A transformação digital da saúde abriu caminho para ganhos inéditos em eficiência, integração e acesso. No entanto, o avanço tecnológico também escancarou vulnerabilidades que podem comprometer a operação dos hospitais e, principalmente, a segurança dos pacientes.
Em entrevista exclusiva ao Saúde Business, Denise Anderson, CEO da Health-ISAC, reforça que o momento exige uma mudança de postura das organizações: não basta investir em tecnologia, é preciso aprender a agir em rede.
“Os criminosos digitais compartilham ferramentas e táticas em um verdadeiro mercado global. Se as organizações de saúde não fizerem o mesmo, estarão sempre em desvantagem”, afirma a executiva, que lidera a organização internacional dedicada ao compartilhamento de informações sobre cibersegurança na saúde.
Em visita ao Brasil para um workshop no Einstein, Anderson ressaltou o momento estratégico da aproximação com a América Latina. “Há muito interesse do Brasil em se engajar com o Health-ISAC. A maturidade digital está crescendo, mas os riscos acompanham esse avanço. O tempo certo para intensificar esse diálogo é agora”, enfatiza.
Compartilhar para sobreviver
No Brasil, muitos hospitais e operadoras ainda relutam em dividir informações sobre incidentes, seja pelo receio de exposição da marca, seja pelas implicações da LGPD. Para Anderson, essa postura é um entrave perigoso.
“A ideia de que reportar fragiliza a organização é equivocada. Nossa rede funciona como uma comunidade de confiança, presente em 140 países, onde os dados são trocados de forma segura e controlada. Assim, todos aprendem e se protegem melhor.”
Além de relatórios técnicos, a rede oferece workshops, webinars, grupos de trabalho temáticos e alertas sobre vulnerabilidades emergentes. Um exemplo é o comitê dedicado a dispositivos médicos, que reúne hospitais e fabricantes para analisar falhas e sugerir soluções conjuntas.
Ransomware e a extorsão em novas camadas
Entre as ameaças mais preocupantes, o ransomware continua no topo. Mas, segundo Anderson, os ataques já não se limitam a sequestrar dados. “Agora, além de bloquear o acesso às informações, os criminosos expõem publicamente registros sensíveis e até chegam a contatar pacientes. É uma forma de extorsão múltipla que amplia o impacto reputacional e clínico”, explica.
Para mitigar riscos, a recomendação vai além de simplesmente não pagar o resgate. Resiliência operacional, backups contínuos e planos de recuperação de desastres são práticas indispensáveis para reduzir o tempo de inatividade e garantir a continuidade do atendimento.
O elo frágil da cadeia de suprimentos
Outro ponto crítico é a dependência de fornecedores. Hospitais utilizam centenas de softwares, serviços e insumos, e uma vulnerabilidade em um parceiro pode se transformar em catástrofe. Casos recentes envolvendo gigantes, como Cloudflare, Tenable e CrowdStrike, mostraram como falhas em terceiros podem paralisar operações em escala global.
“Não se trata apenas de monitorar seus fornecedores diretos, mas também os fornecedores deles. É preciso diligência prévia rigorosa, cláusulas contratuais de segurança e controles básicos, como o princípio do menor privilégio. A cadeia de suprimentos é hoje um dos principais vetores de risco”, alerta.
Entre as maiores preocupações, estão os ataques à cadeia de suprimentos e às infraestruturas críticas — como bancos de sangue, energia e água. “Se um hospital perde acesso a seus sistemas ou não pode confiar no estoque de sangue, vidas ficam em risco imediato. E isso pode acontecer não só por falhas técnicas, mas também por tensões geopolíticas, como já vimos em regiões como Ucrânia, Oriente Médio e Ásia”, detalha.
Regulamentação: avanço ou obstáculo?
Comparando diferentes mercados, Anderson avalia que legislações como a HIPAA, nos EUA, e a GDPR, na Europa, ajudaram a elevar padrões. No Brasil, a LGPD também impulsionou avanços, mas ainda há desafios.
“Muitas vezes, a obrigação de reportar incidentes em prazos rígidos consome energia que deveria estar dedicada à contenção do ataque. É preciso educar reguladores e permitir certa flexibilidade, sobretudo para instituições menores, que não têm os mesmos recursos das grandes redes”, pondera.
Para ela, governos não devem apenas exigir conformidade, mas também apoiar com financiamento, capacitação e incentivos. “Se um hospital tem que escolher entre comprar um equipamento para salvar um paciente ou investir em segurança, a decisão será óbvia. Mas, no longo prazo, um ataque pode custar milhões. Esse mindset precisa mudar”, analisa.
Escassez de talentos e colaboração público-privada
A falta de profissionais qualificados em cibersegurança com conhecimento do ambiente hospitalar é hoje um dos gargalos mais críticos do setor. Ampliar a formação é urgente — programas de estágio, bolsas de estudo e incentivos governamentais podem fazer a diferença.
“Singapura, por exemplo, financia estudantes que se especializam em cibersegurança. Isso atrai talentos e garante que eles estejam disponíveis para o setor de saúde”, exemplifica.
Mas, mesmo com especialistas capacitados, nenhuma instituição conseguirá enfrentar sozinha a complexidade dos ataques. É aí que a cooperação se torna indispensável. No Brasil, a integração entre setor público e privado ainda é limitada, mas precisa avançar para sustentar uma defesa consistente.
“Seja no SUS ou na saúde suplementar, todos tratamos pacientes. O ecossistema é único, e os ataques não distinguem fronteiras. A colaboração precisa ser total”, reforça.
Ameaças no horizonte
Para Anderson, a mensagem é clara: a saúde precisa adotar a cibersegurança como prioridade estratégica.
“Estamos diante de uma batalha que não respeita fronteiras físicas ou digitais. A única forma de vencer é compartilhar conhecimento, investir em resiliência e proteger o que há de mais valioso: os pacientes.”
Saiba como proteger sua instituição antes que seja tarde. Conheça as estratégias mais avançadas em cibersegurança, no Healthcare Innovation Show, nos dias 1 e 2 de outubro. O evento terá um palco novo dedicado, exclusivamente, à cibersegurança pela primeira vez. Garanta sua vaga já!
