A Secretaria de Estado de Saúde divulgou informação falsa ao informar na última terça-feira (02.06), para toda a imprensa, que conseguiu recuperar todo o material destruído pelo ataque hacker sofrido pela pasta e que o ataque teria comprometido apenas 1 terabyte de arquivo. Os documentos perdidos seriam essenciais para as investigações da CPI da Saúde, aberta pela Assembleia Legislativa de Mato Grosso (ALMT).
A reportagem do PNB Online teve acesso à “árvore de arquivos” criptografados pelo hacker. São mais de 300 mil documentos de todo tipo corrompidos, pelos quais o hacker cobrou 500 mil dólares em bitcoin. Na mensagem enviada para cobrar a recompensa, o hacker informou que o ataque só foi possível por conta de fragilidades no sistema de segurança da SES. Curiosamente, mesmo sem receber o dinheiro, o criminoso não publicou os documentos, apresentando apenas os “títulos” dos arquivos. Veja a lista no final da matéria.
“Trate esta situação como um treinamento pago para seus administradores de sistema, pois foi a configuração incorreta da sua rede corporativa que nos permitiu atacá-lo”, diz trecho publicado pela gangue cibernética LockBit.
“Configuração incorreta”
São diversas as fragilidades do sistema da SES que permitiram o ataque. Entre elas, está o fato de que o atacante operou exatamente no momento de migração entre os sistemas CheckPoint e Nutanix, que são sistemas diferentes de cibersegurança e computação em nuvem.
Para piorar, a SES ignorou um e-mail enviado em 2024 pela Empresa Mato-Grossense de Tecnologia da Informação (MTI) em que a empresa pública solicitava autorização para avançar no sistema de backup da secretaria. No dia 13 de fevereiro deste ano, a coordenação de TI da SES enviou e-mail, finalmente respondendo à MTI, assentindo para o backup, mais de dois anos após o alerta da MTI.
Nesta mesma data, a superintendência de TI da SES faz transmitir comunicação interna em que avisa os servidores de que os arquivos estariam visíveis apenas para consulta. A visibilidade de arquivos apenas para consulta é uma das características do ataque de ransomware, que permite o acesso aos arquivos da rede apenas com uma senha, pois foi realizada a criptografia e para acessar os documentos é preciso pagar ao hacker para obter a senha.
Dos 40 links da SES, 27 estão na chamada “Infovia” e outros 13 estão na infraestrutura de um contrato entre a Oi, MTI e a Secretaria de Estado de Planejamento e Gestão (Seplag). Os links geridos pela Oi, conforme apurou a reportagem, estavam sem suporte e sem licença, submetidos a um baixo nível de cibersegurança.
A Saúde também errou na hora de reportar o incidente. Um documento obtido pela reportagem do PNB Online mostra que o setor responsável pela segurança de dados, regido pela Lei Geral de Proteção de Dados (LGPD), informou o ataque hacker para a Autoridade Nacional de Proteção de Dados (ANP) como incidente de dados e não como incidente de segurança da informação.
Silêncio absoluto
O caso do ataque cibernético na secretaria é marcado por hiatos e por períodos de silêncio. A SES não revela, por exemplo, em que data a Delegacia de Repressão a Crimes Cibernéticos (DRCI) foi acionada para investigar o caso, nem qual foi o dia exato do ataque, diante da suspeita de que o hacker passou mais de uma semana vasculhando os arquivos da secretaria – sendo notado ou não.
Escorada na premissa de que o inquérito sobre o caso é sigiloso, a Polícia Civil também não informa nada, nem mesmo detalhes laterais como a data da abertura do inquérito, data da comunicação do ocorrido e delegado responsável pelas investigações. No escuro, o trabalho de reportagem do PNB Online é também um trabalho de formiguinha, uma espécie de “contra tudo e contra todos” do ofício de ser repórter, em que se procura brechas para obter informações que, na verdade, deveriam ser públicas desde o início e todos os cidadãos deveriam ter acesso, pois se trata de um incidente grave que foi omitido da população mato-grossense por pelo menos três meses.
Parte do silêncio em volta do caso é também fruto do medo. Medo generalizado tomou conta da SES e da MTI desde que as primeiras reportagens sobre o assunto foram ao ar. A tentativa de manter o ataque e o sumiço dos dados em segredo e o esforço de integrantes da SES para evitar que o governador Otaviano Pivetta (Republicanos) saiba dos detalhes do ocorrido, sem lançar muita luz às informações importantes, é a principal estratégia para não ampliar ainda mais a crise.
Somado a isso estão os receios que envolvem os requerimentos da Comissão Parlamentar de Inquérito da Saúde (CPI) para investigar a gestão do ex-secretário Gilberto Figueiredo e do atual secretário Juliano Melo, seu braço direito. A CPI quer saber porque a SES permitiu que arquivos desaparecessem em momento muito próximo da criação da comissão, que ocorreu no dia 6 de fevereiro.
Como alguém diretamente envolvido nas operações Espelho e Panaceia, o ex-secretário Figueiredo coleciona suspeitas de lavagem de dinheiro, de fraude à licitação e outros crimes. O ex-governador Mauro Mendes (União), que tentará a eleição ao Senado, também é suspeito de corrupção em casos como o Escândalo da Oi, além do nome dele surgir em diálogos dos médicos investigados pela Operação Espelho como alguém que teria ingerência sobre os sócios das empresas investigadas.
Outro lado
A reportagem procurou novamente a SES solicitando informações e documentos que comprovem a alegação de que foram recuperados todos os dados perdidos. Mais uma vez, nenhuma comprovação documental foi apresentada. Segue a resposta oficial da secretaria:
1. Por qual razão o ataque hacker, que ocorreu em fevereiro, nunca foi comunicado publicamente naquele momento e sequer foi esclarecido para os servidores da SES?
A identificação, análise e tratamento de incidentes de segurança da informação seguem protocolos técnicos específicos, que priorizam a contenção da ameaça, a preservação de evidências, a continuidade dos serviços e a recuperação dos ambientes afetados. As equipes técnicas concentraram seus esforços na mitigação dos impactos, recuperação dos ambientes e análise da extensão do incidente, sendo que a comunicação interna foi realizada de acordo com a necessidade operacional de cada área.
2. Por que a SES demorou mais de três meses para falar publicamente (e somente após reportagem do PNB Online) sobre o incidente?
Desde a identificação do incidente, a Secretaria de Estado de Saúde de Mato Grosso (SES-MT) concentrou seus esforços na contenção do evento, análise dos ambientes afetados, recuperação dos serviços e restabelecimento seguro dos sistemas corporativos. A prioridade da Secretaria foi garantir a continuidade dos serviços prestados à população, a preservação das evidências digitais e a adoção das medidas corretivas necessárias.
3. Por que o incidente foi classificado como “incidente de dados” e mais tarde reclassificado como “incidente de segurança da informação”? Houve erro na comunicação à ANPD?
A classificação inicial foi realizada com base nas informações preliminares disponíveis no momento da comunicação. Com o avanço das análises técnicas e a consolidação das evidências do incidente, verificou-se que a classificação mais adequada seria “incidente de segurança da informação”.
4. Se a SES for solicitada para entregar documentos que dizem respeito à Operação Espelho, tratada na CPI da Saúde, a Secretaria consegue apresentar absolutamente todos estes documentos?
A SES-MT informa que os documentos institucionais permanecem preservados nos ambientes corporativos e sistemas oficiais da Secretaria.
5. Em qual data a DRCI e a Polícia Civil foram informadas sobre o incidente, uma vez que em 13 de fevereiro a SES já demonstra ter conhecimento do incidente?
Os primeiros indícios técnicos compatíveis com um incidente de segurança foram identificados em março de 2026. Após a confirmação dos sintomas e início dos procedimentos internos de resposta ao incidente, a SES-MT comunicou o fato à Delegacia Especializada de Repressão a Crimes Informáticos (DRCI).
6. Os arquivos foram salvos após o ataque pela SES com base no Check Point ou no Nutanix, tendo em vista que a SES estava em processo de migração dos arquivos?
Todos os dados institucionais foram recuperados utilizando os sistemas, ferramentas e rotinas de backup próprios da SES-MT, previamente implementados como parte da estratégia de continuidade dos serviços e proteção dos ativos de informação.
7. Por qual razão a Coordenadoria de TI da SES solicitou, no dia 13 de fevereiro, a adesão ao sistema de backup da MTI que havia sido oferecido para a empresa pública dois anos antes, em 2024?
O serviço de backup disponibilizado pela MTI já se encontrava em operação na SES-MT há mais de cinco anos. A solicitação realizada teve como finalidade ampliar o escopo da solução já existente, aumentando a cobertura dos ambientes protegidos e fortalecendo as políticas de contingência, recuperação e continuidade dos serviços de tecnologia da informação.
8. Dos 40 links da SES, 27 estão na Infovia e 13 estão na Oi (sem suporte e sem licença), representada pelo contrato do MTConnect. Por que não funcionou a defesa dos links da Oi? Por que a SES não solicitou o suporte e a renovação da licença dos links da Oi?
É importante pontuar que as informações quantitativas apresentadas no questionamento não correspondem à configuração contratual vigente à época dos fatos, tampouco à atualmente utilizada pela SES-MT.
O contrato MT-Connect, sob a gestão da Secretaria de Estado de Planejamento e Gestão (Seplag) e com operação da MTI em conjunto com a Oi, estava regularmente vigente à época do incidente e permanece em execução.
Dados destruídos
Em razão do alto volume dos arquivos, clique aqui para acessar o documento .txt com a relação por títulos dos arquivos sequestrados.
