Sensibilização para a cibersegurança e o sector da saúde
Publicado em: 24 Jun 2020
Última modificação em: 24 Jul 2025
A sensibilização para a cibersegurança é uma questão comercial fundamental para todas as organizações. No entanto, é simplesmente essencial no sector da saúde, onde os dados são particularmente sensíveis.
Os grandes volumes de dados confidenciais, combinados com sistemas de segurança frequentemente vulneráveis e uma extensa rede de dispositivos médicos ligados, fazem do sector dos cuidados de saúde um alvo privilegiado para os cibercriminosos.
O sector dos cuidados de saúde é um dos mais expostos, atormentado por uma miríade de problemas relacionados com a cibersegurança, como incidentes de segurança, violações organizacionais e roubo de dados provenientes de fontes internas e externas.
Cibersegurança nos cuidados de saúde em estado crítico
No ano passado, as violações de dados e os ataques de ransomware custaram aos prestadores de cuidados de saúde um valor estimado em 4 mil milhões de dólares. De facto, 67% das organizações de cuidados de saúde sofreram um incidente de cibersegurança nos últimos doze meses.
Talvez o incidente mais infame tenha ocorrido em 2017, quando um ciberataque global devastador danificou computadores em hospitais de todo o Reino Unido. O impacto do ciberataque WannaCry foi substancial, com o incidente cibernético a perturbar os serviços num terço dos hospitais e em cerca de 8% dos consultórios de médicos de clínica geral. O custo total estimado do restabelecimento dos sistemas afectados atingiu 92 milhões de libras, de acordo com o Department of Health & Social Care.
Mais recentemente, os prestadores de cuidados de saúde e as organizações de investigação médica sofreram um aumento dos ataques de phishing relacionados com a atual crise da Covid-19. O Hospital Universitário de Brno, na República Checa, que é um dos centros de testes da Covid-19 no país, foi atingido por ransomware, o que levou ao adiamento de todas as cirurgias.
No meio de um aumento acentuado de ataques de phishing relacionados com o coronavírus em todo o mundo, o Departamento de Saúde e Serviços Humanos dos EUA (HHS) também sofreu um ataque de negação de serviço distribuído (DDoS), que pretendia perturbar a resposta da organização à pandemia de Covid-19.
O Centro Nacional de Cibersegurança (NCSC) do Reino Unido e a Agência de Cibersegurança e Segurança das Infra-estruturas (CISA) dos EUA comunicaram uma série de ataques a organismos médicos, especialmente os que estiveram envolvidos na resposta à pandemia.
Preocupações com a cibersegurança no sector da saúde
É evidente que os piratas informáticos continuarão a lançar ciberataques dirigidos ao sector da saúde enquanto houver lucros a obter, quer vendendo dados roubados de doentes, quer mantendo os sistemas de saúde reféns até que as exigências dos criminosos sejam satisfeitas.
O sector dos cuidados de saúde sofreu uma mudança significativa nos últimos anos com a adaptação de novas tecnologias para facilitar a integração de dados, a participação dos doentes e o apoio clínico.
Com esta transição dos métodos tradicionais baseados em papel, surge uma grande variedade de oportunidades para os cibercriminosos, como o malware que compromete a privacidade dos dados dos pacientes e os ataques distribuídos de negação de serviço (DDoS) que perturbam a capacidade de prestar cuidados aos pacientes.
No entanto, muitas vezes, as organizações estão demasiado preocupadas em defender-se contra ameaças externas para se debruçarem sobre os riscos muito reais e perigosos que podem estar dentro das suas próprias fileiras.
A ameaça interna
Com uma grande quantidade de informações de saúde altamente confidenciais e protegidas (PHI) na ponta dos dedos, os profissionais de saúde têm acesso a grandes volumes de dados de pacientes que precisam de estar acessíveis ao pessoal, tanto no local como remotamente, e em vários dispositivos.
É amplamente reconhecido que os cibercriminosos têm como alvo o ponto mais fraco das defesas de uma organização e, com demasiada frequência, isso significa os seus funcionários. No ano passado, o Information Commissioner’s Office (ICO) do Reino Unido revelou que o erro humano foi a causa de 90% das violações de dados cibernéticos.
Em última análise, os profissionais de saúde são guardiões dos dados e as ciberameaças representam atualmente um importante problema de saúde pública.
Para atenuar o risco, a sensibilização para a segurança deve tornar-se parte integrante da estratégia global de segurança do sector dos cuidados de saúde, a fim de evitar potenciais ataques informáticos.
Prevenção em vez de prescrição
À medida que os ciberataques se tornam mais sofisticados e direcionados do que nunca, a sensibilização para a cibersegurança no sector da saúde é a arma mais poderosa contra estas ameaças e técnicas em constante evolução. Apesar de existirem vários níveis de segurança, a sensibilização para a cibersegurança continua a ser um desafio fundamental para muitas organizações. Muitas vezes, é adoptada uma abordagem ad-hoc, mas é importante reconhecer que a sensibilização para a cibersegurança é mais do que uma simples simulação de phishing.
Para mudar verdadeiramente os comportamentos em matéria de cibersegurança, as organizações devem empenhar-se num programa de sensibilização para a cibersegurança que permita ao pessoal reconhecer e aceitar o importante papel que desempenha na proteção dos dados sensíveis da organização.
Com o sector da saúde cada vez mais propenso a ciberataques maliciosos, a chave para melhorar a sensibilização para a cibersegurança neste sector é implementar uma campanha eficaz de sensibilização para a cibersegurança e criar uma cultura de sensibilização para a cibersegurança.
Implementação de uma campanha eficaz de ciberconsciencialização
- Começa com a liderança do CEO
A cibersegurança é da responsabilidade de todos, mas as organizações resilientes têm uma forte liderança do Diretor Executivo. Se o diretor-geral levar a sério a cibersegurança, este facto irá permear toda a organização e ajudar a criar uma cultura de maior sensibilização para a cibersegurança.
- Conhece as tolerâncias da tua organização
Dedicar algum tempo a identificar corretamente os riscos pode ajudar a moldar as mensagens, a entrega e o direcionamento eficaz do seu programa de sensibilização para a cibersegurança.
- Defende os teus activos de informação
Tens de determinar quais são os teus activos de informação mais valiosos, onde estão localizados e quem tem acesso a eles. Cada ativo deve ser classificado (por exemplo, público, privado ou confidencial) e protegido com base no seu valor. Isto é crucial para identificar os riscos e dar prioridade às áreas que precisam de ser defendidas.
- Concentra-te em grupos de alto risco
A chave para um programa eficaz de sensibilização para a segurança é garantir que a formação correta é dirigida às pessoas certas. Todos os utilizadores são susceptíveis a ciberameaças; no entanto, alguns funcionários têm um perfil de ameaça mais elevado do que outros. Por exemplo, os seus departamentos de RH e Financeiro serão frequentemente alvo de ameaças de phishing devido ao seu acesso privilegiado a dados valiosos.
- Torna-o cativante com uma narração de histórias eficaz
Contar histórias é uma das formas mais poderosas de dar vida à tua campanha de sensibilização para a cibersegurança. Encara-o, a cibersegurança pode ser um tema árido, mas é vital que encontres formas de envolver o teu pessoal se quiseres ter um impacto positivo no comportamento da tua organização. A mensagem é demasiado importante para se perder em comunicações formais e empresariais
- Actualiza a tua gestão de políticas
As políticas são cruciais para estabelecer limites de comportamento para indivíduos, processos, relações e transacções na sua organização. Proporcionam um quadro de governação, identificam o risco e ajudam a definir a conformidade, o que é importante no atual cenário regulamentar cada vez mais complexo.
- Começa já a preparar-te para uma violação de dados
Já não é uma questão de “se” a tua organização vai ser atacada, mas sim de “quando”. Tens de começar a preparar-te para o inevitável e a pôr em prática um plano que garanta uma ação adequada e atempada quando a segurança for violada.
- Recruta defensores da cibersegurança
Nomear defensores da cibersegurança é uma excelente forma de capacitar o pessoal e de o dotar das competências necessárias para evitar um ataque informático.
- Considera a tua cadeia de fornecimento
Todos os fornecedores e terceiros que se ligam à sua empresa representam um risco potencial, pelo que é vital efetuar avaliações de risco detalhadas de terceiros para resolver quaisquer problemas que possam constituir uma ameaça à sua segurança. Isto pode ajudar a determinar que medidas de segurança devem ser implementadas para manter os teus dados seguros.
- Implementar uma supervisão adequada e revisões regulares
O cenário de ameaças está em constante evolução, pelo que o teu programa de sensibilização para a cibersegurança tem de evoluir com ele. É importante efetuar análises regulares da preparação do pessoal para identificar áreas de fraqueza e determinar se as políticas e a formação actuais precisam de ser actualizadas.
Cria uma força de trabalho mais consciente da segurança
Cyber Security Awareness for Dummies funciona como um recurso indispensável para implementar mudanças de comportamento e criar uma cultura de sensibilização para a cibersegurança.
Neste guia, vais aprender:
- O que significa a sensibilização para a cibersegurança na tua organização
- Como implementar uma campanha de sensibilização para o risco cibernético
- O papel fundamental das políticas para estabelecer bases de referência seguras
- Como manter a dinâmica e o envolvimento do pessoal
- 10 melhores práticas de sensibilização para a cibersegurança
Clica aqui para reclamares a tua cópia gratuita de Cyber Security Awareness for Dummies.