Saúde enfrenta perdas elevadas com ciberataques

O setor da saúde enfrenta um dos cenários de risco na cibersegurança mais severos dos últimos anos, com perdas financeiras em rápido crescimento e desafios na definição de prioridades de investimento em segurança, segundo um relatório da Resilience.

O estudo “US Healthcare and Cyber Risk: Threats, Trends and Strategies” baseia-se na análise de dados reais de sinistros no portfólio da empresa, oferecendo uma perspetiva orientada ao impacto financeiro dos incidentes.

De acordo com os dados, a gravidade média dos incidentes ultrapassou os dois milhões de dólares em 2025, acima dos 800 mil dólares registados no ano anterior. Em alguns casos, as exigências de extorsão atingiram os quatro milhões de dólares.

A engenharia social surge como o principal vetor de risco, sendo responsável por 88% das perdas materiais no setor. Este dado evidencia o papel crítico do fator humano como vulnerabilidade central, superando ameaças mais mediáticas como ransomware.

O relatório destaca ainda que o número de registos de saúde comprometidos atingiu níveis históricos, com 275 milhões de dados expostos em 2024, enquanto os ataques de ransomware aumentaram 32% no mesmo período.

Apesar do aumento do investimento em cibersegurança, muitas organizações continuam a enfrentar perdas significativas. Segundo a Resilience, o problema está frequentemente associado a uma abordagem centrada na conformidade regulatória, em detrimento de uma gestão baseada no risco financeiro.

A análise indica que as organizações mais resilientes não são necessariamente as que mais investem, mas sim aquelas que alinham os seus investimentos com os riscos de maior impacto económico.

Entre as práticas com maior retorno destacam-se o controlo de acessos baseado em funções (RBAC), autenticação multifator em email, autorização dupla em transferências financeiras e programas contínuos de formação antifraude. Medidas como backups imutáveis e estruturas de governação de dados também demonstraram impacto significativo na redução do risco.

O relatório identifica ainda uma dispersão das perdas por diferentes grupos de ransomware, sugerindo que as organizações podem estar mais preparadas para ameaças conhecidas, mas continuam expostas a atores menos visíveis.

A Resilience defende que a gestão eficaz do risco cibernético no setor da saúde exige uma abordagem integrada, baseada na quantificação financeira da exposição e na implementação consistente de controlos de segurança.