Saúde é setor que mais sofre ataque cibernético

Dados de saúde podem valer 50 vezes mais que os de um cartão de crédito, diz Eduardo Batista, líder de cibersegurança e privacidade da PwC

Com um grande volume de dados de seus pacientes, as companhias da área de saúde são as que mais sofrem ataques cibernéticos, à frente de empresas de consumo e do setor financeiro, mostra a pesquisa Digital Trust Insights 2025 da consultoria e auditoria PwC. O problema é global. O levantamento ouviu mais de 4 mil executivos de negócios e tecnologia, em 77 países, incluindo o Brasil.

A necessidade de retenção prolongada de informações sensíveis torna o setor um alvo atraente para criminosos. No Brasil, por lei, instituições de saúde são obrigadas a armazenar dados, diagnósticos e imagens por no mínimo 20 anos. “São 20 anos de história. Em um ataque de ransomware bem-sucedido, a probabilidade de pagamento do resgate é enorme”, diz Fabio Assolini, diretor da equipe global de pesquisa e análise da Kaspersky para a América Latina.

A empresa, que atua em cibersegurança e privacidade digital, detectou entre seus clientes no Brasil, em 2024, o setor de saúde como um dos mais atacados pelo ransomware (malware que bloqueia os dados da empresa e pede resgate). “Esses ataques são planejados e direcionados. O criminoso entra na rede, verifica o potencial financeiro, para depois decidir se vai instalar ou não o ransomware”, conta Assolini.

“Os dados da saúde podem valer 50 vezes mais que os dados de um cartão de crédito hackeado, por serem dados sensíveis”, afirma Eduardo Batista, sócio e líder de cibersegurança e privacidade da PwC. De acordo com o levantamento da consultoria, um terço das companhias brasileiras (considerando todos os setores pesquisados) que sofreram ciberataques nos últimos três anos registraram pelo menos US$ 1 milhão em perdas. As perdas são relativas ao lucro cessante devido à paralisação das operações durante os ataques, e não necessariamente gastos com pagamento de resgate do sequestro de dados.

Cientes do valor que o grande volume de dados armazenado pelo setor de saúde é um atrativo para os hackers, instituições vêm se precavendo. O HCor, primeiro hospital do país a obter a ISO 27001 (certificação que atesta padrões internacionais em gestão da segurança da informação), adota redundância na armazenagem de dados, mantendo-os tanto em nuvem quanto internamente, evitando assim ter as atividades paralisadas caso sofra algum ataque. “Trabalhamos com perímetros de segurança e redes paralelas”, explica Alex Vieira, superintendente de inteligência digital e TI.

Redes para médicos, colaboradores, equipamentos e legado são apartadas, o que permite uma ação mais ágil caso um hacker consiga atingir uma delas. “Há uma tendência forte de aumentarem os ataques aos equipamentos médicos e estamos nos antecipando, investindo em um software que faz a ‘escuta’ desses equipamentos. Se detectar algum ruído, intercepta e adota protocolos para remoção”, afirma Vieira. O HCor investiu, nos últimos cinco anos, R$ 60 milhões em segurança da informação.

No Brasil, 85% das empresas aumentaram seus investimentos em inteligência artificial generativa nos últimos 12 meses, priorizando sua aplicação na detecção de ameaças e na defesa cibernética, contra 78% na média global. No entanto, 68% dos líderes brasileiros afirmam que tecnologias emergentes, como a IA generativa, também estão ampliando a superfície de ataque cibernético.

Um estudo do Cetic.br sobre a adoção de IA na saúde reforça a preocupação com o risco de vazamento de informações sensíveis, caso haja aplicação inapropriada dos dados utilizados ou gerados pelas ferramentas de inteligência artificial. Por outro lado, a pesquisa da PwC mostrou que novas regulamentações, como a Lei Geral de Proteção de Dados, têm impulsionado aplicações em cibersegurança. Todos os líderes do país ouvidos pela consultoria no país afirmaram que elas incentivaram o aumento de investimentos em segurança nos últimos 12 meses, comparado a 96% globalmente.