O Netskope Threat Labs divulgou seu relatório anual sobre ameaças no setor de saúde, destacando os riscos da Inteligência Artificial Generativa. Dados regulamentados, como prontuários e informações médicas, concentram 89% das violações de políticas de dados associadas à genAI no setor, índice significativamente superior à média intersetorial de 31%.
Para Claudio Bannwart, country manager da Netskope no Brasil, a digitalização exige maior disciplina no tratamento de informações. “A genAI amplia a eficiência, mas demanda governança. A decisão do CFM de normatizar a IA na medicina fortalece a maturidade do setor, ampliando a visibilidade e os controles adequados à sensibilidade dos dados clínicos”, afirma o executivo.
Embora o uso de contas pessoais de genAI (Shadow AI) tenha recuado, 43% dos profissionais de saúde ainda utilizam ferramentas fora do controle corporativo. Em resposta, as organizações aceleraram a adoção de aplicações gerenciadas internamente: o uso de ferramentas aprovadas saltou de 18% para 67% no último ano, superando a média de outros setores.
O uso de nuvens pessoais também preocupa, respondendo por 82% das exposições de dados regulamentados. Para mitigar o risco, 56% das organizações de saúde já bloqueiam uploads para contas pessoais no Google Drive, seguidas por Gmail (39%) e OneDrive (30%). Alertas em tempo real têm sido usados para orientar usuários antes de envios indevidos.
A implementação de IA desenvolvida internamente avança, exigindo novos controles de segurança para APIs. No setor, 63% das organizações registram conexões com a OpenAI e 62% com a AssemblyAI via API, essa dependência de serviços externos incorporados a sistemas clínicos reforça a necessidade de governança para evitar incidentes cibernéticos.
A distribuição de malware via plataformas de nuvem confiáveis continua sendo um vetor crítico, Azure Static Web Apps, GitHub e OneDrive foram os serviços mais abusados para esse fim. Aproximadamente 8% das organizações de saúde detectaram tentativas de download de arquivos maliciosos através dessas plataformas, explorando a confiança dos usuários.
“Abordar o risco interno é tão vital quanto barrar ameaças externas”, explica Ray Canzanese, diretor do Netskope Threat Labs. “Operar sem medidas de segurança para nuvem e IA aumenta as chances de vazamentos clínicos e penalidades. Priorizar aplicações aprovadas pela empresa, que unem produtividade e controle, deve ser a meta para equilibrar modernização e segurança.”
