O setor de saúde no Brasil está enfrentando um aumento significativo nos ataques cibernéticos, com um crescimento de 146% entre 2023 e 2024. Especialistas atribuem essa tendência à obsolescência de sistemas e ao baixo investimento em cibersegurança.

De acordo com uma pesquisa recente da Kaspersky, foram registrados 16 mil ataques no segmento de saúde em 2024, frente às 6,5 mil investidas em 2023. O diretor da equipe global de pesquisa e análise da Kaspersky na América Latina, Fábio Assolini, destaca que a atratividade do setor de saúde para ataques cibernéticos é resultado de uma combinação de fatores, incluindo a natureza altamente regulamentada do setor, a presença de infraestruturas defasadas e a necessidade de ampliar a conscientização sobre cibersegurança entre os funcionários.

O gerente de engenharia de segurança da Check Point Software Brasil, Fernando de Falchi, também observa que agentes maliciosos consideram o setor de saúde um alvo prioritário devido à “baixa maturidade” em segurança cibernética. “As instituições possuem uma infraestrutura ultrapassada, e há um baixo investimento em cibersegurança”, aponta Falchi.

Outro fator que chama a atenção de cibercriminosos é a integração com diversos sistemas de planos de saúde, laboratórios, clínicas e fornecedores. Essa característica favorece os chamados “ataques à cadeia de suprimentos”, uma ação cibernética direcionada a fornecedores ou parceiros de uma organização, com o objetivo de obter acesso não autorizado aos sistemas ou dados dessa organização.

Quais são os tipos de ataques mais comuns no setor de saúde?

Segundo o levantamento “Threat Intelligence Report” da Check Point, os ataques ao setor de saúde geralmente começam de forma simples, com táticas como phishing por meio de sistemas desatualizados ou redes mal configuradas.

Uma das principais ameaças apontadas são os ransomwares, um tipo de vírus que criptografa arquivos ou bloqueia o acesso a eles após uma invasão a um dispositivo. Diante dessa limitação é exigido um pagamento para recuperar os dados.

Quais são as principais falhas de segurança?

Ambos os especialistas concordam que a ausência de múltiplos fatores de autenticação, senhas fracas e um monitoramento de segurança ineficaz são algumas das principais vulnerabilidades nos sistemas de informação do setor de saúde.

Assolini, da Kaspersky, também ressalta que a execução inadequada de backups, a falta de um plano de resposta a incidentes e a necessidade de maior treinamento de conscientização para os funcionários são pontos críticos nos processos de segurança das instituições de saúde.

Como ampliar a segurança com um orçamento limitado?

Falchi afirma que a mitigação de riscos digitais com recursos financeiros frequentemente restritos representa um dos maiores desafios para o setor atualmente. Isso ocorre porque a maioria das soluções necessárias para as instituições de saúde demanda um investimento significativo e ainda há pouca atenção aos investimentos nesses serviços.

Para tentar solucionar esse dilema, o especialista sugere soluções mais simples ou de menor custo, como a implementação de autenticação multifator, além da utilização de VPN. O gerente de engenharia também recomenda isolar o backup: “Não o manter na mesma rede de servidores e usuários é essencial”, adiciona.

O diretor da Kaspersky, Fabio Assolini, lista as seguintes medidas:

• Priorizar ações com alto impacto e bom custo-benefício, como treinamento e conscientização para os funcionários;
• Implementar a autenticação multifator (MFA);
• Realizar o gerenciamento de patches (atualizações);
• Efetuar a segmentação de rede;
• Adotar políticas de senhas robustas e configurar adequadamente o firewall;
• Elaborar um plano de resposta a incidentes.