Pular para o conteúdo principal
Revoluna
Voltar ao blog
Tecnologia na Saúde4 min de leitura

Segurança cibernética em hospitais: principais ameaças e como se proteger

Conheça as principais ameaças cibernéticas que afetam hospitais brasileiros e as estratégias essenciais de proteção para gestores da saúde.

Julia Revoluna

Julia Revoluna

30 de julho de 2025

Segurança cibernética em hospitais: ameaças e proteção

Hospitais são um dos alvos preferidos de cibercriminosos no mundo. Em 2024, o setor de saúde foi o terceiro mais atacado no Brasil, atrás apenas de governo e finanças, segundo o relatório da Apura Cyber Intelligence. A razão é simples: dados de saúde valem até 20 vezes mais que dados de cartão de crédito no mercado ilegal, e hospitais frequentemente operam com infraestrutura de TI defasada.

O custo médio de um incidente cibernético em hospitais brasileiros ultrapassa R$ 5,2 milhões, considerando paralisação operacional, multas regulatórias, custos legais e dano reputacional.

Principais ameaças cibernéticas em hospitais

Ransomware

O ransomware é a ameaça número um para hospitais. O ataque criptografa dados e sistemas, exigindo resgate — geralmente em criptomoedas. Em 2023, o Hospital de Câncer de Barretos sofreu um ataque que paralisou sistemas por 5 dias, afetando mais de 3.000 pacientes em tratamento.

Características do ransomware hospitalar:

  • Dupla extorsão — além de criptografar, ameaça vazar dados de pacientes
  • Alvos preferenciais — sistemas de PEP, PACS (imagens médicas) e faturamento
  • Tempo médio de recuperação — 23 dias sem backups adequados

Phishing direcionado

E-mails fraudulentos que se passam por fornecedores de equipamentos médicos, operadoras de saúde ou órgãos reguladores. 67% dos incidentes cibernéticos em hospitais começam com phishing, segundo a HIMSS (Healthcare Information and Management Systems Society).

Ataques a dispositivos médicos (IoMT)

Equipamentos conectados — monitores, bombas de infusão, ventiladores — frequentemente operam com software desatualizado e sem proteção adequada. Estima-se que 53% dos dispositivos médicos conectados possuem vulnerabilidades conhecidas.

Vazamento de dados internos

Colaboradores — intencionalmente ou por negligência — são responsáveis por 35% dos incidentes de segurança em hospitais. Acesso excessivo a prontuários, compartilhamento de senhas e uso de dispositivos pessoais são vetores comuns.

Estratégias essenciais de proteção

1. Backup robusto (regra 3-2-1)

  • 3 cópias dos dados críticos
  • 2 tipos de mídia diferentes (nuvem + local)
  • 1 cópia offline (air-gapped), inacessível pela rede
  • Teste de restauração mensal para garantir integridade

2. Segmentação de rede

Separe a rede hospitalar em zonas:

  • Rede administrativa — e-mail, ERP, financeiro
  • Rede clínica — PEP, PACS, sistemas laboratoriais
  • Rede de dispositivos médicos — IoMT isolado com firewall dedicado
  • Rede de visitantes — Wi-Fi público completamente isolado

3. Gestão de acessos (Zero Trust)

  • Autenticação multifator (MFA) obrigatória para todos os sistemas clínicos
  • Princípio do menor privilégio — cada profissional acessa apenas o necessário
  • Revisão trimestral de acessos
  • Desativação automática de contas de colaboradores desligados

4. Treinamento contínuo

  • Simulações de phishing mensais com métricas de clique
  • Treinamento obrigatório em segurança da informação na admissão
  • Reciclagem semestral para todo o corpo clínico e administrativo
  • Canal de denúncia para incidentes suspeitos

5. Plano de resposta a incidentes

Tenha um plano documentado e testado que inclua:

  • Equipe de resposta com papéis definidos (TI, jurídico, comunicação, diretoria)
  • Procedimentos de contenção — isolamento de sistemas comprometidos
  • Comunicação — protocolos para ANPD, pacientes e imprensa
  • Recuperação — procedimentos de restauração priorizados por criticidade
  • Simulação anual (tabletop exercise) com toda a equipe

Conformidade regulatória

LGPD e saúde

A LGPD classifica dados de saúde como dados pessoais sensíveis (Art. 5o, II). Incidentes de segurança envolvendo esses dados exigem:

  • Notificação à ANPD em até 72 horas
  • Comunicação aos titulares afetados
  • Registro detalhado do incidente e medidas adotadas
  • Multas que podem chegar a R$ 50 milhões por infração

ANS e operadoras

Operadoras de saúde exigem cada vez mais evidências de segurança cibernética nos contratos com hospitais credenciados. A tendência é que certificações como ISO 27001 se tornem pré-requisito para credenciamento.

Investimento em segurança cibernética

O investimento recomendado em segurança da informação para hospitais é de 6-10% do orçamento de TI. Para um hospital de médio porte, isso representa entre R$ 200 mil e R$ 600 mil por ano — valor significativamente menor que o custo de um único incidente grave.

A segurança cibernética em hospitais não é um custo — é um investimento na continuidade operacional e na proteção dos pacientes.

#tecnologia hospitalar#LGPD saúde#gestão hospitalar#digitalização
Julia Revoluna
Chame a Julia no Zap