A essa altura, nenhum líder de segurança da saúde precisa de mais um alerta sobre o setor ser alvo. O que está definindo a conversa de orçamento e de arquitetura para 2026 é entender o que mudou na mecânica do ataque, e por que parte das defesas montadas para o problema de cinco anos atrás cobre cada vez menos do problema atual.
Em 2025, organizações de saúde no Brasil registraram média de 3.167 ataques semanais por instituição, cerca de 37% acima da média global do setor e com alta de aproximadamente 39% na comparação anual (Check Point Research, 2025). No mesmo período, a saúde encerrou o ano como o setor de maior custo médio por violação pelo 14º ano consecutivo, em US$ 7,42 milhões por incidente, ainda que em queda frente aos US$ 9,77 milhões de 2024 (IBM Cost of a Data Breach Report 2025). O tempo combinado de detecção e contenção segue em 279 dias.
Mas o dado que reorganiza a estratégia não está no volume, e sim no método
A criptografia, que por anos definiu o ransomware, caiu para 34% dos incidentes em 2025, a menor taxa em cinco anos, enquanto a extorsão pura, sem qualquer criptografia, triplicou (Sophos State of Ransomware in Healthcare 2025). Boa parte dos atacantes deixou de travar sistemas para apenas exfiltrar dados e ameaçar publicá-los. É uma mudança que desloca o eixo da defesa: o backup imutável continua essencial para a continuidade do cuidado, mas já não responde, sozinho, ao cenário de vazamento de dados clínicos.
Casos de ataques do setor de saúde e para onde o alvo se deslocou.
A pressão recente concentrou-se cada vez mais nos fornecedores e parceiros da cadeia clínica: laboratórios, terceirizadas de cobrança e plataformas SaaS de prontuário. Dois marcadores internacionais ilustram a escala dessa exposição. O ataque ao Change Healthcare/Optum, em fevereiro de 2024, resultou em pagamento confirmado de US$ 22 milhões e cerca de 192,7 milhões de pessoas afetadas. O ataque ao provedor de patologia Synnovis, no NHS de Londres, é associado à primeira fatalidade cibernética confirmada publicamente em ransomware de saúde no Reino Unido.
No Brasil, o caso emblemático do ciclo recente é a MedicSolution, em setembro de 2025: o grupo KillSec explorou um bucket Amazon S3 mal configurado e exfiltrou cerca de 34 GB e 94 mil arquivos com prontuários, exames e imagens de pacientes, incluindo menores de idade. O episódio aponta para onde boa parte do risco brasileiro se concentra hoje: em superfícies expostas por erro de configuração e por terceiros, e não apenas em malware sofisticado.
Baixe o relatório completo da INGENI

Há ainda um componente regulatório que faz de 2026 um ano de inflexão.
A Lei nº 15.352/2026 transformou a ANPD em autarquia de natureza especial, com fiscalização mais intensa, e a Resolução CFM nº 2.454/2026 estabeleceu o primeiro marco brasileiro sobre uso de IA na medicina, com vigência a partir de agosto. Para o CISO, decisões de segurança e de conformidade que antes corriam em trilhos separados passam a convergir na mesma agenda.
A leitura que a INGENI, setor de inteligência avançada da Redbelt Security, propõe é que a resiliência da saúde brasileira em 2026 depende de fechar três lacunas ao mesmo tempo: investimento e governança de risco no nível de Conselho; redução da superfície de ataque técnica, dos sistemas legados às VPNs sem MFA, dos dispositivos médicos conectados aos buckets de nuvem expostos; e maturidade da cadeia de suprimentos clínica e SaaS, com testes integrados de resiliência.
O relatório completo, O risco digital na saúde brasileira: diagnóstico e agenda estratégica para 2026, detalha cada uma dessas dimensões e traz a linha do tempo de incidentes relevantes, o mapa dos grupos mais ativos contra o setor e um conjunto de recomendações estratégicas, táticas e operacionais. É a base de diagnóstico que antecede qualquer decisão de investimento para o próximo ciclo.