À partir desse post, vamos começar uma série de artigos sobre a importância da proteção de dados, sobretudo com a aprovação no Congresso da “Lei Geral de Proteção de Dados”.

Mais de 03 mil documentos médicos são expostos na web

Um servidor desprotegido expôs aproximadamente 3 mil documentos médicos de pacientes do Rio de Janeiro, apurou a The Hack após receber uma denúncia de uma fonte anônima. O ambiente vulnerável pertence à uma clínica médica especializada em cirurgias cardíacas fundada por profissionais cariocas.

Após receber a denúncia, a The Hack examinou amostras dos arquivos expostos e constatou que a maioria deles são prontuários médicos, relatórios pós-operatórios, versões digitalizadas de anotações clínicas, solicitações de reembolso para operadoras de planos de saúde, resultados de exames (ecocardiogramas e dopplers, entre outros) e conversas por e-mail com os hospitais nos quais os pacientes se encontravam internados.

Por se tratar de, aparentemente, um repositório para cópias digitalizadas de papéis oficiais, pudemos encontrar desde relatórios antigos — datados de 1996 — até documentos mais recentes de 2019. São poucos os arquivos que incluem dados pessoais dos clientes (nome, data de nascimento e endereço); mas, de qualquer forma, todas as informações encontradas em todos os outros são valiosas na mão de um criminoso cibernético.

Sabendo exatamente quais foram os procedimentos realizados pela vítima, quanto ela gastou em cada um deles e em qual hospital ela foi internada, fica fácil elaborar um golpe altamente customizado que a incentive a realizar alguma ação (baixar um anexo malicioso, clicar em um link para uma página de phishing ou realizar cobranças indevidas em nome de terceiros, por exemplo).

Caso a Lei Geral de Proteção de Dados (LGPD) já estivesse em vigor, a clínica poderia ser multada em R$ 50 milhões ou 2% de seu faturamento bruto anual ao demonstrar descuido com o armazenamento e tratamento dos dados sensíveis de seus pacientes em um ambiente digital. O regulamento só será válido a partir de Agosto de 2020, quando a Agência Nacional de Proteção de Dados (ANPD) deve começar a fiscalizar esse tipo de caso.

A matéria completa pode ser lida no site do The Hack.

______________________________________________________________________________

Comentários sobre a reportagem:

Casos como acima citado sempre ocorreram, sobretudo desde a virtualização de dados. Porém, em casos de vazamento de dados tão sensíveis quanto os relativos à saúde, a questão se torna ainda mais grave. Sobretudo por que em alguns casos acima relatados, não foram vazados apenas dados clínicos, mas também dados pessoais do paciente (nome, endereço, CPF, sexo, idade, etc.).

Ou seja, qualquer um que obter (ou tenha obtido) essa gama de dados possui informações privilegiadas sobre um número considerável de pessoas, podendo, inclusive, negociá-las com drogarias, planos de saúde e seguros como um todo. Evidente a ilegalidade da venda de tais dados, entretanto, o mercado ainda possui casos escusos de negociações “debaixo do pano”.

Poderia ocorrer também, como citado no texto, a utilização desses dados para golpes, em ambiente virtual ou não. Até mesmo o extremo de falso sequestro, pois como o criminoso teria dados íntimos da vítima, poderia utilizá-los para coibir familiares a fazer o pagamento de resgate imediato.

Outro ponto a se observar: a Câmara dos Deputados derrubou o veto feito pelo Presidente da República, no atinente à suspensão dos serviços da empresa que tiver um vazamento de dados. Então, imagine a seguinte situação: um hacker invade o seu sistema, extrai os dados e os expõe na web, colocando em xeque a sua credibilidade perante todos. E para piorar, o Governo irá até sua empresa fazer uma auditoria, podendo multá-la e até mesmo suspender as suas atividades por um determinado prazo, caso não fique comprovado que tenha tomado todas as medidas de segurança possíveis, para tentar barrar invasões e vazamentos.

Assim sendo, é de extrema importância que toda clinica de saúde (médica, odontológica, etc.) tome todas as precauções possíveis, tecnológicas e jurídicas, para evitar adentrar nessa situação tão delicada e complexa, capaz de atingir não apenas a sua empresa, mas também aos seus clientes, parceiros comerciais e até mesmo funcionários.

Giordano Bruno – advogado

Fonte: https://thehack.com.br/clinica-expoe-3-mil-documentos-medicos-na-web-e-faz-pouco-caso-do-incidente/