No último dia 7 de abril, foi celebrado o O Dia Mundial da Saúde, uma data que convida líderes do setor a refletir sobre o que realmente sustenta a continuidade do cuidado ao paciente. Infraestrutura, equipes qualificadas, protocolos clínicos, esses são pilares reconhecidos. Mas há um componente que ainda não ocupa o espaço que merece nas agendas executivas: a segurança digital dos sistemas que mantêm toda essa operação em funcionamento.
Não se trata de uma questão apenas técnica. Um ataque cibernético contra uma instituição de saúde não é um inconveniente de TI, mas uma ameaça à continuidade do atendimento. E, em casos extremos, uma ameaça à vida.
O setor de saúde como alvo prioritário do cibercrime
As instituições de saúde reúnem uma combinação explosiva de fatores que as tornam alvos preferenciais: dados extremamente sensíveis, infraestruturas tecnológicas heterogêneas, sistemas legados ainda em operação e uma tolerância quase nula à interrupção. Para grupos criminosos, esse perfil é ideal.
Os números confirmam a urgência. De acordo com levantamento da Kaspersky, o setor de saúde registrou um crescimento de 146% nas tentativas de ataque de ransomware no Brasil em 2024, saltando do 7º para o 3º lugar no ranking dos setores mais atacados no país, passando de 6,5 mil para 16 mil tentativas em um único ano.
No contexto global, o cenário é igualmente preocupante. Segundo dados da Check Point Research, entre janeiro e setembro de 2024, a média semanal global de ataques por organização no setor de saúde foi de 2.018, um aumento de 32% em relação ao mesmo período do ano anterior. No Brasil, essa média foi ainda mais elevada: 2.976 ataques semanais por organização de saúde entre abril e setembro de 2024.
A motivação por trás dessa escalada é direta: hospitais e clínicas tornaram-se o “pote de ouro” do cibercrime pelo volume massivo de dados privados que gerenciam. Com a LGPD em vigor, cada violação de dados carrega implicações regulatórias severas, o que amplifica o poder de barganha dos criminosos.
O custo financeiro dessa exposição já se faz sentir. O custo médio de uma violação de dados no Brasil atingiu R$1,36 milhão em 2024, um aumento de 11,5% em relação ao ano anterior, de acordo com o Relatório de Cibersegurança 2025 da Brasscom. No contexto mundial, esse valor chegou a US$ 4,88 milhões por incidente.
Principais vetores de ataque no setor de saúde
A identidade digital tornou-se o novo perímetro de segurança. O comprometimento de credenciais especialmente via infostealers é atualmente um dos principais vetores de acesso inicial em ambientes hospitalares. A ausência de MFA em acessos críticos amplia significativamente esse risco.
A análise recente de incidentes indica que os ataques ao setor de saúde seguem padrões recorrentes, com destaque para:
- Exploração de aplicações expostas à internet (MITRE ATT&CK T1190)
- Comprometimento de credenciais válidas (T1078), frequentemente oriundas de infostealers
- Phishing direcionado a equipes administrativas e clínicas (T1566)
- Acesso via serviços remotos expostos, como RDP e VPNs sem MFA
- Exploração de vulnerabilidades conhecidas não corrigidas (KEV)
No último mês, observou-se um aumento significativo na recorrência de incidentes cibernéticos no setor de saúde, com destaque para vazamentos de dados e exploração ativa de vulnerabilidades críticas. Esse cenário evidencia a elevada exposição das instituições frente a ameaças digitais cada vez mais sofisticadas.
Entre os eventos mais relevantes, destacam-se a exploração das vulnerabilidades CVE-2024-21893 e CVE-2024-21887, ambas amplamente utilizadas em ataques direcionados, incluindo campanhas atribuídas a grupos hacktivistas.
Adicionalmente, foram visto incidentes envolvendo vazamento de dados em organizações, bem como a comercialização de bases de dados contendo informações sensíveis de pacientes. Em um dos casos, autores de ameaças alegaram a exposição de mais de 150 mil registros, reforçando o cenário de risco associado à confidencialidade e à integridade das informações no setor.
Observa-se ainda a atuação de intermediários especializados na venda de acessos iniciais (Initial Access Brokers IABs), indicando um ecossistema criminoso estruturado, no qual o acesso a ambientes hospitalares comprometidos é negociado como ativo, ampliando significativamente o risco de ataques subsequentes.
Esse cenário reforça a necessidade de monitoramento contínuo de vulnerabilidades exploráveis (Known Exploited Vulnerabilities KEV), correlação com inteligência de ameaças e priorização baseada em risco real, especialmente em ativos críticos que suportam diretamente a operação assistencial.
Quando o sistema para, o paciente espera, ou piora
A dimensão mais crítica dos ataques ao setor de saúde não é financeira: é operacional. Prontuários eletrônicos indisponíveis, sistemas de monitoramento fora do ar, comunicação entre unidades interrompida. Cada minuto de inatividade tem uma consequência clínica.
Em 2024, 74% dos ataques no setor de saúde resultaram em criptografia de dados, forçando muitas organizações a optar entre pagar o resgate ou enfrentar semanas de paralisação. Além disso, 95% dos ataques tentam comprometer os backups, e dois terços dessas tentativas são bem-sucedidos. Isso significa que a estratégia de recuperação de muitas instituições pode ser inutilizada antes mesmo de ser acionada.
A Organização Mundial da Saúde (OMS) já reconheceu essa realidade ao declarar o Dia Mundial da Segurança do Paciente: a segurança do paciente não se restringe aos cuidados físicos diretos. Ela depende, também, da integridade dos sistemas digitais que apoiam o diagnóstico, a prescrição e o monitoramento.
No Brasil, o Ministério da Saúde revelou dados que reforçam o alerta: em 2023 houve um aumento de 65% nos incidentes cibernéticos em hospitais, clínicas e outros componentes do sistema em comparação com o ano anterior. O Centro Nacional de Cibersegurança (NCC) também registrou um crescimento de 80% nos casos de vazamento de informações médicas.
A dupla extorsão como padrão de ataque
Os grupos de ransomware que atuam no setor de saúde evoluíram além da simples criptografia de dados. O modelo atual combina duas pressões simultâneas: a indisponibilidade dos sistemas e a ameaça de exposição pública de informações sensíveis. Essa abordagem, conhecida como dupla extorsão, eleva dramaticamente o poder coercitivo dos atacantes.
Grupos de ransomware fornecem ferramentas de criptografia e infraestrutura para colaboradores, e os dados sensíveis roubados são frequentemente publicados online para pressionar as vítimas ao pagamento. Essa tática explora o medo de pesadas multas por violações de privacidade e o risco à segurança dos pacientes.
A comercialização do acesso a sistemas hospitalares também ganhou escala. Atacantes têm vendido acesso a hospitais brasileiros em fóruns clandestinos por valores a partir de US$ 250, visando especificamente instituições com receitas de dezenas de milhões de dólares. Isso ilustra a profissionalização do cibercrime e o quanto o setor de saúde brasileiro já está mapeado como território lucrativo.
A superfície de ataque no setor de saúde: muito além dos prontuários
O ambiente tecnológico de uma instituição de saúde é substancialmente mais complexo do que o de uma organização corporativa tradicional. Prontuários eletrônicos em nuvem coexistem com dispositivos médicos conectados (IoT), sistemas de imagem diagnóstica, equipamentos de monitoramento contínuo, sistemas de gestão hospitalar e, frequentemente, infraestrutura legada que não recebe atualizações há anos.
Cada um desses elementos representa um ponto de exposição. A ausência de inventário atualizado de ativos digitais (um problema comum mesmo em grandes grupos de saúde) significa que vulnerabilidades críticas podem existir sem que a equipe de segurança sequer saiba que precisa corrigi-las.
A digitalização acelerada, embora essencial para a eficiência assistencial, amplia essa superfície de risco de forma proporcional. Sistemas que antes operavam em redes isoladas agora estão conectados à internet, a parceiros, a operadoras de plano de saúde e a plataformas de telemedicina. Cada nova integração é uma porta potencial.
Uptime como KPI de sobrevivência
Para um CISO de uma instituição de saúde, o conceito de disponibilidade tem um peso diferente do que em outros setores. A indisponibilidade de um ERP corporativo por algumas horas é um problema de negócio. A indisponibilidade de um sistema de monitoramento de UTI pode ser uma questão de vida ou morte.
Isso transforma o uptime, a métrica de disponibilidade dos sistemas, em um indicador-chave de performance com implicações clínicas diretas. E torna a cibersegurança um componente estratégico da operação assistencial, não um item de suporte de TI.
Essa mudança de perspectiva é o que diferencia uma postura de segurança reativa de uma postura madura. Organizações que tratam a cibersegurança como investimento estratégico constroem resiliência antes que o incidente aconteça. As que a tratam como custo enfrentam, no momento do ataque, a combinação mais cara possível: prejuízo financeiro, interrupção operacional e risco à reputação institucional.
Gestão contínua de exposição: o que as instituições de saúde precisam adotar
saber que existem vulnerabilidades, é preciso saber quais delas, se exploradas, colocam em risco os sistemas que sustentam o atendimento ao paciente.
A Asper atua nesse desafio por meio de soluções especializadas que permitem às grandes instituições de saúde mapear, priorizar e remediar riscos de forma estruturada e contínua.
Tenable One viabiliza a gestão contínua de exposição ao mapear vulnerabilidades e configurações frágeis em ativos críticos de saúde antes que sejam exploradas. A plataforma integra ativos de TI, nuvem, aplicações web e ambientes de identidade em uma visão unificada, permitindo que equipes de segurança priorizem correções com base no impacto real ao negócio, e não apenas na criticidade técnica abstrata da vulnerabilidade. Para um ambiente hospitalar, isso significa saber, com precisão, quais falhas ameaçam os sistemas de prontuário eletrônico, os dispositivos de monitoramento ou a infraestrutura de telemedicina.
CrowdStrike Falcon Complete, operado pelo Cyber Fusion Center da Asper, acelera a detecção e a contenção de ameaças em endpoints e cargas em nuvem. Com tempo médio para início de resposta inferior a 10 minutos e capacidade de remediação remota sem reimagem em menos de 60 minutos, a solução reduz drasticamente o risco de indisponibilidade prolongada de sistemas vitais. Para uma instituição de saúde, a diferença entre detectar e responder a um ataque em minutos, e não em horas ou dias, pode ser a diferença entre uma contenção controlada e uma crise operacional de amplo espectro.
A atuação da Asper no setor de saúde conecta diretamente o conceito de Keeping Digital Safe à resiliência operacional e à segurança do paciente. Proteger os sistemas que sustentam o atendimento não é apenas uma responsabilidade de TI, é uma responsabilidade assistencial.
A cibersegurança como decisão executiva no setor de saúde
O Dia Mundial da Saúde oferece uma oportunidade estratégica e de reflexão para instituições do setor elevarem a cibersegurança ao patamar que ela exige: o de prioridade executiva, com métricas, orçamento e governança adequados.
A pergunta não é mais “nossa instituição pode ser atacada?”. A pergunta correta é: “quando nossos sistemas forem comprometidos, quanto tempo levaremos para conter, responder e restabelecer a operação, e o que pode acontecer aos pacientes nesse intervalo?”
Essa é uma pergunta que exige uma resposta técnica sólida, e uma parceria com quem tem a expertise, a metodologia e as ferramentas para construir essa resposta antes que ela precise ser testada sob pressão.Quer saber se sua operação de saúde está realmente protegida contra os vetores de ataque mais críticos do setor? Fale com o time técnico da Asper.
