A cibersegurança no setor de saúde está em um momento crítico. O recente relatório Healthcare Cybersecurity Benchmarking Study 2025, conduzido pela KLAS Research em colaboração com organizações como Censinet e Health-ISAC, revela que muitas organizações de saúde ainda adotam uma abordagem reativa, focada em responder a incidentes em vez de preveni-los. Com base nos achados desse estudo, que analisou 69 organizações entre setembro e dezembro de 2024, busco explorar alguns desafios enfrentados pelo setor, e que podem ser replicados para outros setores, e apresentar alguns insights para uma transição bem-sucedida para uma postura proativa.
O impacto das violações e a necessidade de resiliência
O caso da violação da Change Healthcare em 2024 serve como um alerta. Esse incidente expôs a fragilidade das conexões entre sistemas de saúde, pagadores e fornecedores terceirizados, gerando impactos em operações clínicas, finanças e segurança do paciente. O relatório destaca que a interdependência do ecossistema de saúde amplifica os riscos, especialmente quando a gestão de riscos da cadeia de suprimentos é insuficiente – com apenas 52% de cobertura no framework NIST CSF 2.0.
Esse cenário reforça a urgência de adotar frameworks de cibersegurança, como o NIST Cybersecurity Framework 2.0, Health Industry Cybersecurity Practices (HICP) e as Metas de Desempenho em Cibersegurança do Setor de Saúde (HPH CPGs). Organizações que implementam essas práticas relatam menos violações e aumentos menores nos prêmios de seguros cibernéticos, evidenciando benefícios tangíveis.
Lacunas críticas: onde estamos falhando?
O estudo aponta uma disparidade significativa entre as funções reativas e proativas do NIST CSF 2.0. Enquanto as funções “Responder” (85%) e “Recuperar” (78%) têm alta cobertura, “Governança” e “Identificação” (ambas 64%) ficam para trás. Áreas como gestão de ativos (53%) e riscos da cadeia de suprimentos (52%) são particularmente preocupantes, indicando que muitas organizações carecem de visibilidade sobre seus ativos e vulnerabilidades de terceiros.
Outro ponto crítico é a segurança de dispositivos médicos conectados, com apenas 48% de cobertura no HICP. Esses dispositivos, como bombas de infusão e monitores, são alvos crescentes devido à sua conectividade e à falta de atualizações regulares. Além disso, a segmentação de rede, essencial para limitar a propagação de ataques, tem apenas 56% de adesão, limitada por sua complexidade e custo.
A gestão de riscos de inteligência artificial (IA) também emerge como um desafio. Com cobertura média de apenas 31% no NIST AI Risk Management Framework, as organizações enfrentam dificuldades em mitigar riscos como viés de dados e questões éticas, exigindo uma abordagem interdisciplinar que vá além da equipe de cibersegurança.
O caminho para uma cibersegurança proativa
Para superar essas lacunas, as organizações de saúde devem adotar estratégias proativas. Abaixo listo algumas recomendações práticas baseadas no que identifiquei no relatório:
- Fortalecer a Gestão de Ativos e Terceiros: Criar inventários detalhados de ativos, incluindo dispositivos médicos e sistemas de fornecedores, é essencial. Contratos com requisitos claros de cibersegurança para parceiros podem mitigar riscos da cadeia de suprimentos.
- Investir em Segmentação de Rede: Apesar dos custos, a segmentação é uma das formas mais eficazes de proteger sistemas críticos. Ferramentas de mapeamento de rede podem facilitar a identificação de vulnerabilidades.
- Priorizar a Segurança de Dispositivos Médicos: Parcerias com fabricantes para atualizações regulares e a implementação de segmentação para isolar dispositivos são passos cruciais.
- Gerenciar Riscos de IA com Governança Interdisciplinar: Criar comitês com representantes de áreas clínicas, éticas e de TI pode garantir o uso seguro e ético da IA, alinhando-se à função de governança do NIST AI RMF.
- Adotar Frameworks Reconhecidos: A conformidade com NIST CSF 2.0, HICP e HPH CPGs não apenas reduz riscos, mas também diminui custos de seguros. Relatórios personalizados, como os oferecidos aos participantes do estudo, podem orientar investimentos estratégicos.
Benefícios de uma abordagem proativa
Um ponto interessante é o fato do relatório destacar que organizações com alta adesão a frameworks de cibersegurança experimentam menos incidentes e benefícios financeiros, como prêmios de seguro mais acessíveis. Além disso, a participação em estudos como o da KLAS Research oferece relatórios detalhados e comparações com pares, permitindo que as organizações priorizem investimentos e comuniquem riscos de forma eficaz a executivos e conselhos.
O setor de saúde, e não só ele, está em uma encruzilhada. As ameaças cibernéticas estão evoluindo rapidamente, e a abordagem reativa não é mais suficiente. A transição para uma cibersegurança proativa exige investimentos em infraestrutura, colaboração com fornecedores e adesão a padrões reconhecidos. Como profissionais do setor, temos a responsabilidade de proteger dados sensíveis e garantir a continuidade do cuidado ao paciente. Vamos aproveitar os insights do Healthcare Cybersecurity Benchmarking Study 2025 para construir um futuro mais seguro e resiliente.
Como sua organização está abordando a cibersegurança?
Com experiência em frameworks como ISO 27001, ISO 42001, TISAX®, CIS Controls, NIST CSF e NIST AI RMF , ajudo empresas a implementar controles robustos, responder a incidentes e alcançar conformidade estratégica. Entre em contato e descubra como posso ajudar sua organização a evoluir mais rápido que as ameaças digitais.
Vamos construir juntos uma defesa proativa e estratégica!
Referências:
[1] Healthcare Cybersecurity Benchmarking Study 2025 – April 11, 2025