O evento conscientizou servidores e colaboradores do Ministério da Saúde sobre senhas fortes, golpes de engenharia social e compartilhamento de dados pessoais sensíveis
Aconteceu no dia 18 de agosto o terceiro Workshop em Segurança da Informação do Ministério da Saúde, promovido pelo Departamento de Informática do SUS (Datasus), o evento teve como tema, a Segurança da Informação no ambiente corporativo. O Workshop contou com a participação do Diretor do Datasus, Merched Cheheb, da Coordenadora-Geral de Infraestrutura e Segurança da Informação (CGIE/Datasus), Jackeline Almeida, do Coordenador de Segurança da Informação (COSEGI/Datasus), Marcelo de Sá e dos convidados, Karina Novaes e Dr. Marco Nunes.
O Diretor do Datasus, Merched Cheheb, realizou a abertura do evento, onde destacou a importância do evento no Ministério, para tratar do tema que tem sido umas das maiores preocupações dos órgãos públicos e empresas privadas, tendo em vista o aumento dos ataques cibernéticos, em especial no setor da saúde, como destacou durante o evento: “O tema segurança da Informação tem ganhado muito peso nas organizações, porque além do tema ser importante, os ataques estão se profissionalizando, temos visto nos últimos anos o aumento exponencial de ataques, seja nos órgãos públicos ou privados, e pesquisas mostram que a área da saúde é a mais visada pelos atacantes”. Merched falou ainda sobre a importância da conscientização em meio às diversas inovações da Saúde Digital brasileira: “De um lado temos o profissionalismo dos ataques e do outro lado temos o nosso perímetro que está crescendo a cada dia, com implantações de novos sistemas e soluções que são utilizadas no Brasil todo, e essas inovações geram vulnerabilidades que precisam ser monitoradas e toda proteção garantida por nossa estratégia de Segurança da Informação”.
A Coordenadora-Geral da CGIE, Jackeline Almeida, foi a primeira palestrante do evento, onde iniciou com uma breve explicação histórica do tema, elucidando sobre a criação do primeiro malware, em 1971, e o cenário estatístico de ataques cibernéticos no Brasil. Em sua apresentação apontou o aumento de 950% de tentativas de ataques em 2021, comparado com 2020, e o aumento de 45% dos ataques no setor da saúde, por se tratar da área de maior visibilidade dos cibercriminosos, pela alta criticidade, valor da informação, baixa atualização dos recursos tecnológicos e aumento de dispositivos com Internet das coisas (IoT), além da profissionalização dos ataques, por meio de organizações, programas de recompensa, setor lucrativo, entre outros fatores. A Coordenadora palestrou sobre o uso de Senhas Fortes e ressaltou que a administração indevida das senhas é comumente um dos fatores de maior risco, conforme observado em 2019, onde 80% dos ataques foram por meio de credenciais. “É muito importante que a gente entenda o poder que tem a nossa credencial, principalmente dentro do contexto institucional.”. Ressaltou. Jackeline citou ainda a importância do conhecimento da Política de Segurança do Ministério da Saúde, por parte dos servidores e colaboradores da pasta.
Em seguida, o Coordenador Marcelo de Sá, discorreu sobre a Engenharia Social – Controlando o Fator Humano na Segurança da Informação, onde apresentou os índices de ataques por meio dos métodos de engenharia social, apontando o aumento de 200% no ano de 2020, comparado com 2019. Marcelo explicou o processo de abordagem do engenheiro social do mal, utilizando métodos como Phishing, um dos procedimentos mais eficazes usados pelos hackers para roubar informações dos usuários, entre outros: Baiting (Isca), Vhishing, Smishing e aplicativos de comunicação. Durante a apresentação, o Coordenador mostrou também as formas de identificar os golpes de engenharia social e como se proteger. “Para se proteger dos ataques de engenharia social é necessário conhecer o ambiente do mundo digital e ter bastante cautela. Se a gente tem diversos cuidados no nosso dia a dia, no mundo digital é a mesma coisa, então quando você receber links duvidosos, mensagens bem esdruxulas que não fazem sentido, desconfie!”. Destacou.
Na quarta e última parte do Workshop os convidados, Karina Novaes e Dr. Marco Nunes, palestraram sobre o Compartilhamento de dados sensíveis e citaram a Lei Geral de Proteção de Dados (LGPD) no âmbito da segurança da informação. Na oportunidade, o Dr. Marco Nunes discorreu sobre a importância do cuidado com a informação da saúde, conforme as bases legais para o tratamento dos dados e o compartilhamento por órgãos públicos, levando em consideração a criticidade da informação, como colocou durante sua exposição: “Os dados de saúde têm uma proteção legal muito ampla, porque as repercussões de um vazamento ou incidente envolvendo esses dados é muito maior do que os demais. Então sim, a proteção, o sigilo e toda essa parte de segurança dos dados devem ser maiores. E caso haja algum tipo de incidente, as providencias devem ser tomadas mais rapidamente, e as sanções que eventualmente sejam cabíveis são mais severas”.
A Profissional de T.I. e especialista em LGPD, Karina Novaes, inteirou o tema, citando o ciclo de vida dos dados e a importância do cuidado na coleta e processamento das informações, em conformidade com a Lei, além das medidas de proteções internas, de governança dos dados e de gestão de riscos. Karina ressaltou ainda a importância da realização do Workshop, levando em consideração o cenário atual de ataques cibernéticos e o trabalho de integração dos dados de saúde, por parte do Ministério: “Nós sabemos que o Ministério da Saúde se preocupa com a otimização dos dados, que quer trazer essa unificação de bases, então esse é o momento de fato para utilizar dessa fragilidade de privacidade, proteção de dados e ataque hacker, para se capacitar. A falta de capacitação humana é o elo mais fraco, então é interessante que vocês tenham sempre acesso a essas informações, palestras, conscientizações, workshops, para que vocês saibam no dia a dia de vocês utilizar essas informações da maneira correta”.
O terceiro Workshop em Segurança da Informação aconteceu de forma on-line, pelo Teams, e contou com cerca de 200 participantes. Os agentes públicos e colaboradores que não puderam participar podem acessar a gravação do evento disponível por meio do link: 3º Workshop em Segurança da Informação do MS.