O Evento – Mais um no processo de apagão de dados– A Associação Brasileira de Saúde Coletiva (Abrasco), por meio de seu Grupo Temático Informação em Saúde e Populações (GTISP), manifesta grande preocupação quanto às recentes notícias do ataque aos sistemas de informação do Ministério da Saúde (MS). O primeiro ataque ocorreu na última sexta-feira, 10/12/2021, no sistema do ConecteSUS e nas plataformas do Programa Nacional de Imunização (PNI), ambos do MS. Segundo o depoimento público do Ministro, outra invasão na pasta da saúde ocorreu na segunda-feira, 13/12/2021. Os ataques causam ampla consternação social, especialmente, visto a implantação da exigência do passaporte de vacina para a circulação das pessoas após amplo período de isolamento social imposto pela pandemia da Covid-19. No entanto, ressaltamos a gravidade sobre a pouca informação e a morosidade da busca de soluções referentes aos eventos transcorridos.
Falta de transparência e muitas versões – Corre pela mídia que o ataque consistiria na invasão do servidor DNS (Domain Name System, ou sistema de nomes de domínios) que estava em uma infraestrutura de nuvem da empresa Amazon, denominada Amazon Web Services (AWS), gerida pela Embratel, como parte de um acordo governamental. Dada essa realidade, ficam algumas questões: Qual o procedimento adotado pelos órgãos responsáveis para mitigar o problema? Quem de fato é responsável pela infraestrutura digital em saúde? Respostas a essas questões são importantes para que a sociedade avalie a situação que prejudica diretamente os princípios norteadores do SUS.
Desconhecimento da extensão do dano para o SUS – O comunicado emitido pelo CTIR (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo) do próprio governo federal, durante o final de semana do ataque, informa que diversos sistemas de informação podem ter sido afetados (Figura 1). O comunicado exposto só reforça a preocupação com a transparência do que de fato ocorreu no ataque do final de semana. Afinal, qual a real situação dos sistemas de informação e das plataformas digitais do Ministério da Saúde?
Retrocesso na Reforma Sanitária e prejuízo para o SUS – A maior parte dos ataques registrados ocorre de dentro das organizações do menor ao maior porte, sejam públicas ou privadas. Quais os procedimentos que estão sendo empregados para mitigar esse risco e apurar os causadores do (s) ataque (s)? Há um procedimento padrão? Como vazaram as senhas conforme exposto pela figura acima? Proteger contra inimigos externos e internos aos princípios do SUS é igualmente importante. Qual a periodicidade dos procedimentos de pentesting[1]? Essas indagações denotam uma falta de política de segurança da informação da instância federal da saúde, que afeta todo o SUS. Nota-se que a Informação e Tecnologia de Informação em Saúde (ITIS) de todos os cidadãos em território não está sendo considerada como um bem público e patrimônio da sociedade brasileira, conforme preconizado pela Reforma Sanitária e pelo 3º Plano Diretor de Informação e Tecnologia de Informação em Saúde (ITIS) (PladITIS da ABRASCO).
Fragilidade evidente da infraestutura digital do MS – Se o evento foi um DNS atacado, qual a infraestrutura de serviços de DNS presente? – foi um único servidor atacado ou foram diversos? Imaginando que o sistema implantado na infraestrutura da AWS seja baseado em contêineres – qual o impedimento de subir uma infraestrutura paralela enquanto é realizada a forense computacional do (s) ataque (s)? E dessa forma conduzir a retomada rápida dos sistemas e plataformas digitais do MS, visto que pela nota oficial os dados armazenados não foram afetados. E, ainda assim, a infraestrutura digital não retornou a operar até a emissão dessa nota.
(Des) Governança da Informação em Saúde – Há de se avaliar se essa falta de celeridade se deve a como a infraestrutura digital na saúde está disposta. Qual o propósito da nuvem AWS utilizada? Ela é acionada em uma situação emergencial ou faz parte da estratégia do MS? Dada que a infraestrutura está espalhada em diversos órgãos, como se dá o fluxo de troca de informações de gestão dessa infraestrutura? O quão rápido é a descoberta e a comunicação de um ataque? Qual é o monitoramento e a avaliação que o MS faz sobre os dados inseridos nessa infraestrutura digital em saude? Existe, inclusive, a possibilidade de que esses dados não estejam armazenados nessa nuvem, mas como não há transparência no processo, pairam dúvidas. É essa a Saúde Digital estabelecida na Política Nacional de Informação e Informática (PNIIS) para o SUS? Qual é a resposta dada ao (s) ataque (s) pelo Comitê Gestor da Saúde Digital?
Terceirização indevida de sistemas estratégicos – Propomos as seguintes reflexões: É realmente necessário que a infraestrutura digital fique fora do controle direto do MS? Há efetivamente uma melhora na oferta do serviço com o uso da AWS? Sendo essa uma infraestrutura que não pertence ao Governo Brasileiro, quem armazena os dados do SUS? E quem tem acesso, monitoramento e avaliação dos registros eletrônicos em saúde? Se a nuvem é utilizada somente para o serviço de DNS, ela é realmente necessária? As questões pontuadas denotam que a governança da informação sobre a saúde da população em nível federal é ínfima, quase inexistente e constituem uma lacuna no acesso à saúde e na cidadania de nosso povo.
Informação sobre a saúde da população como patrimônio – Há de se entender que nenhuma grande organização está livre de ataques de entes maliciosos – popularmente conhecidos como hackers. Ainda mais uma organização que tem estado no centro de uma das maiores crises que o país já enfrentou. O MS certamente é alvo dos mais variados tipos de ataques com diversas motivações. É relevante que o MS tenha total domínio sobre seus sistemas e plataformas digitais de forma que seus representantes sejam capazes de dar respostas rápidas sobre quaisquer incidentes.
Por uma governança da informação em saúde em prol da população – É imprescindível que o Ministério tenha uma política de governança da informação em saúde que preveja acesso a equipamentos, infraestrutura e pessoal para poder melhor cumprir a sua missão. Faz-se necessário, no mínimo, que o MS tenha um canal de difusão transparente e robusto com a sociedade de forma que as falhas de comunicação vistas nesse (s) ataque (s), em particular, não se repitam.
Rio de Janeiro, 16 de Dezembro de 2021
ABRASCO – Associação Brasileira de Saúde Coletiva
[1] Relatório técnico com níveis de criticidades e orientações para correções, cuja tradução literal é relatório de intrusão.
