Saúde lidera os custos de violação de dados
Pelo 14.º ano consecutivo, o setor de saúde tem os custos mais elevados de violação de dados. O relatório IBM 2025 aponta uma média de 7,42 milhões de dólares por incidente. É uma queda face aos 9,77 milhões de 2024. Mas ainda está muito acima de todos os outros setores.
A média global em todos os setores: 4,44 milhões de dólares.
Números principais
| Indicador | Valor | Fonte |
|---|---|---|
| Custo médio de violação | 7,42 M$ | IBM 2025 |
| Custo por registo exposto | 398 $ | IBM 2025 |
| Dias para detetar e conter | 279 dias | IBM 2025 |
| Grandes violações (2025) | 710 | HHS OCR |
| Pessoas afetadas (2025) | 62 milhões | HHS OCR |
| Ataques de ransomware | 445 | Comparitech 2025 |
As violações na saúde demoram 279 dias a detetar e conter. São cinco semanas a mais do que a média mundial. Quase 10 meses de risco aberto.
Por que os registos médicos são tão valiosos
Os registos médicos vendem-se no mercado negro por 10 a 40 vezes mais do que dados de cartões de crédito. A razão é simples: um único registo contém muito.
Dados de identidade completos
Cada registo pode conter:
- Nome completo, data de nascimento, número de segurança social
- Morada, telefone e e-mail
- Dados do seguro e do empregador
- Informações de familiares
Muitos tipos de fraude
Os registos roubados permitem:
- Roubo de identidade médica
- Fraude ao seguro
- Fraude com receitas
- Fraude fiscal com números de segurança social
Dados que não mudam
É possível cancelar um cartão de crédito. Não é possível alterar o historial médico, o número de segurança social ou a data de nascimento. Por isso, estes dados são úteis para criminosos durante anos.
O ataque à Change Healthcare
A maior violação de dados da história da saúde atingiu a Change Healthcare em fevereiro de 2024. O grupo de ransomware BlackCat/ALPHV executou o ataque.
| Indicador | Valor |
|---|---|
| Registos afetados | 192,7 milhões |
| Custo total | 3,1 mil milhões $ |
| Resgate pago | 22 milhões $ |
| Sistemas inoperacionais | Semanas |
O ataque interrompeu o processamento de reclamações e de medicamentos nos EUA. Os prestadores não conseguiam enviar faturas. Os pacientes não conseguiam obter os seus medicamentos. Os fluxos de receita pararam.
O grupo recebeu os 22 milhões de resgate — e ainda assim publicou os dados dos pacientes online. Pagar não ajudou.
Como o ransomware evoluiu
O ransomware na saúde mudou muito de 2024 para 2025.
| Indicador | 2024 | 2025 | Variação |
|---|---|---|---|
| Taxa de encriptação | 74 % | 34 % | −54 % |
| Taxa de exfiltração | 94 % | 96 % | +2 % |
| Resgate médio pedido | 4 M$ | 343 K$ | −91 % |
| Resgate médio pago | 1,47 M$ | 150 K$ | −90 % |
Os atacantes centram-se agora no roubo de dados, não no bloqueio de ficheiros. Os backups melhoraram, por isso os bloqueios funcionam menos. Os dados roubados mantêm valor muito depois do ataque terminar.
A taxa de exfiltração de 96 % significa que quase todos os ataques roubam dados hoje em dia.
Os 18 identificadores HIPAA
O HIPAA lista 18 tipos de Informações de Saúde Protegidas (PHI) que necessitam de proteção. Qualquer dado de saúde ligado a estes identificadores torna-se PHI ao abrigo da lei.
| N.° | Identificador | Exemplos |
|---|---|---|
| 1 | Nomes | Nome do paciente, apelidos |
| 2 | Dados geográficos | Morada, cidade, código postal |
| 3 | Datas | Nascimento, visita, alta |
| 4 | Números de telefone | Todos os números |
| 5 | Números de fax | Todos os números |
| 6 | Endereços de e-mail | Todos os endereços |
| 7 | Número de segurança social | Todos os SSN |
| 8 | Números de processo médico | MRN, números de ficha |
| 9 | IDs de plano de saúde | Números de beneficiário |
| 10 | Números de conta | Contas de paciente |
| 11 | Números de licença | Carta de condução, etc. |
| 12 | IDs de veículo | VIN, matrículas |
| 13 | IDs de dispositivo | Números de série médicos |
| 14 | URLs | URLs do portal do paciente |
| 15 | Endereços IP | Todos os IPs |
| 16 | Biometria | Impressões digitais, voz |
| 17 | Fotos do rosto | E imagens semelhantes |
| 18 | Outros IDs únicos | Códigos, características |
Os fornecedores são o elo mais fraco
Aqui está um dado essencial para qualquer CISO da saúde:
Mais de 80 % dos registos PHI roubados vieram de fornecedores externos, não de hospitais.
A Change Healthcare não violou hospitais individuais. Atingiu uma câmara de compensação que processa reclamações para milhares de prestadores. A falha de um único fornecedor propagou-se a todos.
A segurança dos seus PHI é tão forte quanto o seu fornecedor mais fraco.
As multas HIPAA estão a crescer
O Gabinete de Direitos Civis do HHS (OCR) está a agir. Em 2025:
| Indicador | Valor |
|---|---|
| Casos com penalidades | 21 |
| Total de penalidades | 8,33 milhões $ |
| Foco principal | Falhas na análise de risco |
O OCR tem como alvo organizações que saltam as análises de risco obrigatórias. É um requisito básico da Regra de Segurança — e uma lacuna frequente.
Como o anonym.legal protege os PHI
Os 18 identificadores HIPAA
O anonym.legal cobre os 18 tipos de identificadores HIPAA com validação por soma de verificação. Nomes, datas, SSN, números de processo médico, telefone, fax, e-mail — tudo tratado. Consulte o nosso guia de conformidade HIPAA para mais detalhes.
Encriptação reversível
Muitas equipas precisam de restaurar dados para estudos, auditorias ou revisões legais. O anonym.legal usa encriptação AES-256-GCM que pode ser revertida com as chaves de acesso corretas.
Conformidade Safe Harbor
O método HIPAA Safe Harbor exige a remoção dos 18 tipos de identificadores. O preset HIPAA do anonym.legal faz isso automaticamente:
- Nomes → [PERSON]
- Datas → Apenas o ano
- Códigos postais → 3 primeiros dígitos (se população >20.000)
- IDs diretos → Tokens encriptados
Processamento local
Com violações a custar em média 7,42 M$, não pode enviar PHI para servidores externos. A aplicação Desktop do anonym.legal funciona na sua própria máquina. Os dados de saúde nunca saem da sua rede.
O custo da inação
| Cenário | Custo |
|---|---|
| Violação média na saúde | 7,42 M$ |
| Plano Business anonym.legal | 29 €/mês |
| Custo anual | 348 € |
| Ponto de equilíbrio | 0,005 % de prevenção |
Se o anonym.legal evitar apenas 0,005 % do custo de uma violação, paga-se a si próprio. O ataque à Change Healthcare custou 3,1 mil milhões de dólares. Melhores controlos de PHI nessa cadeia de fornecedores poderiam tê-lo impedido.
Comece agora
- Descarregar a aplicação Desktop — Os ficheiros ficam na sua máquina
- Instalar o suplemento Office — Proteja documentos clínicos
- Iniciar período de teste gratuito — 200 tokens para testar