Segurança cibernética em hospitais: principais ameaças e como se proteger

Segurança cibernética em hospitais: ameaças e proteção

Hospitais são um dos alvos preferidos de cibercriminosos no mundo. Em 2024, o setor de saúde foi o terceiro mais atacado no Brasil, atrás apenas de governo e finanças, segundo o relatório da Apura Cyber Intelligence. A razão é simples: dados de saúde valem até 20 vezes mais que dados de cartão de crédito no mercado ilegal, e hospitais frequentemente operam com infraestrutura de TI defasada.

O custo médio de um incidente cibernético em hospitais brasileiros ultrapassa R$ 5,2 milhões, considerando paralisação operacional, multas regulatórias, custos legais e dano reputacional.

Principais ameaças cibernéticas em hospitais

Ransomware

O ransomware é a ameaça número um para hospitais. O ataque criptografa dados e sistemas, exigindo resgate — geralmente em criptomoedas. Em 2023, o Hospital de Câncer de Barretos sofreu um ataque que paralisou sistemas por 5 dias, afetando mais de 3.000 pacientes em tratamento.

Características do ransomware hospitalar:

• Dupla extorsão — além de criptografar, ameaça vazar dados de pacientes
• Alvos preferenciais — sistemas de PEP, PACS (imagens médicas) e faturamento
• Tempo médio de recuperação — 23 dias sem backups adequados

Phishing direcionado

E-mails fraudulentos que se passam por fornecedores de equipamentos médicos, operadoras de saúde ou órgãos reguladores. 67% dos incidentes cibernéticos em hospitais começam com phishing, segundo a HIMSS (Healthcare Information and Management Systems Society).

Ataques a dispositivos médicos (IoMT)

Equipamentos conectados — monitores, bombas de infusão, ventiladores — frequentemente operam com software desatualizado e sem proteção adequada. Estima-se que 53% dos dispositivos médicos conectados possuem vulnerabilidades conhecidas.

Vazamento de dados internos

Colaboradores — intencionalmente ou por negligência — são responsáveis por 35% dos incidentes de segurança em hospitais. Acesso excessivo a prontuários, compartilhamento de senhas e uso de dispositivos pessoais são vetores comuns.

Estratégias essenciais de proteção

1. Backup robusto (regra 3-2-1)

• 3 cópias dos dados críticos
• 2 tipos de mídia diferentes (nuvem + local)
• 1 cópia offline (air-gapped), inacessível pela rede
• Teste de restauração mensal para garantir integridade

2. Segmentação de rede

Separe a rede hospitalar em zonas:

• Rede administrativa — e-mail, ERP, financeiro
• Rede clínica — PEP, PACS, sistemas laboratoriais
• Rede de dispositivos médicos — IoMT isolado com firewall dedicado
• Rede de visitantes — Wi-Fi público completamente isolado

3. Gestão de acessos (Zero Trust)

• Autenticação multifator (MFA) obrigatória para todos os sistemas clínicos
• Princípio do menor privilégio — cada profissional acessa apenas o necessário
• Revisão trimestral de acessos
• Desativação automática de contas de colaboradores desligados

4. Treinamento contínuo

• Simulações de phishing mensais com métricas de clique
• Treinamento obrigatório em segurança da informação na admissão
• Reciclagem semestral para todo o corpo clínico e administrativo
• Canal de denúncia para incidentes suspeitos

5. Plano de resposta a incidentes

Tenha um plano documentado e testado que inclua:

• Equipe de resposta com papéis definidos (TI, jurídico, comunicação, diretoria)
• Procedimentos de contenção — isolamento de sistemas comprometidos
• Comunicação — protocolos para ANPD, pacientes e imprensa
• Recuperação — procedimentos de restauração priorizados por criticidade
• Simulação anual (tabletop exercise) com toda a equipe

Conformidade regulatória

LGPD e saúde

A LGPD classifica dados de saúde como dados pessoais sensíveis (Art. 5o, II). Incidentes de segurança envolvendo esses dados exigem:

• Notificação à ANPD em até 72 horas
• Comunicação aos titulares afetados
• Registro detalhado do incidente e medidas adotadas
• Multas que podem chegar a R$ 50 milhões por infração

ANS e operadoras

Operadoras de saúde exigem cada vez mais evidências de segurança cibernética nos contratos com hospitais credenciados. A tendência é que certificações como ISO 27001 se tornem pré-requisito para credenciamento.

Investimento em segurança cibernética

O investimento recomendado em segurança da informação para hospitais é de 6-10% do orçamento de TI. Para um hospital de médio porte, isso representa entre R$ 200 mil e R$ 600 mil por ano — valor significativamente menor que o custo de um único incidente grave.

A segurança cibernética em hospitais não é um custo — é um investimento na continuidade operacional e na proteção dos pacientes.