O aumento nos incidentes de ransomware revelou um risco sistêmico profundo
O setor de saúde dos EUA está enfrentando uma onda sem precedentes de ataques cibernéticos, com incidentes de ransomware aumentando mais de 30% somente em 2024, de acordo com um relatório da Resilience, provedora de seguros cibernéticos e gerenciamento de riscos.
Apesar da ameaça crescente, especialistas alertaram que a segurança cibernética continua alarmantemente baixa na lista de prioridades comerciais de muitas organizações de saúde.
Travis Wong [na foto], vice-presidente de engajamento do cliente da empresa de risco cibernético Resilience, sinalizou uma desconexão entre a exposição dessas empresas e seus investimentos em proteção.
“Apesar dos muitos incidentes cibernéticos significativos que já afetaram o setor de saúde, a segurança cibernética ainda ocupa uma posição surpreendentemente baixa na lista de prioridades de muitas organizações, abaixo do que esperávamos ou desejávamos”, disse Wong à Insurance Business.
“Eventos como a violação da Change Healthcare e as repetidas ondas de ataques de ransomware deveriam ter sido um claro sinal de alerta, mas a urgência não se traduziu totalmente em ação.”
Por que a saúde é um alvo privilegiado para os atacantes de ransomware
Os registros eletrônicos de saúde (EHRs) estão entre os tipos de dados mais lucrativos na dark web.
Ao contrário dos cartões de crédito, que podem ser cancelados rapidamente, os registros de saúde contêm detalhes pessoais e financeiros confidenciais que podem ser explorados por anos. De acordo com o relatório da Resilience para 2025, 168 milhões de registros de saúde foram violados em 2023 – mais da metade dos dados da população dos EUA.
“A saúde não é apenas uma infraestrutura crítica para comunidades e países porque fornece serviços essenciais”, disse Wong. “É também um setor que armazena informações extremamente confidenciais, o que o torna valioso nos mercados secundários.”
Além do roubo de dados, a própria criticidade dos serviços de saúde torna as organizações vulneráveis. Hospitais e clínicas não podem simplesmente interromper suas operações durante um ataque cibernético, e essa urgência muitas vezes leva as vítimas a pagar resgates rapidamente para restaurar o atendimento aos pacientes.
“Os invasores nem sempre buscam interromper os sistemas permanentemente”, disse Wong. “Eles só querem entrar, criar exposição suficiente para forçar um pagamento e depois seguir em frente.”
O alerta da Change Healthcare
A violação de fevereiro de 2024 da Change Healthcare, uma das maiores processadoras de pagamentos de saúde, expôs 190 milhões de registros e paralisou os serviços em todo o país. As farmácias não podiam processar receitas, os médicos não podiam ser reembolsados e os pacientes enfrentavam atrasos no tratamento.
Wong disse que o incidente revelou o quanto o setor de saúde está realmente interconectado. “Uma interrupção em uma organização se espalhou por milhares de provedores, demonstrando um risco sistêmico em escala nacional”, disse ele.
Apesar da magnitude do desastre, o relatório da Resilience cita uma pesquisa com 250 executivos do setor de saúde dos Estados Unidos que descobriu que a segurança cibernética ficou em último lugar entre as principais preocupações comerciais, atrás dos custos operacionais, conformidade e até mesmo proteção de dados de pacientes.
“Parte do desafio é que a implementação de medidas abrangentes de segurança cibernética leva tempo”, disse Wong. “Os profissionais de saúde estão, compreensivelmente, focados em primeiro lugar no atendimento ao paciente. Isso significa que a segurança muitas vezes parece secundária, mesmo que as duas coisas estejam intimamente ligadas.
“As organizações devem reconhecer que têm o dever não apenas de prestar cuidados, mas também de proteger os dados confidenciais de seus pacientes e os sistemas que suportam serviços críticos.”
Barreiras ao investimento em segurança cibernética
As barreiras para defesas cibernéticas mais fortes são multifacetadas. As organizações de saúde geralmente operam com orçamentos apertados, com fundos direcionados para o atendimento ao paciente e conformidade, em vez de atualizações de TI.
Wong apontou três restrições principais: falta de financiamento, escassez de talentos e complexidade operacional. “Os orçamentos de segurança não estão acompanhando o aumento do custo e da complexidade das ameaças”, disse ele.
Ele também apontou a falta de profissionais especializados em segurança cibernética, especialmente nas equipes de TI da área da saúde. Ao mesmo tempo, os hospitais dependem de estações de trabalho móveis, sistemas legados e dispositivos médicos especializados, o que dificulta a implementação de controles de segurança consistentes. Essas realidades significam que os sistemas de saúde estão gerenciando redes em expansão com inúmeros pontos de falha em potencial.
“A equipe precisa entrar e sair dos sistemas constantemente, o que complica o gerenciamento de identidade e acesso”, disse Wong. “Todas essas peças móveis criam mais oportunidades para falhas e, em última análise, mais riscos.”
Como o mercado de seguros cibernéticos está reagindo?
À medida que as perdas com ransomware aumentam entre os prestadores de serviços de saúde, as seguradoras cibernéticas estão tornando os requisitos mais rígidos. As seguradoras estão examinando cada vez mais os ecossistemas de fornecedores das organizações de saúde, dados os efeitos em cascata observados na violação da Change Healthcare. No entanto, um mercado cibernético mais flexível também está equilibrando os termos mais rígidos.
“O que estamos vendo é um escrutínio muito maior dos ecossistemas de fornecedores”, disse Wong. “O ataque à Change Healthcare realmente deixou isso claro. As operadoras e seguradoras querem saber de quais fornecedores críticos uma organização depende e quão seguras são essas cadeias de suprimentos. Portanto, embora os preços e as condições ainda variem de acordo com a organização, o foco nas dependências da cadeia de suprimentos definitivamente aumentou.”
Com exigências de extorsão chegando a US$ 4 milhões em cerca de 2025 incidentes, os riscos para os prestadores de serviços de saúde estão mais altos do que nunca. Analistas do setor alertam que o setor pode em breve enfrentar não apenas perdas financeiras e operacionais, mas também mortes diretas de pacientes relacionadas a incidentes cibernéticos.
As recomendações de Wong para organizações de saúde incluem a elaboração de estratégias abrangentes de backup que incluam todos os tipos de dados, validadas em cenários de ataque realistas; gestão proativa de riscos de fornecedores que vá além de políticas no papel para monitoramento contínuo; e treinamento e simulações robustas para funcionários para lidar com erros humanos, que ainda são a principal causa de violações.
“As organizações que podem demonstrar estratégias abrangentes e validadas e mostrar que testaram a recuperação em condições realistas se destacam como riscos muito melhores aos olhos das seguradoras”, disse ele.
