Cibersegurança: como proteger hospitais sem parar a operação

homem usando notebook em ambiente a meia luz

Na primeira semana de julho de 2026, a Autoridade Nacional de Proteção de Dados (ANPD) abriu um processo de sanção contra uma organização social responsável pela gestão de unidades públicas de saúde em seis estados brasileiros, após um ataque de ransomware ocorrido em janeiro de 2025 expor dados de cerca de 500 mil pacientes, entre eles, quase 79 mil crianças e adolescentes e quase 48 mil idosos. O caso, ainda em apuração, é só o mais recente de uma lista que vem crescendo rápido.

Os números do setor de saúde confirmam que não é exagero falar em prioridade máxima. Organizações de saúde no Brasil registraram, em 2025, uma média de 3.167 ataques cibernéticos por semana por instituição, cerca de 37% acima da média global do setor e um crescimento de aproximadamente 39% em relação ao ano anterior, segundo a Check Point Research

No mesmo período, a saúde fechou o ano como o setor de maior custo médio por violação de dados pelo 14º ano consecutivo, em US$7,42 milhões por incidente, de acordo com o relatório da IBM em parceria com o Ponemon Institute.

Saúde é alvo atraente para ciberataques

Mulher fazendo marcação de consulta online pelo computador

O setor de saúde é um dos alvos mais atraentes para cibercriminosos devido a uma combinação de fatores financeiros, operacionais e de infraestrutura. Prontuários, exames, diagnósticos e informações financeiras de pacientes têm alta liquidez no mercado ilegal, servindo para fraudes financeiras, roubo de identidade e obtenção indevida de benefícios de saúde. 

Além dos altos custos, o setor leva, em média, 279 dias para identificar e conter uma violação de dados, cerca de cinco semanas a mais que em outros segmentos. Ao mesmo tempo, o perfil dos ataques mudou. A extorsão por roubo de dados registrou uma escalada sem precedentes no Brasil, enquanto os ataques com criptografia diminuíram. Isso significa que manter backups já não basta para garantir a segurança, pois eles preservam a operação, mas não evitam o vazamento de informações sensíveis.

Um incidente registrado no Brasil em 2025 mostrou que nem sempre os maiores riscos decorrem de ataques sofisticados. Uma falha de configuração em um ambiente de armazenamento em nuvem não conseguiu impedir o roubo de milhares de prontuários, exames e imagens médicas. O caso reforça que medidas básicas de segurança continuam sendo fundamentais para proteger dados sensíveis

Novas regras contra ciberataques impactam instituições

Mulher negra elegante usando notebook encostada em um servidor de dados de Cibersegurança

Duas mudanças regulatórias elevaram a exigência sobre o setor neste ano:

  • A Lei nº 15.352/2026 transformou a ANPD em autarquia de natureza especial, com poder de fiscalização mais intenso sobre o cumprimento da LGPD.
  • A Resolução CFM nº 2.454/2026, publicada em fevereiro, estabeleceu o primeiro marco brasileiro sobre uso de inteligência artificial na medicina, determinando que os dados utilizados por sistemas de IA sejam protegidos contra acessos não autorizados, vazamentos e alterações, com prazo de adequação até agosto de 2026.

Um ponto que costuma surpreender muitos gestores é que a contratação de um sistema terceirizado não transfere a responsabilidade pela proteção dos dados. Pela LGPD, a instituição de saúde e o fornecedor da tecnologia podem compartilhar responsabilidades no tratamento das informações, conforme suas atribuições. 

Isso significa que a segurança da clínica ou do hospital depende não apenas de seus processos internos, mas também da confiabilidade e das boas práticas adotadas por seus parceiros tecnológicos.

O que hospitais e clínicas podem fazer contra ciberataques?

Médicos analisando exames por imagem em um sistema médico de radiologia com PACS compatível com DICOM integrado ao sistema Datasigh

Estudos de economia da saúde apontam um aumento de 33% a 38% nas taxas de mortalidade hospitalar para pacientes já internados quando o ransomware atinge a instituição.

Um sistema de prescrição fora do ar, um laudo de imagem que não chega ao médico no momento da decisão clínica ou um prontuário inacessível durante um atendimento de urgência mostra que a indisponibilidade de sistemas hospitalares não é so um inconveniente. É um risco à vida.

Contudo, fortalecer a segurança da informação não depende apenas do orçamento de uma grande rede hospitalar, mas da adoção de tecnologias confiáveis e de boas práticas de gestão. Entre as principais recomendações estão:

  • Criptografia de dados em repouso e em trânsito, protegendo prontuários eletrônicos, laudos e imagens médicas contra acessos não autorizados.

  • Backups seguros, imutáveis e testados periodicamente, fundamentais para garantir a continuidade operacional diante de incidentes.

  • Avaliação dos fornecedores de tecnologia, verificando quais controles de segurança, conformidade e proteção de dados são adotados pelas empresas responsáveis pelos sistemas utilizados pela instituição.

  • Controle de acesso baseado no princípio do menor privilégio (Zero Trust), garantindo que cada profissional visualize apenas as informações necessárias para sua função.

  • Plano de resposta a incidentes, com procedimentos documentados para contenção, recuperação e comunicação, conforme as exigências da LGPD e da ANPD.

Mais do que cumprir um checklist, é fundamental escolher um sistema de gestão que já incorpore esses mecanismos de proteção. 

Presente há 25 anos no mercado brasileiro, o sistema de gestão hospitalar e clínica Datasigh Web, desenvolvido pela healthtech brasileira Datasigh, foi projetado para atender instituições médicas. Entre seus principais recursos estão:

  • Controle de acesso por perfis de usuário, limitando o acesso às informações conforme a função de cada profissional;

  • Rastreabilidade completa das ações (trilhas de auditoria), permitindo acompanhar quem acessou, alterou ou consultou dados no sistema;

  • Criptografia de dados, protegendo informações sensíveis durante o armazenamento e a transmissão;

  • Integração segura entre módulos, favorecendo a interoperabilidade e reduzindo falhas decorrentes de sistemas isolados;

  • Conformidade com a LGPD, apoiando as instituições na proteção de dados pessoais e sensíveis;

  • Registro na ANVISA Classe II, demonstrando conformidade com os requisitos regulatórios aplicáveis a softwares para uso em saúde.

Ao escolher uma plataforma digital segura, as instituições reduzem vulnerabilidades, fortalecem a proteção dos dados dos pacientes e aumentam sua capacidade de responder aos desafios da transformação digital na saúde.

Converse com um consultor e veja como o Datasigh Web fortalece a segurança da informação com proteção de dados, controle de acesso e rastreabilidade, sem interromper a operação. Solicite uma demonstração gratuita.


Datasigh

Rua Gelu Vervloet, nº 590, Ed. Norte Sul Tower – sl. 403/404
Jardim Camburi | Vitória/ES

(27) 3347-1198
(27) 98112-8188

Saiba mais clicando aqui ou peça para falar agora com um consultor.


Perguntas frequentes sobre cibersegurança em hospitais e clínicas

O que é o modelo de segurança Zero Trust?
É um modelo que verifica continuamente usuários e dispositivos, concedendo acesso apenas ao necessário para cada função.

Clínicas de pequeno e médio porte também sofrem ataques cibernéticos?
Sim. Instituições de todos os portes são alvo de ataques, muitas vezes por falhas de configuração ou vulnerabilidades em sistemas e fornecedores.

Contratar um sistema terceirizado transfere a responsabilidade pela segurança dos dados?
Não. Pela LGPD, a instituição de saúde continua responsável pela proteção dos dados e deve avaliar os controles de segurança do fornecedor.

Quais são as consequências de um vazamento de dados de pacientes?
Além de impactos operacionais e reputacionais, a LGPD prevê sanções da ANPD, incluindo advertências, multas e restrições ao tratamento de dados.

Conteúdo

Contato

Copyright © 2026

Todos os direitos reservados.