Comunicado Importante
Atualização: 27 de julho de 2022
O Grupo Fleury se preocupa com a privacidade e com a proteção dos dados pessoais de seus clientes, colaboradores e parceiros, e está comprometido em garantir que esses valores sejam respeitados. Antes mesmo da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), o Grupo Fleury já cuidava das informações de seus pacientes com o máximo de atenção e zelo, por compreendermos a nossa responsabilidade com os dados que nos são confiados.
É nesse espírito de transparência e de respeito que achamos importante compartilhar com você algumas informações atualizadas sobre a indisponibilidade de nossos sistemas sofrida em junho do ano passado (2021), diante da identificação de atividades atípicas nas redes do Grupo Fleury, provocadas por terceiros mal-intencionados.
Desde o momento inicial do evento, o Grupo Fleury agiu de forma imediata para mitigar eventuais riscos e para investigar a fundo os acontecimentos. As nossas equipes trabalharam incansavelmente para garantir que nossas atividades fossem normalizadas o quanto antes, assim como para entender e remediar eventuais riscos que pudessem ser ocasionados à sua privacidade e às suas informações e para garantir que eventos como esse não se repitam.
Para chegar à raiz do problema, foram contratados profissionais altamente especializados em tecnologia e segurança da informação para nos auxiliar nas investigações necessárias e na retomada segura das nossas operações, sempre pensando na sua melhor experiência.
Preparamos algumas respostas a perguntas frequentes (FAQ) que podem ser encontradas abaixo, e que estão sendo atualizadas no dia 27 de julho de 2022. O Comunicado original realizado pelo Grupo Fleury e as atualizações realizadas nos dias 30.07.2021 e 25.03.2022 podem ser visualizados no link.
Caso tenha dúvidas adicionais em relação aos seus dados pessoais, não hesite em nos contatar pelo e-mail [email protected]
1. O que aconteceu?
No dia 22.06.2021, os sistemas de segurança da informação implementados pelo Grupo Fleury, que possuem diversas camadas de proteção e estão em linha com as melhores práticas de mercado, identificaram atividades atípicas nas nossas redes.
Tão logo as atividades não usuais foram identificadas, imediatamente desconectamos todos os nossos dispositivos informáticos da internet, retirando os sistemas do ar como forma de conter a possível ameaça e de mitigar eventuais riscos, o que gerou a indisponibilidade de alguns de nossos serviços e sistemas, conforme os avisos que foram disponibilizados em nossos sites e no nosso perfil no Instagram.
Arquivos mantidos nas redes do Grupo Fleury foram criptografados em razão do ataque, mas foram prontamente restaurados por meio dos backups realizados pelo Grupo Fleury, que não foram afetados pelo incidente.
Uma investigação forense foi iniciada imediatamente para apurar todos os detalhes possíveis acerca do evento, e foi conduzida por profissionais altamente especializados em segurança da informação e tecnologia da informação.
Também foi realizado um trabalho de e-discovery, para identificar quais informações constavam nos arquivos que foram criptografados pelos criminosos durante o ataque. Não há evidências de que esses arquivos que foram criptografados tenham sido extraídos, mas esse trabalho foi realizado para permitir que o Grupo Fleury avaliasse o eventual impacto caso os respectivos arquivos tivessem sido potencialmente extraídos.
2. Os meus dados pessoais foram afetados?
Ainda que as nossas bases de dados permaneçam íntegras e tenhamos cópias de segurança que não foram impactadas pelas atividades atípicas observadas, identificamos que um volume de dados foi extraído de nossas redes indevidamente. Inicialmente, a investigação apontava para um volume extremamente reduzido de dados extraídos. Os achados definitivos demonstraram que o volume extraído foi razoavelmente maior do que o identificado em um primeiro momento, mas que, frente ao total de dados tratados pelo Grupo Fleury, representa um volume inferior a 0,05% da totalidade de dados mantidos nos servidores da Companhia.
Conduzimos uma investigação forense para identificar quais dados foram afetados, mas as técnicas sofisticadas utilizadas pelos atacantes não permitem a identificação clara e precisa de quais informações foram extraídas ou a quais pessoas eventualmente essas informações se referem. Somente foi possível aferir o volume de informações afetadas, indicado acima. Nesse contexto, não é possível afirmar com exatidão se os seus dados pessoais foram extraídos.
Após a conclusão dos trabalhos de e-discovery, identificamos que dentre os arquivos criptografados havia dados pessoais, sendo que a maior parte dessas informações (as quais somente se sabe que foram criptografadas durante o incidente, mas não há evidências de que tenham sido extraídas das bases do Fleury) está relacionada ao agendamento de exames.
3. Que medidas o Grupo Fleury adotou para mitigar os riscos?
Desde o momento em que tomou conhecimento das atividades atípicas, o Grupo Fleury agiu de forma imediata, intensiva e diligente para identificar todos os detalhes relativos às atividades.
Contratamos assessores externos que são referências no mercado nacional e internacional para nos auxiliar na investigação do evento e na retomada de nossos serviços de modo seguro, garantindo que os nossos dispositivos não tivessem qualquer indício de comprometimento antes de colocá-los de volta em atividade.
Para permitir a continuidade das nossas operações, o atendimento em todas as Unidades de Atendimento do Grupo Fleury continuou ocorrendo, por meio de soluções de contingência, com vários processos conduzidos de forma manual, para manter os dados acessíveis e disponíveis e, ao mesmo tempo, garantir a segurança de nossos sistemas e dispositivos informáticos.
4. Quais medidas o Grupo Fleury adota para garantir a segurança das minhas informações?
O Grupo Fleury adota medidas técnicas, administrativas e organizacionais, no sentido de proteger seus dados pessoais contra acessos não autorizados, ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou exposição indevida de suas informações.
Entre elas, possuímos protocolos de segurança e controles internos estabelecidos, focados na proteção de nossos ativos informacionais, dos seus dados pessoais e de nossos dispositivos e sistemas de tecnologia da informação, que foram imediatamente acionados para conter eventuais danos e investigar as raízes e a extensão do evento.
O Grupo Fleury também possui políticas de backup implementadas, de modo que os dispositivos informáticos utilizados possam ser totalmente restaurados sem que haja perda de integridade ou de disponibilidade de informações. Identificadas as atividades atípicas, decidimos, por precaução, realizar a restauração de todos os nossos dispositivos informáticos, após garantir que as nossas cópias de segurança não tinham sido impactadas pelo evento.
5. Como o evento aconteceu com todas essas proteções implementadas?
No Grupo Fleury, adotamos as melhores práticas de mercado no quesito de segurança da informação, dispondo de tecnologias e processos voltados especificamente para garantir que os dados que tratamentos sejam protegidos.
Infelizmente, quando se trata de segurança cibernética não é possível garantir proteção absoluta, especialmente contra ataques perpetrados por pessoas mal-intencionadas, que podem ser altamente sofisticados e inovadores, com técnicas e métodos desconhecidos até então mesmo pelas melhores ferramentas disponíveis no mercado.
No ambiente atual de riscos cibernéticos, a capacidade de reação a eventos adversos é fundamental. Nesse aspecto, tão logo identificamos atividades atípicas, tomamos todas as medidas necessárias, com rapidez e eficiência, para enfrentar a situação imediatamente, mitigando riscos e mantendo a prestação de um serviço essencial em hospitais e unidades.
Reforçamos ainda mais as nossas medidas de segurança da informação, implementando melhorias para evitar que eventos como este se repitam.
6. Quais são os riscos relacionados ao evento?
Não há clareza sobre os efetivos riscos relacionados ao evento, considerando que não foi possível obter evidências sobre quais dados foram efetivamente extraídos indevidamente das redes do Grupo Fleury.
Caso os dados que foram criptografados durante o incidente tenham também sido extraídos pelos atacantes, os riscos do evento estariam relacionados a terceiros terem acesso a dados pessoais sobre nossos pacientes, incluindo informações cadastrais, de agendamentos de exames e de um número limitado de resultados de exames.
7. Por que vocês estão atualizando as informações do comunicado agora?
Considerando a conclusão dos trabalhos de e-discovery, entendemos ser relevante compartilhar informações complementares sobre os respectivos trabalhos, além daquelas que já haviam sido disponibilizadas anteriormente em relação à investigação do incidente.
Fique tranquilo que o incidente foi remediado em junho de 2022 e os ataques perpetrados contra a Companhia foram contidos naquela época, inexistindo novos atos maliciosos que sejam de conhecimento da Companhia e que tenham sido realizados por terceiros mal-intencionados contra a Companhia desde então.
8. Como posso saber mais sobre o evento?
Estamos à disposição para esclarecer qualquer dúvida que não tenha sido respondida nesta comunicação, pelo e-mail [email protected], reiterando nosso compromisso de máxima transparência com você. É possível que, no momento atual, não tenhamos respostas para todos os seus questionamentos, mas faremos o que estiver ao nosso alcance para garantir as respostas que você busca.
Quer saber mais? Consulte nossa Política de Privacidade completa acessando esse link.