O Brasil enfrenta um aumento alarmante de ataques de ransomware em 2024, evidenciando fragilidades nas instituições frente às ameaças cibernéticas. Segundo a Trend Micro, o Brasil registrou mais de 5 milhões de ataques de ransomware no primeiro semestre, sendo o segundo país mais atacado em junho, concentrando 16,7% das tentativas. Isso revela a crescente vulnerabilidade do país, incluindo o setor de saúde, que lida com dados extremamente sensíveis e críticos, tanto para a continuidade dos serviços quanto para a proteção dos pacientes.
“Com o objetivo de promover ameaças e campanhas rápidas, evasivas e sofisticadas, os atacantes têm evoluído suas técnicas”, explica Rayanne Nunes, diretora de Tecnologia da Trend Micro Brasil. O uso de tecnologias avançadas como inteligência artificial, além da exploração de eventos de projeção mundial, tem facilitado a ação dos cibercriminosos, resultando em uma explosão de ataques. Esse cenário impõe um grande desafio para as instituições de saúde, que precisam fortalecer suas práticas de segurança para se adequar às exigências da Lei Geral de Proteção de Dados (LGPD) e às normas da Agência Nacional de Saúde Suplementar (ANS).
Em um artigo publicado na TI Inside, Walter Calza Neto, sócio na CNK Advogados, destaca a importância de seguir as normas e regulamentações: “O caráter sensível dos dados tratados nesse setor, incluindo informações de saúde de natureza altamente confidencial, torna a conformidade com essas normas uma prioridade absoluta.” De acordo com a LGPD, os dados de saúde são considerados informações sensíveis, e o seu vazamento pode resultar em sérias penalidades, além de comprometer a privacidade e a segurança dos pacientes.
A Resolução Administrativa ANS Nº 80 de 2022 complementa as diretrizes da LGPD no setor de saúde suplementar, exigindo que as instituições mantenham um inventário detalhado de suas operações de tratamento de dados, elaborem planos de resposta a incidentes e implementem tecnologias de segurança, como criptografia e anonimização. O não cumprimento dessas normas pode resultar em multas que chegam a 2% do faturamento anual da empresa, com teto de R$ 50 milhões por infração, e medidas corretivas impostas pela ANS.
Além disso, a Trend Micro ressalta que grupos de ransomware, como o LockBit, têm se adaptado e desenvolvido novas versões, como a “LockBit-NG-Dev,” para evitar a detecção e continuar suas operações. Mesmo com ações como a Operação Cronos, que conseguiu interromper temporariamente a atividade de um dos maiores grupos de ransomware em fevereiro, os ataques continuam a evoluir e a impactar diretamente instituições de saúde e outros setores.
“A transformação digital, que tem acelerado o uso de tecnologias no setor de saúde, é paradoxalmente um avanço e uma vulnerabilidade,” alerta Walter Calza Neto. O aumento da digitalização, sem a implementação adequada de medidas de cibersegurança, torna as instituições de saúde alvos fáceis para cibercriminosos.
Em meio a este cenário, a proteção de dados se torna não apenas uma questão regulatória, mas uma necessidade imperativa para assegurar a continuidade dos serviços e a confiança dos pacientes. É crucial que as instituições de saúde adotem uma postura proativa e invistam em cibersegurança preventiva, integrando tecnologias de ponta, capacitando seus colaboradores e garantindo a conformidade com a LGPD e a ANS. Somente assim será possível enfrentar o aumento dos ataques de ransomware e proteger o setor de saúde de prejuízos financeiros, danos à reputação e riscos à vida dos pacientes.