias que assolam o país e, inclusive, o acompanhamento da pandemia em um momento chave, que é o da entrada e início da disseminação da variante Ômicron no país”.

Para Daniel Dourado

[2] [2] Médico e advogado sanitarista, pesquisador do Centro de Pesquisa em Direito Sanitário da USP e do Institut Droit et Santé da Universidade de Paris.

, a vulnerabilidade dos sistemas e falta de preparo do Ministério é especialmente preocupante em um cenário que discute a unificação do registro de prontuário eletrônico. “Não é possível que um redirecionamento de DNS seja capaz de travar o sistema de informação de um ministério. Isso deveria ser restabelecido em questão de minutos, poucas horas no limite. Já estamos aí a quase 24 horas e os dados não voltaram”.

Os ataques ao Ministério da Saúde não são novidade. Em dezembro de 2020, dados de 243 milhões de pessoas foram expostos em uma falha de segurança; em fevereiro de 2021, a página principal do ministério foi alterada alertando para a fragilidade dos sistemas. Outros ataques, de cunho político, alteraram os dados de Manuela D’Ávila (PCdoB-RS) ex-candidata à vice-Presidência em 2018, e do microbiologista e divulgador científico Atila Iamarino, demonstrando um histórico de falhas de segurança nos sistemas. Para Sabino, isso é um indicativo que, mesmo com a vigência da LGPD, “a segurança de dados não parece estar dentre as prioridades de investimento de governo, tampouco a pasta da Saúde em si, que vem sofrendo sucessivos cortes nos últimos anos”.

Dourado comenta que o ataque foi específico para tornar indisponível o e-SUS e ConecteSUS, que focam na notificação de novos casos e registros da imunização no país. Embora seja apenas uma suspeita, afirma ter sido equivocada a decisão de suspender a exigência de vacinação para entrada no país em decorrência do incidência, uma vez que havia outras formas de confirmar o esquema vacinal que não fossem dependentes do ConecteSUS. Para Dourado, o caso é “mais simbólico, um susto que mostra a fragilidade e um certo amadorismo da condução do ministério. Isso deve estar na ordem do dia de todas as esferas da gestão pública”.

Em entrevista concedida à Associação Data Privacy Brasil de Pesquisa, a ANPD afirmou que “após finalizado o processo de investigação em curso ou  o processo de auditoria, poderemos ter informações sobre as possíveis negligências ou quais foram as medidas adequadas de segurança adotadas pelo Ministério da Saúde” e que “está atuando conforme os ditames da Lei e poderá aplicar sanções, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso”.

Ainda que a campanha de vacinação possa continuar, os incidentes de segurança afetam diretamente a logística da distribuição das doses em um momento crucial para o país. Além disso, a indisponibilidade dos sistema pode comprometer outros serviços públicos do SUS, como cirurgias e atendimentos médicos, afetando diretamente a população brasileira. Com a vigência da LGPD e a ANPD estruturada, os próximos passos a serem tomadas serão fundamentais para entender como as instituições irão apurar o caso.

 

Foto: Geraldo Magela/Agência Senado

Veja também

Veja Também