Ciberataque afeta informações de 500 mil pacientes do Isac e leva a investigações em seis estados do Brasil

A Agência Nacional de Proteção de Dados (ANPD) iniciou um procedimento administrativo para apurar possíveis brechas na segurança da informação do Instituto Saúde e Cidadania (Isac), uma organização social que gerencia unidades de saúde em seis estados do Brasil. A investigação foi motivada por um ataque cibernético ocorrido no ano passado, que afetou os dados de cerca de 500 mil pacientes.

A ANPD informou que a invasão resultou em acesso não autorizado a informações extremamente sensíveis, incluindo nomes, datas de nascimento, prontuários médicos, resultados de exames, diagnósticos e outros registros clínicos. Dentre os pacientes impactados, estão 78.772 crianças e adolescentes e 47.921 idosos.

O Isac opera em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Em comunicado oficial, a organização defendeu que não houve vazamento de dados e alegou que o ataque resultou apenas na interrupção temporária dos sistemas, sem indícios de extração ou divulgação das informações.

Investigação aponta falhas na proteção dos dados

As investigações iniciais da ANPD sugerem que o Isac não dispunha de mecanismos adequados para assegurar a proteção das informações armazenadas. Além disso, houve uma falha na comunicação com os titulares dos dados após a ocorrência do incidente.

Fabrício Guimarães, superintendente de Fiscalização da ANPD, ressaltou que as entidades que lidam com dados relacionados à saúde devem seguir rigorosos padrões de segurança da informação devido ao elevado risco associado. Durante a notificação inicial sobre o incidente, o Isac não conseguiu especificar corretamente quantos registros tinham sido afetados nem quais informações poderiam ter sido acessadas pelos hackers, evidenciando vulnerabilidades na sua estrutura de segurança.

Outro aspecto criticado pela fiscalização foi a falta de registros das atividades dos sistemas, conhecidos como logs. Esses registros são considerados fundamentais para rastrear acessos e entender o que ocorreu durante um ataque cibernético.

Ataque utilizou ransomware para sequestrar informações

Os documentos referentes ao processo indicam que o ataque realizado foi do tipo ransomware, em que criminosos sequestram dados e bloqueiam o acesso aos sistemas até que um resgate seja pago.

Conforme apurado pela investigação, os atacantes conseguiram acessar até mesmo os backups armazenados em servidores na nuvem, sequestrando os arquivos originais e interrompendo o acesso às informações pelo Isac.

A ANPD também apontou indícios de que a organização minimizou a seriedade do evento. O instituto não tomou medidas adequadas para proteger as informações pessoais e sensíveis e fez uma comunicação considerada insuficiente aos pacientes afetados, principalmente considerando a presença de dados referentes a crianças, adolescentes e idosos.

Instituto nega vazamento e afirma que reforçou a segurança

Em resposta à imprensa, o Isac reafirmou que não houve vazamento dos dados pessoais e garantiu que o ataque não prejudicou o atendimento aos pacientes nem o funcionamento das unidades sob sua gestão.

Segundo a organização, os sistemas foram restaurados utilizando cópias de segurança disponíveis, sem perda de informações. A entidade informou ainda que notificou proativamente a ANPD sobre o ocorrido e disponibilizou esclarecimentos em seu site oficial.

Além disso, após o incidente, novas medidas de segurança foram implementadas pelo Isac, incluindo aprimoramento no monitoramento dos sistemas e aumento da capacidade de resposta a incidentes cibernéticos.

Se as irregularidades forem confirmadas ao término do processo administrativo, o instituto poderá enfrentar sanções que variam desde advertências até multas que podem chegar a R$ 50 milhões. Há também a possibilidade de restrições na manipulação dos dados pessoais.

Municípios acompanham a investigação

Os municípios com contratos estabelecidos com o Instituto Saúde e Cidadania também foram consultados sobre esta questão. Em Araguaína, no Tocantins – onde o Isac gerencia quatro unidades de saúde – a prefeitura declarou que não recebeu nenhuma notificação oficial sobre um possível vazamento de dados.

A administração municipal afirmou que caso sejam confirmadas irregularidades relacionadas ao incidente adotará todas as providências administrativas e legais necessárias para investigar responsabilidades e assegurar a proteção das informações da população local. A prefeitura enfatizou seu compromisso com a Lei Geral de Proteção de Dados (LGPD).

Previous post Rio de Janeiro inaugura o primeiro Centro de Protonterapia para tratamento do câncer no Brasil com apoio da Finep
Next post Famílias buscam amparo judicial para acesso a medicamento de R$ 30 mil contra Alzheimer através de planos de saúde