Segurança para Clínica de Diagnóstico por Imagem: feche o PACS exposto antes que ele vaze seus exames
Centros de imagem operam PACS/DICOM e modalidades como tomógrafos e ressonância frequentemente expostos na internet. A Decripte fecha essa exposição, conduz pentest DICOM, segmenta as modalidades médicas e monitora tudo com SOC 24x7.
Resposta direta
Para proteger uma clínica de diagnóstico por imagem você precisa, antes de tudo, tirar o PACS e as portas DICOM (notavelmente a TCP 104 e as portas de DICOMweb/WADO) da exposição direta na internet, colocando-as atrás de VPN ou gateway autenticado, e segmentar a rede de modo que tomógrafos, ressonância, ultrassom e estações de laudo não compartilhem o mesmo domínio de broadcast dos servidores de arquivo e da rede administrativa. Em seguida, é preciso ativar criptografia em trânsito e em repouso para imagens e laudos, controlar acesso por identidade com MFA, manter backups imutáveis e offline para resistir a ransomware, e tratar as modalidades como dispositivos médicos de ciclo de vida longo — que raramente recebem patch — com gestão de vulnerabilidades e isolamento compensatório. Sobre essa base, um SOC 24x7 detecta acessos anômalos ao acervo de exames e um plano de resposta a incidentes garante contenção rápida em caso de comprometimento. A forma mais segura de saber se o seu PACS está exposto hoje é medir: comece com o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mostra a sua superfície de exposição real em minutos.
24/7
SOC monitorando o acervo de imagens
<=1h
SLA de contenção de incidentes
LGPD
Dado de saúde é dado sensível (art. 5º, II)
DICOM
Pentest de PACS e modalidades médicas
Em resumo
- ›PACS e portas DICOM expostas na internet são a principal porta de entrada para vazamento de exames e ransomware em centros de imagem — o primeiro passo é removê-las da exposição direta.
- ›Exame de imagem e laudo são dados pessoais sensíveis de saúde sob a LGPD; vazamento envolve notificação à ANPD, ao titular e responsabilização do controlador.
- ›Modalidades médicas (tomógrafo, RM, ultrassom) têm ciclo de vida longo, sistemas operacionais antigos e raramente recebem patch — exigem segmentação e controles compensatórios, não apenas atualização.
- ›Backups imutáveis e offline são a diferença entre pagar resgate e restaurar o arquivo após um ransomware que cifrou o acervo de imagens.
- ›A Decripte fecha a exposição, faz pentest DICOM, estrutura a segmentação de modalidades e monitora com SOC 24x7 — começando pelo diagnóstico gratuito em decripte.io/free.
Cibersegurança para Diagnóstico por Imagem
Centros de imagem operam PACS/DICOM e modalidades como tomógrafos e ressonância frequentemente expostos na internet. A Decripte fecha essa exposição, conduz pentest DICOM, segmenta as modalidades médicas e monitora tudo com SOC 24x7.
Por que o centro de diagnóstico por imagem é um alvo desproporcional
Um centro de diagnóstico por imagem é, na prática, dois negócios ao mesmo tempo: uma operação clínica que produz exames com altíssimo valor médico e um repositório de dados que cresce todos os dias e quase nunca é apagado. Cada paciente que passa por um tomógrafo, uma ressonância magnética, um raio-X ou um ultrassom gera imagens em formato DICOM e um laudo associado, e esse conjunto fica armazenado num PACS — o Picture Archiving and Communication System — por anos, muitas vezes por prazo indefinido. O resultado é um acervo que concentra nome, identificação, data de nascimento, achados clínicos, suspeitas diagnósticas e, com frequência, o próprio corpo do paciente reconstruído em três dimensões. Poucos setores acumulam tanto dado sensível por metro quadrado de operação.
O problema é que a arquitetura técnica desse setor foi desenhada numa era em que o PACS conversava apenas com as modalidades dentro do próprio prédio. O protocolo DICOM, que rege a comunicação entre tomógrafos, estações de laudo e servidores de arquivo, nasceu para uma rede confiável e fechada. Quando o setor passou a oferecer laudo remoto, acesso de médicos externos e integração com sistemas hospitalares e operadoras, muitos centros simplesmente abriram as portas do PACS para a internet — sem repensar autenticação, criptografia ou segmentação. É exatamente esse atalho que transforma uma clínica respeitada em um servidor exposto que qualquer mecanismo de varredura encontra em segundos.
O atalho mais perigoso do setor
Abrir a porta DICOM (TCP 104) ou um endpoint DICOMweb diretamente na internet, sem VPN, sem autenticação forte e sem criptografia, é o equivalente a deixar o arquivo morto da clínica destrancado na calçada. Mecanismos públicos de varredura indexam continuamente servidores PACS expostos, e muitos respondem a consultas DICOM sem exigir credencial alguma.
Some-se a isso a natureza das modalidades. Um tomógrafo ou um aparelho de ressonância é um dispositivo médico regulado, com software embarcado validado pelo fabricante, ciclo de vida de uma década ou mais e sistema operacional que frequentemente já saiu de suporte. Atualizar esse software sem homologação do fabricante pode invalidar a garantia e até a conformidade regulatória do equipamento. Ou seja: você tem um computador antigo, vulnerável, conectado à rede, que não pode simplesmente receber o patch de terça-feira. Essa combinação — dado sensível em volume, exposição arquitetural e dispositivos que não se atualizam — é o que faz do centro de imagem um alvo desproporcional ao seu tamanho.
As quatro ameaças que mais derrubam centros de imagem
Exposição de servidores PACS/DICOM na internet
É a ameaça-raiz, da qual quase todas as outras derivam. Quando o servidor PACS ou um nó DICOM fica acessível pela internet pública, ele se torna pesquisável. Um atacante não precisa de exploit sofisticado: basta uma consulta C-FIND ou C-MOVE para listar e recuperar estudos inteiros se a autenticação estiver ausente ou fraca. Endpoints DICOMweb (QIDO-RS, WADO-RS) expostos sem controle de acesso entregam estudos via HTTP. O reconhecimento muitas vezes é trivial, e a coleta silenciosa de exames pode durar semanas sem deixar rastro perceptível para a clínica.
Vazamento de imagens e laudos, e ransomware no arquivo
Uma vez dentro — seja pelo PACS exposto, por uma estação de laudo comprometida ou por credenciais reaproveitadas — o atacante exfiltra estudos e laudos. Diferente de um vazamento de cartão, aqui o dano é permanente e profundamente pessoal: um exame de imagem revela condições de saúde que o paciente pode nunca ter compartilhado nem com a família. Sob a LGPD, isso é dado sensível, e o incidente aciona obrigações de notificação à ANPD e aos titulares. Em paralelo, o ransomware tem predileção por centros de imagem porque o acervo é simultaneamente crítico e difícil de restaurar: cifrar o PACS paralisa a clínica — sem imagens, não há laudo, entrega de exame nem faturamento — e quando alcança as modalidades, a recuperação esbarra na impossibilidade de reinstalar livremente um equipamento médico homologado. Muitos centros descobrem tarde que os backups estavam na mesma rede cifrada, ou nunca foram testados em restauração real.
Comprometimento da integração com laudo remoto
O laudo a distância é hoje parte do modelo de negócio de quase todo centro de imagem. Mas cada túnel, VPN, portal web ou integração com a empresa de telerradiologia é uma porta adicional. Credenciais de médicos externos vazadas, portais de laudo sem MFA e integrações via API mal autenticadas estendem o perímetro para fora dos muros da clínica, muitas vezes para máquinas domésticas fora de qualquer controle. O elo da integração remota frequentemente é o ponto mais fraco e o menos monitorado.
Sinais de que sua clínica pode estar exposta agora
- ✓A porta DICOM (TCP 104) ou um endpoint DICOMweb está acessível pela internet sem VPN
- ✓O acesso ao PACS usa apenas usuário e senha, sem MFA
- ✓Tomógrafo, ressonância e estações de laudo estão na mesma rede plana que os PCs administrativos
- ✓Os backups do acervo de imagens ficam online, na mesma rede do PACS
- ✓Médicos de laudo remoto acessam por túnel ou portal sem segundo fator
- ✓Nenhum sistema observa quem consulta ou exporta estudos do arquivo fora do horário normal
Os dados de diagnóstico por imagem já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Anatomia técnica: o que realmente acontece quando um PACS é atacado
Entender a sequência de um ataque a um centro de imagem ajuda a priorizar defesas. Tudo começa no reconhecimento: o atacante varre faixas de IP em busca de respostas em portas associadas a DICOM e a interfaces web de PACS. Servidores que respondem a um handshake DICOM (a negociação de associação) sem exigir credenciais válidas são marcados como alvos. A partir daí, comandos do próprio protocolo — C-ECHO para confirmar que o nó está vivo, C-FIND para consultar o catálogo de estudos, C-MOVE ou C-GET para recuperar imagens — permitem mapear e baixar o acervo usando funcionalidade legítima, não exploit.
DICOM em pontos de risco
A porta TCP 104 é o ponto histórico de escuta DICOM; muitas implementações também expõem DICOMweb sobre HTTP/HTTPS (QIDO-RS para consulta, WADO-RS para recuperação, STOW-RS para envio). Quando qualquer um desses fica na internet sem autenticação e sem TLS, estudos completos podem ser listados e baixados por terceiros, e novos estudos podem até ser injetados no arquivo.
Quando a exposição direta não está disponível, o caminho passa pelas estações de laudo e pelos PCs administrativos. Phishing contra a equipe, credenciais reaproveitadas de vazamentos anteriores e exploração de serviços de acesso remoto abrem a primeira máquina. Numa rede plana — sem segmentação — essa única máquina enxerga o PACS, as modalidades e os backups. O atacante então se move lateralmente, escala privilégios, identifica o servidor de arquivo e decide entre dois desfechos: exfiltrar silenciosamente o acervo para extorsão por vazamento, ou disparar ransomware para extorsão por indisponibilidade. Os grupos mais sofisticados fazem as duas coisas — a dupla extorsão.
Por que modalidades médicas mudam o jogo da resposta
Diferente de um servidor comum, uma estação de aquisição de tomógrafo ou o console de uma RM não pode ser reinstalada livremente: o software é homologado pelo fabricante, e alterações não autorizadas podem invalidar garantia e conformidade. Por isso a defesa correta não é só corrigir — é isolar a modalidade num segmento próprio, restringir rigidamente com quem ela fala, e tratar a remediação em conjunto com o fabricante. Segmentação compensatória substitui o patch que não pode ser aplicado.
O detalhe que separa um susto de uma catástrofe é o tempo até a detecção. Coleta de exames via DICOM legítimo gera tráfego que, para olhos não treinados, parece operação normal. Sem um SOC observando padrões — consultas em massa fora de horário, recuperação de estudos por um nó que nunca fez isso antes, picos de exportação — o vazamento corre por semanas. É essa janela que a Decripte ataca: fechando a exposição que dá acesso e instrumentando a detecção que encurta o tempo de descoberta.
O ângulo da Decripte: fechar a exposição, testar o DICOM, segmentar as modalidades
A abordagem da Decripte para diagnóstico por imagem parte de uma premissa simples: o que não se mede não se protege. Antes de qualquer projeto, a clínica precisa enxergar a própria superfície de exposição — quais serviços estão visíveis da internet, se há PACS ou DICOM respondendo, se portais de laudo aceitam acesso sem segundo fator. Por isso a porta de entrada é o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que faz esse reconhecimento a partir de fora, como um atacante faria, e devolve a exposição real em vez de suposições.
Comece medindo, de graça
O plano gratuito de Gestão de Ameaças em decripte.io/free mapeia a sua superfície de exposição na internet e aponta se há serviços sensíveis visíveis. É o primeiro passo, sem compromisso, para descobrir se o seu PACS está aberto antes que outra pessoa descubra. CTA: Comece grátis agora.
A partir do diagnóstico, a atuação se organiza em três movimentos que respondem exatamente ao cenário do setor. Primeiro, fechar a exposição: tirar PACS e DICOM da internet pública, colocá-los atrás de VPN ou gateway autenticado, ativar TLS e exigir identidade forte. Segundo, testar o DICOM de verdade: um pentest que fala o protocolo, tenta negociar associações, executar consultas e recuperações, e prova se o arquivo entrega estudos a quem não deveria. Terceiro, segmentar as modalidades: desenhar uma topologia em que tomógrafo, ressonância, ultrassom, estações de laudo, servidor de arquivo e rede administrativa vivam em zonas separadas, com regras explícitas sobre quem fala com quem.
O que a Decripte entrega ao centro de imagem
- ✓Diagnóstico de exposição externa (gratuito) para enxergar o PACS como o atacante enxerga
- ✓Pentest de PACS/DICOM que exercita o protocolo e prova acesso indevido a estudos
- ✓Projeto de segmentação de modalidades médicas com zonas e regras de tráfego
- ✓Gestão de vulnerabilidades adaptada a dispositivos médicos que não recebem patch
- ✓Estruturação de conformidade LGPD para dado de saúde, com base legal e resposta a titular
- ✓SOC 24x7 observando consultas, exportações e movimentos anômalos no acervo
- ✓Plano de resposta a incidentes com SLA de contenção de até 1 hora
O resultado dessa sequência não é um relatório que dorme numa gaveta, e sim uma mudança verificável de postura: o que estava exposto deixa de estar, o que era acessível sem prova passa a ter teste, e o que era uma rede plana vira uma topologia onde um comprometimento isolado não chega ao acervo inteiro. Quem quiser ir direto aos planos pagos pode ver as opções em /planos.
Conformidade: o que a LGPD e as normas de saúde exigem do centro de imagem
Imagem médica e laudo são, sem ambiguidade, dados pessoais sensíveis sob a Lei Geral de Proteção de Dados. O artigo 5º da LGPD enquadra dado referente à saúde como sensível, e o artigo 11 estabelece condições mais restritas para o seu tratamento. Para um centro de imagem isso significa que cada exame armazenado exige base legal adequada — geralmente a tutela da saúde do titular e o cumprimento de obrigação do controlador — e medidas técnicas e administrativas compatíveis com o risco. Não é uma formalidade: é o critério com que a ANPD avalia se houve negligência quando um vazamento acontece.
Base regulatória que se aplica
LGPD (Lei nº 13.709/2018): dado de saúde é sensível (art. 5º, II) com tratamento restrito (art. 11). Incidente de segurança aciona comunicação à ANPD e aos titulares em prazo razoável (art. 48). O controlador responde por danos (art. 42). Some-se a isso o sigilo profissional sobre informações de paciente e as normas de conselhos da área médica sobre prontuário e guarda de exames.
Na prática, conformidade em diagnóstico por imagem se traduz em controles concretos: criptografia de imagens e laudos em trânsito e em repouso; controle de acesso por identidade com registro de quem visualizou ou exportou cada estudo; retenção e descarte conforme a guarda exigida; contratos e cláusulas de proteção de dados com a empresa de telerradiologia e com fornecedores que tocam o acervo; e um plano de resposta que permita notificar a ANPD e os titulares dentro do prazo, com a investigação técnica capaz de dizer o que vazou. A Decripte estrutura esses controles de modo que a clínica não apenas afirme estar em conformidade, mas consiga demonstrá-la com evidência.
O erro de notificação que custa caro
Sem registro de acesso e exportação no PACS, a clínica que sofre um vazamento não consegue dizer quais estudos foram comprometidos. Diante da ANPD, a incapacidade de delimitar o incidente costuma ser tratada de forma mais gravosa do que o incidente em si. Auditar acesso ao acervo não é luxo: é o que permite uma notificação precisa e defensável.
Quanto custaria um incidente em diagnóstico por imagem? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Segmentação de modalidades: o pilar técnico que muda o resultado
Se houvesse uma única intervenção capaz de reduzir o impacto da maioria dos incidentes em centros de imagem, seria a segmentação. A rede plana — em que tudo enxerga tudo — é o que transforma uma estação de laudo comprometida em um ransomware no acervo inteiro. A segmentação quebra essa cadeia: ao colocar cada classe de ativo numa zona própria, com regras explícitas de tráfego entre elas, um comprometimento isolado deixa de ter caminho livre até o que importa.
Uma topologia de referência
Zona de modalidades (tomógrafo, RM, ultrassom, raio-X) isolada, falando apenas com o servidor de arquivo pelas portas DICOM necessárias. Zona de arquivo/PACS atrás de gateway autenticado. Zona de estações de laudo separada, sem rota direta às modalidades. Zona administrativa (faturamento, recepção, e-mail) totalmente apartada da rede clínica. Acesso remoto de laudo via VPN com MFA, terminando numa zona de borda restrita — nunca direto no PACS.
O ponto delicado é fazer isso sem quebrar a operação. As modalidades precisam enviar imagens ao arquivo, as estações de laudo precisam recuperá-las, o laudo remoto precisa de uma rota controlada. A Decripte projeta a segmentação a partir dos fluxos reais de DICOM da clínica, definindo regras que permitem exatamente o tráfego necessário e bloqueiam o resto. Cada modalidade ganha um perfil de comunicação mínimo, e a rede administrativa deixa de ser uma ponte para a rede clínica — fechando o caminho mais comum do phishing ao acervo.
Princípios da segmentação que a Decripte aplica
- ✓Cada classe de ativo (modalidade, arquivo, laudo, administração) em zona própria
- ✓Regras de tráfego explícitas e mínimas entre zonas, com tudo o mais negado por padrão
- ✓Modalidades sem rota de saída para a internet, salvo o estritamente homologado
- ✓Acesso remoto terminando numa zona de borda, nunca direto no PACS
- ✓Controles compensatórios onde o patch da modalidade não é possível
- ✓Monitoração das fronteiras entre zonas para detectar movimento lateral
Gestão de vulnerabilidades em dispositivos médicos
A gestão de vulnerabilidades de um centro de imagem não pode ser a mesma de uma rede de escritório. Num escritório, o ciclo é simples: encontrou a falha, aplicou o patch. Numa modalidade, aplicar um patch fora da homologação do fabricante pode invalidar a garantia e a conformidade regulatória do equipamento — e às vezes nem é tecnicamente possível, porque o sistema operacional embarcado já saiu de suporte. A consequência é que dispositivos vulneráveis convivem com a operação por anos, e isso é, em alguma medida, inevitável.
O que muda é como se administra esse risco residual. A Decripte trabalha com um inventário vivo das modalidades e seus sistemas, mapeando versões, fabricantes e estado de suporte. Onde o patch é viável e homologado, ele entra num plano de manutenção coordenado com o fabricante. Onde não é, entram os controles compensatórios: isolamento de rede, restrição de protocolos, hardening do que for ajustável sem quebrar a homologação, e monitoração reforçada daquele segmento. A vulnerabilidade que não pode ser eliminada passa a ser cercada.
Patch impossível não é desculpa para risco aberto
Quando uma modalidade não pode receber correção, a prática reconhecida é aplicar controles compensatórios — segmentação, restrição de tráfego, monitoração — e documentar a decisão. Isso demonstra diligência: a clínica não ignorou a falha, ela a gerenciou dentro das restrições do dispositivo médico.
Esse trabalho se integra ao pentest e à segmentação: o teste prova o que é explorável, o inventário diz o que não pode ser corrigido, e a segmentação garante que o que não pode ser corrigido também não pode ser alcançado facilmente. É um ciclo, não um evento — por isso a gestão de vulnerabilidades roda de forma contínua, e não como uma foto anual que envelhece em semanas.
SOC 24x7 e resposta: encurtar o tempo entre o ataque e a descoberta
Toda a prevenção do mundo não elimina a possibilidade de um incidente — ela reduz a probabilidade e o impacto. O que decide o desfecho, quando algo acontece, é o tempo. Quanto antes a clínica percebe que um nó está consultando estudos em massa fora do horário, que um volume incomum de imagens está saindo, que uma estação de laudo está se comportando como nunca se comportou, mais cedo a contenção acontece e menos exames vazam. Esse é o papel do SOC 24x7: observar continuamente o acervo e as fronteiras de rede e transformar sinal fraco em alerta acionável.
O que o SOC observa num centro de imagem
Consultas e recuperações DICOM atípicas (volume, horário, origem). Exportações de estudos fora do padrão. Autenticações falhas e acessos de localizações incomuns aos portais de laudo. Movimento lateral entre zonas que deveriam estar isoladas. Sinais precoces de ransomware, como cifragem em massa e desativação de backups. Tudo correlacionado para distinguir operação normal de comprometimento.
Quando o alerta vira incidente, entra a Resposta a Incidentes com SLA de contenção de até 1 hora. Em diagnóstico por imagem, conter significa cortar a rota do atacante sem matar a operação clínica desnecessariamente: isolar a máquina comprometida, bloquear a exfiltração, preservar evidência para a investigação e para a notificação à ANPD, e iniciar a erradicação. A meta não é apenas parar o sangramento, mas conseguir dizer, ao final, exatamente o que aconteceu e o que foi tocado — porque é isso que a LGPD vai exigir e o que protege a clínica diante do regulador.
Sem detecção, o vazamento dura semanas
A coleta de exames via comandos DICOM legítimos não dispara alarme em quem não está olhando. Em incidentes reais do setor, o intervalo entre a invasão e a descoberta costuma ser longo justamente por falta de monitoração. O SOC 24x7 existe para fechar essa janela.
Cenário ilustrativo: o centro de imagem com PACS exposto vazando exames
Cenário ilustrativo
Cenário ilustrativo — não se refere a cliente real. Um centro de diagnóstico por imagem de porte médio, com três unidades, opera tomógrafo, ressonância, ultrassom e raio-X integrados a um PACS central. Para viabilizar o laudo remoto, a equipe de TI abriu a porta DICOM e um endpoint DICOMweb diretamente na internet, protegidos apenas por usuário e senha. A rede é plana: modalidades, estações de laudo, servidor de arquivo e os PCs de recepção e faturamento compartilham o mesmo segmento. Os backups do acervo rodam num servidor na mesma rede. A clínica nunca havia feito um teste de segurança e acreditava estar protegida porque tinha antivírus e firewall de borda.
Detecção
O diagnóstico gratuito de Gestão de Ameaças (decripte.io/free), executado a pedido da clínica, identifica em minutos que a porta DICOM e o endpoint DICOMweb respondem da internet pública e que o PACS aceita negociação de associação sem credencial robusta. O alerta é imediato: o acervo está acessível de fora. Em paralelo, a análise aponta consultas DICOM em massa partindo de um IP estrangeiro durante a madrugada — indício de coleta de estudos já em curso.
Contenção
Acionada a Resposta a Incidentes, a Decripte contém em menos de 1 hora: as portas DICOM e DICOMweb são removidas da exposição na borda, o acesso externo é bloqueado, e a estação de laudo de onde partia parte do tráfego anômalo é isolada da rede. A exfiltração é interrompida e a evidência de acesso é preservada para a investigação e para a futura notificação à ANPD.
Erradicação
A investigação forense reconstrói o caminho: o endpoint exposto permitiu listar e recuperar estudos via comandos DICOM legítimos, e credenciais fracas de uma estação de laudo foram reaproveitadas para acesso interno. A Decripte remove os acessos do atacante, rotaciona todas as credenciais, elimina os pontos de persistência encontrados e corrige as configurações que permitiam consulta sem autenticação forte.
Recuperação
O PACS é recolocado em produção atrás de VPN com MFA e TLS, com as modalidades isoladas em zona própria. Como o ataque foi de exfiltração e não de cifragem, não houve perda de dados, mas a clínica descobre que seus backups estavam online e teriam sido cifrados num ransomware — falha corrigida com a adoção de backup imutável e offline, testado em restauração.
Pentest DICOM
Com a operação estabilizada, a Decripte conduz um pentest de PACS/DICOM que exercita o protocolo de ponta a ponta: negociação de associação, consultas, recuperação e envio de estudos. O teste confirma que o arquivo agora exige identidade válida, que estudos não são mais entregues a nós não autorizados e que os endpoints web estão protegidos — fechando o ciclo entre a falha encontrada e a prova de que foi resolvida.
Estruturação
A Decripte projeta e implanta a segmentação de modalidades: tomógrafo, RM, ultrassom e raio-X em zona isolada, arquivo atrás de gateway, estações de laudo separadas, rede administrativa apartada e laudo remoto terminando numa zona de borda restrita. A gestão de vulnerabilidades passa a tratar as modalidades como dispositivos médicos, com controles compensatórios onde o patch não é possível.
Lições
O incidente expôs três falhas estruturais: exposição direta do PACS, rede plana e backup online. As três foram corrigidas. A clínica adota SOC 24x7 para que uma coleta anômala de estudos seja detectada em horas, não em semanas, e estrutura a conformidade LGPD para responder à ANPD e aos titulares com precisão sobre o que foi acessado.
Desfecho com a Decripte
Com a Decripte, a clínica saiu de um PACS exposto e silenciosamente sendo coletado para uma operação com acervo fechado atrás de VPN e MFA, modalidades segmentadas, backups imutáveis testados, pentest DICOM comprovando a correção e SOC 24x7 vigiando o arquivo. A exfiltração foi contida antes de se tornar um vazamento massivo, a notificação à ANPD foi feita de forma delimitada e defensável, e o laudo remoto continuou operando — agora por um caminho seguro. O ponto de partida foi gratuito: o diagnóstico em decripte.io/free, que revelou a exposição antes que ela virasse manchete.
Não espere o incidente acontecer. Comece a blindar diagnóstico por imagem hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em centro de diagnóstico por imagem
A resposta a incidentes em diagnóstico por imagem precisa conter o ataque sem paralisar a clínica desnecessariamente e, ao mesmo tempo, preservar a evidência que a LGPD vai exigir. A Decripte segue uma sequência testada, com SLA de contenção de até 1 hora.
- Triagem e classificação: identificar se o incidente é exfiltração de exames, ransomware no acervo, comprometimento de estação de laudo ou abuso de integração remota, e dimensionar o que está em risco.
- Contenção em até 1 hora: cortar a rota do atacante — remover exposição de PACS/DICOM da borda, isolar máquinas comprometidas e bloquear exfiltração — sem derrubar a operação clínica além do necessário.
- Preservação de evidência: capturar logs de acesso e recuperação DICOM, imagens forenses das máquinas envolvidas e artefatos, garantindo cadeia de custódia para investigação e para a notificação à ANPD.
- Erradicação: eliminar acessos, persistência e credenciais comprometidas, corrigir as configurações que permitiram o acesso (autenticação fraca, endpoints abertos) e validar que o atacante perdeu o caminho.
- Recuperação segura: restaurar a partir de backups imutáveis testados, recolocar o PACS atrás de VPN/MFA/TLS, reativar modalidades em zonas isoladas e confirmar integridade do acervo antes do retorno pleno.
- Determinação do escopo: estabelecer com precisão quais estudos e laudos foram acessados ou exfiltrados, base para uma notificação delimitada e defensável ao regulador e aos titulares.
- Notificação e suporte regulatório: apoiar a clínica na comunicação à ANPD e aos titulares dentro do prazo, com a fundamentação técnica do que ocorreu e das medidas adotadas.
- Lições aprendidas e hardening: transformar a causa-raiz em correções permanentes — segmentação, gestão de vulnerabilidades das modalidades, SOC 24x7 — para que o mesmo vetor não se repita.
Como a Decripte estrutura a segurança do centro de imagem
Depois de conter o que está em chamas, a Decripte estrutura a segurança em pilares que respondem diretamente ao perfil de risco do diagnóstico por imagem: acervo sensível, modalidades que não recebem patch e integração remota.
Fechamento da exposição e acesso por identidade
Retirar PACS e DICOM da internet pública, colocá-los atrás de VPN ou gateway autenticado, ativar TLS em trânsito e criptografia em repouso, e exigir identidade forte com MFA para qualquer acesso ao acervo, incluindo o laudo remoto.
Segmentação de modalidades médicas
Isolar tomógrafo, ressonância, ultrassom, raio-X, estações de laudo, servidor de arquivo e rede administrativa em zonas próprias, com regras de tráfego mínimas e tudo o mais negado por padrão, quebrando o caminho do movimento lateral até o acervo.
Pentest de PACS/DICOM contínuo
Testar o protocolo DICOM e os endpoints web do PACS de forma recorrente — negociação de associação, consulta, recuperação e envio — provando que estudos não são entregues a quem não deveria e validando que as correções aplicadas seguem de pé.
Gestão de vulnerabilidades de dispositivos médicos
Manter inventário vivo das modalidades, coordenar patch homologado onde possível e aplicar controles compensatórios (isolamento, restrição de protocolo, hardening, monitoração reforçada) onde a correção não é viável.
Resiliência a ransomware
Backups imutáveis e offline do acervo, testados em restauração real, somados a controles que detectam cifragem em massa e tentativas de desativar backups, garantindo que a clínica possa restaurar em vez de pagar resgate.
Monitoração SOC 24x7 e conformidade LGPD
SOC observando consultas, exportações e fronteiras de rede em tempo integral, integrado a uma estrutura de conformidade que registra acesso ao acervo, define base legal e prepara a clínica para responder à ANPD com precisão.
Planos recomendados para Diagnóstico por Imagem
Gestão de Vulnerabilidades
Centros de imagem têm modalidades que não recebem patch e PACS frequentemente exposto; a gestão contínua mapeia a superfície, prioriza o que é explorável e administra o risco residual dos dispositivos médicos com controles compensatórios.
Ver plano →SOC 24x7
A coleta de exames via comandos DICOM legítimos não dispara alarme em quem não está olhando; o SOC observa consultas e exportações anômalas no acervo o tempo todo, encurtando o tempo entre o ataque e a descoberta de semanas para horas.
Ver plano →Resposta a Incidentes
Ransomware no arquivo ou exfiltração de exames paralisa a clínica e aciona a LGPD; a Resposta a Incidentes com SLA de contenção de até 1 hora corta a rota do atacante, preserva evidência e estrutura a notificação à ANPD.
Ver plano →Pentest
O pentest de PACS/DICOM fala o protocolo e prova se o arquivo entrega estudos a quem não deveria, validando a exposição real das modalidades e dos endpoints web antes que um atacante o faça.
Ver plano →Perguntas frequentes
Meu PACS está acessível pela internet para o laudo remoto. Isso é perigoso?
Sim, e é o risco mais comum do setor. Expor a porta DICOM (TCP 104) ou endpoints DICOMweb diretamente na internet permite que terceiros listem e recuperem estudos, muitas vezes sem credencial robusta. O laudo remoto deve passar por VPN com MFA terminando numa zona de borda restrita, nunca direto no PACS. O diagnóstico gratuito em decripte.io/free mostra em minutos se o seu está exposto.
Não posso atualizar o software do meu tomógrafo sem perder a garantia. Como protejo um equipamento vulnerável?
Quando o patch não é viável ou homologado, a defesa correta é cercar a vulnerabilidade com controles compensatórios: isolar a modalidade num segmento próprio, restringir rigidamente com quem ela se comunica e reforçar a monitoração daquele segmento. A vulnerabilidade que não pode ser eliminada passa a ser inalcançável. A Decripte coordena o patch homologado onde existe e aplica esses controles onde não existe.
Exame de imagem e laudo são dados sensíveis sob a LGPD?
Sim. A LGPD enquadra dado referente à saúde como dado pessoal sensível, com tratamento mais restrito. Isso exige base legal adequada, criptografia, controle e registro de acesso, e um plano de resposta capaz de notificar a ANPD e os titulares em caso de incidente. Vazamento de exames aciona essas obrigações e responsabiliza o controlador.
O que acontece se um ransomware cifrar o meu acervo de imagens?
Sem acesso às imagens, a clínica para: não há laudo, não há entrega de exame, não há faturamento. A diferença entre pagar resgate e restaurar está nos backups: se forem imutáveis, offline e testados em restauração, a clínica recupera o arquivo. A Decripte estrutura essa resiliência e, com SOC 24x7, detecta sinais precoces de cifragem em massa.
Como sei se já vazaram exames da minha clínica sem eu perceber?
A coleta via comandos DICOM legítimos não dispara alarme em quem não monitora, por isso vazamentos costumam durar semanas. Indícios incluem consultas em massa fora de horário, exportações atípicas e acessos de localizações incomuns. O diagnóstico gratuito em decripte.io/free aponta exposição e sinais de acesso anômalo, e o SOC 24x7 mantém essa vigilância contínua.
O que é um pentest de PACS/DICOM e por que ele é diferente de um teste comum?
É um teste que fala o protocolo DICOM de ponta a ponta — negociação de associação, consulta (C-FIND), recuperação (C-MOVE/C-GET) e envio — além dos endpoints web do PACS. Ele prova, na prática, se o arquivo entrega estudos a nós não autorizados e se os endpoints aceitam acesso sem autenticação. Um teste genérico de rede não exercita essas funções específicas do mundo de imagem médica.
Quanto tempo a Decripte leva para conter um incidente?
O SLA de contenção da Resposta a Incidentes é de até 1 hora. Em diagnóstico por imagem, conter significa cortar a rota do atacante — remover exposição, isolar máquinas comprometidas, bloquear exfiltração — preservando a evidência necessária para a investigação e para a notificação à ANPD, e sem paralisar a operação clínica além do estritamente necessário.
Por onde eu começo se nunca fiz nada de segurança na minha clínica?
Comece medindo, de graça. O plano gratuito de Gestão de Ameaças em decripte.io/free mapeia a sua superfície de exposição na internet e mostra se há PACS, DICOM ou portais de laudo visíveis sem proteção. A partir desse diagnóstico, dá para priorizar o que fechar primeiro. Para contratar diretamente os planos pagos, as opções estão em /planos.
Termos do setor
- PACS
- Picture Archiving and Communication System — o sistema central que armazena, recupera e distribui as imagens médicas (tomografia, ressonância, ultrassom, raio-X) e laudos de um centro de diagnóstico. É o acervo crítico cuja exposição gera vazamento e cuja cifragem por ransomware paralisa a clínica.
- DICOM
- Digital Imaging and Communications in Medicine — o padrão que rege o formato das imagens médicas e a comunicação entre modalidades, estações de laudo e o PACS. Inclui comandos como C-FIND (consulta) e C-MOVE/C-GET (recuperação), que, sem autenticação, permitem listar e baixar estudos.
- DICOMweb
- Conjunto de serviços web do padrão DICOM (QIDO-RS para consulta, WADO-RS para recuperação, STOW-RS para envio) que expõem o acervo sobre HTTP/HTTPS. Quando publicado na internet sem autenticação e sem TLS, permite que terceiros consultem e baixem estudos.
- Modalidade
- Equipamento que gera as imagens — tomógrafo, aparelho de ressonância magnética, ultrassom, raio-X. Tecnicamente são dispositivos médicos regulados, com software homologado pelo fabricante e ciclo de vida longo, o que torna o patch difícil e exige segmentação e controles compensatórios.
- Segmentação de rede
- Divisão da rede em zonas isoladas (modalidades, arquivo, laudo, administração) com regras de tráfego mínimas entre elas. Impede que o comprometimento de uma única máquina alcance o acervo inteiro, quebrando o caminho do movimento lateral e do ransomware.
- Backup imutável
- Cópia do acervo que não pode ser alterada nem apagada durante um período definido, mantida idealmente offline. É a defesa decisiva contra ransomware: garante que a clínica possa restaurar as imagens em vez de pagar resgate, desde que seja testado em restauração real.
A Decripte protege e responde a incidentes no setor de diagnóstico por imagem.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.