Ataque hacker que compromete dados de 500 mil pacientes do Isac é investigado em seis estados brasileiros

A Autoridade Nacional de Proteção de Dados apura possíveis falhas de segurança do Instituto Saúde e Cidadania após ataque cibernético que afetou informações sensíveis de pacientes, incluindo crianças e idosos.

A Agência Nacional de Proteção de Dados (ANPD) abriu um processo administrativo para investigar possíveis falhas na segurança da informação do Instituto Saúde e Cidadania (Isac), organização social responsável pela gestão de unidades de saúde em seis estados brasileiros. A apuração ocorre após um ataque hacker registrado no ano passado, que comprometeu dados de aproximadamente 500 mil pacientes.

Segundo a ANPD, o incidente envolveu o acesso indevido a informações altamente sensíveis, como nome, data de nascimento, prontuários médicos, exames, diagnósticos e outros registros clínicos. Entre os pacientes afetados estão 78.772 crianças e adolescentes e 47.921 idosos.

O Isac atua em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Em nota, a instituição afirma que não houve vazamento de dados e que o ataque provocou apenas a indisponibilidade temporária dos sistemas, sem evidências de extração ou divulgação das informações.

Investigação aponta falhas na proteção dos dados

De acordo com a ANPD, as apurações preliminares indicam que o instituto não possuía mecanismos suficientes para garantir a segurança das informações armazenadas. Além disso, a organização teria falhado na comunicação aos titulares dos dados após o incidente.

O superintendente de Fiscalização da ANPD, Fabrício Guimarães, destacou que instituições responsáveis pelo tratamento de dados de saúde devem adotar os mais elevados padrões de segurança da informação devido ao elevado risco envolvido.

Segundo ele, durante a comunicação inicial do incidente, o instituto não conseguiu informar com precisão a quantidade de registros afetados nem quais informações poderiam ter sido acessadas pelos criminosos, demonstrando fragilidades na estrutura de segurança.

Outro ponto apontado pela fiscalização foi a ausência de registros de atividades dos sistemas, conhecidos como logs, ferramenta considerada essencial para rastrear acessos e identificar o que ocorreu durante um ataque cibernético.

Ataque utilizou ransomware para sequestrar informações

Os documentos do processo revelam que o ataque foi do tipo ransomware, modalidade em que criminosos sequestram dados e bloqueiam o acesso aos sistemas até que seja pago um resgate.

Segundo a investigação, os invasores conseguiram acessar inclusive os backups armazenados em servidores na nuvem, sequestrando os arquivos originais e interrompendo o acesso às informações pelo instituto.

A ANPD também afirma haver indícios de que a organização minimizou a gravidade do episódio, não adotou medidas suficientes para proteger os dados pessoais e sensíveis e apresentou comunicação considerada insuficiente aos pacientes afetados, especialmente diante da presença de informações de crianças, adolescentes e idosos.

Instituto nega vazamento e afirma que reforçou a segurança

Em manifestação encaminhada à imprensa, o Isac reiterou que não houve vazamento de dados pessoais e afirmou que o ataque não comprometeu o atendimento aos pacientes nem o funcionamento das unidades de saúde administradas pela organização.

Segundo o instituto, os sistemas foram restaurados por meio das cópias de segurança existentes, sem perda de informações. A entidade também informou que comunicou espontaneamente o incidente à ANPD e publicou esclarecimentos em seu portal institucional.

Ainda conforme o Isac, após o episódio foram implementadas novas medidas de segurança, incluindo reforço no monitoramento dos sistemas e ampliação da capacidade de resposta a incidentes cibernéticos.

Caso as irregularidades sejam confirmadas ao fim do processo administrativo, o instituto poderá sofrer penalidades que vão desde advertência até multas de até R$ 50 milhões, além da possibilidade de restrições ao tratamento de dados pessoais.

Municípios acompanham a investigação

Os entes públicos que mantêm contratos com o Instituto Saúde e Cidadania também foram consultados sobre o caso. Em Araguaína, no Tocantins, onde o Isac administra quatro unidades de saúde, a prefeitura informou que não foi oficialmente comunicada sobre eventual vazamento de dados.

O município afirmou que, caso sejam confirmadas irregularidades, adotará todas as medidas administrativas e legais cabíveis para apurar responsabilidades e garantir a proteção das informações dos cidadãos, reforçando seu compromisso com a Lei Geral de Proteção de Dados (LGPD).

Deixe um comentário

Mais recentes

Descubra mais sobre Agenda do Poder

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continuar lendo