Notícias

LGPD: órgãos de saúde são advertidos por negligenciarem segurança de seus sistemas

A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta quarta-feira (18) sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) por cometer quatro infrações à Lei Geral de Proteção de Dados (LGPD), sendo uma delas por negligenciar segurança de seu sistema de armazenamento de dados pessoais. No início do mês, outro órgão de saúde público, o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), também infringiu a mesma norma. CTO da BluePex® Cybersecurity, Ulisses Penteado explica os requisitos mínimos que uma empresa deve se atentar para garantir a segurança dos dados pessoais e evitar eventuais incidentes.

No caso envolvendo o órgão de Santa Catarina, a ANPD considerou como grave a infração de negligência à segurança dos sistemas que armazenam e tratam dados pessoais de milhões de cidadãos do Estado. A SES-SC também foi alvo de um incidente de segurança e não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva.

Como consequência, a ANPD aplicou sanções de advertência - uma para cada infração – e  a SES-SC terá, ainda, que tomar as seguintes medidas corretivas, dentre outras: manter um comunicado geral de incidente de segurança (CIS) em seu site por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente. Ainda cabe recurso ao órgão estadual.

Quanto ao IAMSPE, o órgão paulista também foi advertido por não manter sistemas seguros de armazenamento e tratamento de dados pessoais. Ele também foi alvo de incidente de segurança e, além da advertência, foi determinada a elaboração de um cronograma para que implemente medidas que tornem seus sistemas de armazenamento e tratamento de dados pessoais mais seguros e, portanto, menos vulneráveis a incidentes de segurança.

Para Ulisses, as empresas, não somente do segmento da saúde, devem se atentar aos requisitos mínimos. “No caso de equipamentos, um firewall bem dimensionado e corretamente configurado, além da adequada segmentação da rede. No caso de software, um antivírus com gestão centralizada que permita o monitoramento e gestão independente de ações do usuário final. Além de tudo, é necessário treinar e conscientizar os funcionários quanto às questões de segurança cibernética, já que as pessoas são sempre o elo mais fraco”, citou.

Ulisses ainda faz um alerta, sobre a reputação negativa às empresas que violam a LGPD: “Essa reputação é muito mais prejudicial à imagem como um todo, inclusive para o negócio, pois há perda de confiança dos clientes, parceiros e também com os funcionários. Isso cria um ambiente que dificulta com que as pessoas preencham cadastros, aceitem comunicações ou serviços”, completou.

“PROTEÇÃO QUE SALVA VIDAS”

No mês setembro, nos dias 20 e 21, a BluePex® Cybersecurity marcou presença no Healthcare Innovation Show – HIS, o maior e mais importante evento de tecnologia e inovação na saúde na América Latina e que ocorreu no São Paulo Expo-SP. No evento, Marcos Otoni mostrou a importância de os hospitais e empresas de saúde adotarem ferramentas de cibersegurança e como elas podem salvar vidas.

Marcos mostrou cases que envolvem os riscos e perigos de redes hospitalares alvos de ataques cibernéticos. Como exemplo, ele separou incidentes em hospitais dos Estados Unidos e do Brasil que resultaram em interrupção de atendimentos, fechamentos de hospitais, unidades que foram obrigadas a retornar ao uso de prontuário de papel e suspensão de exames e consultas de rotinas, este último caso ocorrido num hospital de uma universidade pública do Brasil.

A exposição preparada por Marcos mostrou que, além dos prejuízos financeiros e administrativos para os hospitais, há riscos graves e irreparáveis aos pacientes. Ele citou o ataque cibernético numa clínica universitária da Alemanha. O estabelecimento precisou suspender os atendimentos de rotina e de urgência. Uma paciente que chegou na clínica não conseguiu ser atendida e faleceu antes de chegar no hospital seguinte.

No Brasil, hospitais de São Paulo e Rio de Janeiro adotaram a solução da BluePex® com proteção máxima contra ameaças como malware, ransomware, phishing e outros tipos de invasões.