Início » Ataque expõe dados de 500 mil pacientes e acende alerta na saúde

Ataque expõe dados de 500 mil pacientes e acende alerta na saúde

Caso sob investigação da ANPD envolve registros de pacientes, incluindo crianças, adolescentes e idosos. Para o especialista em cibersegurança Eduardo Nery, episódio expõe a vulnerabilidade de informações sensíveis e acende um alerta para organizações do setor de saúde

Por ETC Comunicação
0 Comentários
Ataque expõe dados de 500 mil pacientes e acende alerta na saúde
Um ataque cibernético do tipo ransomware que comprometeu cerca de 500 mil registros de pacientes voltou a expor, nesta quarta-feira (8), a vulnerabilidade dos dados sensíveis no setor de saúde brasileiro. O caso ganhou um novo desdobramento após a Autoridade Nacional de Proteção de Dados (ANPD) instaurar um processo administrativo sancionador para apurar possíveis falhas na proteção das informações afetadas pelo incidente.
O ataque ocorreu em 2025 e atingiu o Instituto Saúde e Cidadania (Isac), organização social responsável pela gestão de unidades públicas de saúde em diferentes estados brasileiros.
Segundo informações divulgadas sobre a investigação, aproximadamente 500 mil registros teriam sido afetados, entre eles dados relacionados a 78.772 crianças e adolescentes e 47.921 idosos. O instituto contesta que tenha ocorrido vazamento de dados de pacientes.

A dimensão do caso chama atenção não apenas pelo volume de registros, mas pela natureza das informações envolvidas. Dados de saúde são considerados sensíveis pela Lei Geral de Proteção de Dados Pessoais (LGPD) e exigem nível elevado de proteção por estarem diretamente relacionados à intimidade e à vida privada dos cidadãos.

Para Eduardo Nery, CEO da Every Cybersecurity e especialista em cibersegurança, episódios dessa dimensão mostram que ataques contra o setor de saúde ultrapassam a esfera tecnológica.

“Quando falamos de dados de saúde, não estamos tratando apenas de nome, telefone ou CPF. Estamos falando de informações capazes de revelar diagnósticos, tratamentos, condições clínicas e aspectos profundamente privados da vida de uma pessoa. É um tipo de dado que, uma vez exposto, não pode simplesmente ser trocado como uma senha”, afirma.

O caso ganha contornos ainda mais sensíveis diante da presença de registros relacionados a crianças, adolescentes e idosos. Para Nery, o impacto potencial de um incidente precisa ser analisado também a partir do perfil dos titulares atingidos.

Ataque expõe dados de 500 mil pacientes e acende alerta na saúde

“Uma base com informações de crianças, adolescentes e idosos exige atenção máxima. São públicos que podem estar mais expostos a diferentes formas de fraude, engenharia social e exploração indevida de informações pessoais. A análise de risco não pode considerar apenas quantos registros foram atingidos, mas quem são essas pessoas e o que pode ser feito com os dados”, explica.

Ataques de ransomware estão entre as ameaças mais graves enfrentadas atualmente por organizações públicas e privadas. Nesse tipo de ação, criminosos comprometem sistemas, tornam dados ou serviços inacessíveis e podem utilizar as informações obtidas como instrumento de extorsão. Em ambientes de saúde, o impacto pode atingir não apenas a privacidade, mas também a continuidade de serviços essenciais.

Segundo Nery, um dos principais erros das organizações é concentrar esforços apenas na prevenção e não estruturar, com a mesma intensidade, mecanismos permanentes de detecção, resposta e recuperação.

“Não existe ambiente cem por cento imune. A pergunta que uma organização precisa fazer não é apenas ‘como impedir um ataque?’, mas também ‘quanto tempo levaremos para detectar, conter, comunicar e recuperar a operação se ele acontecer?’. Essa diferença de postura muda completamente a capacidade de resposta a um incidente”, afirma.

O especialista destaca que organizações responsáveis por grandes bases de dados precisam manter políticas permanentes de governança de identidade e acesso, autenticação forte, segmentação de ambientes, revisão contínua de credenciais privilegiadas, monitoramento 24 horas por dia, planos de resposta a incidentes e rotinas de backup testadas.

“Segurança não pode ser uma fotografia tirada no dia de uma auditoria. Precisa ser um processo vivo. Credenciais mudam, pessoas entram e saem, fornecedores acessam sistemas, novas vulnerabilidades surgem e os atacantes adaptam suas técnicas. Se a proteção não acompanha esse movimento, o risco cresce silenciosamente”, avalia.

Na análise de Nery, o processo aberto pela ANPD também sinaliza uma mudança importante no ambiente regulatório brasileiro. A discussão deixa de se concentrar apenas na ocorrência do ataque e passa a observar a capacidade de prevenção, governança e resposta das organizações que tratam dados pessoais.

“A ocorrência de um ataque, por si só, não conta toda a história. É preciso entender quais controles existiam, como o risco era gerenciado, quanto tempo a organização levou para detectar o incidente, quais medidas foram adotadas e como os titulares potencialmente afetados foram protegidos. É aí que governança, cibersegurança e LGPD se encontram”, afirma.

Para o especialista, o episódio precisa servir de alerta para hospitais, clínicas, laboratórios, operadoras, organizações sociais, órgãos públicos e todas as instituições que armazenam informações de pacientes.

“Dados de saúde estão entre os ativos mais sensíveis que uma organização pode custodiar. Quem recebe essa informação assume uma responsabilidade enorme. Cibersegurança, nesse contexto, não é apenas proteger sistema ou servidor. É proteger a intimidade, a confiança e, em muitos casos, a própria segurança das pessoas”, conclui.

Sobre Eduardo Nery

Eduardo Nery é CEO e sócio-fundador da Every Cybersecurity, referência nacional em cibersegurança, privacidade, governança, riscos e compliance (GRC) e LGPD, com mais de 40 anos de atuação em tecnologia e segurança da informação em organizações públicas e privadas. À frente da companhia — bicampeã do Prêmio Notabile e certificada nas normas ISO/IEC 27.001 e ISO/IEC 27.701 —, consolidou uma trajetória marcada por visão estratégica e resultados.

É também Vice-Presidente do Vasco da Gama, com atuação institucional e estratégica ligada ao clube, em frentes como relacionamento, comunicação, captação, inovação e fortalecimento da marca. Transita, assim, entre a liderança no mercado de tecnologia e a gestão de uma das maiores e mais tradicionais marcas do esporte brasileiro.

Sobre a Every Cybersecurity

A Every Cybersecurity é uma empresa brasileira especializada em adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), privacidade, governança, riscos e compliance (GRC) e cibersegurança, com sede em Brasília e escritório no Rio de Janeiro. Referência nacional em proteção de dados e certificada nas normas ISO/IEC 27.001 e ISO/IEC 27.701, atende o setor público e grandes organizações, com mais de 1.000 projetos entregues. É bicampeã do Prêmio Notabile – Empresa Destaque, eleita por CIOs do setor público no CIO Brasil GOV.

Assessoria de Imprensa
Etcetera Comunicação
Marina Figueiredo
(61) 99170-0606
marina@etccomunica.com.br

Você pode querer saber...

O portal Brasília ETC oferece ao público um conteúdo diversificado sobre o que acontece na capital federal -desde eventos artísticos até os melhores destinos turísticos e gastronômicos, bem como novidades, lançamentos de negócios, notícias da sociedade local, moda e, e como o próprio nome sugere, e “muito mais”.