Como garantir a cibersegurança das instituições de saúde?
A transformação digital no setor da saúde revolucionou a forma como os cuidados de saúde são prestados e geridos. No entanto, esta crescente digitalização também expôs as instituições de saúde a riscos mais elevados.
De facto, segundo a ANSSI, os hospitais representaram 10 % das vítimas de ransomware em França em 2023.
Esta situação levou o Tribunal de Contas a debruçar-se sobre a questão e a elaborar um relatório intitulado «A segurança informática dos estabelecimentos de saúde», publicado em janeiro de 2025.
O relatório destaca as lacunas atuais em matéria de cibersegurança no setor da saúde e apresenta sugestões para as colmatar.
Estabelecimentos de saúde e cibersegurança: um contexto preocupante
A evolução digital e as suas consequências
Nos últimos anos, as instituições de saúde têm adotado ferramentas digitais para otimizar as suas operações.
As novas tecnologias estão presentes em todos os serviços e em todos os níveis das instituições de saúde, desde os equipamentos de imagiologia médica até ao software de gestão hospitalar.
Embora estes avanços sejam essenciais para melhorar a qualidade dos cuidados de saúde, também aumentam a exposição a ciberataques.
As instituições de saúde gerem dados sensíveis, nomeadamente informações pessoais e médicas dos pacientes, que são particularmente cobiçadas pelos cibercriminosos.
A confidencialidade, a integridade e a disponibilidade desses dados devem ser garantidas para assegurar a confiança dos pacientes e o bom funcionamento dos serviços.
Por exemplo, um ciberataque dirigido a um hospital pode comprometer o acesso aos registos médicos eletrónicos, atrasando assim os diagnósticos e os tratamentos.
Uma variedade de ameaças cibernéticas
O relatório do Tribunal de Contas identifica vários tipos de ciberataques que podem ter como alvo os sistemas informáticos das instituições de saúde:
- Os ransomwares: estes programas maliciosos encriptam os dados das vítimas e exigem um resgate para restabelecer o acesso aos mesmos. Estes ataques podem paralisar completamente um hospital.
- Violações de dados: o roubo de registos médicos pode ter consequências graves, que vão desde a usurpação de identidade até à chantagem.
- Ataques DDoS (Distributed Denial of Service): têm como objetivo tornar indisponíveis os serviços online das instituições, paralisando, de facto, parte desses serviços.
- Ataques de phishing: tentativas de comprometer os membros do pessoal hospitalar para aceder à rede informática ou extrair dados pessoais.
- Desfiguração de sites: uma técnica frequentemente utilizada por hacktivistas para transmitir uma mensagem política com grande repercussão mediática.
O sistema de saúde francês está a ser alvo de críticas?
De acordo com a ENISA,a França é o país mais afetado na União Europeia por ataques informáticos no setor da saúde em sentido lato (hospitais, laboratórios, seguradoras de saúde, indústria farmacêutica, etc.), tal como ilustra a infografia abaixo.
Fonte: ENISA. Mapa dos incidentes de cibersegurança registados no setor da saúde entre janeiro de 2021 e março de 2023
Uma constatação que, no entanto, deve ser relativizada por pelo menos duas razões. Em primeiro lugar, a França dispõe de mais estabelecimentos de saúde do que os outros países, alargando assim a área de exposição.
Além disso, desde 2016, as instituições de saúde francesas têm a obrigação de comunicar qualquer incidente grave de cibersegurança, o que não é necessariamente o caso em todos os países europeus.
Não obstante, a cibersegurança no setor da saúde é uma questão importante no nosso país.
Avaliação da cibersegurança em instituições de saúde
As principais lacunas identificadas
O Tribunal de Contas destaca várias deficiências estruturais e organizacionais que expõem as instituições de saúde a riscos cibernéticos graves:
- Uma governação insuficiente
Muitas instituições não dispõem de uma estratégia clara em matéria de cibersegurança. Esta falta de governação resulta frequentemente da falta de prioridade atribuída a estas questões, em detrimento de outras restrições orçamentais e operacionais. Além disso, as diretrizes nacionais nem sempre estão adaptadas às necessidades específicas dos hospitais locais.
- Recursos humanos limitados
As instituições enfrentam uma escassez gritante de especialistas em cibersegurança. As equipas responsáveis pelos sistemas de informação são frequentemente insuficientes em termos de pessoal e não possuem formação adequada para fazer face às ameaças atuais. Os hospitais têm dificuldade em atrair profissionais que poderiam aspirar a um salário muito mais elevado noutro setor de atividade. Consequentemente, 5 % dos postos de trabalho nos serviços de informática dos hospitais estão vagos.
- Sistemas obsoletos
Muitas instituições continuam a utilizar equipamentos e software obsoletos. Estes sistemas, que já não recebem atualizações, apresentam vulnerabilidades que podem ser exploradas por cibercriminosos.
Fonte: Tribunal de Contas
- Uma sensibilização insuficiente
O pessoal hospitalar, seja administrativo ou médico, nem sempre está ciente das boas práticas em matéria de cibersegurança. Isso pode traduzir-se em comportamentos de risco, como a utilização de palavras-passe fracas ou clicar em links de phishing.
As consequências das falhas de segurança
Os ciberataques no setor da saúde podem ter consequências graves:
- Interrupção dos serviços : a indisponibilidade dos sistemas pode obrigar um estabelecimento a encerrar determinados serviços essenciais, como o serviço de urgências, a adiar tratamentos vitais, a adiar internamentos, etc.
- Perturbação dos cuidados: com um sistema informático inoperacional, é muito difícil para o pessoal hospitalar continuar a garantir a segurança dos doentes presentes no estabelecimento. Como saber, por exemplo, qual o doente que se encontra em cada quarto?
- Perda de confiança : na sequência de um ciberataque que tenha provocado uma fuga de dados, os pacientes e os parceiros podem questionar a capacidade da instituição para proteger informações que são, por natureza, extremamente confidenciais.
- Gestão administrativa e financeira: a paralisação dos sistemas pode impedir os serviços administrativos de gerir os movimentos financeiros essenciais do dia-a-dia (faturas, salários, etc.).
- Custos financeiros elevados : de acordo com as estimativas fornecidas por hospitais que foram alvo de ciberataques, o custo total de um ciberataque pode ascender a 20 milhões de euros, tendo em conta a perda de receitas operacionais.
É importante referir que, por vezes, os custos dos ciberataques são suportados pela ARS através do fundo de intervenção regional, mas que tal não é uma prática sistemática. Por conseguinte, alguns hospitais vítimas podem vir a encontrar-se numa situação financeira muito complexa após um ciberataque.
Como melhorar a cibersegurança nas instituições de saúde?
Reforçar a governação
É essencial implementar uma gestão clara e centralizada da cibersegurança.
Isso inclui a nomeação de um responsável pela segurança dos sistemas de informação (RSSI) em cada estabelecimento, bem como a elaboração de planos estratégicos adequados.
Os RSSI devem dispor de autoridade suficiente para impor mudanças e garantir a implementação das políticas de segurança.
Aumentar os recursos humanos e técnicos
É fundamental que as instituições de saúde invistam tanto no recrutamento de pessoal qualificado para trabalhar na proteção dos sistemas, como na renovação das ferramentas informáticas obsoletas.
É evidente que, em ambos os casos, a vertente financeira é um fator tão determinante quanto limitador num contexto orçamental muito complexo.
Promover uma cultura de auditoria e colaboração
Devem ser realizadas auditorias regulares para identificar falhas e acompanhar os progressos alcançados.
Paralelamente, uma melhor coordenação entre as unidades de saúde pode ser um fator determinante de resiliência e uma solução para fazer face à falta de recursos financeiros.
Sensibilizar os colaboradores para a cibersegurança
Por fim, a formação do pessoal é fundamental para reduzir comportamentos de risco. Devem ser realizadas campanhas de sensibilização específicas para incutir uma verdadeira cultura cibernética nas equipas.
É esse o objetivo da solução AvantdeCliquer , que propõe uma sensibilização contínua e através da ação para aprender a contornar as tentativas de phishing.
O Tribunal de Contas salienta, de facto, que o phishing representa, consoante o ano, a primeira ou a segunda causa de incidentes comunicados ao Cert Santé.
Mais do que nunca, o ser humano deve, portanto, estar no centro da proteção dos sistemas digitais nas instituições de saúde.
Saiba mais sobre a oferta AvantdeClique aqui para conhecer a oferta dedicada ao setor da saúde.
Conclusão: a necessidade de um acompanhamento a longo prazo
A segurança informática é uma questão crítica para o setor da saúde. Embora as instituições ainda tenham de colmatar muitas lacunas, o relatório do Tribunal de Contas apresenta recomendações concretas para reforçar a sua resiliência face às ciberameaças.
A digitalização contínua dos serviços de saúde exige um compromisso constante em matéria de cibersegurança. Isto implica, nomeadamente, a concessão de apoio financeiro a longo prazo às instituições de saúde.
Uma iniciativa já lançada pelo programa «Cyberaceleração e Resiliência das Instituições» (CaRE), que prevê um financiamento de 750 milhões de euros para a segurança dos sistemas informáticos entre 2023 e 2027.
Tendo sempre em mente, tal como sublinha o Tribunal de Contas, que «o fim do programa CaRE não significará o fim das necessidades de segurança dos sistemas de informação dos estabelecimentos hospitalares.»
Diretores de Sistemas de Informação (DSI), Diretores de Segurança de Sistemas de Informação (RSSI) e Responsáveis pela Proteção de Dados (DPO), solicitem uma demonstração gratuita da solução totalmente automatizada de sensibilização para o phishing:
