Vazamento de dados acontecem todos os dias. Alguns viram notícia. Muitos permanecem ocultos.

Nos últimos anos foram noticiados casos monumentais. Tais eventos colocaram em evidência o estado de segurança de diversos setores do mercado. Todos, sem exceção, apresentam vulnerabilidades.

É pela grande mídia que somos alertados, constantemente, sobre as crescentes violações, sobretudo quando há o envolvimento de alguma grande corporação estrangeira. A partir dessas notícias, poderíamos supor que elas seriam os únicos alvos, enquanto as brasileiras não estariam no centro de interesse dos criminosos.  Nada mais fantasioso.

Ocorre que, no Brasil, há poucos dados sobre o número de incidentes provocados e custos gerados com violações de dados. Um dos raros estudos foi realizado pela IBM em parceria com o Instituto Ponemon, o qual constatou que empresas brasileiras perderam R$ 4,7 milhões com vazamento de dados em 2017.1

Se a pobreza de informações sobre os incidentes em empresas brasileiras é decepcionante para quem busca dados consolidados, imagine quando relacionadas aos escritórios de advocacia. Simplesmente não existem.

Nos Estados Unidos, país que tem uma cultura de cibersegurança corporativa mais arraigada, muito em função de leis e programas de compliance, que obrigam as organizações – escritórios de advocacia, inclusive – a proteger certos tipos de dados que estão sob sua guarda, as informações sobre os incidentes de segurança são ricas em detalhes. É por isso que a maior parte das referências que faço sobre o assunto tem essa origem.

Lá, inclusive, o governo coopera alertando as organizações sobre as ameaças e os riscos aos quais estão expostas. Em 2016, por exemplo, o FBI emitiu um alerta informando de que criminosos estariam visando empresas de advocacia internacionais como parte de um esquema para obtenção de informações privilegiadas (insider trading).2

É claro que toda essa preocupação com a segurança não é impulsionada somente pelos riscos aos quais as organizações privadas estão expostas. Há um firme entendimento de que a infraestrutura crítica do país precisa ser protegida, uma vez que intrusões de computador e ataques de rede representam uma ameaça à segurança nacional. Além disso, há preocupações com terrorismo, espionagem, fraudes, lavagem de dinheiro e diversos outros crimes relacionados com o computador.

Em 2015, a divisão de inteligência cibernética do Citigroup divulgou relatório apontando que “a segurança digital em muitos escritórios de advocacia, apesar das melhorias, geralmente permanece abaixo dos padrões de outras indústrias”. 3

Diante do cenário, os bancos passaram a exigir mais documentação dos escritórios de advocacia sobre as medidas de segurança da informação que adotam, como uma condição necessária para que continuassem trabalhando juntos.

A partir de agora, a fim de passar um pouco do tamanho da encrenca, vamos saber um pouco mais sobre alguns casos ocorridos em 2017. A relação de escritórios foi elaborada elaborada por Jnana Settle, Disruptor Daily)4. Fiz alguns complementos:

1. DLA Piper:

O DLA Piper é um dos maiores escritório de advocacia do mundo. Dentre outros serviços, oferece consultoria em cibersegurança para bancos, órgãos governamentais, empresas de comunicação, energia, equipes esportivas etc.

Em junho de 2017 foi atingida pelo ransomware de origem ucraniana conhecido como Petya. Durante dois dias, após o ataque, todos os telefones e e-mails da DLA Piper, que tem cerca de 3600 advogados em 40 países, inclusive em Kiev, a capital ucraniana, ficaram indisponíveis.

Em função da consistência da sua operação e valor da sua marca, apesar da imensa repercussão do incidente, a sua receita global aumentou 7%, em relação a 2016, indo para US $ 2,63 bilhões em 2017. 5

Nota curiosa: No começo do mês de junho o DLA Piper havia publicado artigo intitulado “WannaCry ransomware attack was just the tip of the iceberg“, no qual elencava 9 importantes pontos para serem levados em conta para proteção contra o próximo ataque ransomware de escala global.6 O ponto 9, o qual trata sobre a Resposta ao Incidente, indica as medidas as empresas devem tomar depois de um ataque. Por tudo que li, a DLA Piper tinha um plano de resposta a incidentes bem consistente. Afinal, já tinha aprendido diversas lições com seus clientes.

2. Mossack Fonseca

Em 2015, o escritório panamenho Mossack Fonseca foi protagonista de um incidente conhecido como “Panama Papers”, considerado o maior caso de vazamento de dados para jornalistas.

Mais de 11,5 milhões de documentos vazaram, dentre eles 4,8 milhões de e-mails. Os documentos revelavam dados financeiros detalhados e outras informações sigilosas da relação advogado/cliente, incluindo a criação de empresas de fachada usadas para fins ilícitos. Muitas empresas, indivíduos e funcionários públicos apareceram no Panama Papers.

De acordo com a Süddeutsche Zeitung7, a publicação alemã que originalmente recebeu os documentos vazados, os dados dividiam-se da seguinte forma:

Documentos Vazados Panama Papers

O site do escritório, em WordPress, rodava uma versão vulnerável do plugin Revolution Slider, o qual foi explorada para violar os servidores de e-mail. Além disso, uma versão desatualizada do Drupal com mais de 23 vulnerabilidades, que era usado como o portal de acesso aos clientes, também serviu de porta de entrada para os atacantes.

Recentemente, o Mossack Fonseca anunciou que encerraria suas atividades.

Leia também: Panama Papers sob a ótica da cibersegurança

3. Appleby

A Appleby, localizada nas Bermudas, sofreu a violação em 2016, mas o caso só veio à tona depois que jornalistas do Consórcio Internacional de Jornalistas Investigativos perceberam o vazamento de informações e começaram a questionar a empresa. Appleby negou alegações de ajudar seus clientes a evadir impostos.

Segundo os jornalistas, os documentos vazados, apelidados de Paradise Papers, mostram quão profundamente o sistema financeiro offshore está intrincando com a superposição de políticos, milionários e gigantes corporativos, incluindo Apple, Nike, Uber e outras empresas globais.8

Em nota, reagindo a cobertura da mídia, a Appley diz que:

Desejamos reiterar que nossa firma não foi alvo de um vazamento, mas de um grave ato criminoso. O acontecimento foi um hack ilegal de computador. Nossos sistemas foram acessados ​​por um invasor que usou as táticas de um hacker profissional, capaz de apagar seus rastros. Uma investigação forense de uma importante equipe internacional de Cyber ​​& Threats concluiu que não havia provas cabais de que os dados não foram vazados por alguém que trabalha na Appleby. 9

A motivação da violação foi politicamente ou financeira? Ninguém sabe. Detalhes sobre como ocorreu o incidente não foram divulgados.

Temos uma única certeza: O Panama Papers e o Paradise Papers revelaram como as elites globais fazem para ocultar (lícita ou ilicitamente) sua riqueza, além de colocar  em primeiro plano o estado da segurança da informação dos escritórios de advocacia.

(artigo não concluso)


Referências

  1. Empresas brasileiras perdem mais de R$4.7 mi com vazamento de dados: https://www-03.ibm.com/press/br/pt/pressrelease/52790.wss
  2. FBI Alert Warns of Criminals Seeking Access to Law Firm Networks: https://biglawbusiness.com/fbi-alert-warns-of-criminals-seeking-access-to-law-firm-networks/
  3. Citigroup Report Chides Law Firms for Silence on Hackings: https://www.nytimes.com/2015/03/27/business/dealbook/citigroup-report-chides-law-firms-for-silence-on-hackings.html
  4. 10 Law Firm Cyber-Attacks of 2017: https://www.disruptordaily.com/top-10-law-firm-cyber-attacks/
  5. What cyber attack? DLA Piper delivers strong results despite ransomware attack: http://www.cityam.com/283277/cyberattack-dla-piper-delivers-strong-results-despite
  6. O ransomware WannaCry tomou o mundo de assalto na sexta-feira, 12 de maio de 2017. Relatórios de empresas de segurança indicam que o ataque infectou mais de 200 mil computadores em pelo menos 150 países em um período de 24 horas.
  7. About the Panama Papers: https://panamapapers.sueddeutsche.de/articles/56febff0a1bb8d3c3495adf4/
  8. Paradise Papers: Secrets of the Global Elite: https://www.icij.org/investigations/paradise-papers/
  9. Appleby reaction to media coverage: https://www.applebyglobal.com/media-statements/appleby-reaction-to-media-coverage.aspx
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.