Dados do setor da saúde indicam que hospitais vítimas de ransomware registram aumento estimado de 30% na mortalidade de seus pacientes. A indisponibilidade de sistemas em ambiente hospitalar não é um inconveniente operacional. É risco direto ao paciente.
Um sistema de prescrição fora do ar por duas horas. Um prontuário acessado por um profissional sem autorização. Um laudo de imagem que não chega ao médico no momento da decisão clínica. Dados de pacientes roubados e explorados por terceiros. Essas situações têm origens técnicas distintas, mas uma causa em comum: falhas na proteção dos dados e da infraestrutura.
Em 2026, o tema ganhou peso regulatório. A LGPD já classificava dados de saúde como dados pessoais sensíveis, exigindo medidas técnicas e administrativas de proteção. A Resolução CFM 2.454/2026, publicada em fevereiro, elevou a exigência: determinou que dados utilizados por sistemas de inteligência artificial na medicina sejam protegidos contra acessos não autorizados, vazamentos e alterações, com medidas compatíveis com o estado da arte emcibersegurança. O prazo de adequação vence em agosto de 2026.
Este artigo apresenta os pilares da segurança da informação na saúde, os riscos mais relevantes para o setor e as práticas de proteção que hospitais e clínicas precisam adotar.
Quais são os pilares da segurança da informação na saúde?
A segurança da informação se sustenta em três pilares: confidencialidade, integridade e disponibilidade. No setor de saúde, cada um deles tem impacto direto na qualidade do cuidado ao paciente.
Confidencialidade
O prontuário médico concentra diagnósticos, histórico familiar, condições psiquiátricas, sorologia, vida sexual e dados genéticos. Se essas informações forem expostas, o dano ao paciente é irreparável. Confidencialidade significa garantir que esses dados sejam acessados apenas por profissionais autorizados, dentro do contexto do cuidado.
A LGPD classifica dados de saúde como dados pessoais sensíveis e restringe seu tratamento a hipóteses específicas. Qualquer compartilhamento exige base legal e finalidade comprovável. A CFM 2.454/2026 reforça: o uso de plataformas que não garantam padrões mínimos de segurança da informação compatíveis com dados sensíveis é expressamente vedado.
Integridade
Um dado clínico alterado pode mudar um diagnóstico, uma prescrição ou uma conduta cirúrgica. Integridade é a garantia de que as informações registradas permaneçam corretas, completas e sem alterações não autorizadas ao longo de todo o ciclo de vida do dado. Isso vale desde o registro no prontuário até o consumo por um sistema de inteligência artificial.
Disponibilidade
Quando o sistema cai, o médico não acessa o prontuário. O laudo não chega. A prescrição não sai. A agenda de cirurgias para.
Quais são os principais riscos de cibersegurança em hospitais?
O ambiente hospitalar reúne urgência operacional, dados altamente valiosos e uma cadeia de fornecedores extensa. Essa combinação amplia a superfície de ataque e torna o setor um alvo preferencial.
Ransomware
O setor de saúde é um dos mais visados pelo ransomware no mundo. Segundo a Check Point Research, quase 10% das vítimas globais de ransomware são instituições de saúde. No Brasil, o cenário é igualmente crítico: em 2025, o grupo KillSec atacou uma fornecedora de software de gestão para clínicas e expôs mais de 34 GB de dados sensíveis, incluindo exames e prontuários de menores, por conta de armazenamento em nuvem mal configurado.
O modelo de Ransomware-as-a-Service (RaaS) reduziu a barreira de entrada para atacantes. Operadores sem grande sofisticação técnica conseguem alugar infraestrutura de ataque e direcionar campanhas contra hospitais, explorando a urgência dessas instituições e a alta probabilidade de pagamento de resgate.
Mais de 90% dos hospitais atacados por ransomware optam por pagar o resgate, com custo médio próximo a US$10 milhões por incidente.
Fator humano
A maioria dos incidentes começa com uma ação humana: senha compartilhada entre profissionais, dados de paciente enviados por WhatsApp, clique em link de phishing ou uso de ferramentas de IA sem autorização da instituição.
Esse último ponto merece atenção especial. O uso informal de IA generativa por profissionais de saúde, prática conhecida como Shadow AI, cria um fluxo de dados sensíveis fora do controle da instituição. Um médico que insere dados clínicos em uma ferramenta pública de IA para gerar um resumo de prontuário está transferindo informações sensíveis para um ambiente sem governança e sem rastreabilidade.
A CFM 2.454/2026 é direta nesse ponto: o médico tem o direito de recusar sistemas de IA sem validação científica ou certificação adequada. E a LGPD exige medidas técnicas e administrativas para proteger os dados. Treinamento e conscientização são parte obrigatória da estratégia de segurança, não atividade complementar.
Dispositivos médicos conectados (IoMT)
Retinógrafos, tomógrafos, bombas de infusão, monitores de sinais vitais. O parque de dispositivos médicos conectados à rede cresce a cada ano. Muitos operam com sistemas operacionais legados, sem atualizações de segurança, sem segmentação de rede adequada e sem monitoramento de tráfego.
Se o equipamento acessa, gera ou transmite dados de paciente, ele precisa estar protegido. Dispositivos IoMT sem governança são pontos cegos na infraestrutura, exploráveis por atacantes com relativa facilidade.
Cadeia de suprimentos
O risco não está apenas dentro do hospital. Fornecedores de software de gestão, prontuário eletrônico, plataformas de telerradiologia e soluções SaaS processam dados sensíveis fora do perímetro da instituição. Uma vulnerabilidade no fornecedor compromete toda a cadeia.
A legislação é clara: contratar um sistema não isenta a instituição de responsabilidade. A LGPD estabelece corresponsabilidade entre controlador e operador no tratamento de dados. A CFM 2.454/2026 exige que a instituição mantenha governança inclusive sobre sistemas contratados de terceiros.
O caso KillSec de 2025 demonstra o ponto: o vazamento não partiu de uma falha interna das clínicas, mas de uma vulnerabilidade no fornecedor de software. A segurança da instituição é tão forte quanto o elo mais fraco da sua cadeia.
Como proteger dados de pacientes em hospitais e clínicas?
Os controles a seguir não são opcionais. Em sua maioria, decorrem diretamente de exigências legais. A diferença entre uma instituição preparada e uma vulnerável está na implementação consistente dessas práticas.
Criptografia
Dados em repouso e em trânsito devem ser criptografados. Prontuários eletrônicos, laudos e imagens médicas exigem essa camada de proteção. A LGPD determina medidas técnicas de segurança. A CFM 2.454/2026 reforça a proteção eficaz contra acessos não autorizados.
Controle de acesso
Implementar controle baseado em perfis funcionais. Cada profissional acessa apenas o que sua função exige. Autenticação multifator (MFA) para ambientes críticos. Logs de auditoria preservados e rastreáveis. A legislação exige rastreabilidade do uso de IA no atendimento, o que pressupõe controle preciso de quem acessou, quando e com qual finalidade.
Gestão de vulnerabilidades e testes de intrusão
Identificar, classificar e corrigir vulnerabilidades de forma contínua. Realizar testes de intrusão (pentest) periódicos para validar se os controles realmente funcionam. Documentar o ciclo completo: identificação, priorização, correção e evidência de remediação.
O padrão regulatório de 2026 é claro, tanto na saúde quanto no setor financeiro: não basta declarar que tem controles. É preciso demonstrar que funcionam.
Monitoramento contínuo
A detecção de anomalias em tempo real sustenta a disponibilidade dos sistemas. Sem monitoramento, a instituição descobre o ataque apenas quando o sistema já parou. Um SOC (Security Operations Center) ou serviço dedicado de monitoramento permite identificar comportamentos anômalos e tentativas de acesso indevido antes que se tornem crises.
Em ambientes hospitalares, onde a interrupção de um sistema pode significar a interrupção do cuidado, esse controle é especialmente crítico.
Treinamento da equipe
Treinamento regular sobre phishing, engenharia social e manuseio seguro de dados. Não como evento isolado de compliance, mas como prática integrada à rotina. A CFM 2.454/2026 inclui capacitação como eixo formal da governança de IA na medicina. Na saúde, onde o fator humano é o vetor de entrada mais comum, treinar a equipe é o controle de segurança.
Plano de resposta a incidentes
Ter um plano documentado, testado e atualizado. Definir papéis, canais de comunicação, procedimentos de contenção e restauração. A LGPD exige comunicação à ANPD e ao titular dos dados em caso de incidente que possa acarretar risco relevante.
Um plano que existe apenas no papel e nunca foi testado não protege a instituição. Protege a aparência de conformidade.
Quais são as consequências de um vazamento de dados em hospitais?
As falhas na segurança da informação em saúde geram impacto em quatro dimensões.
Impacto clínico. Interrupção de atendimentos, adiamento de cirurgias, indisponibilidade de laudos e prontuários. Quando dispositivos médicos conectados ficam fora do ar, o efeito pode ser direto na vida do paciente.
Impacto legal. A LGPD prevê multa de até 2% do faturamento ou R$50 milhões por infração. A CFM 2.454/2026 sujeita o médico a sanções éticas, civis e penais. Processos judiciais por vazamento de dados sensíveis de pacientes são uma realidade crescente.
Impacto reputacional. Vazamento de dados clínicos gera perda de confiança difícil de reverter. Pacientes mudam de instituição. Convênios e operadoras reavaliam contratos.
Impacto operacional. Perda de produtividade, retrabalho, equipes deslocadas para contenção em vez de atendimento. A restauração de sistemas pode levar dias ou semanas, período em que a instituição opera em modo degradado, com processos manuais, comunicação precária entre setores e atrasos em toda a cadeia assistencial.
Impacto financeiro. Custos de remediação, contratação emergencial de especialistas, substituição de infraestrutura comprometida e, em muitos casos, pagamento de resgate. O custo total de um incidente de ransomware em ambiente hospitalar pode chegar a US$10 milhões quando se somam perdas diretas, sanções legais e danos reputacionais.
O que está em jogo
Segurança da informação na saúde não é mais uma pauta restrita ao departamento de TI. Em 2026, com a LGPD em vigor e a CFM 2.454 prestes a entrar em vigência plena, proteger dados de pacientes é requisito institucional, condição para a continuidade do negócio e cuidado e responsabilidade pessoal do gestor.
A pergunta que toda instituição de saúde precisa responder agora: é possível demonstrar, com evidência técnica, que os controles de segurança da informação atendem ao que a legislação exige? Se a resposta for “não sei” ou “provavelmente não”, o momento de agir é agora. O prazo de adequação à CFM 2.454/2026 vence em agosto.
A Prolinx apoia instituições de saúde na estruturação de programas de segurança da informação alinhados às exigências regulatórias. Se a sua instituição precisa avaliar o nível de aderência às novas normas, fale com a nossa equipe.
Perguntas frequentes
O que é segurança da informação na saúde?
É o conjunto de práticas e controles que protege dados sensíveis de pacientes contra acessos não autorizados, alterações e indisponibilidade. Envolve criptografia, controle de acesso, monitoramento contínuo e conformidade com legislações como a LGPD e a CFM 2.454/2026.
O que a LGPD exige sobre dados de pacientes?
A LGPD classifica dados de saúde como dados pessoais sensíveis e exige medidas técnicas e administrativas de proteção. Qualquer tratamento depende de base legal específica, e a instituição deve comunicar à ANPD e ao paciente em caso de incidente de segurança relevante.
O que muda com a Resolução CFM 2.454/2026?
A resolução é o primeiro marco regulatório brasileiro dedicado ao uso de IA na medicina. Exige que dados clínicos utilizados por sistemas de inteligência artificial sejam protegidos com medidas compatíveis com o estado da arte. Também exige governança interna, rastreabilidade e capacitação da equipe. O prazo de adequação vence em agosto de 2026.
Quais são os principais riscos de cibersegurança em hospitais?
Os riscos mais relevantes incluem ransomware (que pode paralisar a operação e colocar pacientes em risco), o fator humano (phishing, senhas compartilhadas, uso não autorizado de IA), dispositivos médicos conectados com segurança fraca e vulnerabilidades na cadeia de fornecedores de software.
Como proteger dados de pacientes contra ransomware?
As práticas essenciais incluem criptografia de dados em repouso e em trânsito, controle de acesso baseado em perfis com autenticação multifator, gestão contínua de vulnerabilidades, testes de intrusão periódicos, monitoramento em tempo real e um plano de resposta a incidentes documentado e testado.