O sistema do ConecteSus sofreu um tipo de ataque virtual denominado Ransomware, que impede que os dados possam ser acessados. Podemos dizer que é praticamente um sequestro. Os efeitos desse ataque podem ser devastadores, já que em geral esse tipo de processo inviabiliza e interrompe operações essenciais do negócio. Por isso, os criminosos tendem a pedir valores altos de resgate. Para Luiza Leite, advogada especialista em Direito Digital, com o caso é possível notar a falta de cuidado do governo no processo de adequação com a Lei Geral de Proteção de Dados.
Acontece que não é o primeiro o ataque que acontece nos últimos tempos: em novembro do ano passado o STJ sofreu ataque hacker, que forçou o tribunal a suspender as sessões e tirar o site do ar; em setembro deste ano, o site da Anvisa também foi alvo de hackers. O ataque foi do tipo defacement, ou seja, modificação de estética da página web), sem alteração de dados ou impacto nos demais sistemas da Anvisa; além disso, existem páginas criminosas que reúnem dados vazados do CadSUS e INSS e os vendem livremente na internet.
“O que percebemos é que todos esses acessos indevidos aos ambientes tecnológicos dessas entidades, bem como a incapacidade demonstrada para lidar com incidentes de proteção de dados, demonstram uma clara deficiência nos mecanismos de Segurança da Informação utilizados pelo governo”, comentou a advogada Luiza Leite, CEO da startup Dados Legais.
Não é atoa que entre janeiro e agosto deste ano foram mais de 439.000 ataques hackers no Brasil. Com essa marca, o país assumiu a segunda posição entre os maiores alvos globais, atrás apenas dos Estados Unidos, que lidera o ranking com mais de 1,33 milhão, de acordo com o relatório da empresa especializada Netscout.
Um dos pontos que a Lei Geral de Proteção de Dados (LGPD) dispõe é sobre a necessidade dos agentes de tratamento estabelecerem medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de tratamentos ilícitos. “É necessário que os responsáveis tenham uma política de segurança de informação e proteção de dados bem estruturada e que a coloque em prática. Só assim será possível evitar exposições como esta, e consequentemente, a infração da LGPD”, completou Luiza.
