O setor da saúde encontra-se sob forte pressão de uma onda crescente de ciberataques, revelando-se cada vez mais vulnerável num contexto global em que o crime digital evolui em escala e sofisticação. De acordo com o mais recente relatório da NCC Group, empresa global de cibersegurança, os ataques contra organizações de saúde aumentaram 216% nos últimos dois anos, totalizando 550 incidentes apenas no último ano.
Este crescimento coloca a saúde entre os cinco setores mais visados a nível mundial, posição que tem ocupado de forma consistente nos últimos três anos. A situação é agravada pelo facto de muitas destas entidades operarem com sistemas obsoletos, elevados níveis de interdependência tecnológica e baixa maturidade em cibersegurança, o que as transforma em alvos apetecíveis para grupos criminosos — como o RansomHub e o LockBit 3.0 — e até mesmo para operações de espionagem patrocinadas por Estados.
“Estamos perante ameaças sem precedentes que podem ter impactos devastadores tanto na segurança dos dados como na continuidade dos cuidados clínicos”, alerta Matt Hull, Diretor Global de Threat Intelligence da NCC Group. “Estamos a falar de cenários que vão desde o adiamento de cirurgias críticas até à exposição de dados pessoais sensíveis, que podem ser explorados para fraude ou roubo de identidade.”
O relatório sublinha um dado especialmente inquietante: apenas 40% das organizações de saúde garantem formação em cibersegurança aos seus profissionais não técnicos, ou seja, aos médicos, enfermeiros e administrativos que estão na linha da frente. Este défice formativo deixa as instituições altamente expostas a ataques de phishing e engenharia social, frequentemente os vetores iniciais dos ciberataques.
A dependência de sistemas legados — muitas vezes difíceis de atualizar ou substituir — constitui outra das fragilidades apontadas. Estes ambientes operacionais, embora cruciais para a prestação de cuidados, não acompanham o ritmo das ameaças atuais. Quando combinados com restrições orçamentais e falta de recursos especializados, o risco sistémico torna-se ainda mais evidente.
Num contexto em que os hospitais operam cada vez mais como infraestruturas digitais — com dispositivos médicos interligados, plataformas de registo eletrónico e monitorização remota — a falha de um único sistema pode ter efeitos em cascata. Os ataques de ransomware e de negação de serviço (DDoS) não só comprometem a integridade dos sistemas, como colocam vidas em risco.
Os especialistas propõem uma abordagem estruturada que começa na liderança. “A cibersegurança não pode continuar a ser um tema técnico ou periférico”, defende Matt Hull. “Tem de estar no centro da estratégia de gestão hospitalar, com investimento contínuo, formação adequada e processos de resposta bem definidos.”
O relatório de 2025 inclui ainda recomendações práticas para fortalecer a resiliência cibernética, como a segmentação de redes, backups regulares, simulações de ataques e atualização de protocolos de resposta a incidentes. Mas sublinha também a importância da cooperação entre entidades públicas e privadas, e o papel regulador que os governos devem assumir para garantir níveis mínimos de proteção em todas as unidades de saúde.
Proteger o setor da saúde deixou de ser uma opção — é uma prioridade crítica. Ignorar os sinais pode sair demasiado caro, tanto em dados perdidos como em vidas humanas.