A área de saúde é a que mais sofre com ataques cibernéticos no mundo, segundo Relatório da IBM. Uma vulnerabilidade que levou a CEO da Bidweb a abrir uma empresa para oferecer serviços de proteção a players do setor. Ela explica as causas dessa situação e alerta que as guerras no Oriente Médio e na Ucrania mostram que a cibersegurança deve ser encarada como essencial para a soberania do País.
Durante a feira Hospitalar 2025, um dos maiores eventos de saúde da América Latina, o repórter Rafael Dantas conversou com Flávia Brito, CEO da Bidweb e uma das principais referências em cibersegurança no Brasil. À frente de uma empresa com mais de duas décadas de atuação e sediada no Porto Digital, Flávia acaba de lançar a BidHealth, especializada na proteção de dados e sistemas e voltada exclusivamente para o setor de saúde, segmento que lidera o ranking global de ataques cibernéticos há 13 anos consecutivos, segundo relatório da IBM.
Na entrevista, Flávia compartilha a trajetória que a levou a empreender num setor ainda dominado por homens, defende a soberania nacional sobre os dados estratégicos e alerta para os riscos reais da “guerra invisível” travada no ambiente digital. Com uma meta ambiciosa, a empresária planeja atender mais de 100 instituições de saúde já no primeiro ano da nova operação, sem abrir mão da democratização do acesso à segurança digital.
Como nasceu a BidHealth?
A BidHealth é a empresa nossa do segmento de saúde. A gente se uniu com a MV para montar essa marca que vem com a herança do propósito que a gente já tem na Bidweb: fazer essa transformação numa jornada de proteger as empresas de saúde. Acreditamos que, assim como na saúde, prevenir é muito menos custoso do que tratar um ataque, ou seja, tratar uma doença. A prevenção é necessária em tudo.
Já trabalhamos em várias salas de guerra, de ataque que clientes sofreram e estamos aqui com um propósito de dar continuidade ao que a gente já vem fazendo há muito tempo. Só que com um olhar específico para o setor de saúde.
Quando fundei essa empresa, a Bidweb, não existia este momento que a gente está vivendo hoje. Muitas vezes eu era questionada: “Nossa, isso vai acontecer aqui? Isso é coisa de Hollywood, isso é coisa da Nasa! Isso não faz parte do nosso contexto”.
Mas eu me identifiquei muito com essa área de cibersegurança e venho desenvolvendo esse trabalho há 23 anos. Somos uma empresa embarcada no Porto Digital, acredito muito no ecossistema, no desenvolvimento de cooperação em conjunto.
Sou aluna do doutorado da Cesar School. A gente acredita que a cibersegurança é necessária para o uso de tecnologias e das inúmeras plataformas. Mas temos a premissa de que a inteligência precisa ser nossa. Nós precisamos de uma soberania nacional para defender os nossos interesses.
A saúde é um setor muito atacado?
O setor de saúde vem liderando o número de ataques pelo 13° ano consecutivo. É o mais atacado e mais visado no mundo, segundo o Relatório da IBM. Nosso trabalho é proteger e cuidar dos dados dos hospitais para garantir o melhor acesso e o melhor atendimento ao usuário. Então, imagina que você tem um exame ou uma cirurgia marcada, ou qualquer outro procedimento hospitalar e os sistemas estão inoperantes [por um ataque de hacker]. A indisponibilidade dos serviços afeta diretamente a população. Então, sendo um serviço crítico, é estratégico para nós. Estamos muito entusiasmados com esse nosso novo empreendimento.
Nós oferecemos toda a análise e estrutura para oferecer o serviço. Desde o assessment, ou seja, desde o início para entender onde a empresa está em relação a maturidade e risco. Analisar o que nós podemos fazer para melhorar e mitigar esses riscos e diminuir as vulnerabilidades, até a implantação, sustentação e o monitoramento 24 horas.
Temos uma rede de parceiros e de fabricantes que nos apoiam. Fizemos uma composição de entrega em que a gente consegue ser eficiente, competitivo e crescer nesse segmento. Já temos experiência vasta em outros segmentos e também temos clientes de saúde.
Por que o setor de saúde sofre tanto ataque cibernético?
Primeiro, [a cibersegurança] sempre concorreu com o investimento de um tomógrafo, de um equipamento hospitalar. As empresas e instituições do setor prestam um serviço para a população que é muito necessário, mas que o nível de maturidade e de risco para um ambiente de saúde nunca foi tão desenvolvido. E obviamente a área de saúde tem muitos dados críticos e sensíveis.
Isso faz com que os hackers entendam que, devido à baixa maturidade em cibersegurança e à existência de muito risco e dados críticos, eles têm a possibilidade de atacar. Existem vários casos emblemáticos de empresas que foram atacadas e tiveram que pagar resgate. Outras não pagaram mas tiveram a sua operação paralisada por muito tempo. É isso que a gente quer evitar. Porque é uma área que tem dados muito críticos e é muito necessária para a população, que ainda não tem um nível de maturidade em cibersegurança.
O dano de imagem da empresa quando ela é atacada é gigante.
Sim, o dano reputacional. Muitos clientes falam assim: "Eu não preciso de vocês, porque tudo meu está na nuvem”. Muito pelo contrário. É aquela sensação de que “o que os olhos não veem, o coração não sente". Mas mesmo tendo todos os seus dados fora de casa, você precisa controlar o acesso, ter políticas bem definidas, controlar e monitorar as vulnerabilidades.
Existe um arcabouço de soluções, de tecnologias e de serviços de inteligência que podem ajudar para que o ataque não aconteça. Ninguém nunca vai garantir 100% de proteção. Mas se acontecer um ataque, a resposta da empresa que investe em cibersegurança vai ser muito mais rápida.
Como é que a LGPD contribui para o negócio em si da cibersegurança voltado para saúde?
A LGPD não diz para implantar tal serviço, ou tal solução. O que é que ela diz? Tenha cuidado com os dados. Use a boa fé. Tivemos nos últimos três anos mais de 50 milhões de dados de saúde vazados. Aí as pessoas dizem: "Ah, por que eu vou proteger se tudo já foi vazado?" É importante lembrar que nós vivemos numa era de dados. Então, todo dia temos mais informações sobre nós: é um diagnóstico, é uma nova doença… enfim, a gente tem outras informações que não foram vazadas.
Os ataques acontecem até em um atendimento no hospital. Várias pessoas já caíram no golpe de ter um familiar hospitalizado e receberam uma ligação dizendo: "Olha, o paciente precisa de tal remédio e o plano de saúde não autorizou. Ele precisa tomar essa medicação e a família vai ter que pagar.” Ou “precisa fazer um determinado exame e o plano de saúde não oferece ou o SUS não autoriza”.
Então, veja, proteger os dados é proteger a vida. As pessoas precisam entender isso. A LGPD vem com esse propósito de proteger e garantir o direito do titular de dados de não ter suas informações usadas.
Quando penso nesse investimento sobre segurança de dados, imagino que sejam feitos nos hospitais e clínicas particulares ou planos de saúde. Como está a maturidade e os investimentos do setor público nessa área de segurança de dados?
Eles também se preocupam. A gente sabe que os recursos são limitados. Tanto no setor privado, como no setor público. Nunca haverá um hospital, por mais excelência que ele tenha, que vai cobrir [todos os dados]. A gente tem que tratar do que está mais vulnerável, do que está mais crítico.
Muito importante é ter noção e estar sempre monitorando quais são os riscos, saber, por exemplo, se determinado risco pode parar a operação. Mas se ele não é tão crítico, porém deixa a empresa vulnerável, como é que eu vou fazer essa tratativa? A gente está sempre monitorando e observando essas questões.
Por exemplo, temos uma plataforma em que conseguimos ranquear o que é mais ou menos crítico e vamos tratando e eliminando. Porque muitas empresas e instituições não têm tempo, dinheiro e pessoas. Então, como é que a gente faz isso? Primeiro entendemos o que é mais crítico, montamos um plano de ação e trabalhamos em cima dele sem parar.
O setor público tem investido também em cibersegurança?
Sim. É importante a gente frisar que qualquer pessoa, inclusive nós dois, somos ou podemos ser vítimas de um ataque. Então, não importa se você tem um grande cliente ou uma pequena clínica, aquele é teu negócio que está provendo serviços para pessoas que estão ali, muitas vezes, procurando serviços para o seu bem-estar ou para sua vida. E a gente precisa proteger esses dados. Eu não tenho muitos clientes do SUS ou do governo. Mas temos alguns trabalhos com o SUS e todos eles estão muito preocupados com a situação que todos vem enfrentando, não somente no setor público, mas o setor privado.
Vocês têm alguma expectativa de quantas empresas devem atender com essa nova operação?
Temos, temos sim. A gente tem uma meta bem arrojada. Queremos atender neste primeiro ano mais de 100 instituições. É um número bem alto para começar uma operação. Mas, vamos bater essa meta. A feira Hospitalar foi espetacular. A gente conheceu muitos lides qualificados e eu acredito que vai ser muito importante para nós, pernambucanos, tendo uma empresa liderada por uma mulher, conseguir trazer para outras regiões uma qualificação em tecnologia, em conteúdo.
Temos uma equipe altamente qualificada, composta por doutores, mestres, doutorandos e mestrandos. Acreditamos muito nessa conexão com o Porto Digital, que fomenta a academia na realização de negócios, para que a gente consiga desenvolver inteligência e soberania para nossas entregas.
Como a senhora entrou nesse mercado de cibersegurança?
Eu trabalhava numa multinacional em que tive uma formação muito boa no campo comercial. Essa empresa fechou no Recife. Eu já era da área tecnológica, fiz vestibular para ciência da computação e, na época quando eu ainda estava cursando, comecei a trabalhar com tecnologia.
Fui para uma outra empresa, uma consultoria que tinha iniciado um trabalho de cibersegurança. E lá fiquei responsável por essa área e me encantei. Essa empresa também não atua mais no Recife. Quando saí dela, comecei a buscar o que ia fazer da vida e fui convidada por um fabricante do setor para montar uma operação, porque não havia ninguém no Recife para trabalhar. E aí eu topei. A gente montou essa operação, eu e um sócio que não está mais na empresa. E fui tocando. Cada vez me apaixono mais, atendendo mais, trazendo boas pessoas, formando um time. E isso foi fluindo, foi acontecendo, enfim, e hoje estamos aqui.
Qual é hoje o tamanho da Bidweb?
A empresa-mãe, hoje, tem quase 100 colaboradores. Crescemos muito e tivemos que fazer ajustes para assumir esse novo empreendimento. A nova empresa tem lideranças muito capacitadas, conseguimos formar um time de excelência. Eu digo que como mulher e nordestina, eu venho para São Paulo, não para ser mão de obra barata, mas para trazer inteligência e conhecimento. Abrimos portas para outras mulheres e para outras nordestinas virem fazer um trabalho de excelência em São Paulo. E no Brasil todo.
Hoje as mulheres são minoria na liderança das empresas e no setor de TI. A senhora acha que ainda o crescimento de profissionais do sexo feminino é um desafio?
Ainda existe um preconceito velado. As pessoas dizem: "Ah, que bom que você é líder e é feminina”. Mas na hora de apoiar, apoiam uma empresa liderada por homens, isso é fato. Mas veja, isso nunca me impediu de fazer nada, nunca me incomodou.
Sempre soube o que eu queria e aonde eu ia chegar. Em todas as palestras que faço e todos os encontros que promovo com mulheres, tento trazer a minha experiência de estar numa área de tecnologia, que é muito mais liderada por homens e no setor da cibersegurança é ainda mais.
Você precisa acreditar nesse sonho, ser resiliente e resistir ao tempo. Não tenho mais ou menos atributos que ninguém. Eu só consegui resistir mais tempo. Hoje tenho 50 anos e estou abrindo uma nova empresa, o que é um desafio gigante. Estamos já há anos fazendo um trabalho em São Paulo de reconhecimento de marca, de conhecimento de mercado. Já temos alguns clientes no Estado e eu acho que a gente agora só vai prosperar. E que bom: vamos gerar mais emprego no Recife, melhorar a nossa cidade, vamos poder mudar a vida de outras pessoas.
Quais são os segmentos em que atuam?
Temos clientes de todos os segmentos, varejo, educação, saúde, governo. Até por uma questão de sobrevivência. Estamos no Recife, no Ceará, na Paraíba. Precisamos atender clientes, de todos os segmentos e de todo tamanho.
Acho que isso trouxe uma expertise para gente, que conseguiu se adequar com a entrega de serviços tanto para o cliente menor, como para um grande. Isso foi muito bom porque muitas empresas atendem clientes só pequeno ou só grande porte. Então, isso trouxe para nós um know-how. Não só do diagnóstico, da implantação, mas principalmente da sobrevivência de uma empresa de cibersegurança.
Tenho percebido a preocupação não só de trazer inovação, mas uma inovação que seja sustentável. Essa é uma tendência nesse setor?
Total. Eu falo muito sobre soberania. Sobre a gente entender os nossos dados, a nossa vulnerabilidade, para tomar decisões, pensando, sim, na nossa realidade. Não somente soberania, mas democratização.
Porque quando eu disse que a gente atende pequenas e grandes empresas, a gente entende que o negócio de uma pequena empresa é tão importante para o dono como a de uma gigante. Quando a gente traz a democratização, faz com que isso seja acessível, a gente melhora o ecossistema como um todo, a nossa cidade, o nosso País.
Por que você avalia que a soberania é estratégica e chave para o setor de cibersegurança?
Vivemos num momento de geopolítica tenso, com muitas guerras. As pessoas imaginam que as guerras são só de armamento físico. Mas não são. Existem guerras cibernéticas. Israel foi invadido. O muro foi quebrado pelo Hamas mas eles fizeram um primeiro ataque a serviços críticos de Israel, em momentos anteriores para desviar toda a atenção e trazer os microdrones, bombardear as câmaras e poderem, de fato, quebrar o muro. Então, isso é um ataque.
Vemos Israel estourando pontos do Hamas dentro de hospitais, em lugares que até possuem civis, usando a inteligência cibernética para isso. Vimos na guerra russa, que antes de atacar a Ucrânia, quis roubar todos os dados e deixar os ucranianos sem nenhum acesso aos seus dados. A Ucrânia foi salva por grandes players, como Microsoft, AWS e Google, que ajudaram o país a não perder seus dados e a resistir a um ataque da Rússia.
Ou seja, existe uma guerra de espionagem, em que a gente precisa garantir que os nossos dados, que as nossas decisões, tenham inteligência para nossa defesa. Não podemos, simplesmente, usar a melhor tecnologia que está listada. Deixar que ela seja dona das nossas decisões. No mundo de guerra cibernética, a inteligência precisa estar conosco para que a gente consiga tomar as decisões corretas.
