Dando continuidade aos incidentes de privacidade e segurança de dados que ocorreram no Ministério da Saúde, hoje falaremos sobre o caso que expôs os dados de mais de 200 milhões de brasileiros. A comissão da Câmara de Deputados convocou uma audiência pública para que o Ministério explique, de maneira satisfatória, os referidos incidentes, suas extensões, e as reais falhas que acarretaram os episódios. A audiência ocorrerá hoje, a partir das 17 horas. Além de representantes do Ministério da Saúde, também participarão da audiência representantes do Hospital Albert Einstein, e instituições de direito e defesa do consumidor, com destaque para o IDEC.
Entenda o último vazamento
Os dados de mais de 200 milhões de cidadãos brasileiros, do banco de dados do Sistema Único de Saúde (SUS), ficaram disponíveis por mais de seis meses. A exemplo do outro episódio já narrado aqui, o motivo também foi a exposição indevida de login e senha de um sistema. As credenciais de acesso estavam disponíveis em um código do site do Ministério, visível a todos que fizessem a inspeção deste código, por meio de funcionalidades dos navegadores. A falha foi corrigia após o incidente ter sido denunciado pelo Estadão, no último dia 2.
Segundo Daniel Fireman, cientista de computação e professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas, o login e a senha do site do Ministério da Saúde estavam codificados mediante um método conhecido como Base64. Este método de codificação de dados não é uma forma de criptografia. O que explica a exposição dos dados.
Cabe ressaltar que em junho deste ano, a ONG Open Knowledge Brasil (OKBR) alertou o Ministério de falha similar. Apesar de ter corrigido o problema, ao que tudo indica, não foram revisadas outras possíveis falhas nos códigos.
Fernanda Campagnuccio, Diretora-executiva da OKBR, se manifestou sobre o Ministério, conforme transcrito a seguir:
“Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros”
O incidente expôs dados pessoais como: CPF, nome completo, endereço e telefones. Embora a Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, abranja apenas os direitos de pessoas naturais, este incidente também expôs os dados de pessoas falecidas. Os brasileiros afetados incluem tanto beneficiários do SUS.
O Ministério da Saúde se manifestou com base em discurso genérico:
“Os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do Ministério. O Ministério possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições. Ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
Segundo o Art. 42 da LGPD, o Controlador de dados pessoais que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Ou seja, pela LGPD, o controlador de uma base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar logins e senhas de acesso a bases de dados é um erro de segurança primário.
A norma NBR 27002:2013 indica diretrizes para o desenvolvimento de softwares e sistemas, com destaque para:
- Convém que normas de códigos seguros sejam consideradas, e onde relevante, seja exigido o seu uso; e
- Convém que os desenvolvedores sejam treinados no uso das técnicas de programação segura, e os testes e as análises críticas de código verifiquem a necessidade de uso destas técnicas.
Quando o desenvolvimento é terceirizado, convém que a organização obtenha garantia de que a parte externa esteja consoante essas regras para o desenvolvimento seguro. E, ao que tudo indica, não foi o que o Ministério da Saúde fez, já que a empresa de tecnologia Zello, antiga MBA Mobi, contratada pelo Ministério para o desenvolvimento do sistema e-SUS-Notifica, não tomou cuidados básicos de segurança para esta aplicação. Cabe ressaltar que o Ministério possui um departamento de tecnologia, o Datasus.
NOTA: A imagem de fundo utilizada na arte é conhecida como: somos muitos. Obra do muralista Kobra, homenagem ao elemento fundamental de tudo, o povo brasileiro.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 28 abr. 2020.
ESTADÃO. Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros. Disponível em: https://saude.estadao.com.br/noticias/geral,nova-falha-do-ministerio-da-saude-expoe-dados-pessoais-de-mais-de-200-milhoes,70003536340. Acesso em: 8 dez. 2020.
O LIBERAL. Comissão da Câmara chama Ministério da Saúde para explicar vazamento de dados. Disponível em: https://liberal.com.br/brasil-e-mundo/brasil/comissao-da-camara-chama-ministerio-da-saude-para-explicar-vazamento-de-dados-1380540. Acesso em: 8 dez. 2020.