Segurança em xeque: 44 ataques cibernéticos são registrados por dia na área da saúde

Entre hospitais, clínicas, operadoras e laboratórios, a estimativa é de que 75% dessas instituições sofrerão ataques em 2025

 

Um aumento de 6,5 mil para 16 mil ataques cibernéticos na saúde. Esse é o fenômeno que vem ameaçando esse segmento no Brasil. Em 2024, foram registrados 16 mil ataques direcionados ao setor, ou seja, quase 44 por dia. O crescimento é alarmante quando comparado aos 6,5 mil ataques registrados no ano de 2023. O dado estatístico fez o setor saltar de 7º para 3º lugar no ranking dos mais atacados.

 

De fato, a previsão para 2025 já vem se concretizando. Nos últimos 12 meses 74% das instituições de saúde brasileiras sofreram pelo menos um ataque. Um ponto a ser ressaltado é que os dados médicos podem valer – no mercado clandestino – até 10 vezes mais que dados de cartões de crédito. Isso explica por que os hospitais, clínicas e laboratórios têm se tornado um alvo tão atrativo para criminosos digitais.

Os impactos dos ataques cibernéticos para as organizações

O aumento não foi somente para o setor da saúde. Durante a pandemia de Covid-19, os ataques cibernéticos triplicaram globalmente, registrando um crescimento de aproximadamente 300% em relação aos anos anteriores. A questão é que na saúde o cuidado precisa ser ainda maior, pois, dependendo do tipo de ataque, o atendimento aos pacientes pode ser comprometido. Um estudo realizado pela Claroty com 1,1 mil profissionais de TI revelou 75% dos ataques às organizações de saúde impactaram diretamente o atendimento ao paciente, enquanto 15% resultaram em consequências graves que comprometeram a saúde e a segurança dos enfermos.

 

Para entender a gravidade da situação, vamos a alguns exemplos. O Instituto Nacional do Câncer (INCA) já foi vítima de um ataque que forçou a suspensão de sessões de radioterapia, afetando centenas de pacientes. À época da pandemia, o próprio Ministério da Saúde sofreu invasões em diversos sistemas, incluindo o Conecte SUS (atual Meu SUS Digital), comprometendo a emissão de certificados de vacinação e o sistema de notificação de casos de covid-19.

 

As consequências desses ataques vão além da paralisação de serviços. A situação é tão grave que, recentemente, a ONU e 50 países emitiram um alerta sobre o aumento desses ataques contra hospitais, classificando-os como ameaça à paz internacional.

Quando criminosos acessam sistemas hospitalares, os ataques podem:

• Interromper completamente o atendimento
• Impossibilitar a admissão de novos pacientes
• Atrapalhar o agendamento de exames e consultas
• Alterar dados médicos e resultados de exames

Por que os hackers miram em ataques ao setor da saúde?

A posição de terceiro lugar no ranking dos mais atacados já havia ocorrido em 2021, quando a saúde ficou atrás apenas de Governo e Indústria. Mas, afinal, o que torna o setor de tão atraente para os criminosos virtuais?

 

Duas características fundamentais atraem: a criticidade dos serviços e a sensibilidade dos dados pessoais. Quando um hospital tem seus sistemas comprometidos, por exemplo, o impacto é imediato, o que aumenta a probabilidade de pagamento de resgates.

 

Além disso, conforme mencionamos anteriormente, os dados médicos são valiosos no mercado clandestino. Enquanto informações financeiras podem ser rapidamente bloqueadas após um vazamento, registros médicos possibilitam fraudes de longo prazo. Segundo especialistas, dados de saúde valem:

 

• Até 25 vezes mais que informações do mercado financeiro
• 10 vezes mais que números de cartões de crédito
• Aproximadamente 50 vezes mais que dados bancários

 

Por que tanto valor? Um prontuário médico contém nome completo, data de nascimento, histórico de saúde e números de apólices de seguro. Com essas informações, criminosos podem fraudar seguros de vida, criar identidades falsas para comprar equipamentos médicos ou medicamentos para revenda, e até submeter pedidos falsos de reembolso às seguradoras.

 

Outro fator que atrai é a vulnerabilidade tecnológica do setor. Muitas instituições ainda utilizam sistemas obsoletos, criando brechas exploráveis. Durante a pandemia, a digitalização acelerada não foi acompanhada por investimentos proporcionais em cibersegurança.

LGPD na área da saúde

Hospitais, operadoras de planos de saúde, clínicas e laboratórios atuam como agentes de processamento de dados e precisam implementar protocolos para assegurar a proteção das informações estabelecida pela Lei Geral de Proteção de Dados (LGPD). É importante que as instituições:

• Implementem diretrizes internas de proteção de dados.
• Capacitem as equipes sobre LGPD e gestão de dados sensíveis.
• Atualizem acordos com parceiros e fornecedores, garantindo alinhamento com a legislação.
• Invistam em segurança digital, incluindo criptografia e gestão de acessos.

 

Como hospitais, clínicas, operadoras de saúde e laboratórios podem se proteger de ataques cibernéticos?

Diante do cenário crescente de ataques digitais, é necessário implementar medidas de proteção para a segurança dos dados de pacientes. Vamos a elas:

• Criptografia e controle de acesso. A transformação das informações em um formato que só pode ser lido por pessoas autorizadas garante que, mesmo interceptados, os dados permaneçam inacessíveis. Além disso, a definição de níveis de acesso específicos para cada usuário limita o contato com informações sensíveis apenas a profissionais autorizados.
• Capacitação das equipes. Conforme estudos, o phishing é uma das principais portas de entrada para malwares em instituições médicas. Todos os funcionários, desde a recepção até o setor administrativo, precisam estar cientes da importância da proteção dos dados.

E, para garantir uma proteção efetiva, instituições de saúde devem adotar:

• Autenticação multifator (MFA) para e-mails e sistemas críticos
• Segmentação de rede para impedir que ataques se espalhem
• Backups regulares para recuperação rápida de dados em caso de incidentes
• Atualizações constantes de sistemas para corrigir vulnerabilidades
• Monitoramento contínuo para identificar comportamentos anormais

 

A segurança física também precisa ser considerada. É essencial proteger os data centers que armazenam registros médicos contra acesso não autorizado. Para isso, é preciso investir em sistemas de controle de acesso e monitoramento por vídeo.

 

Adicionalmente, hospitais devem investir em soluções de imutabilidade de dados. Essa tecnologia permite que cada alteração realizada gere uma nova versão, mantendo o original intocado – particularmente útil contra ransomware.

 

Por fim, vale ressaltar que a cibersegurança na saúde é um desafio que exige parcerias com empresas especializadas. Implementar todas essas medidas de proteção requer conhecimento técnico e experiência específica, tornando essencial a contratação de consultorias de segurança para avaliar riscos, implementar soluções adequadas e garantir a conformidade com regulamentações como a LGPD.

 

Há 10 anos no mercado, a Any Consulting protege diversas instituições com uma atuação focada em prever os riscos de segurança e prevenir todos os tipos de ataque cibernético. O time de especialistas está à disposição para atender a todos os segmentos, inclusive, a área da saúde. Fale aqui com nossos especialistas ou ligue (31) 2555-3511.