Cibersegurança na saúde: protegendo dados de pacientes na era da medicina conectada

Organizações de saúde enfrentam um paradoxo de cibersegurança. Detêm alguns dos dados mais sensíveis existentes — prontuários médicos de pacientes, informações genéticas, históricos de saúde mental, registros de tratamento de dependência — e no entanto operam em ambientes onde a segurança foi historicamente uma preocupação secundária. Redes hospitalares foram projetadas para o fluxo de trabalho clínico, não para a ciberdefesa. Dispositivos médicos rodam software desatualizado que não pode ser atualizado sem recertificação. Médicos, cuja missão principal é o cuidado ao paciente, resistem a medidas de segurança que adicionam atrito a fluxos de trabalho já exigentes. O resultado é uma indústria que é simultaneamente a mais atacada e a menos preparada para se defender.

O cenário de ameaças na saúde

Os números contam uma história dura. As violações de dados em saúde aumentaram mais de 300% desde 2018. O registro médico médio é vendido por US$ 250 em mercados da dark web — comparado a US$ 5,40 por um número de cartão de crédito — porque prontuários médicos contêm informações pessoais identificáveis suficientes para permitir roubo de identidade, fraude de seguros e fraude de medicamentos prescritos simultaneamente. Diferente de um cartão de crédito roubado, que pode ser cancelado e substituído, um prontuário médico roubado é permanente — você não pode mudar seu tipo sanguíneo, histórico médico ou perfil genético.

O ransomware emergiu como a ameaça mais devastadora para a saúde. O ataque de 2020 à Universal Health Services interrompeu operações em 400 unidades por três semanas, com um custo estimado de US$ 67 milhões. O ataque ao Scripps Health em 2021 derrubou sistemas por quatro semanas, durante as quais pacientes de emergência foram desviados para outros hospitais. O mais alarmante: pesquisadores da Universidade de Minnesota encontraram uma ligação estatística entre ataques de ransomware a hospitais e o aumento da mortalidade de pacientes — quando os sistemas de TI caem, pacientes morrem.

• Ransomware: Os ataques à saúde triplicaram desde 2020, com demandas médias de resgate superiores a US$ 1,5 milhão. A dupla extorsão — criptografar sistemas E ameaçar publicar dados roubados — é agora prática padrão.
• Phishing: Mais de 90% das violações em saúde começam com um e-mail de phishing. A equipe clínica, que trabalha sob pressão de tempo e é treinada para ser prestativa, é particularmente suscetível a ataques de engenharia social.
• Ataques à cadeia de suprimentos: Organizações de saúde dependem de centenas de fornecedores — provedores de PEP, sistemas de faturamento, interfaces com seguradoras, fabricantes de dispositivos médicos — e cada conexão com um fornecedor é um vetor de ataque potencial. A violação do MOVEit em 2023 afetou dezenas de organizações de saúde através de uma única vulnerabilidade em software de transferência de arquivos.
• Ameaças internas: Nem todas as ameaças são externas. Funcionários descontentes, equipe curiosa acessando prontuários de celebridades e manuseio descuidado de informações protegidas de saúde representam uma porcentagem significativa das violações.
• Vulnerabilidades de dispositivos médicos: Muitos dispositivos médicos — bombas de infusão, sistemas de imagem, monitores de pacientes — rodam em sistemas operacionais legados que não recebem mais atualizações de segurança. Esses dispositivos estão conectados às redes hospitalares mas não podem ser facilmente atualizados sem afetar sua funcionalidade clínica.

Proteger dados de pacientes: além da conformidade

A conformidade com HIPAA (nos EUA), LGPD/GDPR (no Brasil e Europa) e regulamentações similares ao redor do mundo estabelece uma linha de base para a proteção de dados — mas conformidade e segurança não são a mesma coisa. Uma organização pode estar totalmente em conformidade com HIPAA e ainda ser altamente vulnerável a ataques. A HIPAA foi escrita em 1996, antes do ransomware, antes da computação em nuvem, antes dos dispositivos médicos IoT. Sua regra de segurança estabelece requisitos amplos (controles de acesso, trilhas de auditoria, criptografia) mas deixa os detalhes de implementação para a organização.

Uma postura de segurança robusta em saúde requer ir além do que as regulamentações exigem. Isso significa implementar criptografia não apenas para dados em trânsito (que a HIPAA exige) mas para todos os dados em repouso e em uso. Significa implantar detecção e resposta de endpoints (EDR) em todos os dispositivos, não apenas nos servidores. Significa conduzir testes de penetração regulares — não o exercício anual de marcar caixas, mas testes adversariais genuínos que simulem cenários de ataque do mundo real. E significa investir em um Centro de Operações de Segurança (SOC) que forneça monitoramento e capacidade de resposta a incidentes 24/7.

Na Xcapit, nossa prática de cibersegurança ajuda organizações a passar da conformidade para a segurança genuína. Nossa experiência com a certificação ISO 27001 — o padrão internacional para gestão de segurança da informação — nos deu uma metodologia estruturada para avaliar riscos, implementar controles e melhorar continuamente a postura de segurança em ambientes complexos e regulados.

Ransomware e sistemas hospitalares

Atacantes de ransomware visam hospitais por uma razão simples: a pressão para pagar é enorme. Quando os sistemas de um hospital caem, pacientes não podem receber tratamentos agendados, emergências são desviadas, procedimentos cirúrgicos são adiados e médicos são forçados a trabalhar com prontuários em papel — um processo que a maioria dos médicos jovens nunca praticou. O cálculo para administradores hospitalares é brutalmente claro: pagar o resgate e restaurar sistemas em horas, ou recusar-se a pagar e potencialmente enfrentar semanas de cuidado degradado, milhões em custos de recuperação e a possibilidade de dano aos pacientes.

Defender-se contra ransomware na saúde requer uma abordagem multicamada. A prevenção começa com o básico: corrigir vulnerabilidades conhecidas, segmentar redes para que uma violação em um departamento não se espalhe para todo o hospital, implementar autenticação multifator para todos os acessos a sistemas clínicos e filtrar e-mails para bloquear tentativas de phishing. Mas a prevenção sozinha é insuficiente — organizações devem assumir que serão violadas e se preparar adequadamente.

• Backups imutáveis: Manter backups offline, isolados da rede, de todos os sistemas e dados críticos. Testar os procedimentos de restauração regularmente — um backup que não pode ser restaurado não é um backup. A estratégia de backup deve cobrir não apenas dados mas configurações de sistemas, estados de aplicações e repositórios de credenciais.
• Planejamento de resposta a incidentes: Desenvolver e ensaiar regularmente um plano de resposta a incidentes específico para ransomware. Este plano deve incluir procedimentos de operação sem sistemas — como o hospital funciona quando os sistemas de TI estão indisponíveis. Cada departamento deve saber como continuar o cuidado ao paciente usando processos de contingência em papel.
• Segmentação de rede: Isolar dispositivos médicos, sistemas administrativos e estações de trabalho clínicas em segmentos de rede separados. Se o ransomware compromete o departamento de faturamento, não deveria conseguir alcançar as bombas de infusão da UTI ou os sistemas de imagem da radiologia.
• Inteligência de ameaças: Assinar feeds de inteligência de ameaças específicos para saúde (H-ISAC, alertas CISA para saúde) que forneçam alertas antecipados de ameaças direcionadas ao setor. Muitos ataques de ransomware exploram vulnerabilidades conhecidas para as quais patches estão disponíveis — inteligência oportuna permite correção oportuna.

Zero Trust para redes de saúde

A segurança de rede tradicional opera em um modelo de perímetro: confiar em tudo dentro da rede, verificar tudo fora. Este modelo falha fundamentalmente na saúde. Médicos acessam prontuários de pacientes de dispositivos pessoais. Enfermeiros usam estações de trabalho compartilhadas. Provedores de telemedicina se conectam de casa. Fabricantes de dispositivos médicos requerem acesso remoto para manutenção. O perímetro se dissolveu — não há mais nada para defender.

A arquitetura zero trust substitui o perímetro por verificação contínua: nunca confiar, sempre verificar. Cada solicitação de acesso — independentemente de onde se origina — deve ser autenticada, autorizada e criptografada. O princípio de menor privilégio garante que cada usuário possa acessar apenas os dados e sistemas específicos necessários para sua tarefa atual. Um enfermeiro na ala de cardiologia pode acessar os registros cardíacos de seus pacientes mas não o banco de dados de oncologia. Um técnico de laboratório pode enviar resultados mas não ler notas clínicas.

• Segurança centrada em identidade: Cada usuário, dispositivo e aplicação deve ter uma identidade verificável. A autenticação multifator é inegociável. Políticas de acesso sensíveis ao contexto podem ajustar permissões baseando-se em localização, saúde do dispositivo, hora do dia e padrões comportamentais.
• Microssegmentação: Ir além da segmentação no nível da rede para a microssegmentação no nível da aplicação. Proteger cargas de trabalho individuais, bancos de dados e serviços com suas próprias políticas de acesso. Isso limita o raio de explosão — mesmo que um invasor comprometa um sistema, não consegue se mover lateralmente para outros.
• Monitoramento e analytics contínuos: Zero trust requer visibilidade em tempo real de toda a atividade de rede. Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM), combinados com Analytics de Comportamento de Usuários e Entidades (UEBA), podem detectar padrões de acesso anômalos que indicam uma conta comprometida ou ameaça interna.
• Criptografia em todos os lugares: Todos os dados — em repouso, em trânsito e idealmente em uso — devem ser criptografados. Isso inclui o tráfego de rede interno, não apenas as comunicações externas. Se um invasor obtém acesso à rede, a criptografia garante que não possa ler os dados que intercepta.

Construindo uma cultura de segurança

Tecnologia sozinha não pode proteger uma organização de saúde. Os firewalls e sistemas de detecção de intrusões mais sofisticados são derrotados quando um enfermeiro clica em um link de phishing, quando um médico compartilha sua senha com um colega por conveniência, ou quando um administrador desabilita controles de segurança porque desaceleram uma aplicação clínica. A cultura de segurança — as atitudes coletivas, comportamentos e normas em torno da cibersegurança — é o alicerce do qual dependem todos os controles técnicos.

Construir cultura de segurança na saúde requer compreender a mentalidade clínica. Médicos são treinados para priorizar o cuidado ao paciente acima de tudo. Medidas de segurança que interferem no cuidado ao paciente serão contornadas, não seguidas. A abordagem mais eficaz é projetar segurança que seja invisível ao fluxo de trabalho clínico — single sign-on que elimina a fadiga de senhas, autenticação por proximidade que desbloqueia estações quando o crachá do enfermeiro está próximo, e controles de acesso baseados em papéis que automaticamente apresentam a cada usuário exatamente as informações que precisa.

O treinamento de conscientização em segurança deve ser contínuo, específico por função e vinculado a cenários do mundo real. Vídeos genéricos de treinamento anual não mudam comportamentos. Campanhas de phishing simulado que fornecem feedback imediato, exercícios de mesa que conduzem líderes clínicos por cenários de ransomware, e treinamento específico por departamento que aborda os riscos únicos de cada área clínica são muito mais eficazes. A liderança deve ser visivelmente campeã da segurança — quando o CEO e o diretor médico demonstram que segurança é uma questão de segurança do paciente, não apenas um problema de TI, a cultura muda.