Hack Alerta

Ransomware ataca 500 mil pacientes no Brasil e ANPD inicia processo de sanção

ANPD inicia processo de sanção contra ISAC após ransomware sequestrar dados de 500 mil pacientes no Brasil, expondo informações sensíveis de saúde.

Instituto de Saúde e Cidadania (ISAC) é alvo de incidente de segurança

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC), organização social responsável pela administração de unidades públicas de saúde em diversos estados brasileiros. O inquérito foi aberto após um ataque de ransomware que sequestrou dados de 500 mil pacientes, expondo informações sensíveis de saúde e pessoais.

O incidente, que ocorreu em 2025 e foi comunicado pela entidade à agência, resultou na criptografia de dados críticos e na exigência de resgate pelos agentes maliciosos. A ANPD apura se foram cometidas infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) relacionadas à ausência de medidas de segurança adequadas e à comunicação inadequada às pessoas afetadas.

Escala do vazamento e dados expostos

Ao todo, cerca de 500 mil cadastros foram expostos durante o ataque. Desse total, 78,7 mil fichas seriam de crianças e adolescentes e 47,9 mil de idosos, o que eleva a gravidade do incidente devido à sensibilidade dos dados envolvidos. As informações comprometidas incluem dados de identificação pessoal, como nome e data de nascimento, além de dados sensíveis de saúde.

Entre os dados expostos estão histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações, diagnósticos e procedimentos realizados. A exposição desses dados pode facilitar fraudes de identidade, golpes financeiros e discriminação, representando um risco significativo para os titulares afetados.

O ISAC informou em seu site que identificou um incidente de segurança da informação que "pode ter afetado" dados pessoais sob a responsabilidade da empresa. A organização afirmou estar tomando todas as medidas necessárias para investigar o ocorrido, mitigar impactos e evitar novas ocorrências, reforçando seu compromisso com a transparência e a proteção dos dados.

Infrações investigadas pela ANPD

A investigação da ANPD apura se foram cometidas infrações à LGPD relacionadas aos seguintes pontos:

  • Ausência de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
  • Comunicação inadequada às pessoas afetadas pelo incidente.
  • Indisponibilidade de informações relativas ao encarregado pelo tratamento de dados pessoais.
  • Descumprimento aos princípios da prevenção e da responsabilização e prestação de contas.

Durante os questionamentos sobre o impacto da brecha, a empresa alegou que não haveria risco ou dano relevante aos titulares, pois os invasores teriam acessado apenas informações administrativas de bancos de dados de contratos já encerrados. No entanto, a ANPD pontua que a entidade não apresentou comprovação para essa afirmação.

A Agência apurou também que o ISAC não comunicou individualmente os titulares afetados, como seria esperado de acordo com a LGPD em circunstâncias semelhantes, tendo se limitado a publicar um aviso em seu site institucional. Essa falha na comunicação impede que os titulares tomem medidas preventivas para proteger seus dados.

Implicações regulatórias e possíveis sanções

Com o início do processo, a organização social tem dez úteis para apresentar a sua defesa. As sanções, em caso de condenação, preveem desde advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, e suspensão ou proibição do exercício de atividades de tratamento de dados pessoais.

A empresa também receberá orientações para regulamentar a situação, o que pode incluir a implementação de medidas de segurança mais robustas e a revisão de seus processos de governança de dados. O caso serve como um alerta para outras organizações de saúde sobre a importância de proteger dados sensíveis e cumprir as obrigações da LGPD.

O setor de saúde é um alvo frequente de ataques cibernéticos devido ao valor dos dados de saúde no mercado negro. A exposição de prontuários médicos pode ser utilizada para fraudes de seguros, venda de informações no dark web e até para chantagem contra pacientes.

Recomendações para o setor de saúde

Para evitar incidentes semelhantes, as organizações de saúde devem adotar as seguintes medidas:

  1. Classificação de Dados: Identificar e classificar todos os dados sensíveis armazenados, garantindo que sejam protegidos com níveis de segurança adequados.
  2. Controle de Acesso: Implementar controles de acesso rigorosos, incluindo autenticação multifator e princípio do menor privilégio.
  3. Monitoramento Contínuo: Utilizar ferramentas de monitoramento de segurança para detectar atividades suspeitas e respostas a incidentes rápidas.
  4. Plano de Resposta a Incidentes: Desenvolver e testar um plano de resposta a incidentes que inclua comunicação clara e rápida com os titulares afetados.
  5. Conformidade com a LGPD: Garantir que todos os processos de tratamento de dados estejam em conformidade com a legislação vigente, incluindo a nomeação de um encarregado (DPO).

Conclusão e impacto no mercado

O caso do ISAC destaca a necessidade de as organizações de saúde priorizarem a segurança da informação e a conformidade regulatória. A atuação da ANPD demonstra o compromisso do órgão em fazer cumprir a LGPD e proteger os direitos dos titulares de dados.

Para os profissionais de segurança da informação, o caso reforça a importância de não subestimar os riscos associados a ataques de ransomware e a necessidade de uma postura proativa na proteção de dados sensíveis. A conformidade com a LGPD não é apenas uma obrigação legal, mas uma estratégia de negócios que pode evitar danos reputacionais e financeiros significativos.

Perguntas frequentes

Qual é o prazo para defesa do ISAC?
A organização tem dez úteis para apresentar a sua defesa após o início do processo.

Quais são as possíveis sanções?
As sanções variam de advertência a multas de até 2% do faturamento, limitadas a R$ 50 milhões, e suspensão de atividades.

Como os titulares podem se proteger?
Os titulares devem monitorar suas contas bancárias e de saúde, e ficar atentos a solicitações suspeitas de informações pessoais.


Baseado em publicação original de Canaltech
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.