Em 27 de setembro de 2020, o Hospital Universitário de Düsseldorf, na Alemanha, sofreu um ataque de ransomware que deixou seus sistemas inoperáveis por dias. Uma paciente que necessitava de cuidados urgentes foi transferida para outro hospital a 30 quilômetros de distância. Ela faleceu durante a transferência.
Este é o primeiro caso documentado de morte diretamente atribuída a um ciberataque. E embora o incidente tenha ocorrido na Europa, a mensagem transmitida ao setor de saúde mundial foi inequívoca: ransomware em hospitais não é um problema de TI. É uma questão de vida ou morte.
Na América Latina, os ataques ao setor da saúde têm aumentado constantemente nos últimos anos. Hospitais públicos, clínicas privadas, laboratórios, organizações de assistência social e sistemas nacionais de saúde têm sido vítimas de ataques que paralisaram operações, expuseram dados de pacientes e, em alguns casos, os obrigaram a recorrer a registros em papel por dias ou semanas.
Este artigo analisa por que o setor de saúde é um alvo tão atraente para grupos de ransomware, o que está acontecendo na região e o que as organizações de saúde podem fazer para se protegerem de forma eficaz.
Por que os hospitais são um alvo preferido de ataques de ransomware?
Não é coincidência que o setor de saúde esteja sempre no topo do ranking das indústrias mais visadas por ransomware. Existem razões estruturais que o tornam particularmente vulnerável e especialmente lucrativo para os atacantes.
A pressão do tempo é insuportável.
Em um hospital, o tempo é literalmente uma questão de vida ou morte. Quando os sistemas de uma loja são atacados, a empresa pode operar com capacidade reduzida por dias ou semanas enquanto o incidente é resolvido. Quando os sistemas de um hospital são atacados, os médicos não conseguem acessar os prontuários dos pacientes, os equipamentos em rede param de funcionar, os pedidos de medicamentos não podem ser processados e as cirurgias agendadas precisam ser canceladas.
Essa pressão do tempo é exatamente o que os grupos de ransomware procuram. Eles sabem que um hospital não pode se dar ao luxo de ficar inoperante por semanas esperando a recuperação de seus sistemas a partir de um backup. Essa urgência torna a probabilidade de pagamento do resgate significativamente maior do que em outros setores.
Os dados de saúde são a mercadoria mais valiosa no mercado negro.
Um número de cartão de crédito roubado vale entre um e três dólares no mercado negro. Um prontuário médico completo pode valer entre dez e mil dólares, dependendo do seu conteúdo. A diferença é enorme e tem uma explicação simples: dados de saúde não podem ser alterados.
Se seu cartão de crédito for roubado, você o cancela e solicita um novo. Se seus registros médicos forem roubados, esses registros existem e são seus para sempre. Eles contêm informações sobre doenças, medicamentos, cirurgias, histórico de saúde mental e, em muitos casos, dados completos de identificação. Essa permanência é o que torna os registros médicos tão valiosos para roubo de identidade, fraude de seguro e extorsão de pacientes.
Os grupos de ransomware modernos sabem disso. É por isso que muitos ataques ao setor de saúde combinam a criptografia do sistema com a exfiltração prévia de registros de pacientes, criando uma dupla alavanca de extorsão: pagar para recuperar os sistemas ou ver os dados dos pacientes publicados.
A infraestrutura tecnológica é historicamente deficiente.
O setor de saúde investe muito em tecnologia médica: equipamentos de diagnóstico por imagem, monitores de pacientes, sistemas de laboratório e equipamentos cirúrgicos assistidos. Mas, historicamente, tem investido pouco na infraestrutura de TI que conecta e protege tudo isso.
O resultado é um ecossistema tecnológico heterogêneo, muitas vezes desatualizado, com sistemas legados em operação há décadas que não recebem atualizações de segurança, seja porque o fabricante deixou de fornecê-las ou porque a atualização requer validação regulatória, o que pode levar meses. Muitos dispositivos médicos conectados à rede executam versões do Windows que a Microsoft deixou de suportar há anos.
Essa realidade não é exclusiva dos países em desenvolvimento. Hospitais no mundo desenvolvido enfrentam o mesmo problema. Mas na América Latina, ele é agravado por orçamentos de TI mais limitados, menos especialistas em cibersegurança e uma cultura de cibersegurança que, em muitos casos, está apenas começando a se desenvolver.
Dispositivos médicos conectados ampliam consideravelmente a superfície de ataque.
A digitalização do setor de saúde levou à proliferação de dispositivos conectados em rede que não foram projetados com a segurança como prioridade. Monitores de sinais vitais, bombas de infusão, equipamentos de radiologia, sistemas de administração de medicamentos, câmeras de segurança e dezenas de outros dispositivos agora fazem parte da rede de um hospital moderno.
Cada um desses dispositivos representa um ponto de entrada potencial para um invasor. E, diferentemente de um computador que pode ser atualizado com um patch de segurança, muitos desses dispositivos médicos não podem ser atualizados sem um processo de recertificação do fabricante que pode levar meses, ou simplesmente não possuem atualizações disponíveis.
O panorama da América Latina: casos reais e tendências.
A região conhece bem essa realidade. Nos últimos anos, vários casos de grande repercussão se acumularam, ilustrando a magnitude do problema.
Na Argentina , o ataque de 2023 à PAMI foi um dos mais notórios. O grupo Rhysida conseguiu extrair e divulgar dados de milhões de membros, incluindo informações médicas e dados pessoais sensíveis. O incidente expôs as vulnerabilidades de um dos maiores sistemas de saúde da região e gerou um debate sobre a necessidade de investir em cibersegurança no setor público de saúde.
Na Colômbia , a rede de saúde Keralty, que opera sob a marca Sanitas e atende mais de seis milhões de pessoas, foi alvo de um ataque do grupo RansomHouse em novembro de 2022. O ataque afetou os sistemas de agendamento de consultas, a rede de emergência e os prontuários médicos, obrigando os pacientes a recorrerem a processos manuais durante dias. A recuperação completa levou semanas.
No Chile , o Serviço de Saúde Maule sofreu um ataque em 2022 que comprometeu os sistemas de atenção primária em diversos hospitais da região. No mesmo ano, o Hospital Clínico da Universidade do Chile relatou um incidente de segurança que afetou parte de sua infraestrutura digital.
No México , diversos hospitais pertencentes ao IMSS e ao ISSSTE relataram incidentes de segurança nos últimos anos, embora a falta de notificação obrigatória de violações signifique que muitos casos não são de conhecimento público.
O padrão que se repete em todos esses casos é semelhante: infraestrutura desatualizada, falta de segmentação de rede, ausência de ferramentas avançadas de detecção e backups que ou não existiam ou haviam sido comprometidos pelo mesmo ataque.
Grupos de ransomware têm como alvo o setor de saúde.
Nem todos os grupos de ransomware atacam indiscriminadamente. Alguns declaram ter políticas contra ataques a hospitais ou infraestrutura crítica de saúde. Mas essas políticas nem sempre são respeitadas, e muitos grupos não hesitam em fazê-lo.
O LockBit é um dos grupos mais ativos globalmente e atacou diversas organizações de saúde na América Latina e no mundo, apesar de ter declarado, em determinado momento, que os hospitais estavam fora de seu alcance.
Rhysida é um grupo relativamente novo que tem como um de seus principais alvos o setor de saúde. O ataque à PAMI na Argentina foi realizado por esse grupo, que já atacou organizações de saúde em diversos países da região.
O grupo RansomHouse foi responsável pelo ataque à Keralty, na Colômbia, e tem demonstrado um padrão de seleção de alvos que frequentemente inclui o setor de saúde da América Latina.
O BlackCat/ALPHV é outro dos grupos tecnicamente mais sofisticados e tem tido uma presença significativa em ataques ao setor da saúde em todo o mundo, incluindo o ataque devastador ao sistema de saúde Change Healthcare nos Estados Unidos em 2024, que afetou milhões de pacientes e gerou perdas estimadas em bilhões de dólares.
As consequências de um ataque: além do custo econômico
Ao discutir o impacto de um ataque de ransomware no setor de saúde, o custo do resgate e da recuperação do sistema é apenas parte da história, e não necessariamente a parte mais importante.
O impacto no atendimento ao paciente é a consequência mais imediata e grave. Cirurgias canceladas, encaminhamentos de emergência, impossibilidade de acesso a prontuários médicos e erros de medicação devido à falta de acesso a informações atualizadas. Nos casos mais graves, como o de Düsseldorf, esse impacto tem consequências irreversíveis.
A exposição de dados de pacientes gera consequências legais, regulatórias e de reputação que vão muito além do incidente inicial. Em muitos países da região, a exposição de dados de saúde é regulamentada por leis específicas que preveem penalidades para organizações que não protegem adequadamente essas informações.
O custo da recuperação costuma ser muito maior do que o resgate exigido. Reconstruir sistemas, contratar especialistas em resposta a incidentes, substituir hardware comprometido, pagar multas regulatórias e arcar com custos legais pode facilmente multiplicar por dez o valor inicial do resgate.
Os danos à reputação são difíceis de quantificar, mas podem ter efeitos duradouros na confiança do paciente, especialmente no setor privado, onde a escolha da instituição de saúde é uma decisão ativa.
Como proteger uma organização de saúde: uma abordagem em camadas
A cibersegurança no setor da saúde possui características únicas que a tornam mais complexa do que em outros setores. As restrições operacionais são reais: não se pode simplesmente desligar equipamentos médicos para aplicar patches, não se pode interromper a conectividade de sistemas críticos para realizar manutenção e não se pode sacrificar a disponibilidade do sistema em nome da segurança quando essa disponibilidade representa uma ameaça à vida.
Mas essas restrições não eliminam a possibilidade de proteção. Elas exigem uma abordagem adaptada à realidade do setor.
Segmentação de rede: o controle mais crítico
A segmentação de rede é a prática de dividir a rede hospitalar em zonas isoladas umas das outras, de forma que um invasor que comprometa um segmento não possa se mover livremente para todos os outros.
Em um hospital devidamente segmentado, os equipamentos médicos críticos estão em uma rede separada dos computadores administrativos, que por sua vez são separados da rede de visitantes e pacientes. Se um ransomware entrar por meio de um e-mail de phishing em um computador administrativo, ele não poderá se espalhar automaticamente para os sistemas de monitoramento de pacientes.
Esta é provavelmente a medida de segurança com maior impacto na redução do alcance de um ataque bem-sucedido, e é completamente independente do software médico utilizado ou da possibilidade de atualização do equipamento.
Detecção e resposta de endpoints
Para dispositivos que podem ser protegidos com software de segurança — computadores, servidores, estações de trabalho clínicas — a detecção baseada em comportamento é a camada mais eficaz contra ransomware moderno.
O Bitdefender GravityZone possui uma solução específica para o setor de saúde que leva em consideração as particularidades desse ambiente: compatibilidade comprovada com os principais sistemas de informação hospitalar, impacto mínimo no desempenho das equipes clínicas e capacidade de gerenciamento centralizado que permite que uma pequena equipe de TI mantenha a visibilidade de centenas ou milhares de endpoints.
Seu módulo de proteção contra ransomware inclui a capacidade de detectar o processo de criptografia em seus estágios iniciais e reverter automaticamente as alterações antes que o ataque se propague. Em um ambiente hospitalar, essa capacidade de remediação automática pode ser a diferença entre um incidente contido em minutos e uma crise que paralisa as operações por dias.
A Heimdal Security complementa essa proteção na camada de rede, bloqueando a comunicação entre o malware e seus servidores de comando e controle antes que o ataque possa prosseguir. Seu módulo de gerenciamento de patches automatiza a atualização de sistemas passíveis de correção, reduzindo a superfície de ataque sem exigir intervenção manual da equipe de TI.
Plano de backup e recuperação imutável
No setor da saúde, a questão não é se um incidente de segurança ocorrerá, mas quando, e quanto tempo levará para a organização retomar as operações. A resposta a essa pergunta é amplamente determinada pela qualidade do sistema de backup e pela existência de um plano de recuperação comprovado.
O Acronis CyberProtect é particularmente relevante neste contexto devido à sua combinação de backup e proteção ativa. Suas cópias imutáveis na nuvem garantem que sempre exista uma versão dos dados que o ransomware não possa acessar ou excluir. A funcionalidade de recuperação granular permite a restauração de arquivos ou sistemas individuais sem a necessidade de uma restauração completa do ambiente, reduzindo significativamente o tempo de recuperação.
Tão importante quanto ter o sistema de backup correto é testá-lo regularmente. Um backup que nunca foi testado é um backup no qual não se pode confiar quando mais se precisa dele. Os hospitais que melhor gerenciam esse risco realizam simulações de recuperação regulares para verificar se os sistemas críticos podem ser restaurados dentro dos prazos definidos no plano de continuidade de negócios.
Gestão de identidade e acesso privilegiado
Ataques que ocorrem por meio de credenciais comprometidas são especialmente perigosos no setor de saúde, pois os sistemas hospitalares tendem a ter muitos usuários com altos níveis de acesso: médicos que precisam acessar vários sistemas, administradores de TI que gerenciam infraestrutura crítica e fornecedores externos que se conectam remotamente para manutenção.
Implementar autenticação multifator em todos os acessos remotos e sistemas críticos, gerenciar o acesso privilegiado com ferramentas específicas e revisar periodicamente quais usuários têm acesso a quais sistemas são controles básicos que reduzem significativamente o risco de comprometimento por meio de credenciais.
Formação de pessoal clínico e administrativo
Os profissionais de saúde são naturalmente orientados para o cuidado com o paciente, não para a segurança cibernética. Isso é compreensível e correto. Mas também significa que, sem treinamento específico, eles são especialmente vulneráveis a phishing e outras técnicas de engenharia social.
O treinamento em segurança para o setor de saúde não pode ser o mesmo que para o setor de tecnologia. Ele deve ser breve, prático, relevante para o contexto clínico e repetido com frequência. Simulações de phishing adaptadas ao ambiente hospitalar, protocolos claros sobre o que fazer ao receber um e-mail suspeito e canais de denúncia simples são mais eficazes do que longas sessões de treinamento teórico que a equipe clínica não tem tempo de assimilar.
O quadro regulamentar: o que a lei exige na região.
As normas de segurança da informação no setor da saúde variam significativamente entre os países, mas a tendência regional aponta para um maior rigor.
Na Argentina , a Lei 25.326 sobre a Proteção de Dados Pessoais estabelece obrigações específicas para o tratamento de dados sensíveis, categoria que inclui dados de saúde. A autoridade fiscalizadora, a AAIP, tem o poder de impor sanções e intensificou sua atuação regulatória nos últimos anos.
Na Colômbia , a Lei 1581 de 2012 e seus decretos de implementação estabelecem um marco de proteção de dados que se aplica com particular rigor aos dados de saúde, classificados como dados sensíveis. A Superintendência de Indústria e Comércio sancionou organizações de saúde pelo tratamento inadequado de dados de pacientes.
No Chile , a Lei 19.628 sobre a proteção da vida privada está sendo atualizada com um projeto de lei que fortalece significativamente os requisitos de segurança e as penalidades por descumprimento, com disposições específicas para dados de saúde.
No México , a NOM-024-SSA3-2012 estabelece requisitos de segurança específicos para sistemas de informação em saúde, incluindo medidas de proteção para registros clínicos eletrônicos.
O não cumprimento dessas normas, no contexto de um ataque que expõe dados de pacientes, pode resultar em penalidades financeiras significativas, que se somam ao já elevado custo do incidente.
Conclusão
O setor de saúde da América Latina encontra-se na interseção de duas tendências que se reforçam mutuamente: a digitalização acelerada, que expande a superfície de ataque, e o crescimento contínuo de grupos de ransomware que identificaram o setor como um de seus alvos mais lucrativos.
Proteger-se nesse contexto não é fácil. As limitações operacionais do ambiente hospitalar são reais, os orçamentos são restritos e a complexidade dos ambientes tecnológicos da área da saúde é de fato alta. Mas a alternativa — continuar operando com níveis insuficientes de proteção — tem consequências que vão muito além do aspecto econômico.
As organizações de saúde que levam a segurança cibernética a sério não o fazem por obrigação ou por pressão. Elas o fazem porque entendem que a continuidade do atendimento aos seus pacientes depende do funcionamento de seus sistemas e que, hoje, essa continuidade está mais ameaçada do que nunca.
A sua organização de saúde deseja avaliar o seu nível de exposição e as soluções mais adequadas ao seu contexto? Em aufieroinformatica.com, pode consultar os nossos especialistas em cibersegurança.
