Segurança > Segurança de Dados

Um ano após Panama Papers, segurança da informação ainda é um desafio

Estudo revela que as grandes empresas ainda têm dificuldade com a visibilidade dos problemas de segurança. Isso está relacionado à complexidade de seus sistemas

04 de Abril de 2017 - 15h41

Há um ano, o International Consortium of Investigative Journalists (ICIJ) lançou a maior investigação na história do jornalismo: o Panama Papers, considerado também o maior vazamento de dados da história. Foram 2,6 terabytes de dados vazados do escritório de advocacia panamenho Mossack Fonseca, incluindo 4,8 milhões de e-mails, 3 milhões de arquivos em formato de banco de dados, 2,2 milhões de PDFs, 1,1 milhão de imagens e 320 mil documentos de texto. Apenas a título de comparação,  os vazamentos do  Wikileaks foram de 1,7 GB e a violação da Sony Pictures comprometeu 230 GB de dados.

Toda essa massa de dados do Mossack Fonseca detalhava como dezenas de políticos de alto escalão, parentes ou associados próximos em mais de 40 países, incluindo Reino Unido, França, Rússia, China e Índia, usaram empresas offshore para esconder renda e evitar o pagamento de impostos.

A partir do material vazado, o ICIJ e mais de 100 parceiros de mídia espalhados pelo mundo, totalizando uma equipe de pouco mais de 370 jornalistas,  publicaram centenas de histórias revelando os segredos financeiros de muitas das pessoas mais ricas e poderosas do mundo. A investigação desencadeou protestos, demissões, prisões e debate feroz em todo o mundo.

A documentação analisada apontou a criação de 214 mil empresas offshore ligadas a pessoas em mais de 200 países e territórios. As planilhas, e-mails, faturas e registros corporativos apontam que as fraudes foram cometidas nos últimos 40 anos.

Entre os principais resultados do que os jornalistas disseram ser uma luta por maior transparência das operações offshore, ao menos 150 investigações foram abertas em 79 países para examinar possíveis casos de evasão fiscal ou lavagem de dinheiro, segundo o Centro de Integridade Pública, um grupo americano sem fins lucrativos.

Os sócios fundadores da Mossack Fonseca, Jürguen Mossack e Ramón Fonseca, foram presos por acusação de lavagem de dinheiro e permanecem detidos em função da investigação sobre os possíveis vínculos da firma com o mega-escândalo de corrupção brasileiro investigado pela Operação “Lava Jato”.

O primeiro-ministro da Islândia se viu obrigado a renunciar depois que os documentos revelaram que sua família ocultou bens em entidades offshore.

Outras personalidades expostas foram o ex-primeiro-ministro britânico David Cameron, o craque Lionel Messi, o presidente argentino Mauricio Macri, o cineasta espanhol Pedro Almodóvar, o primeiro-ministro paquistanês Nawaz Sharif e muitos outros políticos e assessores

A França inclui o Panamá em sua lista de paraísos fiscais. O país centro-americano luta para mostrar ao mundo que cumpre com as normas internacionais de transparência, ao compartilhar informações tributárias com outros países para evitar entrar em outras listas negras.

A Comissão Europeia respondeu aos Documentos do Panamá com uma proposta de revisão das normas europeias contra a lavagem de dinheiro. Por exemplo, agora sugere que devemos ter informações públicas sobre os proprietários reais e físicos das empresas. Isso iria acabar com as empresas anônimas, que são uma das maneiras favoritas para os criminosos se esconderem. 

E o próprio International Consortium of Investigative Journalists se desligou do Centro de Integridade Pública para se tornar uma organização totalmente independente com o ambicioso objetivo de produzir o melhor jornalismo transfronteira do mundo. Este mês, a entidade lança uma campanha de crowdfounding para angariar fundos para subsidiar suas atividades. O o objetivo é o de de levantar 50 mil dólares (ou mais!) nas próximas semanas para contribuir para a “próxima grande investigação”.

Já e em relação à segurança da informação...

Até hoje não está claro como o vazamento que deu origem ao Panama Papers ocorreu, se por meio de hacking, vazamento de alguém dentro do escritório de advocacia panamenho, ou ambos.

Considerando o tipo de negócio em que Mossack Fonseca estava envolvido e a sensibilidade das informações de seus clientes, seria legítimo pensar que práticas básicas de segurança eram adotadas pelo escritório. Infelizmente, não eram. 

Líderes e executivos mundiais devem ter tido uma sensação de déjà vu e lembrado dos documentos da Agência de Segurança Nacional dos EUA (NSA) por Edward Snowden há vários anos. Do ponto de vista da segurança, é desconcertante que um indivíduo tenha tido acesso ao tipo de dados vazados. Isso sugere que os registros não foram corretamente segmentados, criptografados ou submetidos a permissões de acesso no nível do usuário.

Analistas de segurança conseguiram apontar várias pequenas falhas no ambiente da empresa que poderiam ter facilitado a ação dos interessados no vazamento dos dados. 

Muitos alegaram que o uso de versões desatualizadas de sistemas, incluindo o sistema de e-mail da companhia, teriam facilitado a ação de pessoal interno.  Isso porque um representante de Mossack Fonseca chegou a confirmar notícias dizendo que o vazamento deriva de um hack de e-mail. Vale lembrar que versões desatualizadas de software que as organizações não conseguem corrigir são uma das fontes mais comuns de vulnerabilidade de segurança cibernética atualmente. 

Outros profissionais de segurança chamaram a atenção para outra prática desaconselhável, mas ainda muito comum: a centralização maciça de dados que torna a ruptura ou a fuga não apenas inevitável, mas bastante conveniente.

Houve também os que alertaram para o fato de os escritórios de advocacia serem o elo fraco da segurança de muitas informações confidenciais de grandes empresas. Desde então, o cuidado desses escritórios com a segurança cibernética passou a ser um diferencial importante. Ou deveria ter passado.

Será que a sua empresa está devidamente protegida contra vazamentos de informações?

Na Brasil, estudo Level 3 Security Index, conduzido pela IDC e divulgado no início deste ano, revela que as grandes empresas têm maior dificuldade com a visibilidade dos problemas de segurança. Esta falta de visibilidade está relacionada à complexidade de seus ambientes e sistemas.

Em relação à conscientização na quantificação de ataques sofridos ou mitigados, 34% têm visibilidade completa; as outras 66% têm visibilidade parcial ou nenhuma. Já quando perguntadas sobre a mensuração do impacto de incidentes de segurança, 25,5% não sabem e 32% sabem apenas superficialmente, enquanto 42,2% podem detalhar o impacto em cada sistema ou nos sistemas críticos.

Na dimensão prevenção, o estudo comprova que as grandes empresas são ativas na prevenção, estabelecendo e monitorando controles com maior atenção, possibilitando um nível melhor de desempenho. Mas há dados preocupantes.

Quando perguntadas sobre políticas e padrões de segurança da informação estabelecidos e documentados, 28% não possuem um cronograma definido para revisar e atualizá-los, enquanto 33% os revisam e atualizam apenas uma vez ao ano.

Além disso, mesmo com a documentação em dia, gerar indicadores de Segurança da Informação ainda é uma tarefa relativamente distante da realidade das empresas. Enquanto a maioria (58%) dispõe de controles formalizados e documentados, apenas cerca de 42% das organizações afirmam praticar e gerar métricas sobre a observância de suas políticas de segurança da informação.

Ainda há muito a evoluir.

Agência de Segurança Nacional dos EUA (NSA