Vivemos um momento de inflexão no setor de saúde. A transformação digital, antes vista como uma tendência, hoje é uma realidade consolidada em muitas instituições. Prontuários eletrônicos, inteligência artificial, interoperabilidade, dispositivos médicos conectados e sistemas em nuvem se tornaram parte do cotidiano de clínicas e hospitais. Mas com essa modernização acelerada, uma sombra tem crescido na mesma velocidade: o risco cibernético.
Não é mais possível ignorar que a saúde se tornou um dos setores mais visados por cibercriminosos. Segundo dados da Check Point Research, empresa de inteligência de ameaças cibernéticas, em 2025, o número de tentativas de ataques a instituições de saúde ultrapassou a média global. O Brasil registrou 2.664 ataques semanais por organização, com um crescimento de 73% em relação ao ano anterior. O dado mais alarmante é o salto de tentativas de ransomware, que foi de 6.500 em 2023 para 16.000 em 2024. Em dois anos, a saúde foi da 7ª para a 3ª posição entre os setores mais atacados do país.
Essa escalada não é um acaso. A saúde é um setor essencial e vulnerável. Carrega dados extremamente sensíveis, opera com sistemas muitas vezes legados e conta com uma cultura organizacional ainda despreparada para os desafios da segurança digital. É nesse ponto que devemos refletir com urgência, a transformação digital sem uma estratégia robusta de cibersegurança é uma ameaça disfarçada de progresso.
Quando a inovação encontra a fragilidade
É inegável que a tecnologia trouxe ganhos valiosos para a assistência, da melhoria na jornada do paciente à eficiência dos processos administrativos. Mas a pressa em adotar soluções inovadoras sem um olhar atento à segurança abriu brechas perigosas, como infraestruturas defasadas, múltiplos fornecedores desconectados, adoção de IA sem revisão de compliance e uma baixa maturidade cibernética são parte da equação que precisa ser revista.
É comum ver a TI ainda como o “guardião único” da segurança, quando na verdade esse é um compromisso coletivo. A cultura organizacional precisa evoluir. É necessário compreender que o cuidado com os dados do paciente faz parte do próprio cuidado com a saúde dele.
O impacto do despreparo
O que acontece quando a segurança é negligenciada? O resultado pode ser devastador, vazamento de dados, paralisação de sistemas, quebra de confiança e prejuízos financeiros imensuráveis. E pior, muitas vezes as instituições já foram atacadas antes mesmo de perceberem o quão vulneráveis estavam. Isso porque erros primários continuam sendo cometidos, como falta de um plano de resposta a incidentes testado e estruturado, backups ineficientes, sem criptografia ou testes reais de recuperação, permissões de acesso excessivas a dados sensíveis, falta de monitoramento contínuo e alertas proativos, e treinamentos escassos, especialmente para evitar ataques de phishing.
Em um cenário como esse, é quase inevitável que a crise aconteça. E quando ela vem, não há tempo para improvisos, apenas para arcar com as consequências.
Na saúde, a segurança da informação não é um item de checklist técnico, é um pilar de confiança pública. Profissionais da assistência devem compreender os limites éticos e legais do acesso à informação. Desenvolvedores e fornecedores de tecnologia devem entregar soluções com segurança desde o design, respeitando a LGPD, adotando arquiteturas “Zero Trust” e com rastreabilidade plena.
Já os sistemas de prontuário eletrônico precisam ir além da funcionalidade clínica. Devem incorporar criptografia, controle de acesso por perfil, logs auditáveis e múltiplas camadas de autenticação, especialmente com autenticação multifator (MFA). Tudo isso com governança clara e integrada.
Boas práticas: Da teoria à ação
A teoria já está escrita em normativas como a LGPD. Mas o que falta é a prática, o cotidiano seguro. É preciso atualizar constantemente sistemas e dispositivos médicos conectados, implantar MFA em sistemas clínicos e administrativos, realizar revisões periódicas de permissões com base em controle de acesso por função (RBAC), investir em treinamentos frequentes e contextualizados em segurança digital, criptografar dados em trânsito e em repouso, auditar os acessos de forma contínua, realizar pentests e simulações reais de ataque, ter contratos bem definidos com fornecedores, prevendo responsabilidades sobre segurança e privacidade, e contar com um plano de resposta a incidentes bem desenhado, testado e com papéis definidos.
Tudo isso pode parecer complexo, mas é a base mínima para quem deseja operar com segurança no setor da saúde. A ausência dessas práticas não é apenas um risco operacional, é um descuido com a vida humana mediada por sistemas.
A transformação digital na saúde não pode andar em paralelo à segurança, elas precisam caminhar juntas. A saúde não é apenas um serviço, é um direito, é confiança, é vida. E proteger os dados que sustentam essa missão é um compromisso inadiável.
Não podemos esperar o próximo ataque para perceber o valor da prevenção. Cibersegurança, hoje, é parte inseparável da assistência. É o que garante não só a integridade da informação, mas a continuidade do cuidado. Na saúde digital, proteger o dado é proteger o paciente.
Andréa Rangel, Head de Negócios em Saúde da Hexa IT.
