Por que o setor da saúde brasileira precisa levar a segurança cibernética a sério
Os incidentes de segurança cibernética no setor de saúde no Brasil não são apenas notícia — eles são um alerta. Nos últimos cinco anos, hospitais, laboratórios e até mesmo órgãos governamentais da saúde foram vítimas de graves ataques cibernéticos, colocando em risco o atendimento e a privacidade dos pacientes.
Neste blog, vamos explorar a necessidade urgente de aprimorar a segurança cibernética no setor de saúde brasileiro. Discutiremos os desafios regulatórios específicos do país e como padrões internacionais, como as normas ISO, podem ser adotados para fortalecer a proteção de dados e infraestruturas críticas.
A crescente crise de segurança cibernética na área da saúde brasileira
Os prestadores de serviços de saúde brasileiros enfrentaram recentemente alguns incidentes alarmantes de segurança cibernética. Aqui estão alguns exemplos notáveis:
- Exposição de dados nacionais de saúde: devido a uma falha significativa, o Ministério da Saúde do Brasil expôs involuntariamente credenciais, tornando 243 milhões de registros médicos acessíveis online — praticamente todos os dados médicos dos brasileiros estavam potencialmente em risco (NCC Group).
- Vazamento de dados da COVID-19: em novembro de 2020, um funcionário de um hospital de São Paulo publicou por engano credenciais de login online, expondo as informações de saúde de aproximadamente 16 milhões de pacientes com COVID-19, incluindo autoridades públicas e pessoas de destaque (DataGuidance).
- Ajustes de conduta na Drogasil: A Autoridade Nacional de Proteção de Dados (ANPD) concluiu um processo de fiscalização em redes de farmácias e determinou ajustes de conduta no tratamento de dados pessoais. O processo administrativo sancionador foi instaurado contra a RaiaDrogasil para investigar possíveis infrações relacionadas à criação de perfis comportamentais a partir de dados sensíveis para publicidade direcionada. A empresa deve oferecer uma alternativa à biometria e facilitar o acesso dos clientes a informações sobre o tempo de armazenamento de seus dados, destacando a atuação da ANPD na proteção de dados dos cidadãos." (Assessoria de Comunicação ANPD ) | Uol Economia.
- Ataque ao ConecteSUS do Ministério da Saúde: Em dezembro de 2021, hackers conhecidos como Lapsus$ alegaram ter excluído quase 50 terabytes de registros de vacinação contra a COVID-19 do banco de dados nacional de vacinação do Brasil, interrompendo gravemente os serviços e minando a confiança do público (Reuters).
- Ataque de ransomware ao Hospital de Amor (Barretos): Em junho de 2017, o Hospital de Câncer de Barretos (atual Hospital de Amor) foi vítima de um ataque cibernético do tipo ransomware, paralisando serviços em diversas unidades do país. O grupo de hackers exigiu um resgate em bitcoins para liberar os sistemas, resultando na suspensão de milhares de consultas e exames. Felizmente, os dados dos pacientes não foram perdidos, mas o incidente evidenciou a vulnerabilidade de instituições de saúde a ataques que podem impactar diretamente o atendimento médico. (G1 – Globo notícias).
Impactos no mundo real
Esses não são apenas contratempos digitais — há consequências sérias e tangíveis:
- Interrupção dos cuidados de saúde: os ataques cibernéticos podem interromper os serviços aos pacientes, atrasar diagnósticos e adiar tratamentos cruciais, colocando em risco a saúde dos pacientes.
- Perda de privacidade: vazamentos de dados confidenciais de pacientes podem levar ao roubo de identidade, fraude e sofrimento pessoal para as pessoas afetadas.
- Confiança prejudicada: pacientes e parceiros de saúde perdem a confiança quando os provedores não conseguem proteger seus dados, o que pode prejudicar tanto a reputação quanto as operações de longo prazo.
Navegando pela LGPD do Brasil e pela pressão regulatória
Desde a introdução da Lei Geral de Proteção de Dados (LGPD) no Brasil em 2020, os prestadores de serviços da saúde enfrentam regulamentações rígidas:
- Tratamento de dados confidenciais: a LGPD classifica os dados de saúde como confidenciais, exigindo medidas de segurança reforçadas e limitando a forma como podem ser processados e compartilhados.
- Notificação rápida de violação: os prestadores devem relatar violações graves de dados dentro de três dias úteis, tornando crucial a detecção e o relato rápidos (DataGuidance).
- Ações de fiscalização: o não cumprimento pode resultar em multas de até 2% da receita anual, danos à reputação e consequências legais.
Como as normas ISO podem ajudar
Nossa posição e transparência
A DNV é um organismo de certificação global especializado em normas ISO. Embora defendamos os benefícios da adoção dessas estruturas de segurança cibernética, é importante observar que nossas orientações têm caráter informativo e não de análise imparcial do setor. Os prestadores de serviços de saúde devem avaliar de forma independente suas necessidades específicas, consultar várias fontes e explorar diferentes organismos de certificação para encontrar a melhor opção.
Considerações finais
As ameaças cibernéticas que o setor de saúde do Brasil enfrenta hoje são significativas, mas gerenciáveis. Tomar medidas proativas para adotar normas robustas de segurança cibernética, como as certificações ISO, pode ajudar os prestadores de serviços de saúde a proteger os pacientes, cumprir as regulamentações e construir uma confiança duradoura.
Ao refletir sobre a preparação da sua organização em termos de segurança cibernética, considere: - Você tem procedimentos seguros para evitar vazamentos acidentais de credenciais? - Você está preparado para a exigência obrigatória de notificação de violação em três dias prevista na LGPD? - Você pode demonstrar com confiança a segurança de seus serviços em nuvem e de terceiros?
Para te ajudar a começar, a DNV oferece nossa ferramenta de autoavaliação online projetada especificamente para avaliar a preparação da sua organização para as certificações ISO 27001 e ISO 27701. Aproveite este recurso para identificar seus pontos fortes e áreas a serem melhoradas hoje mesmo.
26/08/2025 18:56:00
