O recente ataque cibernético ocorrido na página do Ministério da Saúde na internet e na plataforma ConecteSUS levou novamente à análise de um fato que já é objeto de preocupação em todos os setores públicos e privados (e que se ampliou com a informatização dos serviços prestados), que é a segurança da informação.
A segurança da informação possui três fundamentos, que são as garantias de confiabilidade, de integridade e de disponibilidade da informação. O conjunto deles (e o seu cumprimento) compõe a base das atividades desempenhadas nessa área, a partir da governança da tecnologia da informação, da implantação de uma política de segurança da informação, de boas práticas e da criação de uma cultura organizacional (ou seja, a conscientização de todas as pessoas envolvidas na proteção de dados, das informações e de sua utilização).
A confidencialidade é o fundamento que faz com que a informação não seja revelada sem autorização prévia, ou seja, a informação só pode ser disponibilizada a pessoas e a ferramentas autorizadas. Logo, busca a proteção da privacidade dos titulares dos dados e a manutenção das informações extraídas deles como de acesso privativo a determinadas pessoas, que devem respeitar o seu caráter confidencial. Dessa forma, a confidencialidade leva ao impedimento do acesso a determinadas informações (consideradas sigilosas ou críticas) por quem não tiver autorização.
A integridade é o fundamento que assegura a manutenção da informação, o que leva à proibição de sua modificação, destruição ou perda (entre outras ações ou omissões), de forma não autorizada e, ao mesmo tempo, busca evitar a ocorrência de intervenções acidentais sobre as informações. Assim, a integridade busca impedir que os dados possam ser manipulados de uma forma não permitida.
Por sua vez, a disponibilidade é o fundamento que permite o acesso e o uso constante dos dados, informações e dos locais em que estiverem inseridos (banco de dados, sistemas, recursos do sistema, redes etc.), quando for necessário e pelas pessoas autorizadas. Em outras palavras, a disponibilidade assegura o acesso de forma íntegra e integral, sempre que necessário, para as pessoas previamente autorizadas.
O ataque cibernético ao site do Ministério da Saúde e à plataforma ConecteSUS afetou (em princípio):
- a integridade, porque ocorreu uma manipulação não permitida dos dados e informações por pessoas não autorizadas;
- a disponibilidade, porque levou à interrupção (interna e externa) do acesso às bases de dados e aos serviços (e ainda não se sabe se houve - ou não - a eliminação de dados);
- e (possivelmente) a confidencialidade, porque, conforme o noticiado, houve a cópia dos dados, o que pode levar à divulgação irregular de determinados dados pessoais.
Por fim, além de afetar a prestação de serviços públicos, influenciou a circulação de pessoas, tendo em vista que, entre as diversas funções do aplicativo do ConecteSUS, estão os comprovantes de vacinação contra a COVID-19.
Não se trata de um caso isolado, tendo em vista que nos últimos anos houve um aumento dos ataques cibernéticos e de incidentes com dados pessoais no Brasil, especialmente de vazamentos desses dados. Também recentemente, em setembro de 2021, uma página no site da ANVISA (relacionada ao preenchimento da Declaração de Saúde do Viajante) sofreu invasão externa e foi alterada.
Assim, os incidentes ocorridos sobre os fundamentos da segurança da informação podem afetar os serviços públicos, o que se ampliou com a crescente informatização de processos e de sistemas (e, consequentemente, a sua maior exposição e vulnerabilidade no ambiente virtual), motivo pelo qual esse tema já é objeto de atenção específica de políticas internas da Administração Pública, o que nem sempre será suficiente para evitar a ocorrência de atos ilícitos e de vazamentos.
