Aquilo que em tempos fazia parte do guião de filmes de ficção científica e espionagem é hoje uma realidade concreta, recorrente e preocupante.
O cibercrime deixou de ser uma ameaça abstrata para se tornar um risco quotidiano e o setor da Saúde é um dos seus alvos preferenciais.
A Saúde destaca-‑se, a par do setor financeiro, como um dos setores mais visados por ciberataques. O paradoxo é evidente: quanto mais digitais, interligados e eficientes se tornam os sistemas de saúde, maior é a superfície de ataque e a exposição ao risco.
Basta pensar num cenário aparentemente banal: um profissional de saúde acede ao processo clínico de um doente e, sem o saber, essa ação é monitorizada ou explorada por um atacante remoto. A ameaça é silenciosa, persistente e muitas vezes invisível. A pertinência sobre a real proteção ou a vulnerabilidade dos sistemas ganha assim maior relevância.
Os motivos que tornam a Saúde um alvo prioritário são múltiplos e bem identificados. As instituições de saúde armazenam dados altamente sensíveis, de elevado valor no mercado ilegal e praticamente impossíveis de substituir.
Além disso, suportam infraestruturas críticas que não podem falhar ou parar - um hospital não se pode simplesmente desligar para “resolver um problema informático”. A este fator soma‑se a realidade técnica das redes híbridas, onde tecnologia moderna coexiste com sistemas antigos, frequentemente desatualizados e difíceis de proteger.
Os impactos de um ciberataque neste setor são tudo menos teóricos. Consultas canceladas, cirurgias adiadas, sistemas clínicos inacessíveis, bases de dados cifradas e instituições paralisadas durante dias são consequências bem documentadas. Mais do que uma disrupção tecnológica, estamos perante um risco clínico direto, com potencial impacto na segurança dos doentes e na continuidade dos cuidados de saúde.
A privacidade dos dados é outra dimensão central.
A exposição de informação clínica não afeta apenas a reputação das instituições; compromete direitos fundamentais, mina a confiança dos cidadãos e coloca em causa a ética profissional que sustenta a prática clínica.
É neste enquadramento que a Diretiva Europeia NIS2, recentemente transposta para a legislação nacional, assume particular relevância. Esta diretiva transforma a cibersegurança de uma opção estratégica numa obrigação legal, reforçando exigências ao nível da governação, gestão de risco, resiliência operacional e reporte de incidentes. Mais relevante ainda, responsabiliza diretamente as lideranças das instituições. A mensagem é clara: a cibersegurança deixou de ser um tema exclusivamente técnico e passou a ser uma questão estratégica, que exige envolvimento dos conselhos de administração, das direções clínicas e dos decisores políticos.
Em Portugal, a maturidade digital das organizações de saúde é desigual. Coexistem unidades bem estruturadas e conscientes do risco com outras claramente vulneráveis. Persistem carências de recursos humanos especializados, subinvestimento prolongado e uma cultura predominantemente reativa em vez de preventiva. No Serviço Nacional de Saúde (SNS), estes desafios são amplificados pela dimensão, complexidade e interdependência da rede; no setor social e privado, pelas limitações de escala e de orçamento.
O diagnóstico está feito. O que falta é transformar intenção em ação coordenada e sustentada.
Mais tecnologia, por si só, não é solução. A cibersegurança eficaz assenta em três pilares interdependentes: pessoas, processos e tecnologia. É fundamental investir na formação contínua dos profissionais, promover a literacia digital e reduzir o erro humano, que continua a ser uma das principais portas de entrada para ataques. Igualmente essenciais são processos robustos: planos de contingência testados, auditorias regulares, exercícios de simulação e modelos de governação claros. Por fim, são necessários sistemas tecnologicamente atualizados, com segmentação de redes, monitorização contínua e capacidades de resposta rápida a incidentes.
A confiança também se protege. Num sistema de saúde cada vez mais digital, a proteção dos dados não é um detalhe técnico, é uma questão de segurança pública, de ética profissional e de responsabilidade social. Proteger dados é, em última instância, proteger pessoas.
Cabe aos decisores investir, priorizar e liderar. Cabe às instituições cumprir a lei e ir além dela. E cabe à sociedade compreender que um sistema de saúde só é verdadeiramente seguro quando o é também no mundo digital.
A tecnologia pode falhar. A responsabilidade de prevenir, essa, não pode esperar.