---
title: "Desafios à segurança da informação na área da saúde em hospitais e sistemas de saúde modernos"
published_at: "2026-07-02T14:08:40+00:00"
modified_at: "2026-07-02T14:08:58+00:00"
url: "https://www.baculasystems.com/pt/pt-blog/seguranca-cibernetica-na-area-da-saude-desafios-para-os-hospitais/"
markdown_url: "https://www.baculasystems.com/pt/pt-blog/seguranca-cibernetica-na-area-da-saude-desafios-para-os-hospitais.md"
taxonomy_language:
  - "Português"
---

[Home](https://www.baculasystems.com/pt/)
 > [Blog de Apoio e Recuperação](https://www.baculasystems.com/pt/pt-blog/)
 > Desafios à segurança da informação na área da saúde em hospitais e sistemas de saúde modernos

# Desafios à segurança da informação na área da saúde em hospitais e sistemas de saúde modernos

Atualizado 2nd julho 2026, Rob Morrison

## Por que a segurança da informação na área da saúde é fundamental nos hospitais modernos?

Como a prestação de serviços de saúde moderna depende inteiramente da infraestrutura digital, a segurança da informação na área da saúde é fundamental para a segurança do paciente e a continuidade operacional. Mesmo pequenas violações de dados podem colocar em risco a vida dos pacientes e as operações hospitalares, além de violar as leis de privacidade.

A rápida digitalização do setor de saúde torna vital proteger os ambientes digitais nessa área. Caso contrário, hospitais e ambulâncias podem sofrer sérias interrupções operacionais.

Afinal, os ecossistemas digitais integrados que substituíram os prontuários em papel melhoraram significativamente os resultados clínicos, aceleraram os diagnósticos e tornaram a coordenação do atendimento mais integrada.

### Quais são as características específicas dos dados da área da saúde que suscitam preocupações de segurança?

Os dados comuns da área da saúde suscitam preocupações de segurança por serem altamente valiosos. Eles contêm informações permanentes de caráter pessoal, médico, financeiro e genético que não podem ser facilmente alteradas após um roubo. Sabe-se que os mercados criminosos vendem [prontuários médicos completos por 10 vezes o valor de cartões de crédito roubados](https://patient-protect.com/post/healthcare-data-breach-statistics-2025-why-medical-records-are-worth-10-more-than-credit-cards)
.

Um único prontuário contém diagnósticos, medicamentos, dados genéticos e histórico de saúde mental. Essas informações médicas tendem a não ter prazo de validade. Não é possível cancelar ou reemitir um prontuário médico roubado — o que não se pode dizer de um cartão de crédito.

O acesso a informações confidenciais do paciente, incluindo o status de HIV, registros de saúde comportamental e de saúde reprodutiva, pode fazer com que os pacientes enfrentem discriminação no emprego e no seguro.

### Como a segurança do paciente, a proteção dos dados do paciente e a segurança da informação se interligam?

A segurança dos dados dos pacientes, a proteção desses dados e a segurança do paciente na área da saúde são as mesmas preocupações em diferentes momentos. De acordo com um estudo publicado no American Economic Journal, a mortalidade hospitalar aumenta significativamente durante ataques de ransomware.

Quando os sistemas de prontuários eletrônicos (EHR) param de funcionar, as listas de verificação de anestesia desaparecem, registros vitais não são registrados nas unidades de terapia intensiva (UTIs) e as decisões dos médicos de emergência deixam de considerar dados críticos relacionados à saúde, como alergias e detalhes sobre medicação.

A segurança do paciente depende da proteção de dados. Quando as organizações de saúde enfrentam um vazamento de dados, a disponibilidade do sistema ajuda a evitar a queda na qualidade do atendimento ao paciente causada pela indisponibilidade dos sistemas de informação.

### Quais obrigações regulatórias e legais impulsionam o investimento em segurança na área da saúde?

A [Regra de Segurança da Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
 estabelece padrões nacionais para permitir que entidades ou parceiros comerciais protejam as informações eletrônicas de saúde protegidas (ePHI) dos pacientes, sejam elas criadas, recebidas, utilizadas ou mantidas.

De acordo com a Regra de Segurança, as entidades ou parceiros comerciais devem implementar medidas de proteção administrativas, físicas e técnicas adequadas para [garantir que as informações eletrônicas de saúde protegidas (ePHI)](https://www.hipaajournal.com/ephi/)
 sejam confidenciais, integradas e estejam disponíveis.

As ePHI são informações de saúde protegidas produzidas, armazenadas, transferidas ou recebidas em formato eletrônico.

A [Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH)](https://www.hipaajournal.com/what-is-the-hitech-act/)
 foi concebida para fortalecer a fiscalização e ampliar os requisitos de notificação de violações. Essa lei está incluída na Lei Americana de Recuperação e Reinvestimento de 2009, que incentiva o uso significativo dos prontuários eletrônicos (EHRs), tornando as disposições de segurança e privacidade da HIPAA mais robustas.

Além disso, a Lei HITECH permite que a HIPAA se estenda aos parceiros comerciais das entidades abrangidas, responsabilizando-os por falhas no cumprimento da HIPAA. Essas falhas podem incluir o acesso não autorizado de funcionários a arquivos médicos e o descarte inadequado de registros de pacientes. Por fim, essa lei também estabelece penalidades para violações da HIPAA.

Em dezembro de 2024, o Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) introduziu a primeira grande atualização da [Regra de Segurança da HIPAA](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
. Como resultado, a criptografia tornou-se obrigatória, em vez de “opcional”.

As empresas do setor de saúde que lidam com dados de residentes da União Europeia (UE) estão sujeitas a multas de até 4% da receita global anual e devem cumprir um prazo de 72 horas para notificação de violações, de acordo com o Regulamento Geral de Proteção de Dados (RGPD) .

Penalidades adicionais podem ser aplicadas a essas organizações devido às leis estaduais da Califórnia, Nova York e Texas. O objetivo é garantir maior especificidade e uma fiscalização mais rigorosa.

### Como a reputação e a confiança influenciam as prioridades de segurança?

A confiança do paciente é mais do que uma preocupação comercial: é um pré-requisito clínico. Organizações que enfrentam violações de segurança de grande repercussão perdem pacientes, têm dificuldade em recrutar médicos e sofrem danos de marca a longo prazo.

Assim, a segurança tornou-se um fator competitivo nos mercados de saúde. Empresas do setor de saúde que buscam crescimento ou estabelecem parcerias com outras entidades devem priorizar a segurança, já que as partes interessadas externas agora dedicam atenção especial a esse aspecto.

## Quais são as ameaças cibernéticas mais comuns enfrentadas pelos hospitais atualmente?

As ameaças cibernéticas mais comuns no setor de saúde são ransomware, phishing, ameaças internas, vulnerabilidades em dispositivos médicos e violações por terceiros.

Esses ataques de extorsão cibernética prejudicam a segurança dos pacientes. Como resultado, esses ataques interrompem os cuidados de saúde e as operações de emergência que são essenciais para a vida. Especificamente, esses ataques podem bloquear o acesso a prontuários eletrônicos e deixar equipamentos de diagnóstico, como ressonância magnética (RM) e tomografia computadorizada (TC), fora de serviço.

De acordo com a [Associação Americana de Hospitais](https://www.aha.org/news/headline/2026-04-10-fbi-health-care-was-top-target-ransomware-other-cyberthreats-2025)
, a saúde e os serviços públicos estavam entre os setores mais visados por ameaças cibernéticas em 2025. Em 2025, ocorreram 460 ataques de ransomware e 182 violações de dados nesse setor.

### Qual é o papel do phishing e da engenharia social nas violações no setor de saúde?

[O phishing é a principal ameaça à segurança cibernética no setor de saúde](https://www.himss.org/resources/phishing-healthcare-how-not-be-victim-checklist/)
, prejudicando a cultura de confiança e agilidade nas organizações. O fato é que seguradoras, representantes farmacêuticos e parceiros de referência enviam um grande volume de e-mails aos profissionais de saúde.

Assim, esses e-mails oferecem amplas oportunidades para que os invasores tenham como alvo os registros de saúde. Além disso, os invasores agora estão utilizando ferramentas de IA para gerar textos sem erros, o que dificulta que os destinatários identifiquem fraudes.

Outra variante crescente de phishing na área da saúde é o phishing por voz (vishing). Trata-se de um golpe por telefone que os hackers utilizam para se passar por pessoas ou organizações de confiança, a fim de fazer com que a vítima revele informações confidenciais de pacientes.

O Relatório M-Trends da Mandiant mostra que o vishing ultrapassou oficialmente o phishing tradicional por e-mail, tornando-se uma das principais variantes de ameaça, representando 11% dos ataques bem-sucedidos, em comparação com apenas 6% atribuídos ao phishing por e-mail.

### Em que medida as ameaças internas diferem dos ataques externos no setor de saúde?

A maioria dos incidentes internos é causada por curiosidade ou descuido, e não por malícia. Por exemplo, uma enfermeira pode consultar os registros de um vizinho, um codificador de faturamento pode acessar os dados de um paciente famoso ou um médico pode examinar o prontuário de um membro da família. Esses incidentes violam a HIPAA sem intenção prejudicial.

Quanto à diferença entre ataques internos e externos, a segurança dos limites da rede não consegue impedir os usuários internos, uma vez que estes têm acesso a credenciais legítimas e a sistemas autorizados. As organizações de saúde podem detectar tais ameaças com a ajuda da análise comportamental, que auxilia na identificação de padrões de acesso incomuns que não são típicos da função clínica do usuário.

### Que ameaças emergentes os hospitais devem antecipar?

Os hospitais devem se antecipar a novos ataques baseados em IA. Por exemplo, as organizações de saúde estão recebendo cada vez mais mensagens de texto convincentes e personalizadas, produzidas por IA generativa. Além disso, os invasores estão recorrendo à clonagem de voz por IA para utilizar o phishing de voz (vishing) e se passar por colegas conhecidos ou pela equipe de TI. Os invasores costumam ter sucesso porque os dispositivos médicos conectados (a Internet das Coisas Médicas, ou IoMT) apresentam vulnerabilidades críticas de segurança, como sistemas operacionais desatualizados e comunicação não criptografada.

Uma bomba de infusão ou um sistema de imagem comprometido permite que hackers ataquem e, em seguida, passem do dispositivo comprometido para os sistemas de prontuários eletrônicos. Há também atores estatais, como grupos que operam a partir da Rússia, China, Coreia do Norte e Irã, que atuam no setor de saúde. Especificamente, eles têm como alvo dados da área da saúde e buscam interromper a infraestrutura crítica desse setor.

### O que as organizações de saúde geralmente percebem tarde demais após um ataque de ransomware?

As organizações de saúde nem sempre percebem que pagar o resgate não resolve os problemas relacionados ao atendimento ao paciente e que os invasores podem já ter comprometido seus backups de dados.

É por isso que é fundamental estar tecnicamente preparado para combater ataques de ransomware e possuir conhecimento adequado de segurança sobre quais medidas devem ser tomadas para evitar a perda ou violação de dados antes que seja tarde demais.

### Por que hospitais tecnicamente em conformidade ainda enfrentam falhas graves de segurança?

Organizações de saúde tecnicamente em conformidade ainda enfrentam falhas graves de segurança cibernética porque a documentação de conformidade e as medidas de segurança de dados são práticas de segurança em si. E, na área da saúde, essas duas coisas muitas vezes não andam de mãos dadas.

Especificamente, existe uma lacuna perigosa entre as medidas legais que uma organização de saúde deve seguir para ser aprovada em uma auditoria (conformidade) e as medidas reais que ela adota para evitar ou impedir ameaças cibernéticas no mundo real (segurança).

Por exemplo, um hospital pode estar em conformidade com a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA). Especificamente, ele pode documentar cada etapa e avaliar os riscos, bem como treinar sua equipe. No entanto, isso não significa que o hospital proteja totalmente seus sistemas e credenciais.

### Como os fluxos de trabalho de emergência contornam discretamente os controles de segurança das informações de saúde?

Os supervisores frequentemente toleram um contorno sistemático causado pela urgência clínica. Por quê? Porque medidas de segurança rigorosas que a equipe deve seguir durante emergências colocam a vida dos pacientes em risco.

Especificamente, quando os profissionais de saúde não conseguem acessar os registros de alergia de um paciente por meio da autenticação habitual, eles contornam os controles rigorosos para prestar atendimento imediato.

Com o passar do tempo, a equipe passa a seguir os mesmos passos para acessar registros, e o compartilhamento de documentos torna-se um procedimento normal, criando assim uma base para ataques permanentes.

### Por que as falhas de backup e recuperação costumam ser mais prejudiciais do que a violação inicial?

As falhas de backup e recuperação costumam causar mais danos do que a violação inicial, pois a falha no backup elimina a opção de recuperação. Como resultado, um incidente grave pode se tornar um verdadeiro incidente operacional de grande magnitude para uma organização de saúde. Eis o motivo.

Os invasores que têm como alvo os sistemas de backup em uma organização de saúde costumam ter sucesso. Quando as organizações criptografam simultaneamente os sistemas primários e os backups, a escolha geralmente se resume a pagar o que os hackers exigem ou reconstruir tudo do zero ao longo de semanas.

Durante esse período de crise, as taxas de erro aumentam nas operações clínicas, os profissionais de saúde cancelam procedimentos e o trabalho pode exigir jornadas insustentáveis para gerenciar tanto o atendimento aos pacientes quanto as soluções alternativas para os sistemas.

## De que forma a infraestrutura legada e a segurança dos dispositivos médicos complicam a proteção?

A infraestrutura legada e a segurança dos dispositivos médicos complicam a proteção devido a sistemas desatualizados e sem suporte. Por quê? Porque esses sistemas não conseguem oferecer proteção adequada contra as ameaças modernas de ransomware no setor de saúde.

As organizações de saúde continuam utilizando esses dispositivos porque a substituição envolve custos mais elevados e questões de utilidade clínica.

Como resultado, elas se tornam alvos de alto risco para ataques cibernéticos, incluindo ransomware, violações de dados e interrupções operacionais.

### Que desafios os sistemas de prontuários eletrônicos (EHR) desatualizados e os aplicativos legados apresentam?

As empresas do setor de saúde muitas vezes não conseguem atualizar os aplicativos de sistemas legados e os sistemas de prontuários eletrônicos, pois as operações clínicas devem ocorrer sem interrupções.

Além disso, se uma organização de saúde substituir um sistema legado que vem operando há anos, ela precisa validar a substituição, treinar novamente sua equipe e migrar os dados. E isso não ocorre com frequência.

Como resultado, as organizações tornam-se vulneráveis a ameaças cibernéticas.

### Como os dispositivos médicos conectados e a IoT estão criando novas superfícies de ataque?

As organizações de saúde frequentemente sofrem violações de dados devido às vulnerabilidades nos dispositivos da Internet das Coisas Médicas (IoMT), como bombas de infusão e monitores de pacientes.

Especificamente, os invasores podem alterar remotamente as dosagens das bombas de insulina e interferir nas comunicações dos marcapassos.

É por isso que a [Administração de Alimentos e Medicamentos dos EUA (FDA) estabeleceu requisitos mais rigorosos de segurança cibernética para novos dispositivos de saúde](https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-management-system-considerations-and-content-premarket)
. Isso está previsto na Seção 524B da Lei Federal de Alimentos, Medicamentos e Cosméticos.

Por exemplo, a [exigência de segurança cibernética da FDA](https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity)
 obriga os fabricantes a fornecer um inventário detalhado e legível por máquina de cada componente de software presente no dispositivo. Especificamente, se um monitor cardíaco operar por meio de uma biblioteca de comunicação Bluetooth de código aberto, o prestador de serviços de saúde deve documentar essa versão específica e suas dependências conhecidas, para que vulnerabilidades ocultas não fiquem sem rastreamento.

### Quais desafios de gerenciamento de vulnerabilidades impedem a aplicação oportuna de patches em ambientes clínicos?

Para aplicar patches em um servidor clínico, as organizações de saúde devem avaliar os riscos, enviar notificações aos médicos, providenciar cobertura de backup e seguir procedimentos documentados para tempo de inatividade. Todas essas etapas devem ser executadas sem erros clínicos.

Em comparação com outros setores, a aplicação de patches na área da saúde é mais lenta. Além disso, leva mais tempo para divulgar uma vulnerabilidade e corrigi-la contra ameaças cibernéticas.

Os invasores exploram com sucesso vulnerabilidades conhecidas e corrigíveis porque as organizações de saúde não conseguem corrigi-las dentro de um prazo adequado em termos de segurança.

### Como as relações com fornecedores e a manutenção por terceiros afetam a segurança dos dispositivos?

Os fornecedores de equipamentos médicos podem acessar remotamente os dispositivos para fins de diagnóstico, atualização de firmware e monitoramento de desempenho. Esse acesso ajuda a garantir o bom funcionamento das operações clínicas, mas pode representar um desafio em termos de segurança. É por isso que o número de pessoas afetadas por ataques a parceiros comerciais terceirizados do setor de saúde está crescendo em todo o mundo.

Isso porque, quando um terceiro encerra sua parceria com uma organização de saúde, os privilégios de acesso concedidos para fins específicos de diagnóstico não são revogados.

## Quais realidades operacionais ocultas tornam a segurança de dados na área da saúde excepcionalmente difícil?

A segurança de dados na área da saúde apresenta dificuldades específicas, pois está associada a um conflito constante entre a segurança dos dados de saúde e a segurança humana.

Especificamente, esse conflito ocorre entre proteger os sistemas contra ameaças e permitir que todos tenham acesso imediato aos prontuários médicos durante emergências.

### Por que os hospitais não podem simplesmente “bloquear tudo” como as empresas tradicionais?

As organizações de saúde muitas vezes não podem bloquear tudo como algumas empresas tradicionais fazem ao enfrentar uma ameaça cibernética. Isso ocorre porque o atrito de segurança pode causar danos ao paciente. Em um ambiente corporativo, o atrito de segurança pode causar transtornos aos funcionários.

Quando os profissionais de saúde não conseguem acessar o histórico de alergias de um paciente em uma emergência devido a controles de acesso, isso pode ser perigoso para a vida do paciente. Portanto, os controles de segurança em organizações de saúde devem ser projetados levando em conta a realidade clínica. Caso contrário, se houver atrito inaceitável no acesso, os profissionais de saúde contornarão os requisitos de controle.

### Como a urgência dos profissionais de saúde, a fadiga de alarmes e as estações de trabalho compartilhadas criam brechas de segurança?

Quando os profissionais de saúde estão ocupados com vários pacientes em estado crítico e perder um segundo pode resultar em um grave incidente operacional, eles não seguem os procedimentos de segurança: estão focados apenas em salvar vidas.

É nesse momento que estações de trabalho compartilhadas entre mais de 15 profissionais de saúde por turno podem causar sérios problemas de segurança, como acesso a dados confidenciais de pacientes e invasões de sistemas. Isso porque a maioria das arquiteturas de segurança se baseia no modelo de autenticação individual.

Por fim, a fadiga de alarmes é outro fator que cria brechas de segurança nas organizações de saúde. Isso porque, quando os profissionais de saúde recebem solicitações de autenticação, avisos de expiração de sessão e mensagens de negação de acesso, eles as consideram um fardo adicional a ser ignorado.

### Por que os ambientes clínicos que funcionam 24 horas por dia, 7 dias por semana, complicam a aplicação da segurança cibernética?

Os hospitais operam 24 horas por dia, 7 dias por semana, o que não se pode dizer da equipe de segurança. As operações de segurança não oferecem cobertura total para os turnos noturnos. Além disso, a capacidade analítica diminui diante das ameaças cibernéticas. E os autores de ataques sofisticados de ransomware estão bem cientes disso.

Os hackers têm como alvo os centros de saúde nas primeiras horas da manhã porque a resposta contra ameaças cibernéticas atinge seu nível mínimo e os profissionais de saúde estão fatigados. Por exemplo, um ataque de ransomware às 3h da manhã em um hospital leva a consequências mais graves do que o mesmo incidente às 10h, mesmo com os mesmos controles técnicos em vigor.

### Quais fatores relacionados à força de trabalho e ao fator humano aumentam o risco de segurança nos sistemas de saúde?

Os fatores relacionados à força de trabalho e ao fator humano que aumentam os riscos de segurança nos sistemas de saúde incluem atalhos motivados pelo esgotamento, falta de conscientização cibernética e estresse no local de trabalho.

## Como a rotatividade da força de trabalho e a escassez de pessoal afetam a postura de segurança?

Se uma organização de saúde apresenta altas taxas de rotatividade, as contas dos funcionários que se demitem geralmente permanecem ativas após a saída desses indivíduos. E é aí que os invasores entram em ação para acessar essas contas. Além disso, ex-funcionários também podem explorá-las.

E quanto às equipes com falta de pessoal? Elas têm dificuldade em manter as revisões de acesso, o monitoramento e o tratamento adequado das tarefas administrativas e dos procedimentos de segurança. Como resultado, as organizações de saúde enfrentam proteção de segurança inadequada contra ameaças cibernéticas.

### Por que os profissionais de saúde às vezes contornam os controles de segurança, e como isso pode ser resolvido?

Os profissionais de saúde contornam os controles de segurança nos casos em que a vida dos pacientes pode ser colocada em risco devido a medidas de segurança demoradas. Este é um dos exemplos.

Especificamente, se a urgência clínica for imediata e o profissional de saúde precisar seguir certas etapas relacionadas à segurança para acessar prontuários médicos, ele contorna essas etapas.

E isso tem a ver com design e disciplina. Portanto, o atrito no fluxo de trabalho deve ser eliminado, em vez de punir o comportamento de contornar os controles. Por exemplo, as organizações de saúde devem considerar o uso de logon único (single sign-on) para autenticação e acesso baseado em funções. Isso porque caminhos seguros e eficientes eliminam o atrito, fazendo com que as soluções alternativas desapareçam.

### Como os profissionais de saúde podem contribuir para a conscientização sobre segurança de dados e reduzir o erro humano?

Treinamentos de segurança realizados trimestralmente, projetados para funções e cenários específicos, melhoram drasticamente a conscientização sobre segurança e reduzem o erro humano, o que não pode ser dito sobre treinamentos genéricos anuais de conformidade.

Hospitais bem-sucedidos organizam simulações de phishing com base em pretextos específicos da área da saúde. Por exemplo, eles elaboram essas simulações em torno de notificações urgentes relacionadas a seguros, e-mails de atualizações regulatórias e links de encaminhamento médico.

Esses treinamentos devem ajudar os profissionais clínicos a compreender que uma falha de segurança pode causar danos aos pacientes, e não apenas problemas regulatórios.

### Quais modelos de governança e políticas de segurança reduzem os riscos de segurança causados por fatores humanos?

As organizações de saúde devem aplicar uma governança eficaz para reduzir os riscos de segurança causados por erros humanos. Essa governança deve basear-se em uma política redigida em linguagem clínica, na aplicação consistente de medidas de segurança aplicáveis a todos os membros da equipe, independentemente da antiguidade, e em uma cultura na qual as questões de segurança sejam tratadas imediatamente.

Se as políticas servirem apenas para atender aos requisitos de conformidade, mas a equipe clínica não conseguir compreendê-las, elas não se transformarão em controles operacionais.

### De que forma a interoperabilidade e o compartilhamento de dados amplificam os desafios de segurança?

A interoperabilidade e o compartilhamento de dados expõem as organizações de saúde a um risco maior de violações de dados. Como resultado, os desafios de segurança aumentam e se tornam mais complexos.

### Que riscos surgem quando as organizações de saúde trocam informações de pacientes entre instituições?

Quando as organizações de saúde trocam dados de pacientes, elas criam um ponto potencial de vulnerabilidade. E cada sistema receptor torna-se uma fonte potencial de vazamento de dados.

A segurança dos dados compartilhados depende do sistema mais fraco na rede de intercâmbio.

E, frequentemente, esse sistema possui recursos mínimos de segurança, sem capacidade para combater as ameaças cibernéticas modernas. O problema se complica quando se trata da troca de dados entre grandes sistemas de saúde.

Quando invasores têm como alvo as plataformas de intercâmbio de informações de saúde, as centrais de processamento e os agregadores de dados, todas as organizações que compartilham informações com eles são afetadas. Isso gera responsabilidades e obrigações de notificação que não se referem apenas à entidade que sofreu a violação.

### Como as APIs, o FHIR e os aplicativos de terceiros alteram o panorama da segurança?

[Fast Healthcare Interoperability Resources](https://www.nlm.nih.gov/oet/ed/healthdatastandards/03-600.html)
 As APIs baseadas na [Lei 21st Century Cures](https://www.fda.gov/regulatory-information/selected-amendments-fdc-act/21st-century-cures-act)
 ampliaram o compartilhamento de dados e o número de aplicativos de terceiros relacionados aos pacientes.

O padrão Fast Healthcare Interoperability Resources (FHIR) orienta como utilizar ferramentas e regras comuns da web para construir a interconectividade do sistema de saúde.

A Lei 21st Century Cures acelera o desenvolvimento de produtos médicos e oferece aos pacientes novas inovações e avanços para um atendimento de saúde mais rápido e eficiente.

Cada [interface de programação de aplicativos (API)](https://aws.amazon.com/what-is/api/)
, como mecanismo que permite que componentes de software se comuniquem entre si por meio de protocolos e definições de segurança específicos, funciona como um vetor de acesso no que diz respeito à segurança cibernética na área da saúde. Isso porque aplicativos de terceiros podem ter recursos de segurança limitados e carecer de supervisão de segurança significativa.

Quando a proliferação de APIs na área da saúde cria uma superfície de ataque, não existe um ecossistema devidamente regulamentado de aplicativos externos para proteger os dados dos pacientes que circulam entre os sistemas.

### Que perguntas os hospitais devem fazer sobre o tratamento de dados e a segurança da integração por parte dos fornecedores?

Os hospitais devem fazer perguntas específicas sobre o tratamento de dados e a segurança da integração por parte dos fornecedores, que possam ajudá-los a proteger com segurança os dados dos pacientes. As respostas às seguintes perguntas principais ajudam as organizações de saúde a ter uma imagem mais clara e precisa das questões relacionadas aos fornecedores, em vez de se basearem meramente em [Acordos de Parceria Comercial](https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html)
:

- “A quais categorias específicas de [Informações de Saúde Protegidas (PHI)](https://www.ncbi.nlm.nih.gov/books/NBK553131/) o fornecedor tem acesso? Onde elas são armazenadas?”
- “Quem, dentro da organização do fornecedor, tem acesso, e sob qual modelo de controle de acesso?”
- “As credenciais de integração são estáticas ou são alternadas regularmente?”
- “A integração utiliza o princípio do acesso com o mínimo de privilégios?”
- “Que registros de log existem no lado do fornecedor, e estão disponíveis para auditoria do hospital?”
- “Qual é o prazo de notificação de violações do fornecedor?”
- “O plano de resposta a incidentes do fornecedor já foi testado?”
- “Qual é o histórico de incidentes de segurança do fornecedor, incluindo aqueles que não atingiram os limites de notificação?”

### Como as organizações podem equilibrar o compartilhamento de dados para a coordenação do atendimento com a privacidade e a segurança?

As organizações de saúde podem proporcionar um equilíbrio entre o compartilhamento de dados para a coordenação do atendimento e a segurança por meio da minimização de dados.

Especificamente, isso significa que elas devem compartilhar apenas as informações mínimas necessárias para casos clínicos específicos. Além disso, devem controlar rigorosamente o acesso a essas informações.

| Domínio de segurança | Medida-chave | Considerações específicas do setor de saúde |
| --- | --- | --- |
| Controle de acesso | Autenticação multifatorial (MFA) + acesso baseado em função | Deve acomodar estações de trabalho compartilhadas e situações de urgência clínica |
| Segurança de rede | Segmentação + Zero Trust | Isolar os ativos de tecnologia clínica sem interromper os fluxos de trabalho clínicos |
| Proteção de terminais | EDR/XDR | Dispositivos clínicos legados podem não suportar a instalação de agentes |
| Proteção de dados | Criptografia em repouso e em trânsito | A atualização proposta da HIPAA tornaria a criptografia obrigatória |
| Backup e recuperação | Backups imutáveis e isolados fisicamente | O tempo de recuperação deve atender aos requisitos operacionais clínicos |
| Monitoramento | SIEM com análise comportamental | Deve ser ajustado aos padrões de referência do fluxo de trabalho clínico |
| Gerenciamento de fornecedores | BAAs e revisões periódicas de acesso | O acesso de fornecedores é necessário, mas é consistentemente superdimensionado |
| Resposta a incidentes | Manuais de procedimentos testados com procedimentos para tempo de inatividade clínica | As operações clínicas não podem ser interrompidas para resposta de segurança |

Organizações bem-sucedidas contam com o compartilhamento de dados orientado por finalidade e implementam a aplicação automatizada de políticas de compartilhamento na camada de API. Isso as ajuda a estabelecer interconectividade para a proteção dos dados dos pacientes por meio do acesso restrito aos prontuários médicos.

### Quais são os desafios regulatórios, de conformidade e de privacidade que as organizações da área da saúde enfrentam?

Os principais desafios regulatórios, de conformidade e de privacidade que as organizações de saúde enfrentam incluem a proteção de dados sensíveis de saúde contra ataques cibernéticos, bem como a conformidade com marcos legais como [a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)](https://www.cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa.html)
 e [o Regulamento Geral de Proteção de Dados (GDPR)](https://gdpr-info.eu/)
.

Outro desafio importante é o gerenciamento e a integração de dispositivos médicos de IoT e inteligência artificial associados à [Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH)](https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html)
.

### De que forma a HIPAA, a HITECH e o GDPR se sobrepõem para as organizações de saúde?

A Lei de Portabilidade e Responsabilidade do Seguro Saúde estabelece os requisitos para a proteção das informações de saúde dos pacientes e a notificação de violações.

A Lei de Tecnologia da Informação para a Saúde Econômica e Clínica estabelece os requisitos que reforçam a aplicação da proteção de dados de saúde e impõem multas civis. As organizações de saúde devem pagar até US$ 1,9 milhão por categoria de violação por ano em caso de negligência dolosa.

O Regulamento Geral de Proteção de Dados (GDPR) aplica-se às organizações de saúde que processam dados de residentes da União Europeia (UE). Essa lei acrescenta requisitos de consentimento mais rigorosos, exige que as organizações notifiquem as autoridades supervisoras sobre uma violação no prazo de 72 horas e impõe multas de até 4% da receita anual global.

Caso haja sobreposição de requisitos, as organizações de saúde devem cumprir os padrões de segurança de dados de saúde mais rigorosos entre os requisitos mencionados.

### Quais são as implicações operacionais e legais de uma violação de dados de saúde?

Uma violação de dados na área da saúde pode causar a degradação imediata dos sistemas afetados. Os funcionários deixam de se dedicar ao atendimento para se concentrarem na gestão do incidente. A liderança passa a se concentrar mais na resposta à crise do que na gestão organizacional.

Do ponto de vista jurídico, as investigações e as ações do procurador-geral estadual podem levar anos. Cada vez mais, os tribunais têm permitido teorias de responsabilidade ampliadas, como o valor inerente à privacidade e os danos clínicos decorrentes da corrupção de prontuários médicos. Isso reduziu o limiar para a certificação de ações coletivas e a exposição financeira.

Quais medidas de segurança e melhores práticas de segurança da informação na área da saúde melhoram a resiliência cibernética do setor?

As organizações de saúde podem obter maior resiliência na proteção de dados com a ajuda da arquitetura [Zero Trust](https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=930420)
. Zero Trust significa que ninguém deve ser considerado confiável por padrão, seja de dentro ou de fora da rede.

Além disso, as organizações devem utilizar autenticação multifatorial, segmentar dispositivos médicos de IoT, realizar simulações regulares de backup e monitorar ameaças com o auxílio de IA para garantir o atendimento ininterrupto aos pacientes.

### Quais riscos jurídicos decorrem de controles de segurança inadequados ou de atrasos na resposta a violações?

De acordo com a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA), as organizações dispõem de 60 dias após a descoberta de uma violação.

Se uma organização não puder demonstrar um processo de descoberta claro e documentado, o Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos e os tribunais em litígios civis aplicarão inferências adversas. Estas podem incluir a Inferência de Presunção de Falha na Pontualidade e a Inferência de “Negligência Deliberada”.

A negligência dolosa refere-se a agir de forma consciente e intencional, causando falha. Além disso, trata-se de uma indiferença imprudente em relação às obrigações legais, profissionais ou contratuais.

A inferência de presumida falha de pontualidade refere-se à omissão de agir ou fornecer informações dentro de um prazo aceitável ou legalmente exigido.

Como resultado, as regulamentações estaduais de saúde impõem um prazo de 30 dias, o que pode ser problemático no que diz respeito à Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA).

## Quais soluções de segurança de dados na área da saúde podem mitigar as ameaças cibernéticas atuais?

Para mitigar as ameaças cibernéticas atuais na área da saúde, incluindo ransomware, phishing e vulnerabilidades de dispositivos médicos, as organizações de saúde devem implementar uma estratégia de defesa em várias camadas, baseada em etapas como avaliação de riscos e modelagem de ameaças.

Aqui está um modelo de maturidade de segurança hospitalar:

| Nível | Características |
| --- | --- |
| Básico | Reativo |
| Intermediário | Segmentação |
| Avançado | Zero Trust |
| Maduro | Detecção automatizada |

Vamos ver como essas e outras etapas comuns da estratégia de segurança de dados de saúde podem ajudar.

### Como as avaliações de risco e a modelagem de ameaças podem ser adaptadas para hospitais?

[A avaliação de risco na área da saúde](https://www.who.int/emergencies/risk-assessment)
 ajuda as organizações do setor a avaliar o impacto clínico que os controles de segurança têm sobre possíveis ameaças e a identificar vulnerabilidades, como o acesso irrestrito a informações de saúde e o compartilhamento de dados de pacientes.

[A modelagem de ameaças](https://www.cisco.com/site/us/en/learn/topics/security/what-is-threat-modeling.html#tabs-9da71fbd27-item-1288c79d71-tab)
 é um processo proativo de segurança cibernética que ajuda as organizações do setor da saúde a identificar, analisar e priorizar possíveis ameaças à segurança de um sistema antes que um ataque ocorra. A modelagem de ameaças deve basear-se em cenários específicos, desde phishing até o comprometimento de credenciais.

### Qual é o papel da segmentação de rede, da microsegmentação e do modelo “zero trust” no setor de saúde?

[A segmentação de rede](https://www.cisco.com/c/en_in/products/security/what-is-network-segmentation.html)
 é um investimento em segurança de grande valor, pois ajuda as organizações de saúde a evitar que uma única estação de trabalho comprometida se transforme em um incidente operacional que afete todo o hospital. Ao segmentar as redes, as organizações impedem que hackers alcancem servidores de prontuários eletrônicos (EHR) ou a infraestrutura de backup.

[O modelo “zero trust”](https://www.nist.gov/publications/zero-trust-architecture)
 vai além: exige a verificação de cada solicitação de acesso. É importante ressaltar que o modelo “zero trust” deve ser projetado levando em consideração a velocidade da autenticação e a compatibilidade com o fluxo de trabalho clínico no setor de saúde.

### Qual é a eficácia das soluções de detecção de terminais, EDR e XDR em ambientes clínicos?

[A detecção e resposta em terminais (EDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-edr-endpoint-detection-response)
, também chamada de detecção e resposta a ameaças em terminais (ETDR), é uma tecnologia de cibersegurança que monitora constantemente um “terminal”, como um celular ou laptop, para eliminar ameaças cibernéticas maliciosas.

[Detecção e Resposta Estendidas (XDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr)
 é uma das tecnologias de segurança contemporâneas que detecta movimentação lateral, acesso por credenciais e reconhecimento, além de analisar dados de ameaças desde terminais até redes, acelerando assim a caça e a mitigação de ameaças.

Organizações de saúde que utilizam tais agentes de detecção, ao mesmo tempo em que deixam equipamentos de saúde conectados à rede sem monitoramento, desfrutam de maior proteção contra ameaças cibernéticas.

### Como a criptografia e o gerenciamento de identidades podem proteger as Informações de Saúde Protegidas (PHI) e outros dados pessoais?

A criptografia torna os dados de saúde inutilizáveis para usuários não autorizados, protegendo as informações eletrônicas de saúde do paciente (ePHI) em bancos de dados, cópias de backup, dispositivos portáteis e em trânsito entre sistemas.

[O gerenciamento de identidade e acesso (IAM)](https://www.microsoft.com/en-us/security/business/security-101/what-is-identity-access-management-iam)
 está na base da conformidade com a Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA). Esse padrão mínimo necessário refere-se ao controle de acesso baseado em funções e às revisões regulares de acesso que as organizações de saúde devem utilizar para proteger os dados dos pacientes.

A criptografia, combinada com o gerenciamento de identidade e acesso, permite que as organizações evitem o uso não autorizado de dados após uma violação. Além disso, ela impede que funcionários internos com privilégios excessivos acessem informações de pacientes ou utilizem credenciais comprometidas para acessar registros de saúde.

### Qual é o papel da orquestração de segurança, automação e planejamento de resposta a incidentes?

[As plataformas de orquestração, automação e resposta de segurança (SOAR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-soar)
 permitem que as organizações de saúde automatizem alertas iniciais e ações comuns de resposta. Isso pode incluir a redução de horas de coordenação manual a minutos de execução automatizada.

Na área da saúde, as plataformas de orquestração, automação e resposta de segurança devem se adequar ao contexto clínico. Por exemplo, na área da saúde, a lógica de automação com reconhecimento clínico distingue os tipos de terminais.

É importante ressaltar que os planos de resposta a incidentes devem ser testados em cenários realistas. Caso contrário, permanecerão apenas no papel. E a tomada de decisões com base em exercícios regulares em condições de crise simuladas permite que as organizações de saúde protejam efetivamente os dados dos pacientes contra ameaças cibernéticas.

## Como um ataque moderno de ransomware no setor de saúde normalmente se desenrola dentro de um hospital?

Aqui está um exemplo de uma linha do tempo do ataque:

**Dia 1:** Um coordenador de faturamento recebe um e-mail de phishing que se assemelha a uma notificação de seguro de saúde. Os invasores roubam credenciais usando uma página de login falsificada. Em seguida, eles se conectam via VPN. A equipe de segurança não recebe notificações de alerta porque os invasores utilizaram credenciais válidas. Além disso, o endereço IP não difere do padrão normal de localização do usuário.

**Dias 3–8:** A equipe de hackers identifica controladores de domínio, servidores de prontuários eletrônicos e infraestrutura de backup. Os hackers obtêm acesso privilegiado por meio de estações de trabalho legadas sem patches e obtêm credenciais de administrador de domínio.

**Dias 9–20:** Os hackers roubam sistematicamente os dados dos pacientes. Além disso, localizam os sistemas de backup, usam credenciais comprometidas para acessá-los e excluem ou criptografam os dados para a fase final.

**Dia 21:** O ransomware afeta servidores de prontuários eletrônicos, sistemas de imagem e administrativos, estações de trabalho e infraestrutura de backup. As operações clínicas passam a ser realizadas em papel. A equipe médica adia cirurgias. As operações de ambulâncias são afetadas. Os invasores enviam notas de resgate com amostras dos dados roubados dos pacientes e ameaçam divulgá-las.

### Como os invasores passam do phishing para o comprometimento do sistema de prontuários eletrônicos?

Os hackers passam do phishing para os sistemas eletrônicos de saúde roubando credenciais para obter acesso à rede. Em seguida, utilizam ferramentas e credenciais legítimas, obtêm acesso privilegiado por meio de vulnerabilidades não corrigidas ou da reutilização de credenciais e, então, obtêm acesso aos prontuários eletrônicos por meio de credenciais no nível do domínio.

As organizações de saúde precisam utilizar tecnologias de caça a ameaças e detecção de anomalias comportamentais para descobrir uma intrusão antes que o ransomware afete os sistemas.

### Por que os sistemas de backup e a infraestrutura de recuperação são cada vez mais alvo de hackers?

Os hackers têm como alvo cada vez mais os sistemas de backup e a infraestrutura de recuperação porque os backups não permitem que os invasores recebam o pagamento do resgate. É por isso que os grupos de ransomware se concentram na destruição de backups como uma etapa padrão antes da implantação.

As organizações de saúde possuem backups que os hackers de nível de domínio podem destruir facilmente. Para combater efetivamente os ataques de ransomware na área da saúde, os sistemas de backup devem ter cópias isoladas (air-gapped) sem caminho de rede a partir do ambiente de produção.

Além disso, devem ser projetados com configurações de armazenamento inalteráveis, que os hackers não possam modificar. Por fim, as credenciais utilizadas para os sistemas de backup devem ser mantidas separadas do domínio de produção.

### Que interrupções operacionais ocorrem após os invasores acessarem dados da área da saúde?

Após os hackers acessarem informações da área da saúde, a organização atacada volta a utilizar documentos em papel e cancela procedimentos eletivos. Também pode encaminhar pacientes de emergência para unidades vizinhas.

As unidades vizinhas recebem os pacientes encaminhados e enfrentam desafios inesperados, como cirurgias e exames não planejados, o que prejudica o funcionamento geral.

Esse é o escopo do impacto operacional, que se refere aos danos, falhas ou consequências em cascata causados por um único incidente, explosão ou erro de sistema.

Na área da saúde, um único ataque pode comprometer o atendimento em todo um sistema regional de saúde.

## Como as organizações da área da saúde podem utilizar a Bacula Systems para fortalecer a resiliência na recuperação contra ransomware?

[A Bacula Systems](https://www.baculasystems.com/pt/)
 oferece soluções de proteção e recuperação de dados projetadas para o ambiente específico de ameaças ao backup no setor de saúde. [As soluções de backup da Bacula para o setor de saúde](https://www.baculasystems.com/pt/assistencia-medica-de-reserva/)
 proporcionam resiliência contra ransomware baseada em três princípios:

**Separação arquitetônica**: cópias de backup isoladas fisicamente (air-gapped), sem qualquer caminho de rede a partir do ambiente de produção. Configurações de armazenamento inalteráveis, nas quais os dados de backup não podem ser modificados ou excluídos por hackers, mesmo utilizando credenciais de administrador comprometidas.

Como resultado, a Bacula elimina a capacidade de destruição de backups, que se tornou uma prática padrão para grupos de ransomware.

**Proteção de dados em conformidade com a HIPAA**: criptografia [Advanced Encryption Standard](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197-upd1.pdf)
 (AES)-256 dos dados de backup em repouso e em trânsito. O AES-256 é um algoritmo de criptografia simétrica praticamente impenetrável que utiliza uma chave de 256 bits para converter texto simples em texto cifrado.

Além disso, o Bacula oferece governança de acesso baseada em funções para a infraestrutura de backup e registro abrangente de auditoria de todas as operações de backup e recuperação. Consequentemente, as organizações de saúde podem dispor da documentação exigida por auditorias de conformidade e investigações de violações.

**Capacidade de recuperação verificada**: testes automatizados de integridade para confirmar que os dados podem ser restaurados de forma programada. Consequentemente, as organizações de saúde obtêm evidências documentadas sobre a recuperabilidade dos dados dentro dos objetivos de tempo de recuperação clínica (RTO) exigidos para a segurança do paciente.

Graças à Bacula Systems, sistemas operacionais legados em um ambiente de saúde podem ser executados em equipamentos clínicos juntamente com plataformas modernas.

O Bacula oferece às principais plataformas de bancos de dados de prontuários eletrônicos um backup consistente com os aplicativos e altamente seguro. Como resultado, os dados restaurados podem ser clinicamente utilizáveis, em vez de serem tecnicamente recuperados, mas funcionalmente inoperantes.

## Como as organizações de saúde devem se preparar para violações de dados e incidentes de segurança na área da saúde?

Para se preparar para violações de dados, as organizações de saúde devem construir uma cultura de segurança robusta. Para isso, é fundamental treinar rotineiramente a equipe, aplicar controles de acesso rigorosos, como a autenticação multifatorial, e manter um [plano de resposta a incidentes (IRP)](https://www.cisco.com/site/us/en/learn/topics/security/what-is-an-incident-response-plan.html#tabs-9da71fbd27-item-1288c79d71-tab)
 rigorosamente testado, capaz de ajudar a minimizar o impacto dos incidentes.

Aqui está um exemplo de uma lista de verificação de segurança cibernética na área da saúde:

- MFA habilitada
- Testes de backup concluídos
- Inventário de dispositivos médicos
- Acesso de fornecedores revisado
- Resposta a incidentes testada

### O que um plano de resposta a incidentes de um hospital deve incluir e quem deve estar envolvido?

Além da equipe de segurança de uma organização de saúde, a liderança clínica também deve estar envolvida em um plano eficaz de resposta a incidentes. Os planos de segurança devem ser elaborados com base em um procedimento de detecção e escalonamento com limites de notificação definidos.

Além disso, deve incluir um protocolo de interrupção de serviços clínicos que defina como o atendimento ao paciente deve continuar quando os sistemas estiverem indisponíveis. Ademais, o plano deve incluir uma estrutura de comunicação que abranja a escalonamento interno, a notificação às autoridades regulatórias, a notificação aos pacientes e a resposta à mídia.

Por fim, o plano deve incluir etapas de recuperação que priorizem os sistemas de acordo com a criticidade clínica e especificar como as organizações devem se comunicar com empresas externas de resposta a incidentes e com assessoria jurídica.

Como as organizações podem testar planos de resposta sem interromper o atendimento aos pacientes?

Para testar planos de resposta a ataques cibernéticos sem interromper o atendimento aos pacientes, as organizações de saúde devem organizar simulações de cenários reais com o pessoal-chave de resposta.

Essas simulações não devem se concentrar em “o que diz o plano?”, mas sim em “durante essa situação específica às 3 da manhã de um sábado, o que você faz, para quem você liga e quais decisões clínicas você toma?”.

Essa preparação ajuda a evitar funções de resposta pouco claras, procedimentos inadequados para períodos de inatividade e suposições irrealistas. É importante ressaltar que todos esses cenários inadequados e irrealistas sejam corrigidos antes que o incidente real ocorra, a fim de evitar falhas durante a crise.

### Quando e como os hospitais devem envolver as autoridades policiais, os órgãos reguladores e equipes de resposta terceirizadas?

A Divisão Cibernética do Federal Bureau of Investigation (FBI), que investiga e processa crimes na internet, deve ser envolvida logo no início de incidentes confirmados de ransomware. As equipes especializadas em ransomware do FBI podem dispor de ferramentas de descriptografia e fornecer inteligência sobre ameaças que orientem as decisões de resposta.

As organizações de saúde têm 60 dias após a descoberta da violação para entrar em contato com o Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA. Quanto à assessoria jurídica, o envolvimento não deve ser deixado para depois do incidente.

Dessa forma, a interação entre advogado e cliente não será complicada, e as obrigações relativas aos prazos de notificação serão facilmente gerenciadas de acordo com a HIPAA e as leis estaduais aplicáveis.

Além disso, esse envolvimento oportuno pode ajudar a evitar falhas relacionadas aos prazos de notificação que já resultaram em ações coercitivas significativas.

### Como as lições pós-incidente podem ser integradas para fortalecer as defesas futuras?

As organizações de saúde devem realizar análises pós-incidente em questão de semanas, e não de meses. Afinal, análises eficazes e oportunas ajudam a identificar as causas subjacentes, em vez de apenas os sintomas. Isso é importante para atribuir ações corretivas específicas a responsáveis específicos dentro de determinados prazos.

Aprender com as lições ajuda as organizações a proteger melhor as informações contra ameaças cibernéticas à área da saúde. Especificamente, ataques de phishing bem-sucedidos podem se transformar em lições sobre a frequência com que as organizações devem treinar seus funcionários. Ou uma falha na integridade do backup pode ensinar uma organização a implementar com sucesso testes automatizados de restauração.

### Quais são as barreiras financeiras e organizacionais para melhorar a segurança?

Financeiramente, orçamentos operacionais restritos, altos custos de correção e dependência de sistemas legados podem causar barreiras à segurança em organizações da área da saúde. Do ponto de vista organizacional, a escassez de talentos em cibersegurança e as elevadas cargas de trabalho clínicas podem causar erros sistêmicos por parte dos usuários.

### Como os líderes da área da saúde podem justificar os investimentos em segurança perante os conselhos administrativos e as partes interessadas?

O investimento em segurança abrange a segurança do paciente, o desempenho financeiro e a reputação da organização. Especificamente, os custos incluem perdas de receita decorrentes de paralisações clínicas causadas pelo adiamento de procedimentos, exposição a penalidades regulatórias e os efeitos sobre a reputação que afetam o volume de pacientes.

Embora a conscientização sobre a defesa cibernética esteja crescendo entre as organizações de saúde, a maioria delas ainda não utiliza recursos de seus orçamentos de TI para a cibersegurança hospitalar.

### Que modelos existem para quantificar o retorno sobre os gastos com segurança em hospitais?

A redução esperada de perdas é a estrutura mais útil para quantificar o retorno sobre os gastos com segurança em organizações de saúde. Ela ajuda a quantificar o retorno sobre o investimento em segurança cibernética, medindo o custo relacionado a uma ferramenta de segurança em relação ao risco financeiro que ela elimina.

As organizações que implementam controles robustos e mantêm documentação geram economias imediatas e recorrentes que compensam parcialmente os custos dos investimentos em segurança.

### Como as aquisições, os ciclos orçamentários e as prioridades concorrentes atrasam os projetos de segurança?

Os ciclos de capital na área da saúde ocorrem anualmente: identificados no primeiro ano, orçados no segundo ano e implementados no terceiro ano. Esses ciclos criam o intervalo de três anos mencionado, desde a identificação da vulnerabilidade até a correção do controle.

Durante esse período, os adversários concentram-se em explorar vulnerabilidades dentro das organizações. E as falhas de segurança mais graves na área da saúde não decorrem de capacidades sofisticadas. Elas são causadas por ciclos orçamentários inadequados, prioridades concorrentes e inércia organizacional que permitiram que as vulnerabilidades fossem exploradas.

### Que incentivos ou mecanismos de financiamento podem acelerar as atualizações de segurança necessárias?

Como regra geral, subsídios governamentais direcionados, programas público-privados de resiliência, incentivos regulatórios baseados em taxas e fundos de inovação de dupla utilização aceleram as atualizações de segurança.

Por exemplo, as organizações de saúde podem se candidatar aos fundos propostos pelo Departamento de Saúde e Serviços Humanos dos EUA a partir do Fundo Fiduciário de Seguro Hospitalar do Medicare. Especificamente, esses fundos podem ser utilizados para atualizações de segurança cibernética em hospitais com grandes necessidades, como parte da estrutura das [Metas de Desempenho em Segurança Cibernética na Saúde](https://hhscyber.hhs.gov/cybersecurity-performance-goals.html)
.

Além disso, a [Agência de Cibersegurança e Segurança de Infraestrutura (CISA)](https://www.cisa.gov/about/cisa-central)
, a Divisão Cibernética do FBI e o [Centro de Compartilhamento e Análise de Informações em Saúde (Health-ISAC)](https://health-isac.org/)
 fornecem inteligência sobre ameaças, estruturas de melhores práticas e assistência técnica.

## Perguntas frequentes

### Por que as organizações de saúde são alvos frequentes de ransomware, apesar dos grandes investimentos em cibersegurança?

O setor de saúde é considerado um alvo ideal para ataques de ransomware devido aos dados de alto valor encontrados nas organizações de saúde, que valem a pena serem obtidos e usados para extorsão. Além disso, o setor de saúde está associado à urgência relacionada à segurança da vida, o que coloca as vítimas sob pressão para pagar rapidamente. Por fim, os controles operacionais são frequentemente contornados pelos profissionais de saúde devido à necessidade de prestar atendimento imediato aos pacientes.

### Quais soluções de segurança de dados na área da saúde são mais eficazes contra ameaças internas e uso indevido de credenciais?

As plataformas de [Análise de Comportamento de Usuários e Entidades (UEBA)](https://www.microsoft.com/en-us/security/business/security-101/what-is-user-entity-behavior-analytics-ueba)
 detectam com maior eficácia o acesso malicioso por parte de pessoas internas e o uso de credenciais comprometidas. Essas soluções técnicas revelam quais padrões são inconsistentes com a função clínica de um usuário. É importante ressaltar que essas plataformas devem ser adequadas aos ambientes da área da saúde. Por fim, também deve ser aplicada uma governança de acesso robusta, incluindo controle de acesso baseado em funções, revisões regulares de acesso e revogação imediata das permissões de funcionários que estão deixando a organização.

### Como os hospitais devem priorizar a ordem de recuperação após uma violação de dados na área da saúde afetar vários sistemas clínicos?

A ordem de recuperação deve ser priorizada com base na criticidade clínica, e não na conveniência. Em primeiro lugar, as organizações de saúde devem se concentrar na segurança do paciente. No âmbito da restauração do sistema, as organizações devem priorizar os sistemas de segurança de vida relacionados ao monitoramento de pacientes, à administração de medicamentos e aos departamentos de emergência. Em seguida, vem a infraestrutura do prontuário eletrônico (HER). Depois, vêm os arquivos de imagens, os sistemas administrativos e, por fim, os sistemas de faturamento.

Sobre o autor

[https://www.linkedin.com/in/rob-morrison-3aa443/](https://www.linkedin.com/in/rob-morrison-3aa443/)

Rob Morrison é o diretor de marketing da Bacula Systems. Ele começou sua carreira de marketing de TI na Silicon Graphics, na Suíça, e desempenhou intensamente várias funções de administração de marketing por quase 10 anos. Nos 10 anos seguintes, Rob também ocupou vários cargos de administração de marketing na JBoss, Red Hat e Pentaho, assegurando o crescimento da participação no mercado dessas empresas reconhecidas. Ele é formado pela Universidade de Plymouth e tem um diploma de honras em mídia digital e comunicação, além de ter feito um programa de estudos no exterior.

*Posts Relacionados*

[https://www.baculasystems.com/pt/pt-blog/ransomware-backup-strategies-and-best-practices-como-proteger-os-backups-de-resgates/](https://www.baculasystems.com/pt/pt-blog/ransomware-backup-strategies-and-best-practices-como-proteger-os-backups-de-resgates/)
[Estratégias e práticas recomendadas de backup contra ransomware. Como proteger os backups contra ransomware?](https://www.baculasystems.com/pt/pt-blog/ransomware-backup-strategies-and-best-practices-como-proteger-os-backups-de-resgates/)

outubro 13, 2025

[https://www.baculasystems.com/pt/pt-blog/backup-imutavel/](https://www.baculasystems.com/pt/pt-blog/backup-imutavel/)
[O que é backup imutável? Backups imutáveis como medida de segurança de dados](https://www.baculasystems.com/pt/pt-blog/backup-imutavel/)

fevereiro 6, 2024

[https://www.baculasystems.com/pt/pt-blog/guia-de-seguranca-da-hpc-800-223-800-234/](https://www.baculasystems.com/pt/pt-blog/guia-de-seguranca-da-hpc-800-223-800-234/)
[Guia e padrões de segurança HPC: NIST SP 800-223 e SP 800-234](https://www.baculasystems.com/pt/pt-blog/guia-de-seguranca-da-hpc-800-223-800-234/)

outubro 6, 2025

[https://www.baculasystems.com/pt/pt-blog/soberania-digital-da-ue/](https://www.baculasystems.com/pt/pt-blog/soberania-digital-da-ue/)
[Soberania digital da UE e controle de dados: o que as empresas precisam saber](https://www.baculasystems.com/pt/pt-blog/soberania-digital-da-ue/)

junho 9, 2026

[https://www.baculasystems.com/pt/pt-blog/conformidade-com-a-gdpr-para-backups-de-dados/](https://www.baculasystems.com/pt/pt-blog/conformidade-com-a-gdpr-para-backups-de-dados/)
[Como garantir a conformidade com o GDPR: Estratégias essenciais para backup de dados](https://www.baculasystems.com/pt/pt-blog/conformidade-com-a-gdpr-para-backups-de-dados/)

dezembro 18, 2024

[https://www.baculasystems.com/pt/pt-blog/backup-e-recuperacao-de-mainframe/](https://www.baculasystems.com/pt/pt-blog/backup-e-recuperacao-de-mainframe/)
[Backup e recuperação de mainframe: estratégias modernas para sistemas empresariais resilientes](https://www.baculasystems.com/pt/pt-blog/backup-e-recuperacao-de-mainframe/)

março 30, 2026
