Segurança para clínica de radioterapia: anatomia de uma resposta que protege a integridade da dose

Centros de radioterapia operam aceleradores lineares e sistemas de planejamento (TPS) conectados, onde um comprometimento ou uma adulteração de dose deixa de ser problema de TI e vira risco direto à vida do paciente oncológico. A Decripte segmenta os equipamentos críticos, garante a integridade do planejamento, blinda o acesso e responde a incidentes com contenção em até 1 hora.

Direct answer

Para proteger uma clínica de radioterapia é preciso tratar o ambiente como o que ele é — uma rede onde sistemas de informação se conectam a equipamentos que entregam radiação ionizante a um corpo humano — e atuar em três frentes que operam juntas. Primeiro, segmentação rígida: o acelerador linear (LINAC), o sistema de planejamento de tratamento (TPS), o sistema de record-and-verify (R&V/OIS) e a tomografia de simulação ficam em uma rede isolada da rede administrativa e da internet, com fluxo controlado por firewall e DICOM/DICOM-RT inspecionado, de modo que ransomware ou um atacante na rede de e-mail nunca alcance o plano de dose. Segundo, integridade verificável do planejamento: controle de acesso forte (MFA, menor privilégio, contas nominais) sobre TPS e R&V, registro imutável de quem alterou cada plano e checagem de integridade entre o plano aprovado no TPS e o plano executado no LINAC, para que nenhuma adulteração de monitor units, fracionamento ou geometria passe sem rastro. Terceiro, monitoramento e resposta: um SOC 24x7 observando a telemetria dessa rede e uma capacidade de resposta a incidentes com SLA de contenção de até 1 hora, capaz de isolar uma máquina comprometida sem paralisar o serviço inteiro de oncologia. Sobre essa base, a conformidade com a LGPD para dado de saúde (sensível) e com os requisitos de proteção e registro do programa de garantia de qualidade exigido pela CNEN deixa de ser papel e vira controle técnico. A Decripte entrega esse conjunto como serviço gerenciado e começa por um diagnóstico gratuito de exposição em decripte.com.br/intelligence-center.

24/7

SOC monitorando a rede clínica e os equipamentos

<=1h

SLA de contenção em incidente crítico

LGPD

Prontuário oncológico = dado pessoal sensível de saúde

DICOM-RT

Protocolo do plano de dose que precisa ser inspecionado

In summary

  • Em radioterapia o ativo crítico não é só o dado: é a dose. Um plano de tratamento adulterado pode subdosar um tumor ou sobredosar tecido sadio, com dano clínico irreversível — por isso a integridade do planejamento é controle de segurança, não só de qualidade.
  • O LINAC e o TPS quase nunca são atacados diretamente. O caminho real é a rede administrativa (e-mail, RDP exposto, VPN sem MFA) que, sem segmentação, alcança a rede clínica e o record-and-verify.
  • Ransomware em radioterapia paralisa tratamento: sem TPS e sem R&V, não se planeja nem se entrega fração, e o atraso oncológico tem custo clínico. A continuidade é parte do plano de segurança.
  • Muitos equipamentos médicos rodam sistemas operacionais legados que o fabricante não permite atualizar livremente. A defesa não é só 'aplicar patch' — é compensar com segmentação, controle de acesso e monitoramento.
  • A janela de defesa é curta: detectar o movimento lateral e a alteração anômala antes que ela chegue ao plano executado exige monitoramento contínuo e contenção rápida, não verificação manual periódica.
Saúde

Cibersegurança para Radioterapia e Medicina Nuclear

Centros de radioterapia operam aceleradores lineares e sistemas de planejamento (TPS) conectados, onde um comprometimento ou uma adulteração de dose deixa de ser problema de TI e vira risco direto à vida do paciente oncológico. A Decripte segmenta os equipamentos críticos, garante a integridade do planejamento, blinda o acesso e responde a incidentes com contenção em até 1 hora.

Por que a radioterapia é um alvo de altíssima criticidade

Uma clínica ou centro de radioterapia é, do ponto de vista de segurança, um dos ambientes mais sensíveis do setor de saúde — e um dos menos compreendidos por quem só pensa em 'TI hospitalar'. O motivo é direto: aqui o sistema de informação não termina em um banco de dados de prontuário. Ele se conecta, por uma cadeia de software e protocolos, a um acelerador linear que dispara feixes de radiação ionizante calibrados em frações de Gray sobre o corpo de um paciente oncológico. A consequência de uma falha de integridade não é um dado errado em uma tela: é uma dose errada entregue a um ser humano.

O fluxo clínico passa por vários sistemas conectados. A tomografia de simulação gera as imagens do paciente. O sistema de planejamento de tratamento (TPS — Treatment Planning System) calcula, sobre essas imagens, a distribuição de dose, os campos, os ângulos de gantry, as unidades monitor (MU) e o fracionamento. O plano aprovado é transferido — geralmente via DICOM-RT — para o sistema de record-and-verify (R&V), também chamado de OIS (Oncology Information System), que orquestra a entrega no LINAC e registra cada fração efetivamente aplicada. Cada elo dessa cadeia é, ao mesmo tempo, um sistema de TI (com SO, rede, credenciais, banco de dados) e um componente de um processo que termina em radiação. Segurança da informação e segurança radiológica deixam de ser disciplinas separadas.

O ativo a proteger é a integridade da dose

Em radioterapia, confidencialidade (prontuário oncológico) e disponibilidade (não parar o tratamento) importam — mas a propriedade mais crítica é a integridade: a garantia de que o plano de dose aprovado pela equipe médica é exatamente o plano executado no acelerador, sem alteração não autorizada de MU, fracionamento, geometria ou identificação de paciente. Toda a arquitetura da Decripte para esse setor é desenhada para tornar qualquer adulteração impossível de passar despercebida.

Some-se a isso a realidade do parque tecnológico. Muitos equipamentos médicos — incluindo consoles de LINAC, estações de TPS e workstations DICOM — rodam sistemas operacionais ou bibliotecas que o fabricante validou em uma versão específica e cuja atualização livre quebraria a homologação clínica do equipamento. Isso significa que a higiene de patch tradicional muitas vezes não é aplicável diretamente. A resposta correta não é deixar o equipamento exposto: é compensar a impossibilidade de patch com segmentação de rede, controle de acesso e monitoramento — exatamente a abordagem de virtual patching e isolamento que se usa em ambientes industriais críticos.

As ameaças reais a um centro de radioterapia

As quatro ameaças que mais preocupam nesse sub-setor não são hipóteses de filme: derivam diretamente de como o ambiente é construído e conectado. Entendê-las é o primeiro passo para defender.

Adulteração de planejamento e de dose

O cenário de maior gravidade. Um atacante que obtém acesso ao TPS ou ao R&V poderia, em tese, alterar parâmetros do plano — unidades monitor, número de frações, posicionamento de campos — ou trocar a associação plano/paciente. Mesmo sem intenção maliciosa sofisticada, malware que corrompe arquivos DICOM-RT em trânsito ou em repouso pode comprometer a fidelidade do plano. O risco clínico é bidirecional: subdose do tumor (tratamento ineficaz) ou sobredose de tecido sadio e órgãos de risco (toxicidade grave). Por isso a integridade verificável entre plano aprovado e plano executado é o controle central.

Comprometimento do acelerador linear, ransomware e vazamento

O console do LINAC e as estações de TPS são computadores. Quando estão na mesma rede plana que a recepção, o financeiro e o e-mail — cenário comum em clínicas que cresceram sem arquitetura de segurança — qualquer comprometimento administrativo coloca o atacante a um salto de distância do equipamento crítico. Acesso remoto de fornecedor mal controlado (RDP, VPN sem MFA, ferramentas de suporte sempre ligadas) é um vetor recorrente de entrada. E o prontuário oncológico — diagnóstico, estadiamento, imagens, plano de tratamento — é dado pessoal sensível sob a LGPD: servidores DICOM expostos à internet e bancos de dados de OIS sem controle de acesso são as causas mais frequentes de vazamento.

Ransomware em radioterapia paralisa tratamento

Sem TPS, não se planeja. Sem R&V/OIS, o LINAC não recebe nem registra a entrega da fração. Um ransomware que cifra essas estações ou o servidor de imagens interrompe o tratamento de toda a fila de pacientes — e atraso em oncologia tem custo clínico. A recuperação não pode depender de pagar resgate: depende de backup íntegro, testado e isolado, e de um plano de continuidade que mantenha o atendimento crítico enquanto se erradica a ameaça.

Mapa rápido de exposição que avaliamos no diagnóstico

  • A rede dos equipamentos (LINAC, TPS, R&V, TC de simulação) está isolada da rede administrativa e da internet?
  • Há servidor DICOM ou porta DICOM (104/11112) alcançável de fora da rede clínica?
  • O acesso remoto de fornecedores de LINAC/TPS é sob demanda, com MFA, e registrado — ou está sempre ligado?
  • TPS e R&V usam contas nominais com MFA, ou contas compartilhadas genéricas?
  • Existe verificação de integridade entre o plano aprovado e o plano executado no acelerador?
  • Há backup isolado e testado do TPS, do R&V e do servidor de imagens, com tempo de recuperação conhecido?
Gestão de Ameaças · Grátis

Is radioterapia e medicina nuclear data already exposed or up for sale? Find out now — for free.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Segmentar os equipamentos críticos é o primeiro controle

A medida de maior impacto e melhor relação custo-benefício em um centro de radioterapia é também a mais negligenciada: separar a rede clínica da rede administrativa. Em muitas clínicas, por herança de crescimento, recepção, faturamento, e-mail, Wi-Fi de visitantes e os consoles dos equipamentos convivem na mesma rede plana. Isso transforma qualquer phishing bem-sucedido em um caminho aberto até o LINAC.

A arquitetura correta cria zonas. A rede clínica — LINAC, TPS, R&V/OIS, TC de simulação, servidores DICOM e PACS — vive em um segmento isolado, sem acesso direto à internet. O fluxo entre essa zona e o resto da clínica passa por um firewall que só permite o estritamente necessário, e o tráfego DICOM/DICOM-RT é tratado como o que é: um canal sensível que carrega imagens e planos de dose, sujeito a inspeção e a regras de origem/destino bem definidas. O acesso remoto de fabricantes deixa de ser uma conexão permanente e vira um acesso sob demanda, autenticado com MFA, com janela de tempo, gravação de sessão e revogação automática.

Por que segmentar resolve o problema do equipamento que não pode receber patch

Quando um console de LINAC ou uma estação de TPS roda um SO legado homologado pelo fabricante e não pode ser atualizado livremente, a vulnerabilidade do sistema operacional permanece. A segmentação reduz o problema a quase irrelevante na prática: se o equipamento só fala com os sistemas que precisa, em portas específicas, dentro de uma zona monitorada e sem rota para a internet, a superfície que um atacante consegue alcançar encolhe drasticamente. É o mesmo princípio de proteção de ativos OT/ICS aplicado ao parque médico.

Essa segmentação não é um projeto de 'desligar tudo e isolar'. Em ambiente clínico, ela é planejada com a equipe de física médica e de TI para preservar os fluxos legítimos — a transferência do plano da TC para o TPS, do TPS para o R&V, do R&V para o LINAC — enquanto fecha tudo o que não tem função clínica. O resultado é uma rede onde o caminho do atacante até a dose simplesmente deixa de existir.

Garantir a integridade do planejamento e blindar o acesso

Segmentar impede que o atacante chegue perto. Os controles de integridade e de acesso garantem que, mesmo com alguém legítimo ou um insider operando os sistemas, nenhuma alteração indevida do plano de dose passe sem rastro.

Controle de acesso forte sobre TPS e R&V

Contas nominais — nunca compartilhadas —, autenticação multifator e menor privilégio são a base. Um físico médico, um dosimetrista, um radio-oncologista e um técnico têm perfis distintos; nem todos podem aprovar plano, alterar parâmetros ou liberar entrega. O acesso administrativo às estações é separado do acesso clínico. Cada login e cada ação sensível ficam registrados de forma que possam ser auditados depois.

Registro imutável e trilha de auditoria

Toda alteração de plano — quem alterou, o quê, quando — precisa gerar um registro que não possa ser apagado ou modificado pelo próprio usuário. Esse log alimenta o SOC e serve tanto à investigação de incidente quanto à garantia de qualidade exigida pelo programa de proteção radiológica. Em termos regulatórios, isso conversa diretamente com a exigência de registros do programa de garantia de qualidade que a CNEN impõe a serviços de radioterapia.

Checagem de integridade entre plano aprovado e plano executado

O controle que fecha o ciclo: comparar, de forma automatizada e contínua, o plano que foi clinicamente aprovado no TPS com o plano efetivamente carregado e executado no LINAC via R&V. Qualquer divergência de unidades monitor, fracionamento, geometria ou associação de paciente dispara alerta antes da entrega. Adulteração — maliciosa ou por corrupção de dados — deixa de ser invisível e passa a ser um evento detectável e bloqueável.

Esses três controles juntos — acesso forte, registro imutável e checagem de integridade — transformam a integridade da dose, que normalmente é tratada apenas como tema de física médica e qualidade, em uma propriedade de segurança verificável, monitorada 24x7 e defensável diante de auditoria e da ANPD.

Conformidade: LGPD para saúde e os registros da CNEN

A conformidade em um centro de radioterapia tem duas faces que a Decripte trata de forma integrada: a proteção de dados pessoais e a rastreabilidade do processo radiológico. Tratá-las como controles técnicos, e não como papelada, é o que evita tanto a multa quanto o incidente.

LGPD e dado sensível de saúde

O prontuário oncológico, as imagens e o plano de tratamento são dados pessoais sensíveis sob a Lei Geral de Proteção de Dados. Isso exige base legal adequada, controle de acesso baseado em necessidade, registro das operações de tratamento e capacidade de responder a um incidente com a comunicação à ANPD e aos titulares quando houver risco. Tecnicamente, isso se traduz em criptografia de dados em repouso e em trânsito, segregação de acesso, e logging — os mesmos controles que protegem a integridade da dose também sustentam a conformidade.

Garantia de qualidade e registros sob a CNEN

Serviços de radioterapia operam sob a regulação de proteção radiológica da Comissão Nacional de Energia Nuclear, que exige um programa de garantia de qualidade com registros confiáveis de calibração, dose e parâmetros de tratamento. A segurança da informação é o que dá a esses registros a propriedade de não poderem ser adulterados ou perdidos. Trilha de auditoria imutável, backup íntegro e controle de acesso são a ponte entre a exigência regulatória de registro e a sua garantia técnica.

A mesma engenharia serve à segurança e à conformidade

Criptografia, contas nominais com MFA, segmentação, logging imutável e backup testado não são controles que você implementa uma vez para a LGPD e outra vez para a CNEN e outra para evitar ransomware. É um único conjunto de engenharia de segurança que, bem feito, satisfaz simultaneamente a proteção de dados de saúde, a rastreabilidade radiológica e a resiliência operacional. A Decripte estrutura esse conjunto de uma vez.

Gestão de Ameaças · Grátis

What would an incident in radioterapia e medicina nuclear cost? See your real risk before it happens.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

O SOC 24x7 observando a rede clínica

Segmentação e controle de acesso reduzem a superfície e tornam a adulteração detectável. O SOC 24x7 é quem efetivamente vê — em tempo real, fora do horário comercial, no fim de semana, na madrugada — o sinal de que algo está errado e aciona a resposta antes que o dano chegue ao paciente.

Em um centro de radioterapia, o SOC monitora um conjunto de telemetrias específicas: logins anômalos no TPS e no R&V (horário fora do expediente, dispositivo novo, tentativa de elevação de privilégio); tráfego DICOM/DICOM-RT que sai do padrão (transferências para destinos desconhecidos, varreduras da porta DICOM, volumes incomuns); atividade na rede clínica que não corresponde a nenhum fluxo legítimo; e os alertas de integridade entre plano aprovado e plano executado. Cada um desses sinais é correlacionado, e não tratado isoladamente — um login fora de hora somado a uma transferência DICOM atípica é um padrão muito mais grave que cada evento sozinho.

Por que monitoramento periódico não basta aqui

Verificar a rede uma vez por mês ou só quando alguém percebe um problema deixa uma janela enorme. Entre o movimento lateral inicial e a alteração que chega ao plano executado, o tempo pode ser de horas — e o tratamento de manhã não espera. Só monitoramento contínuo, com analistas de plantão e resposta acoplada, fecha essa janela. É a diferença entre detectar a adulteração antes da fração e descobri-la depois, na revisão de qualidade.

O SOC não é uma ferramenta que dispara e-mails. É a combinação de coleta de telemetria, correlação, analistas humanos de plantão e um runbook acordado com a clínica que define exatamente o que se isola, o que não se desliga (porque há paciente em tratamento) e quem é acionado. Essa é a ponte natural para a resposta a incidentes.

Como esse conjunto vira um serviço gerenciado, sem fricção clínica

Uma objeção legítima de qualquer gestor de clínica é: 'segurança não pode atrapalhar o tratamento'. Está correto. Por isso a Decripte desenha todos os controles para serem invisíveis ao fluxo clínico legítimo e impeditivos apenas ao que não tem função médica.

A segmentação preserva as transferências TC→TPS→R&V→LINAC. O controle de acesso usa MFA de forma que o físico médico e o radio-oncologista entrem normalmente, sem etapas que travem o atendimento. A checagem de integridade roda em segundo plano e só se manifesta quando há divergência real. O SOC opera fora da clínica, sem exigir que a equipe assistencial vire analista de segurança. E a resposta a incidentes tem um runbook que prioriza explicitamente a continuidade do atendimento crítico — isolar a máquina comprometida sem parar a fila inteira de pacientes.

O que a clínica ganha sem precisar virar uma empresa de cibersegurança

  • Segmentação e firewall da rede clínica configurados e mantidos por especialistas
  • TPS, R&V e estações com MFA, contas nominais e trilha de auditoria imutável
  • Verificação contínua de integridade entre plano aprovado e plano executado
  • SOC 24x7 com analistas de plantão monitorando a rede dos equipamentos
  • Resposta a incidentes com contenção em até 1h e runbook que preserva o atendimento
  • Conformidade LGPD para dado de saúde e registros alinhados à garantia de qualidade da CNEN

O ponto de partida não custa nada e não exige compromisso: o diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center mostra, de fora, qual é a exposição real da clínica — servidores DICOM alcançáveis, acessos remotos abertos, superfícies que um atacante veria. A partir desse retrato, os planos pagos em /planos cobrem o que precisar ser estruturado.

Anatomia de um caso real: TPS exposto e risco à integridade da dose em um centro de radioterapia

Real, de-identified example

exemplo real descaracterizado, sem identificar o cliente, construído a partir de padrões recorrentes do setor. Um centro de radioterapia de médio porte opera dois aceleradores lineares, um TPS, um sistema de record-and-verify e uma TC de simulação. Por herança de crescimento, a rede é plana: os consoles dos equipamentos convivem no mesmo segmento que recepção, faturamento e e-mail. O fabricante do LINAC mantém uma conexão de suporte remoto permanente, sem MFA, para 'agilizar' o atendimento. Um servidor DICOM responde na porta 104 e está alcançável a partir da rede administrativa. É exatamente o tipo de exposição que o ângulo deste setor descreve: TPS exposto, com risco à integridade do planejamento e da dose.

  1. Vetor inicial

    Um e-mail de phishing direcionado à coordenação administrativa instala um implante na rede da clínica. Como a rede é plana, o atacante já está a poucos saltos do segmento clínico. Em paralelo, varreduras externas haviam mapeado a conexão de suporte remoto do fabricante e a porta DICOM aberta.

  2. Detecção

    O SOC 24x7 da Decripte correlaciona dois sinais que, isolados, passariam: um login no R&V às 2h47 de um dispositivo nunca visto e uma transferência DICOM-RT da estação do TPS para um destino fora do padrão dos fluxos clínicos. O padrão dispara um alerta de severidade crítica — possível movimento em direção ao plano de dose.

  3. Contenção (<=1h)

    Acionada a resposta a incidentes, a Decripte isola a estação de TPS e o console comprometidos do restante da rede, encerra a sessão de suporte remoto permanente do fabricante e bloqueia o servidor DICOM exposto — tudo sem desligar o segundo acelerador, onde havia paciente em tratamento, seguindo o runbook que prioriza a continuidade do atendimento crítico.

  4. Verificação de integridade

    A checagem entre plano aprovado e plano executado é rodada para todos os pacientes ativos. Confirma-se que duas alterações de unidades monitor haviam sido injetadas em planos ainda não entregues. Como a divergência foi detectada antes da fração, nenhum paciente recebeu dose adulterada. Os planos são restaurados a partir da versão íntegra e revalidados pela física médica.

  5. Erradicação

    O implante é removido, as credenciais expostas são rotacionadas, a conexão de suporte do fabricante é reconstruída como acesso sob demanda com MFA e gravação de sessão, e o servidor DICOM é movido para dentro da zona clínica isolada, sem rota para a rede administrativa.

  6. Recuperação

    A rede é re-segmentada: zona clínica (LINAC, TPS, R&V, TC, DICOM) separada da administrativa por firewall, com fluxos legítimos preservados. Backup íntegro do TPS e do R&V é validado. O serviço retoma o ritmo normal de tratamento com a cadeia de integridade da dose agora monitorada continuamente.

  7. Lições e estruturação

    Pós-incidente, a clínica adota o serviço gerenciado: SOC 24x7 sobre a rede clínica, MFA e contas nominais no TPS/R&V, trilha de auditoria imutável, verificação contínua de integridade plano-aprovado vs. plano-executado e adequação da proteção de dados sensíveis à LGPD com registros alinhados à garantia de qualidade da CNEN.

Outcome with Decripte

Porque o SOC detectou o padrão anômalo às 2h47 e a contenção ocorreu em menos de 1 hora, a adulteração de dose foi interceptada antes de qualquer fração ser entregue. Nenhum paciente foi exposto a dose incorreta, o prontuário oncológico não vazou e o tratamento dos demais pacientes não foi interrompido. O que poderia ter sido um dano clínico irreversível virou um incidente contido e uma clínica estruturada — com a rede segmentada, o acesso blindado e a integridade do planejamento monitorada 24x7 pela Decripte.

Resposta a Incidentes · 24/7

Don’t wait for the incident. Start hardening radioterapia e medicina nuclear today.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Como a Decripte responde a um incidente em radioterapia

Em um ambiente onde o dano final pode ser uma dose errada em um paciente, a resposta a incidentes é desenhada para conter rápido sem paralisar o atendimento crítico. O SLA de contenção é de até 1 hora.

  1. Detecção e triagem: o SOC 24x7 correlaciona logins anômalos no TPS/R&V, tráfego DICOM atípico, atividade fora de padrão na rede clínica e alertas de integridade de plano, classificando a severidade em minutos.
  2. Contenção cirúrgica em até 1h: isolamento da estação ou console comprometido e corte do vetor (sessão de suporte remoto, porta exposta), sempre seguindo o runbook que mantém em operação os equipamentos com paciente em tratamento.
  3. Verificação de integridade da dose: comparação imediata entre planos aprovados e planos executados/carregados para todos os pacientes ativos, identificando qualquer adulteração de MU, fracionamento, geometria ou associação de paciente antes da próxima fração.
  4. Erradicação: remoção do implante/malware, rotação de credenciais expostas, reconstrução segura dos acessos de fornecedor (sob demanda + MFA + gravação) e fechamento das exposições que permitiram a entrada.
  5. Recuperação com integridade garantida: restauração de TPS, R&V e imagens a partir de backup íntegro e testado, revalidação clínica dos planos pela física médica e retorno controlado ao ritmo normal de tratamento.
  6. Comunicação e conformidade: apoio à avaliação de risco do incidente e, havendo dado pessoal sensível afetado, suporte à comunicação à ANPD e aos titulares conforme a LGPD, além de preservação dos registros para a garantia de qualidade.
  7. Lições aprendidas e hardening: relatório do incidente, correção das causas-raiz (rede plana, acesso remoto permanente, DICOM exposto) e endurecimento permanente, com o ambiente passando a monitoramento contínuo.

Como a Decripte estrutura a segurança de um centro de radioterapia

A estruturação ataca a causa-raiz dos incidentes do setor — rede plana, acesso descontrolado, integridade não verificada — em pilares que operam juntos.

Segmentação dos equipamentos críticos

Rede clínica (LINAC, TPS, R&V/OIS, TC de simulação, DICOM/PACS) isolada da rede administrativa e da internet, com firewall liberando só os fluxos clínicos legítimos e tráfego DICOM/DICOM-RT inspecionado. É o controle que faz o caminho do atacante até a dose deixar de existir — e que compensa equipamentos que não podem receber patch.

Integridade verificável do planejamento

Checagem contínua e automatizada entre o plano aprovado no TPS e o plano executado no LINAC via R&V, com trilha de auditoria imutável de toda alteração. Adulteração de unidades monitor, fracionamento, geometria ou associação de paciente passa a ser detectável e bloqueável antes da fração.

Acesso blindado e menor privilégio

Contas nominais com MFA em TPS, R&V e estações; perfis distintos por papel clínico (físico, dosimetrista, radio-oncologista, técnico); acesso de fornecedores sob demanda, autenticado, com janela de tempo e gravação de sessão — fim das conexões de suporte permanentes sem controle.

Gestão de vulnerabilidades de dispositivos médicos

Inventário e avaliação contínua dos ativos clínicos, com virtual patching e isolamento para equipamentos legados que não podem ser atualizados livremente, priorização por risco real e fechamento das exposições (DICOM aberto, RDP/VPN sem MFA).

Monitoramento contínuo e resposta acoplada

SOC 24x7 sobre a rede clínica com correlação de sinais e analistas de plantão, ligado à resposta a incidentes com SLA de contenção de até 1h e runbook que preserva o atendimento crítico.

Conformidade integrada (LGPD + CNEN)

Criptografia, segregação de acesso, logging imutável e backup testado sustentando simultaneamente a proteção do prontuário oncológico (dado sensível sob a LGPD/ANPD) e a rastreabilidade de registros do programa de garantia de qualidade exigido pela regulação de proteção radiológica da CNEN.

Recommended plans for Radioterapia e Medicina Nuclear

Frequently asked questions

Um atacante pode mesmo alterar a dose de radiação de um paciente?

Em um ambiente sem os controles adequados, sim — esse é o risco de maior gravidade do setor. Quem obtém acesso ao TPS ou ao sistema de record-and-verify pode, em tese, alterar unidades monitor, fracionamento, geometria de campos ou a associação plano/paciente; malware também pode corromper arquivos DICOM-RT. A defesa é tornar isso impossível de passar despercebido: segmentação para que o atacante não chegue perto, controle de acesso forte com trilha imutável, e verificação contínua de integridade entre o plano aprovado e o plano executado, que detecta e bloqueia qualquer divergência antes da fração.

Nossos equipamentos rodam sistemas antigos que o fabricante não deixa atualizar. Como protegê-los?

Esse é o caso típico de equipamento médico crítico, e a resposta não é deixá-lo exposto nem forçar uma atualização que quebra a homologação clínica. A abordagem correta é compensar a impossibilidade de patch com segmentação de rede (o equipamento só fala com os sistemas que precisa, em portas específicas, sem rota para a internet), virtual patching, controle de acesso e monitoramento. É o mesmo princípio usado para proteger ativos industriais legados, aplicado ao parque médico.

Segurança não vai atrasar ou atrapalhar os tratamentos?

Não, quando bem desenhada. A segmentação preserva os fluxos clínicos legítimos (TC para TPS, TPS para R&V, R&V para o LINAC) e bloqueia apenas o que não tem função médica. O MFA é configurado para a equipe entrar normalmente. A verificação de integridade roda em segundo plano. E a resposta a incidentes segue um runbook que prioriza explicitamente a continuidade do atendimento: isola a máquina comprometida sem parar a fila inteira de pacientes.

O que acontece se um ransomware atingir a clínica?

Sem TPS e sem R&V/OIS, não se planeja nem se entrega fração — o tratamento de toda a fila para. Por isso a defesa combina prevenção (segmentação, acesso controlado, monitoramento) com resiliência: backup íntegro, isolado e testado do TPS, do R&V e do servidor de imagens, com tempo de recuperação conhecido, mais um plano de continuidade. A recuperação nunca depende de pagar resgate. E o SOC 24x7 busca detectar e conter o ataque antes que ele cifre os sistemas críticos.

O prontuário oncológico está protegido sob a LGPD?

Diagnóstico de câncer, estadiamento, imagens e plano de tratamento são dados pessoais sensíveis de saúde, com proteção reforçada pela LGPD. Isso exige base legal adequada, controle de acesso por necessidade, criptografia em repouso e em trânsito, registro das operações e capacidade de responder a um incidente com comunicação à ANPD e aos titulares quando houver risco. A Decripte implementa esses controles técnicos e integra a conformidade à arquitetura de segurança.

Como vocês lidam com o acesso remoto dos fabricantes dos equipamentos?

Conexões de suporte remoto permanentes e sem MFA são um dos vetores de entrada mais comuns no setor. A Decripte converte esse acesso em algo sob demanda: autenticado com MFA, com janela de tempo definida, gravação de sessão e revogação automática ao fim. O fabricante continua conseguindo dar suporte, mas a porta deixa de ficar sempre aberta para qualquer um que a encontre.

O que o diagnóstico gratuito mostra para uma clínica de radioterapia?

O diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center dá o retrato da exposição vista de fora: servidores ou portas DICOM alcançáveis, acessos remotos abertos, serviços expostos e superfícies que um atacante enxergaria. É um ponto de partida sem custo e sem compromisso. A partir desse retrato, os planos pagos em /planos cobrem o que precisar ser estruturado — segmentação, SOC, resposta a incidentes e conformidade.

Como a segurança se relaciona com a regulação da CNEN?

Serviços de radioterapia operam sob a regulação de proteção radiológica da Comissão Nacional de Energia Nuclear, que exige um programa de garantia de qualidade com registros confiáveis. A segurança da informação é o que dá a esses registros a propriedade de não poderem ser adulterados nem perdidos: trilha de auditoria imutável, controle de acesso e backup íntegro são a ponte técnica entre a exigência regulatória de registro e a sua garantia efetiva.

Sector terms

TPS (Treatment Planning System)
Sistema de planejamento de tratamento. Software que, sobre as imagens do paciente, calcula a distribuição de dose, os campos, ângulos, unidades monitor e o fracionamento da radioterapia. É um dos ativos mais críticos: alterar o plano nele é alterar a dose entregue.
LINAC (Acelerador Linear)
Equipamento que gera e entrega o feixe de radiação ionizante ao paciente, conforme o plano aprovado. Seu console é um computador conectado à rede clínica, o que o torna alvo a proteger por segmentação e controle de acesso.
R&V / OIS (Record-and-Verify / Oncology Information System)
Sistema que orquestra a entrega do tratamento no LINAC e registra cada fração efetivamente aplicada, verificando se o que será entregue corresponde ao plano. Um comprometimento aqui afeta diretamente a integridade da dose.
DICOM-RT
Extensão do padrão DICOM para radioterapia, usada para transferir planos de dose, estruturas e registros entre TPS, R&V e LINAC. Por carregar o plano de dose, é um canal sensível que precisa ser inspecionado e restrito à zona clínica.
Integridade da dose
Propriedade de segurança que garante que o plano de tratamento aprovado pela equipe médica é exatamente o plano executado no acelerador, sem alteração não autorizada. É o ativo central a proteger em um centro de radioterapia.
CNEN
Comissão Nacional de Energia Nuclear, órgão que regula a proteção radiológica no Brasil e exige dos serviços de radioterapia um programa de garantia de qualidade com registros confiáveis — registros cuja inviolabilidade depende de controles de segurança da informação.

Decripte protects and responds to incidents in radioterapia e medicina nuclear.

Pentest, 24x7 SOC, incident response with a 1-hour containment SLA and compliance — without building an internal team. Or start free by seeing what has already leaked from your company.