O setor de saúde vive um momento crítico em termos de cibersegurança. Com a digitalização crescente de prontuários, exames, telemedicina e dispositivos conectados, as instituições passam a lidar com dados extremamente sensíveis — cuja exposição pode trazer não apenas prejuízos financeiros, mas riscos reais à segurança do paciente.
De acordo com o IBM Security/Ponemon Institute Cost of a Data Breach Report 2023, a indústria da saúde teve o maior custo médio por violação de dados de todas as indústrias: cerca de US$ 10,93 milhões por incidente. Esse valor representa um aumento de mais de 53% desde 2020.
Além do custo financeiro direto, os prazos de detecção e contenção são elevados. O estudo aponta que, em média, leva 204 dias para identificar uma violação e mais 73 dias para contê-la, resultando num ciclo total de aproximadamente 277 dias de impacto.
No Brasil, o panorama também é preocupante. Um relatório recente identificou que o custo médio de uma violação de dados no país chega a R$ 7,19 milhões. Esse valor reflete compromissos legais, recuperação operacional, notificações, perda de confiança e impactos na reputação institucional.
Casos recentes ilustram como as vulnerabilidades se manifestam de forma prática. Na esfera global, foram expostas imagens médicas, raios-X e exames de diferentes hospitais por falhas em dispositivos conectados ou por configurações inseguras, como senhas fracas ou ausência de criptografia adequada.
Também no Brasil, ataques de ransomware e intrusões em provedores de software de saúde mostram que ameaças avançadas como o KillSec conseguem comprometer prontuários, exames de imagem e dados clínicos — ampliando o alcance do dano desde clínicas até grandes redes hospitalares.
Há vários fatores que explicam por que a saúde é tão visada:
Valor elevado da informação: dados de saúde pessoal (PHI) são um dos tipos mais procurados por criminosos, pois combinam informações pessoais e médicas com potencial de uso prolongado (identidade, histórico clínico, etc.).
Sistemas legados e interoperabilidade: muitos hospitais ainda dependem de sistemas antigos, pouco atualizados, com falhas conhecidas, dificultando a aplicação de patches ou modernizações seguras.
Alta necessidade de disponibilidade: interrupções de sistemas afetam diretamente o atendimento ao paciente — cirurgias, emergências, diagnósticos — o que cria pressões para manter sistemas operando a qualquer custo, por vezes em detrimento da segurança.
Capilaridade de fornecedores: provedores de software, equipamento médico conectado, serviços terceirizados etc., formam uma cadeia extensa. Uma falha em qualquer elo pode se propagar a muitas instituições.
Diante desse cenário, algumas medidas já demonstram eficácia real:
- adoção de políticas de autenticação forte (como autenticação multifator) para acesso a sistemas críticos;
- segmentação de rede para isolar ambientes clínicos dos administrativos ou externos;
- testes regulares de vulnerabilidades e auditorias de conformidade;
- planos de resposta a incidentes bem definidos, com simulações e exercícios práticos;
- governança de terceiros (fornecedores), com cláusulas contratuais claras de segurança e responsabilidade;
- proteção de dispositivos conectados, inclusive considerando sua segurança física, configuração, atualização de firmware.
Em resumo, a saúde precisa encarar a cibersegurança como parte integrante de sua missão, e não algo adicional ou opcional. Porque, no fim, não se trata apenas de dados — trata-se de manter instituições funcionando, pacientes seguros e a confiança pública intacta.
*Denis Furtado é engenheiro de sistemas e diretor da Smart Solutions, distribuidora brasileira de solução antifraude e de cibersegurança. Mais informações em: www.smart.etc.br.
