A crescente digitalização dos serviços de saúde tem ampliado não apenas as possibilidades de atendimento, mas também os desafios relacionados à segurança da informação. Esse foi o ponto central da sessão mais recente do SIG Cibersegurança e Proteção de Dados em Saúde, promovido pela Rede Universitária de Telemedicina (RUTE), iniciativa da Rede Nacional de Ensino e Pesquisa (RNP).
Realizado em 24 de abril, o encontro reuniu especialistas para discutir o tema “Panorama da segurança e riscos para a área da saúde”, com apresentações de Ingrid Barbosa, analista de Segurança da Informação no CAIS/RNP, e Eduardo Amemiya, da Rede SARAH.
Dados de saúde: alto valor e alta vulnerabilidade
Durante a sessão, Ingrid Barbosa destacou que os dados de saúde estão entre os ativos mais valiosos no mercado ilícito, superando inclusive informações financeiras em longevidade e valor de uso. Segundo apresentado, registros médicos podem alcançar valores significativamente mais altos na dark web do que dados de cartão de crédito.
A especialista também ressaltou que mais de 80% dos vazamentos de dados em saúde estão associados a ataques cibernéticos, evidenciando a crescente sofisticação das ameaças digitais. Casos recentes envolvendo hospitais, dispositivos médicos e empresas de dados genéticos reforçam o impacto potencial desses incidentes na assistência à saúde.
Riscos ao longo de todo o ecossistema digital
A apresentação trouxe uma visão abrangente dos riscos distribuídos ao longo de todo o ecossistema da saúde digital. No campo dos sistemas de informação em saúde, que incluem prontuários eletrônicos, sistemas hospitalares e plataformas laboratoriais, destacam-se riscos, como vazamento de dados sensíveis, falhas de integridade das informações clínicas, dificuldades de interoperabilidade e acessos indevidos por configurações inadequadas de perfis.
No caso dos dispositivos médicos conectados, conhecidos como IoMT, os desafios envolvem desde falhas ou indisponibilidade que impactam diretamente o atendimento ao paciente até a possibilidade de ataques remotos e dificuldades de atualização em equipamentos legados. Já nos ambientes de telemedicina e telessaúde, foram apontados riscos relacionados à autenticação de usuários, à segurança das comunicações, à integração com plataformas de terceiros e à necessidade de alta disponibilidade dos serviços, além da baixa conscientização de profissionais e pacientes.
A infraestrutura de tecnologia da informação também foi destacada como um ponto crítico, especialmente diante de cenários de indisponibilidade prolongada, ataques de ransomware, fragilidades arquiteturais e ausência de estratégias eficazes de backup e recuperação. Soma-se a isso a complexidade das cadeias de suprimentos em saúde, que podem introduzir vulnerabilidades por meio de fornecedores, falhas de rastreabilidade e dependência de atores externos.
Outro ponto abordado foi o uso crescente de inteligência artificial e ciência de dados na saúde, que traz desafios como decisões automatizadas pouco transparentes, viés nos modelos, uso inadequado de dados sensíveis e riscos associados ao vazamento de informações. Por fim, a saúde digital centrada no paciente (incluindo aplicativos, dispositivos vestíveis e monitoramento remoto) também apresenta riscos relacionados à coleta excessiva de dados, uso indevido de informações e baixa percepção dos usuários sobre segurança.
Estratégias de mitigação e continuidade
Complementando a discussão, Eduardo Amemiya apresentou abordagens práticas adotadas na Rede SARAH para mitigação de riscos e fortalecimento da resiliência dos sistemas. Entre as estratégias destacadas estão o uso de arquiteturas em camadas com balanceamento de carga, que distribuem o processamento e reduzem pontos únicos de falha, e a segmentação de rede, que permite isolar ambientes críticos, como equipamentos médicos, de outros sistemas.
Também foram abordadas práticas de gestão de acessos privilegiados, com uso de cofres de credenciais, auditoria de sessões e aplicação de princípios de Zero Trust, além da adoção de planos de contingência que permitem a operação offline em cenários de indisponibilidade. Por fim, foram ressaltadas políticas robustas de backup e preservação do conhecimento institucional, essenciais para garantir a recuperação de dados e a continuidade das operações.
Cibersegurança como viabilizadora do cuidado
Ao final da sessão, foi reforçada a ideia de que a cibersegurança deve ser compreendida como um elemento estratégico para a continuidade dos serviços de saúde. Para além de proteger sistemas, trata-se de garantir que a assistência ao paciente não seja comprometida por incidentes digitais. A gestão de riscos permite lidar com incertezas de forma mais inteligente e assegurar o funcionamento das organizações em um ambiente cada vez mais complexo.
Promovidos pela RUTE, os SIGs são encontros colaborativos que reúnem profissionais, pesquisadores e gestores para troca de experiências e disseminação de conhecimento em áreas estratégicas da saúde digital.
Assista a essa sessão aqui: https://eduplay.rnp.br/app/video/417998
O próximo encontro do SIG Cibersegurança e Proteção de Dados em Saúde será realizado no dia 29 de maio, das 14h às 15h30, e terá o tema “Resposta a incidentes”, apresentado por Ivan Benevides (RNP).