Com o avanço acelerado da digitalização na área da saúde, instituições como hospitais, clínicas e operadoras de planos passaram a lidar com volumes cada vez maiores de dados sensíveis. Essa transformação, impulsionada principalmente após a pandemia de Covid-19, trouxe melhorias operacionais, mas também aumentou significativamente os riscos de ataques cibernéticos. Segundo levantamento da Check Point Research, o setor de saúde foi um dos mais atacados do mundo em 2023, registrando um aumento de 60% nas tentativas de invasões digitais em relação ao ano anterior.

No Brasil, segundo reportagem do Valor International com base no estudo da IBM e do Ponemon Institute, o custo médio de um incidente de segurança no setor de saúde foi de R$?10,46?milhões em 2024, destacando como o país está entre os mais impactados globalmente. Isso reforça a necessidade urgente de medidas sólidas de cibersegurança para proteger a confidencialidade, integridade e disponibilidade dos dados.

Segundo Dario Caraponale, CEO da empresa especializada Strong Security Brasil, “sem capacitação contínua, qualquer sistema pode se tornar vulnerável”. Para ele, proteger dados no setor de saúde vai além da tecnologia: exige um esforço contínuo envolvendo pessoas, processos e políticas.

Ele destaca que “a segurança digital no setor de saúde deve ser incorporada como um componente central da qualidade e da continuidade operacional”. Para Caraponale, “a implementação de medidas técnicas como autenticação multifator, criptografia de ponta a ponta, segmentação de redes e ferramentas de detecção e resposta a incidentes contribui para reduzir os riscos”.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) oferece diretrizes abrangentes para fortalecer a segurança cibernética no setor de saúde. A publicação NIST Special Publication 800-66, Revision 2, intitulada “Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide”, fornece orientações detalhadas para organizações de saúde protegerem a confidencialidade, integridade e disponibilidade das informações de saúde eletrônicas (ePHI). Essa publicação destaca a importância de medidas como autenticação multifator (MFA), criptografia de dados em repouso e em trânsito, proteção de endpoints, firewalls, sistemas de detecção e prevenção de intrusões (IDS/IPS) e segmentação de redes.

Além disso, o NIST Cybersecurity Framework (CSF) 2.0, lançado em 2024, oferece uma abordagem estruturada para gerenciar riscos cibernéticos, enfatizando funções como Identificar, Proteger, Detectar, Responder e Recuperar. Essas diretrizes são fundamentais para organizações de saúde desenvolverem estratégias de segurança cibernética eficazes e resilientes.

Segundo o Reuters, o Departamento de Saúde e Serviços Humanos dos EUA propõe tornar obrigatória a autenticação multifator, segmentação de redes e criptografia de dados de pacientes, a fim de fortalecer os controles de segurança e compliance.

Além disso, modelos reconhecidos como o NIST Cybersecurity Framework 2.0 — que organiza as funções IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER e RECUPERAR — e a publicação NIST SP 800-66 Rev. 2 — voltada para proteção de ePHI conforme a HIPAA — oferecem diretrizes estruturadas e práticas para estabelecer políticas eficazes de segurança da informação.

Nesse contexto, empresas especializadas, como a Strong Security Brasil, oferecem serviços voltados à proteção de infraestrutura crítica, além de programas de conscientização e capacitação de equipes. A combinação entre recursos tecnológicos, práticas de governança e ações educativas pode contribuir para ambientes digitais mais protegidos, com foco na segurança de dados no setor de saúde.

