Há um ano, o International
Consortium of Investigative Journalists (ICIJ) lançou a maior investigação na
história do jornalismo: o Panama Papers,
considerado também o maior vazamento de dados da história.
Foram 2,6 terabytes de dados
vazados do escritório de advocacia panamenho Mossack Fonseca, incluindo 4,8
milhões de e-mails, 3 milhões de arquivos em formato de banco de dados, 2,2
milhões de PDFs, 1,1 milhão de imagens e 320 mil documentos de texto. Só a título de comparação, os vazamentos do Wikileaks foram de 1.7GB e a violação da Sony Pictures comprometeu 230GB de dados.
Toda essa massa de dados do Mossack Fonseca detalhava
como dezenas de políticos de alto escalão, parentes ou associados próximos em
mais de 40 países, incluindo a U.K., França, Rússia, China e Índia, usaram
empresas offshore para esconder renda e evitar o pagamento de impostos.
A partir do material vazado, o
ICIJ e mais de 100 parceiros de mídia espalhados pelo mundo, totalizando uma
equipe de pouco mais de 370 jornalistas, publicaram centenas de histórias revelando os
segredos financeiros de muitas das pessoas mais ricas e poderosas do
mundo. A investigação desencadeou protestos, demissões, prisões e debate feroz
em todo o mundo.
A documentação analisada apontou
a criação de 214 mil empresas offshore ligadas a pessoas em mais de 200
países e territórios. As planilhas, e-mails, faturas e registros corporativos
apontam que as fraudes foram cometidas nos últimos 40 anos.
Entre os principais
resultados do que os jornalistas disseram ser uma luta por maior transparência das operações offshore,
ao menos 150 investigações foram abertas em 79 países para examinar possíveis
casos de evasão fiscal ou lavagem de dinheiro, segundo o Centro de Integridade
Pública, um grupo americano sem fins lucrativos.
Os sócios fundadores da Mossack
Fonseca, Jürguen Mossack e Ramón Fonseca, foram presos por acusação de lavagem
de dinheiro e permanecem detidos em função da investigação sobre os possíveis
vínculos da firma com o mega-escândalo de corrupção brasileiro investigado pela
Operação “Lava Jato”.
O primeiro-ministro da Islândia se viu obrigado a renunciar depois que os
documentos revelaram que sua família ocultou bens em entidades offshore.
Outras personalidades expostas foram o ex-primeiro-ministro britânico David
Cameron, o craque Lionel Messi, o presidente argentino Mauricio Macri, o
cineasta espanhol Pedro Almodóvar, o primeiro-ministro paquistanês Nawaz Sharif
e muitos outros políticos e assessores
A França inclui o Panamá em sua lista de paraísos fiscais. O país centro-americano
luta para mostrar ao mundo que cumpre com as normas internacionais de
transparência, ao compartilhar informações tributárias com outros países para
evitar entrar em outras listas negras.
A Comissão Europeia respondeu aos Documentos do Panamá com uma proposta de revisão das normas europeias contra a lavagem de dinheiro. Por exemplo, agora sugere que devemos ter informações públicas sobre os proprietários reais e físicos das empresas. Isso iria acabar com as empresas anônimas, que são uma das maneiras favoritas para os criminosos se esconderem.
E o próprio International Consortium of
Investigative Journalists se desligou do Centro de Integridade Pública para se
tornar uma organização totalmente independente com o ambicioso objetivo
de produzir o melhor jornalismo transfronteira do mundo. Este mês, a entidade
lança uma campanha de crowdfounding para angariar fundos para subsidiar suas
atividades. O o objetivo é o de de levantar 50 mil dólares (ou mais!) nas
próximas semanas para contribuir para a “próxima grande investigação”.
Já e em relação à segurança da informação…
Até hoje não está claro como o vazamento que deu origem ao Panama Papers ocorreu, se por meio de hacking, vazamento de alguém dentro do escritório de advocacia panamenho, ou ambos.
Considerando o tipo de negócio em que Mossack Fonseca estava envolvido e a sensibilidade das informações de seus clientes, seria legítimo pensar que práticas básicas de segurança eram adotadas pelo escritório. Infelizmente, não eram.
Líderes e executivos mundiais devem ter tido uma sensação de déjà vu e lembrado dos documentos da NSA por Edward Snowden há vários anos. Do ponto de vista da segurança, é desconcertante que um indivíduo tenha tido acesso ao tipo de dados vazados. Isso sugere que os registros não foram corretamente segmentados, criptografados ou submetidos a permissões de acesso no nível do usuário.
Analistas de segurança conseguiram apontar várias pequenas falhas no ambiente da empresa que poderiam ter facilitado a ação dos interessados no vazamento dos dados.
Muitos alegaram que o uso de versões desatualizadas de sistemas, incluindo o sistema de e-mail da companhia, teriam facilitado a ação de pessoal interno. Isso porque um representante de Mossack Fonseca chegou a confirmar notícias dizendo que o vazamento deriva de um hack de e-mail. Vale lembrar que versões desatualizadas de software que as organizações não conseguem corrigir são uma das fontes mais comuns de vulnerabilidade de segurança cibernética atualmente.
Outros profissionais de segurança chamaram a atenção para outra prática desaconselhável, mas ainda muito comum: a centralização maciça de dados que torna a ruptura ou a fuga não apenas inevitável, mas bastante conveniente.
Houve também os que alertaram para o fato de os escritórios de advocacia serem o elo fraco da segurança de muitas informações confidenciais de grandes empresas. Desde então, o cuidado desses escritórios com a segurança cibernética passou a ser um diferencial importante. Ou deveria ter passado.
Será que a sua empresa está devidamente protegida contra vazamentos de informações?
Na Brasil, estudo Level 3 Security Index, conduzido pela IDC e divulgado no início deste ano, revela que as grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas.
Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma. Já quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.
Na dimensão prevenção, o estudo comprova que as grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho. Mas há dados preocupantes.
Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% os revisam e atualizam apenas uma vez ao ano.
Além disso, mesmo com a documentação em dia, gerar indicadores de Segurança da Informação ainda é uma tarefa relativamente distante da realidade das empresas. Enquanto a maioria (58%) dispõe de controles formalizados e documentados, apenas cerca de 42% das organizações afirmam praticar e gerar métricas sobre a observância de suas políticas de SI.
Ainda há muito a evoluir.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…