Comunicado Importante

Atualização: 30 de julho de 2021

O Grupo Fleury se preocupa com a privacidade e com a proteção dos dados pessoais de seus clientes, colaboradores e parceiros, e está comprometido em garantir que esses valores sejam respeitados. Antes mesmo da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), o Grupo Fleury já cuidava das informações de seus pacientes com o máximo de atenção e zelo, por compreendermos a nossa responsabilidade com os dados que nos são confiados.

É nesse espírito de transparência e de respeito que achamos importante compartilhar com você algumas informações atualizadas sobre a recente indisponibilidade de nossos sistemas, diante da identificação de atividades atípicas nas redes do Grupo Fleury, provocadas por terceiros mal-intencionados.

Desde o momento inicial desse evento, o Grupo Fleury agiu de forma imediata para mitigar eventuais riscos e para investigar a fundo os acontecimentos. Ao longo das últimas semanas, nossas equipes vêm trabalhando incansavelmente para garantir que nossas atividades fossem normalizadas o quanto antes, assim como para entender e remediar eventuais riscos que pudessem ser ocasionados à sua privacidade e às suas informações e para garantir que eventos como esse não se repitam.

Para chegar à raiz do problema, contratamos profissionais altamente especializados em tecnologia e segurança da informação para nos auxiliar nas investigações necessárias e na retomada segura das nossas operações, sempre pensando na sua melhor experiência.

Preparamos algumas respostas a perguntas frequentes (FAQ) que podem ser encontradas abaixo, e que foram atualizadas no dia 30 de julho de 2021. O Comunicado original pode ser visualizado no seguinte link.

Caso tenha dúvidas adicionais em relação aos seus dados pessoais, não hesite em nos contatar pelo e-mail [email protected]

1. O que aconteceu?

No dia 22.06.2021, os sistemas de segurança da informação implementados pelo Grupo Fleury, que possuem diversas camadas de proteção e estão em linha com as melhores práticas de mercado, identificaram atividades atípicas nas nossas redes.

Tão logo as atividades não usuais foram identificadas, imediatamente desconectamos todos os nossos dispositivos informáticos da internet, retirando os sistemas do ar como forma de conter a possível ameaça e de mitigar eventuais riscos, o que gerou a indisponibilidade de alguns de nossos serviços e sistemas, conforme os avisos que foram disponibilizados em nossos sites e no nosso perfil no Instagram.

Arquivos mantidos nas redes do Grupo Fleury foram criptografados em razão do ataque, mas foram prontamente restaurados por meio dos backups realizados pelo Grupo Fleury, que não foram afetados pelo incidente.

2. Dados pessoais foram afetados?

Ainda que as nossas bases de dados permaneçam íntegras e tenhamos cópias de segurança que não foram impactadas pelas atividades atípicas observadas, identificamos que um volume reduzido de dados foi extraído de nossas redes indevidamente.

Conduzimos uma investigação forense para identificar quais dados foram afetados, mas as técnicas sofisticadas utilizadas pelos atacantes não permitem a identificação clara e precisa de quais informações foram extraídas ou a quais pessoas eventualmente essas informações se referem.

Nesse contexto, não é possível afirmar com exatidão se dados pessoais foram afetados. Os servidores dos quais os dados foram extraídos poderiam eventualmente conter dados pessoais sensíveis, mas a investigação forense não conseguiu esclarecer se essas informações foram efetivamente extraídas.

3. Que medidas o Grupo Fleury adotou para mitigar os riscos?

Desde o momento em que tomou conhecimento das atividades atípicas, o Grupo Fleury agiu de forma imediata, intensiva e diligente para identificar todos os detalhes relativos às atividades.

Contratamos assessores externos que são referências no mercado nacional e internacional para nos auxiliar na investigação do evento e na retomada de nossos serviços de modo seguro, garantindo que os nossos dispositivos não tivessem qualquer indício de comprometimento antes de colocá-los de volta em atividade.

Para permitir a continuidade das nossas operações, o atendimento em todas as Unidades de Atendimento do Grupo Fleury continuou ocorrendo, por meio de soluções de contingência, com vários processos conduzidos de forma manual, para manter os dados acessíveis e disponíveis e, ao mesmo tempo, garantir a segurança de nossos sistemas e dispositivos informáticos.

4. Quais medidas o Grupo Fleury adota para garantir a segurança das minhas informações?

O Grupo Fleury adota medidas técnicas, administrativas e organizacionais, no sentido de proteger seus dados pessoais contra acessos não autorizados, ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou exposição indevida de suas informações.

Entre elas, possuímos protocolos de segurança e controles internos estabelecidos, focados na proteção de nossos ativos informacionais, dos seus dados pessoais e de nossos dispositivos e sistemas de tecnologia da informação, que foram imediatamente acionados para conter eventuais danos e investigar as raízes e a extensão do evento.

O Grupo Fleury também possui políticas de backup implementadas, de modo que os dispositivos informáticos utilizados possam ser totalmente restaurados sem que haja perda de integridade ou de disponibilidade de informações. Identificadas as atividades atípicas, decidimos, por precaução, realizar a restauração de todos os nossos dispositivos informáticos, após garantir que as nossas cópias de segurança não tinham sido impactadas pelo evento.

5. Como o evento aconteceu com todas essas proteções implementadas?

No Grupo Fleury, adotamos as melhores práticas de mercado no quesito de segurança da informação, dispondo de tecnologias e processos voltados especificamente para garantir que os dados que tratamentos sejam protegidos.

Infelizmente, quando se trata de segurança cibernética não é possível garantir proteção absoluta, especialmente contra ataques perpetrados por pessoas mal-intencionadas, que podem ser altamente sofisticados e inovadores, com técnicas e métodos desconhecidos até então mesmo pelas melhores ferramentas disponíveis no mercado.

No ambiente atual de riscos cibernéticos, a capacidade de reação a eventos adversos é fundamental. Nesse aspecto, tão logo identificamos atividades atípicas, tomamos todas as medidas necessárias, com rapidez e eficiência, para enfrentar a situação imediatamente, mitigando riscos e mantendo a prestação de um serviço essencial em hospitais e unidades.

Reforçamos ainda mais as nossas medidas de segurança da informação, implementando melhorias para evitar que eventos como este se repitam.

6. Quais são os riscos relacionados ao evento?

Não há clareza sobre os efetivos riscos relacionados ao evento, considerando que não foi possível obter evidências sobre quais dados foram efetivamente extraídos indevidamente das redes do Grupo Fleury.

7. Por que vocês estão atualizando as informações do comunicado agora?

Entendemos que seria importante compartilhar informações atualizadas sobre o evento, considerando os achados obtidos com o transcurso da investigação forense, em complemento às informações que já havíamos compartilhado anteriormente.

8. Como posso saber mais sobre o evento?

Estamos à disposição para esclarecer qualquer dúvida que não tenha sido respondida nesta comunicação, pelo e-mail [email protected], reiterando nosso compromisso de máxima transparência com você. É possível que, no momento atual, não tenhamos respostas para todos os seus questionamentos, mas faremos o que estiver ao nosso alcance para garantir as respostas que você busca.

Quer saber mais? Consulte nossa Política de Privacidade completa acessando esse link.