Com a Saúde sendo o campo mais visado pelos cibercriminosos, o DATASUS/SEIDIGI realizou workshop frisando a importância do princípio zero trust e boas práticas de proteção dos dados para o fortalecimento da Segurança da Informação da Pasta
O Ministério da Saúde, por meio da nova Secretaria de Informação e Saúde Digital (SEIDIGI/MS), realizou, no dia 14 de junho, o 5º Workshop de Segurança da Informação. A edição teve como tema: “Segurança no ambiente cibernético: nunca confie, sempre verifique! ”, visando a conscientização dos agentes públicos e colaboradores em como minimizarem as ameaças externas de cibercriminosos, durante utilização dos recursos corporativos do MS.
O evento é promovido todos os anos pelo Departamento de Informação e Informática do SUS (DATASUS/SEIDIGI/MS), em prol do fortalecimento da segurança das informações do SUS, levando em consideração o crescente cenário de cibercrimes e a importância da proteção dos dados sigilosos da saúde, questões abordadas durante o Workshop. A agenda este ano contou com a participação do Diretor do DATASUS, Sergio Rosa; do Coordenador-Geral de Infraestrutura e Segurança da Informação (CGIE/DATASUS/SEIDIGI/MS), Marcos Milanez; da Coordenadora-Geral de Relacionamento, Governança e Projetos Infraestrutura (CGRGP/DATASUS/SEIDIGI/MS), Jackeline Almeida; do Coordenador de Segurança da Informação (COSEGI/DATASUS/SEIDIGI/MS), Marcelo de Sá; do Gerente de Projetos (COGP/CGRGP/DATASUS/SEIDIGI/MS), Nilton Moreira; da Encarregada de Proteção de Dados, Adriana Macedo Marques; e do Diretor de Privacidade e Segurança da Informação do Ministério da Gestão e da Inovação em Serviços Públicos (MGISP), Leonardo Ferreira.
O Diretor do DATASUS, Sergio Rosa, representou a SEIDIGI e realizou a abertura do evento destacando a importância da realização de agendas como o Workshop, para conscientização e aprendizado, elevando o nível da Segurança da Informação (S.I) do órgão, como uma das competências da área: “É uma satisfação abrir esse encontro e falar de Segurança da Informação, tratando de Saúde Pública, nós temos a obrigação de preservar os dados dos cidadãos, principalmente os dados clínicos… pois a saúde é um dado de cada um. Mas ao mesmo tempo nós temos a obrigação de disponibilizar os dados abertos para que sejam feitas as pesquisas, planejamentos, análises do desempenho das unidades de saúde, e esses dados não identificados. Então nós jogamos com esse tradicional conflito da Segurança da Informação, que é a liberdade e a Segurança”. Com isso, Sergio Rosa citou o desafio de inovar, por meio de uma iniciativa criativa, duradoura e que preserve a informação, aumentando os níveis de segurança dos sistemas e ferramentas tecnológicas da saúde, para cessão de qualidade e proteção dos dados dos cidadãos.
O Coordenador-Geral da CGIE, Marcos Milanez, realizou a mediação do Workshop e iniciou as palestras falando sobre ‘’O papel histórico do gestor de informação garantindo a eficiência dos processos e das soluções usadas pela organização e seus colaboradores’’, abordando a importância e utilização dos dados no decorrer da história e o papel do MS no controle, acesso e cessão de dados do SUS, garantindo três pilares da S.I, explicados em sua fala: Disponibilidade, Integridade e Confidencialidade. Durante sua apresentação, Marcos Milanez compartilhou os próximos passos para utilização legal, proteção e qualidade dos dados, otimizando o fluxo de acesso e cessão de dados e fomentando a cultura de uso responsável, em benefício do Gestor, Operador e Solicitante. Ele pontuou ainda a importância de as áreas estarem unidas, trabalhando em prol de ações colaborativas: “Estamos todos no mesmo barco e precisamos trabalhar de forma colaborativa, ninguém está aqui por si só, nós estamos aqui para atender as outras áreas, com foco em quem importa que é o cidadão que está na ponta e depende do SUS, então o foco precisa ser sempre otimizar o SUS”. Salientou, Marcos Milanez.
A segunda palestra foi realizada pelo Coordenador da COSEGI, Marcelo de Sá, sobre Engenharia Social e seus ataques derivados. Na oportunidade, Marcelo explicou sobre os tipos mais comuns aplicados em ambientes corporativos, como o Phishing, técnica popular de grande índice de efetividade que utiliza de e-mails, mensagens de texto e mensagens diretas, fazendo com que as pessoas acessem páginas indevidas que abrem portas para os crackers. Como explicou: “Hoje o Ministério da Saúde possui várias camadas de segurança, os sistemas estão bem protegidos, mas o e-mail é o vetor de ataque, porque ele vai ter sempre uma brecha, uma porta de comunicação com usuário”. O Coordenador apresentou ainda dados do contexto de e-mails do MS, apontando mais de 40 mil e-mails de malwares bloqueados, por dia, entre outros números expressivos de tentativas de ataques.
Foi citada também a última campanha de Segurança da Informação do MS, onde foi enviado um e-mail educativo, em modelo de phishing sobre Imposto de Renda, para testar a maturidade dos colaboradores. A campanha resultou em mais de 500 pessoas que abriram o e-mail desconhecido, demonstrando que o fator humano ainda é o elo mais fraco da S.I e reforçando a relevância de conscientizações como a do Workshop. Como ressaltou o Coordenador, Marcelo de Sá: “A ideia desse workshop é tirar o usuário desse elo mais fraco, para transformar em uma defesa forte”. A COSEGI irá enviar, no e-mail dos usuários que clicaram no phishing da campanha, uma cartilha orientativa sobre o assunto, visando a conscientização dos colaboradores. O Coordenador orientou ainda, durante o evento, em como se proteger de golpes da Engenharia Social e como identificar um e-mail phishing ou páginas falsas da internet, além de exemplos de ataques cibernéticos em grandes empresas.
O Workshop contou ainda com a palestra sobre “Causos de Segurança da Informação”, ministrada pela Coordenadora-Geral da CGRGP e Top 25 Women in Cybersecurity da América Latina, Jackeline Almeida, que expôs o mercado do cybercrime, trazendo importantes dados como: se o cibercrime fosse um país, seria a 3ª maior economia do mundo; e que se trata de uma organização que possui atualmente receita de 43 trilhões e tende a crescer. Posto isso, Jackeline aprofundou também a criticidade da informação da saúde, que é a mais visada no cenário do cibercrime, possuindo cerca de 35,4% dos casos de ataques, além das motivações do setor para os cibercriminosos. A Coordenadora citou a necessidade da aplicação do princípio Zero Trust, que significa um modelo de segurança de confiança zero, pontuando a importância de os colaboradores da pasta desconfiarem de todo tipo de conteúdo que receberem virtualmente no ambiente corporativo: “Por isso o tema, ‘nunca confie, sempre verifique’. Nós precisamos ser vigilantes, pois fazemos parte da Segurança da Informação”. Ressaltou, Jackeline Almeida.
O evento também tratou a fundo sobre o tema de Proteção de Dados, por intermédio dos palestrantes, Nilton Moreira, gerente de projetos do DATASUS, e Adriana Marques, Encarregada de Dados. Os quais compartilharam sobre a Lei Geral de Proteção de Dados (LGPD) e outras disposições legais que regem sobre o tema, além dos guias e regras da Autoridade Nacional de Proteção de Dados (ANPD), visando orientar e capacitar os participantes em relação ao tema, que é de interesse corporativo e pessoal.
A Encarregada de Dados, Adriana Marques, explicou sobre importantes termos utilizados nas pautas de Proteção dos Dados como, Controlador, Operador, o próprio termo Encarregado de Dados e tratamento de dados. Adriana explicou sobre o papel do encarregado e suas responsabilidades e ressaltou a necessidade de colaboração nas Orientações, uma vez que se trata de uma lei nova, a LGPD: “A gente vai atuar em parceria e colaboração. Vamos estudar, analisar e construir em conjunto, porque o que a gente não tem, em termos de proteção de dados e Segurança da Informação, são respostas prontas. A gente tem poucas respostas prontas e muitas respostas para construir”. Explicou, Adriana.
Na apresentação do Gerente da COGP, Nilton Moreira, foi possível entender o processo de implementação da Proteção de Dados no órgão, de acordo com a LGPD, por meio de uma trilha, disposta pela SGD, que está sendo utilizada seguindo os 17 passos dispostos, a fim de garantir a aderência à Lei. Nilton apresentou o cenário de dados e sistemas do MS e apontou a importância da adequação para a proteção dos dados do SUS: “Guardando as proporções, onde eu tenho aqui esse número de serviços e produtos dentro da área de infraestrutura, e essa quantidade de sistemas dentro da área de sistemas de informações do DATASUS, eu tenho de fato um grande desafio, que é implementar a LGPD e garantir que eu esteja aderente o máximo possível. E a gente começa, como todo mundo, dando um passo por vez”.
A participação do Diretor do Programa de Privacidade e Segurança da Informação (PPSI) da Secretaria de Governo Digital (SGD/MGISP), Leonardo Ferreira, também foi de suma importância para o evento, que por sua vez explicou sobre o PPSI, que tem como objetivo elevar o grau de maturidade dos órgãos e das entidades do SISP em termos de proteção de dados pessoais e ações de segurança da informação, aumentando a proteção dos sistemas críticos de governo no ambiente cibernético. E as cinco torres de atuação do Programa de Privacidade e Segurança da Informação (PPSI): governança, pessoas, metodologia, tecnologia e gestão de maturidade. O Diretor Leonardo apresentou ainda um demonstrativo dos ataques cibernéticos nos últimos anos, apontando o aumento de casos em todo Brasil, tanto com organizações públicas, como privadas.
O Ministério da Saúde está abarcado pelo PPSI, em contato direto com a SGD, buscando continuamente elevar a maturidade da pasta em S.I e Proteção de Dados, que atualmente encontra-se no nível básico, dentro da avaliação do Programa. O PPSI possui desafios que refletem e fortalecem todos os órgãos supervisionados, inclusive o MS, a citar: a Permanente sensibilização da alta administração dos órgãos; a Implementação contínua do PPSI nos ciclos de 2023-2026; a Capacitação e retenção dos colaboradores nos órgãos do SISP; a implementação de Automatização, Soluções de Cloud, Soluções de IA, e outras; e a Busca por novas parcerias com organizações públicas e privadas. O Diretor do PPSI finalizou sua participação e parabenizou a iniciativa do Workshop: “Damos os parabéns para vocês pela iniciativa, por esse quinto evento, isso é muito importante, e estamos totalmente à disposição para recebê-los e para fazermos projetos juntos. Vocês estão em uma casa que realmente o tema é prioritário”.
Para a realização do Workshop, a COSEGI convidou mais de 10 mil colaboradores do MS, para falar sobre o tema e a responsabilidade de cada um para a proteção dos dados da pasta. O evento foi realizado em formato híbrido, no Auditório Emílio Ribas/MS e transmissão on-line pelo Teams, facilitando a participação de todos.