Tag: Dados Sensíveis

Publicado em por Deixe um comentário

SAÚDE DIGITAL: A NECESSIDADE DE FORTALECER DEFESAS CONTRA RANSOMWARE

O universo digital nunca foi tão perigoso quanto agora, especialmente para o setor de saúde. Uma investigação recente, conduzida pela Dimensional Research e patrocinada pela líder em soluções de backup, Arcserve, revela algumas estatísticas alarmantes sobre a vulnerabilidade desse segmento à crescente ameaça de ransomware.

Em uma análise envolvendo 11 nações, entre elas o Brasil, descobriu-se que o setor de saúde, infelizmente, ostenta o título de principal alvo de ataques de ransomware. Um total de 45% dos profissionais desse setor foram vítimas desses ataques cibernéticos no último ano. Dois terços dessas empresas, quando confrontadas, optaram por ceder ao pagamento dos resgates exigidos.

Porém, pagar não garante segurança nem a recuperação de informações. Mesmo após desembolsar valores frequentemente altos, 83% dos pedidos oscilam entre US$ 100 mil e US$ 1 milhão, quase metade das organizações não consegue recuperar todos os seus dados preciosos.

Dentre as revelações, uma das lacunas é a falta de preparação dos departamentos de TI no setor de saúde. O estudo destaca que uma porcentagem de 82% deles carece de um plano atualizado de recuperação de desastres.

Enquanto empresas confiam cada vez mais em provedores de nuvem com mais da metade dos entrevistados acreditando que esses provedores são responsáveis pela recuperação de dados, a segurança e a preparação para crises parecem estar em um nível baixo.

O levantamento contou com insights de 1.121 líderes de TI, todos com responsabilidades significativas em empresas que variam de 100 a 2.500 colaboradores e que gerenciam pelo menos 5 TB de dados. As vozes desses especialistas vieram de regiões tão diversas quanto Austrália, Nova Zelândia, Brasil, Europa, Ásia e América do Norte.

Conforme nos aprofundamos na era digital, o setor de saúde deve reconhecer e enfrentar essas ameaças de frente, reavaliando práticas, investindo em segurança e, acima de tudo, priorizando a proteção dos dados de pacientes e instituições.

No setor de saúde, a gestão adequada das informações é fundamental, e é essencial implementar medidas de proteção mais sólidas.

Publicado em por Deixe um comentário

DESAFIOS DA JURISPRUDÊNCIA: QUANDO UM VAZAMENTO DE DADOS GERA RESPONSABILIDADE

Em um caso recente que tem causado reflexões no meio jurídico, a Justiça de São Paulo decidiu sobre uma situação envolvendo alegado vazamento de dados por uma seguradora. Este caso chama a atenção, em particular, por levantar questões relevantes no contexto da Lei Geral de Proteção de Dados (LGPD) e seus impactos na jurisprudência brasileira.

Uma das questões era se a seguradora deveria ser responsabilizada pelo vazamento de dados de um cliente que, posteriormente, alegou ter sido alvo de estelionatários. O cliente buscou reparação por danos morais, e a questão foi, em primeira instância, decidida em seu favor, com uma indenização estabelecida.

Contudo, ao recorrer da decisão, a seguradora trouxe ao debate dois pontos fundamentais: o caráter dos dados vazados e a comprovação do dano.

O Tribunal avaliou que os dados em questão não se enquadravam no conceito de “dados sensíveis” conforme determina a LGPD. A distinção é fundamental, pois a proteção conferida a esses dados é mais ampla, e sua exposição pode gerar repercussões mais significativas. Neste caso, o entendimento foi que não houve exposição de tais dados e, portanto, não caberia a condenação da empresa nesse aspecto.

Além disso, houve um forte argumento de que a responsabilidade pela exposição dos dados não estava, de fato, com a seguradora. Invasões e vazamentos, por mais indesejáveis que sejam, não são necessariamente reflexo de falhas internas da empresa. É uma discussão que vai além da culpa e adentra a efetiva responsabilização.

O Tribunal entendeu que não houve comprovação de dano efetivo ao cliente. A tentativa de golpe alegada não teve relação direta com o incidente de vazamento, faltando assim o nexo causal entre o vazamento e o suposto dano.

No contexto mais amplo, o caso se alinha a um entendimento crescente sobre a aplicabilidade e os limites da LGPD, bem como a necessidade de uma avaliação criteriosa sobre danos morais em situações de vazamento de dados. A decisão reforça a ideia de que cada caso deve ser analisado de maneira individual, levando em consideração a natureza dos dados, as circunstâncias do vazamento e a real extensão do dano causado.

Publicado em por Deixe um comentário

O DESAFIO DA CIBERSEGURANÇA NA SAÚDE PÚBLICA: REFLEXÕES SOBRE A FORTALEZA DIGITAL NA SAÚDE

A cibersegurança tem emergido como um dos pilares críticos da sociedade digital. A recente suspeita de um ataque hacker à Fiocruz, uma das maiores e mais respeitadas instituições de saúde pública do Brasil, joga luz sobre as vulnerabilidades que mesmo grandes entidades enfrentam em uma era digital.

O relato inicial, divulgado pelo The Cyber Express, sugere uma invasão da magnitude de 500 GB de dados essenciais da Fiocruz, supostamente conduzida pelo grupo NoEscape. Se confirmado, esse incidente destaca não apenas a audácia dos cibercriminosos, mas a sofisticação crescente de suas ferramentas e táticas.

De acordo com as informações, esse ataque teria sequestrado uma gama diversificada de arquivos – de backups a dados confidenciais de funcionários, evidenciando a amplitude e a profundidade da invasão. A metodologia utilizada é: o NoEscape Ransomware-as-a-Service (RaaS), uma técnica avançada recentemente identificada por especialistas do CRIL.

A combinação dos algoritmos ChaCha20 e RSA exemplifica uma abordagem híbrida na criptografia, que eleva o nível de segurança e complica os esforços de descriptografia. Além disso, o software malicioso, astutamente, ainda consegue burlar os modos de segurança convencionais do Windows.

Outro elemento é a capacidade do NoEscape de inspecionar redes de forma assíncrona, apontando uma evolução nos métodos de detecção de vulnerabilidades e consequente exploração de sistemas. O modus operandi, ao que parece, culmina em um pedido de resgate em bitcoins, uma criptomoeda notória por sua anonimidade.

O episódio serve como um alerta. O Brasil, e em especial suas instituições de grande porte, devem investir e priorizar a cibersegurança. Afinal, em um mundo cada vez mais conectado, garantir a integridade de nossos dados é garantir a integridade de nossa sociedade.

Publicado em por Deixe um comentário

LGPD E DADOS DE SAÚDE: EXPLORANDO AS IMPLICAÇÕES NA PRIVACIDADE DO PACIENTE

A Lei Geral de Proteção de Dados (Lei 13.709/18) estabeleceu a categorização de dados relacionados à saúde como “sensíveis”, conferindo-lhes um status especial e resguardando a privacidade dessas informações. Essa classificação se aplica a qualquer dado capaz de identificar uma pessoa entre um grupo de indivíduos.

O artigo 5º, inciso II da referida lei define os tipos de dados sensíveis, abrangendo dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de cunho religioso, filosófico ou político, informações referentes à saúde ou vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa.

É notável que a lei não apresenta uma lista fechada de categorias, o que significa que o escopo de dados sensíveis é amplo e abrangente.

Contudo, em um contexto de conjunto de pessoas, um dado sensível isolado por si só não seria suficiente para identificar alguém. A identificação ocorre quando esses dados são combinados com outros, como o CPF, por exemplo. Nesse caso, a anonimização deve ser aplicada para proteger a privacidade do indivíduo.

Dentro dos registros médicos, como prontuários, guias de internação, exames e receitas, há uma concentração significativa de dados sensíveis. O Conselho Federal de Medicina (CFM) estabeleceu regulamentações, como a Resolução 1.639/2002, seguidas pelas Resoluções 1821/2007 e 2.218/2018, para garantir a segurança e integridade dos prontuários eletrônicos dos pacientes.

Entretanto, mesmo com tais diretrizes, o compartilhamento desses dados requer o consentimento expresso do paciente. O artigo 7º da LGPD delimita as situações em que o tratamento de dados pessoais é permitido. Na área da saúde, destacam-se os casos de consentimento do titular, proteção da vida ou incolumidade física, tutela da saúde em procedimentos médicos, e interesses legítimos do controlador ou terceiros, desde que não sobreponham os direitos fundamentais do titular.

Para obter consentimento, é vital que o profissional de saúde explique ao titular de forma clara e compreensível quais dados serão coletados e como serão utilizados. No entanto, existem exceções em que o tratamento de dados sensíveis pode ocorrer mesmo sem o consentimento explícito do titular, como no cumprimento de obrigações legais, estudos de pesquisa com anonimização, proteção da vida ou saúde, entre outros.

A importância do consentimento em relação aos dados de saúde frequentemente é subestimada, em parte devido ao sigilo médico que protege essas informações. A LGPD, ao elevar os dados de saúde à categoria de dados sensíveis, aprimora a proteção da privacidade do paciente e promove sua autonomia ao exigir a adoção de práticas transparentes e confiáveis no tratamento desses dados.