Operadoras de planos de saúde concentram informações sensíveis de milhões de beneficiários — históricos clínicos, resultados de exames, dados financeiros e até informações genômicas. Essa centralização torna essas instituições alvos prioritários de ataques cibernéticos, com potencial de impacto em larga escala.

Em julho, a IBM divulgou seu relatório anual Cost of a Data Breach (em português, Custo de uma Violação de Dados) com análise de experiências de 600 organizações globais entre março de 2024 e fevereiro de 2025.

O relatório apontou que os setores de saúde, finanças e serviços lideram a lista dos mais impactados. Os dados mostram que, na área da saúde, a violação de dados é a mais cara, comparada a outros setores. Com um custo médio de US$ 7,42 milhões, o setor lidera entre todos os estudados, apesar da redução de US$ 2,35 milhões em relação a 2024.

Além disso, as violações nessa área levam mais tempo para serem identificadas e contidas, com uma média de 279 dias, mais de cinco semanas acima da média global de 241 dias.

Nesse cenário, garantir a segurança da informação deixou de ser apenas uma exigência regulatória e passou a ser um diferencial competitivo. As operadoras de planos de saúde estão investindo em soluções tecnológicas, protocolos de governança e estratégias de transparência para mitigar riscos de ataques cibernéticos, assegurar conformidade com a Lei Geral de Proteção de Dados (LGPD) e, principalmente, preservar a confiança de seus clientes.

Principais riscos cibernéticos

Segundo Leandro Ribeiro, diretor de Cybersegurança da Associação Brasileira CIO Saúde (ABCIS) e head de Segurança da Informação no Hospital Sírio-Libanês, o ransomware é hoje a ameaça mais devastadora. “Um ataque bem-sucedido pode criptografar sistemas inteiros — desde agendas de consultas e exames até autorizações, pagamentos e acesso a prontuários eletrônicos. Além de cobrar resgate para devolver o acesso, criminosos frequentemente ameaçam vazar dados roubados, ampliando o impacto.”

O vazamento de dados sensíveis, especialmente informações médicas e genéticas, é outro risco. Esses dados têm alto valor no mercado ilegal e, além de multas pesadas previstas pela LGPD, podem destruir a confiança dos beneficiários.

“O phishing e a engenharia social seguem sendo as principais portas de entrada. E-mails falsos simulando órgãos reguladores, fornecedores ou até clientes exploram o elo humano, abrindo espaço para malwares e roubo de credenciais”, explica Ribeiro.

Também preocupam os ataques à cadeia de suprimentos, já que operadoras dependem de uma extensa rede de prestadores e fornecedores: hospitais, laboratórios, clínicas e fornecedores de software (TISS, prontuários eletrônicos). “Uma vulnerabilidade em um desses parceiros pode ser explorada para acessar os sistemas da operadora, tornando a gestão de segurança de terceiros um desafio gigantesco.”

Por fim, as fraudes digitais sofisticadas, como criação de beneficiários fantasmas ou manipulação de autorizações de alto custo, cresceram com a digitalização dos processos.

Preparação para ataques inevitáveis

“No setor, já não se fala em ‘se’ haverá um ataque, mas em ‘quando’. Por isso, a resiliência operacional é prioridade. Planos de Continuidade de Negócios (PCN) e Planos de Resposta a Incidentes (PRI) são testados regularmente com simulações de crises. É fundamental ter back-ups regulares, testados e segregados da rede principal (offline ou em nuvem com imutabilidade), para que não sejam criptografados junto com os sistemas de produção. Segmentação de redes e contratos prévios com empresas de resposta a incidentes complementam a estratégia”, destaca Ribeiro.

O especialista ressalta ainda o papel de colaboradores e prestadores na segurança dos dados. “Campanhas de conscientização, phishing simulado e treinamentos contínuos são práticas recorrentes. Já na gestão de terceiros, cláusulas contratuais específicas, due diligence rigorosa e exigência de autenticação multifator em portais seguros se tornaram padrão.”

A Unimed do Brasil, por meio do Programa Nacional de Governança em Proteção e Privacidade de Dados (PNGPPD), atua em duas frentes complementares. No âmbito interno, adota protocolos de cibersegurança, incluindo criptografia de dados em repouso e em trânsito, políticas de back-up recorrentes e testadas, execução periódica de testes de vulnerabilidade e intrusão, além de auditorias externas independentes.

“Foram implementados também o Plano de Continuidade de Negócio (PCN) e o Disaster Recovery (DR), assegurando resiliência frente a incidentes e rápida recuperação de serviços críticos”, conta Odilon de Oliveira, encarregado (DPO) na Unimed do Brasil.

O especialista comenta que todas essas práticas seguem um ciclo de melhoria contínua e estão alinhadas às normas internacionais ISO 27001 (Segurança da Informação) e ISO 27701 (Proteção e Privacidade de Dados), certificações já obtidas pela Unimed do Brasil, que atestam a efetividade e a conformidade dos processos.

Oliveira diz ainda que, como coordenadora e fiscalizadora do Sistema Unimed, a Unimed do Brasil estabelece padrões mínimos de segurança e privacidade a serem observados por todas as cooperativas, garantindo uniformidade, governança e elevação progressiva da maturidade em cibersegurança em todo o sistema.

“O PNGPPD combina medidas internas de alto nível, certificadas internacionalmente e sustentadas por planos de continuidade e recuperação, com a indução de boas práticas em escala nacional, consolidando uma

cultura de proteção de dados e segurança da informação em todo o ecossistema Unimed.”

Oliveira destaca que a Unimed do Brasil possui um Plano de Resposta a Incidentes que estabelece fluxos claros de atuação imediata em caso de anomalias ou tentativas de ataque.

O protocolo contempla etapas de detecção e registro do incidente, contenção imediata, investigação e análise técnica, mitigação de impactos, correção de vulnerabilidades e, quando aplicável, comunicação às áreas competentes, à alta gestão e aos órgãos reguladores, em conformidade com a LGPD.

“Quando o incidente envolve alguma cooperativa do Sistema Unimed, a Unimed do Brasil atua no apoio direto, oferecendo orientação técnica e suporte para assegurar a efetiva contenção e mitigação. Esse modelo colaborativo garante maior uniformidade na resposta e fortalece a resiliência de todo o sistema.”

Por fim, o plano prevê um processo de lições aprendidas, assegurando que cada incidente sirva como insumo para o fortalecimento contínuo dos controles e da maturidade organizacional.

Para Ribeiro, algumas estratégias que as operadoras podem adotar para a proteção de dados sensíveis incluem:

• Criptografia de ponta a ponta: todos os dados sensíveis, tanto em repouso (armazenados em bancos de dados e servidores) quanto em trânsito (transmitidos pela rede), devem ser criptografados com algoritmos fortes;
• Controle de acesso baseado em função (RBAC): implementar políticas rigorosas onde cada colaborador só possa acessar as informações estritamente necessárias para executar sua função. Isso minimiza o risco de vazamentos acidentais ou maliciosos;
• Pseudonimização e anonimização: sempre que possível, especialmente para fins de análise de dados, estatísticas ou pesquisa, os dados devem ser pseudonimizados (substituindo identificadores diretos por artificiais) ou completamente anonimizados;
• Prevenção contra perda de dados (DLP – Data Loss Prevention): utilizar ferramentas de DLP que monitoram e bloqueiam a transferência não autorizada de dados sensíveis por e-mail, pen-drives ou upload para a nuvem;
• Auditoria e monitoramento contínuo: manter logs detalhados de quem acessa, modifica ou tenta acessar dados sensíveis, utilizando sistemas de monitoramento para detectar atividades anômalas em tempo real.

O impacto da LGPD

A LGPD transformou a gestão da informação em saúde, forçando uma mudança cultural nas empresas. “A LGPD nos obrigou a mapear, classificar e entender o ciclo de vida completo do dado do beneficiário. Antes, os dados eram coletados e armazenados muitas vezes sem um propósito claro de descarte. Hoje, precisamos justificar a finalidade da coleta, o tempo de armazenamento e garantir que o acesso seja restrito ao mínimo necessário (princípio do “need-to-know“)”, explica Ribeiro.

Outra mudança apontada pelo executivo diz respeito à nomeação do DPO (encarregado de proteção de dados), que conferiu um caráter estratégico à governança, tornando-o interlocutor entre operadoras, titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). “Além disso, a obrigatoriedade de notificação compulsória em caso de incidentes aumentou a pressão por planos de resposta ágeis e bem testados.”

Na experiência da Unimed do Brasil, a entrada em vigor da LGPD marcou um ponto de evolução, impulsionando a revisão e o fortalecimento de toda a política de proteção de dados. Oliveira conta que, a partir dela, foram implementadas políticas revisadas de tratamento de dados pessoais, capacitação contínua das equipes e aprimoramento dos mecanismos de transparência e prestação de contas junto aos titulares.

“A LGPD também aperfeiçoou a governança em privacidade, com fluxos claros para o atendimento de direitos dos titulares, definição de responsabilidades e integração com a área de Compliance. Em âmbito sistêmico, a Unimed do Brasil atua como indutora, estabelecendo padrões mínimos de adequação às cooperativas do Sistema Unimed, garantindo uniformidade e segurança jurídica.”

Houve ainda investimento em ações proativas de conscientização e sensibilização, com treinamentos contínuos em segurança da informação e privacidade, que se estendem aos colaboradores, alertando-os sobre riscos e orientando quanto à proteção de seus próprios dados.

Oliveira assegura que, em caso de incidente, a Unimed do Brasil mantém um procedimento estruturado de comunicação, prevendo notificação às autoridades competentes e, quando necessário, aos beneficiários impactados.

Segurança como diferencial competitivo

Mais do que obrigação regulatória, proteger dados virou estratégia de mercado. Operadoras que demonstram transparência e comprometimento público com a privacidade conquistam confiança e podem se diferenciar em negociações B2B, principalmente com grandes empresas que exigem compliance e certificações como a ISO 27001. Além disso, processos seguros evitam multas, reduzem fraudes e sustentam a inovação.

“Em um cenário pós-LGPD, os clientes estão mais cientes e preocupados com o uso de seus dados. Ser transparente sobre como os dados são protegidos pode ser um fator decisivo na escolha de um plano de saúde”, analisa Ribeiro.

Com uma base sólida de governança e segurança, o setor pode adotar novas tecnologias — de telemedicina à inteligência artificial — sem comprometer a confiança do paciente. Em um cenário em que a informação é tão valiosa quanto a assistência em si, a proteção de dados se tornou o verdadeiro ativo estratégico das operadoras.

“Processos seguros e bem definidos reduzem a ocorrência de incidentes, fraudes e vazamentos. Isso não só evita multas e custos de remediação, mas também otimiza a operação, evitando paralisações e retrabalho.”

Sobre o uso da inteligência artificial como iniciativa que pode ajudar na segurança, o estudo citado no início desta reportagem mostra que apenas 29% das organizações no Brasil utilizam tecnologia de governança de IA para mitigar riscos de ataques. No geral, o tema ainda é negligenciado: 87% não têm políticas de governança de IA e 61% operam sem controles de acesso.

As operadoras de saúde são particularmente vulneráveis e alvo de ataques cibernéticos porque possuem muitas informações de alto valor monetário e de inteligência. O enfrentamento aos ataques passa pela criação de uma cultura de segurança cibernética orientada à proteção do paciente. Ao integrar a preocupação com dados sensíveis à já consolidada cultura de cuidado assistencial, as operadoras de saúde conseguem transmitir a ideia de que proteger informações é também cuidar da vida.