Ataque pirata à PLMJ reforçou segurança informática nos escritórios

Depois de a maior sociedade de advogados ter visto e-mails e documentos confidenciais expostos, escritórios portugueses reforçaram o seu sistema de segurança. Como? Formação é a chave, garantem.

Se hoje em dia praticamente nada é à prova de ‘hackers’, os escritórios de advogados não são exceção e a PLMJ é a prova disso. Depois de ter sofrido um ataque de pirataria informática em janeiro e e-mails de alguns dos seus advogados terem sido divulgados no blogue “Mercado de Benfica”, ter a segurança informática do escritório devidamente assegurada tornou-se, além de urgente, numa questão essencial.

Especialmente tendo em conta que, com este ataque pirata, foi divulgada documentação e informação sigilosa relativa a alguns dos processos mais mediáticos, incluindo os que estão ligados a Manuel Pinho e António Mexia (CMEC), a Ricardo Salgado e a Henrique Granadeiro (Operação Marquês), à holding estatal Parvalorem e ao ‘super-espião’ Jorge Silva Carvalho.

Anteriormente, o mesmo blogue já tinha divulgado conversas entre os três advogados responsáveis pela defesa do Benfica no caso e-Toupeira: João Medeiros, sócio do escritório-alvo PLMJ, Rui Patrício, sócio da Morais Leitão e Paulo Saragoça da Matta, da Saragoça da Matta & Silveiro de Barros (SM&SB).

“Na sequência de sucessivas tentativas de intrusão ilícitas, a segurança de rede da PLMJ foi recentemente comprometida”, confirmou fonte oficial do escritório à Advocatus, na altura do ataque. A mesma fonte só adiantou que a PLMJ estava “a avaliar o impacto potencial desse acesso ilegítimo a informação, tendo definido de imediato, em conjunto com uma equipa de especialistas, medidas preliminares de proteção e contenção”, mas não especificou que tipo de medidas concretas estariam a ser implementadas.

A preocupação manifesta dos clientes na possibilidade de estarem desprotegidos, sobretudo dos maiores, terá tido, naturalmente, peso na decisão de reforçar o sistema de segurança do escritório. Ainda assim, a PLMJ não revela qual o plano de proteção que estará a ser adotado, mesmo depois de contactada no sentido de esclarecer que tipo de reforço ao nível da segurança estaria a aplicar efetivamente.

Benfica. Restantes firmas também se protegem

Na eminência de ataques semelhantes se espalharem às sociedades de outros advogados também envolvidos na defesa da SAD do Benfica, a Advocatus contactou-as com o objetivo de apurar que tipo de prevenção estaria a ser tido em conta. Da Morais Leitão também não houve resposta. Porém, fonte oficial da sociedade já tinha manifestado que não teriam tido “qualquer evidência de entrada no sistema”.

Paulo Saragoça da Matta, outro dos advogados contratados pelo Benfica, explicou à Advocatus que a SM&SB sempre privilegiou a segurança informática e de tecnologias de informação, por ter sido “sempre um tema importante e essencial”. “Na verdade, sempre entendemos que a segurança de um sistema de tecnologia de informação está intimamente relacionada com o dever de confidencialidade profissional a que está sujeita a SM&SB e todos os advogados e colaboradores que trabalham nesta sociedade”. Assim sendo, o escritório da SM&SB não terá feito ajustes à segurança do escritório com este ataque recente.

Entre algumas das medidas que o escritório tem já implementadas estão a separação total de ambientes de utilização pessoal e profissional, os sistemas de confidencialidade de dados e rastreio dos mesmos, a definição de protocolos de segurança informática e o estabelecimento de níveis de acesso diversificado consoante a sensibilidade dos temas.

Os três advogados do Benfica no caso e-Toupeira: Rui Patrício, João Medeiros e Paulo Saragoça da Matta.

“Perante o anúncio de qualquer ameaça generalizada ao sigilo e segurança, são tomadas todas as medidas necessárias, geralmente e com caráter regular, como ‘refresh’ de formação de todos os colaboradores sobre as políticas de IT e a revisão das políticas de segurança de IT”, acrescentam.

Do lado da Vieira de Almeida (VdA), que também presta assessoria jurídica ao clube encarnado no caso dos e-mails, a gestão de segurança informática está assegurada pelo “referencial ISO 27001”, uma certificação dada ao sistema, e pela implementação de soluções tecnológicas “em várias frentes”.

A sociedade conta ainda com uma equipa dedicada à gestão destas tecnologias orientada e organizada por áreas de especialização e preocupa-se em dar “constante sensibilização e consciencialização” aos seus colaboradores “para preocupações sobre estas matérias”. Sinais de pirataria também não foram detetados.

Risco de pirataria chega a outros escritórios? Prevenção e formação são a chave

Porque mais vale prevenir do que remediar, outros escritórios têm olhado para a questão da segurança informática com cuidado redobrado nestes últimos tempos, não fossem também ser afetadas. À Advocatus explicam que a solução passa por prevenir, tendo um sistema atualizado, e por manter os advogados devidamente informados para eventuais deteções.

Na Uría Menéndez-Proença de Carvalho, por exemplo, há muito tempo que se aposta fortemente na segurança da rede e sistemas do escritório, mas também na formação. “Procuramos estar sempre do lado da mais recente inovação em termos de segurança e temos recursos humanos exclusivamente dedicados a isso”, afirma fonte oficial do escritório.

"Dedicamos muito tempo e energia a uma forte política informativa e formativa de todos os nossos colaboradores no que diz respeito à segurança informática, que começa e acaba em cada um de nós.”

Uría Menéndez-Proença de Carvalho

“Um aspeto essencial é o ‘elo humano’ nessa cadeia: dedicamos muito tempo e energia a uma forte política informativa e formativa de todos os nossos colaboradores no que diz respeito à segurança informática, que começa e acaba em cada um de nós”, adianta.

Nesse sentido, a sociedade garante ter neste momento todas as suas medidas “alinhadas com os pressupostos atuais de segurança”, mas a sua prioridade tem passado muito pela precaução e sensibilização. “Os sistemas só são eficazes se o utilizador observar sempre, sem exceções, as regras de prudência, que evoluem a uma cadência significativa. Tentamos estar sempre um passo à frente”, garantem. Neste contexto, as empresas apontam mesmo a cibersegurança como o principal risco operacional para 2019.

"No caso de uma sociedade de advogados, a segurança informática surge como um tema prioritário, na medida em que é um dos garantes do pilar mais importante da relação com os clientes – a confiança -, além de um ativo reputacional fundamental.”

CMS Rui Pena & Arnaut

No caso de uma sociedade de advogados, diz fonte oficial da CMS Rui Pena & Arnaut, a segurança informática tem sido um “tema prioritário, na medida em que é um dos garantes do pilar mais importante da relação com os clientes – a confiança -, além de um ativo reputacional fundamental”.

O escritório olha para esta área como um investimento contínuo e tem uma equipa “bem preparada e os sistemas adequados” para que possa ter a a confidencialidade da informação que é produzida no escritório assegurada. “Os sistemas de segurança informática que a CMS Rui Pena & Arnaut tem implementados protegem a informação de todos os clientes, sem exceção ou diferenciação”, dizem. As medidas vão desde a arquitetura do sistema à implementação de políticas rigorosas de gestão da informação pelos próprios advogados.

A maior parte das sociedades reforçou a sua segurança informática através de formações dadas aos seus advogados para se prevenirem para eventuais “hackers“.

Na Abreu Advogados, o departamento de tecnologias e sistemas de informação conta com um plano para a área da cibersegurança, que se encontra “em plena execução”. A sociedade implementou um conjunto de iniciativas com projetos dedicados à tecnologia, aos processos de segurança informática e à formação.

“As recentes notícias relativamente ao ataque informático realizado a uma sociedade de advogados tornaram o tema das tecnologias e processos relacionados com a segurança da informação um tema mais presente no dia-a-dia das pessoas e resulta numa preocupação acrescida para o cumprimento das boas práticas”, conta João Cupertino, diretor deste departamento, à Advocatus.

Para este escritório a segurança dos sistemas e da informação implica um trabalho permanente de várias equipas em diferentes áreas. O departamento vocacionado para esta área estratégica conta com uma equipa multidisciplinar, que funciona em estreita colaboração com um conjunto de entidades externas que oferecem apoio à Abreu Advogados na implementação e monitorização da sua arquitetura de segurança.

"O nosso departamento tem uma equipa multidisciplinar, que trabalha em estreita colaboração com um conjunto de entidades externas que nos apoiam na implementação e monitorização da nossa arquitetura de segurança, para podermos rapidamente detetar, analisar e responder a incidentes de segurança cibernética usando uma combinação de soluções tecnológicas, processos e recursos com formação especializada.”

João Cupertino

Diretor do Departamento de Tecnologias e Sistemas de Informação da Abreu Advogados

Assim, o escritório consegue rapidamente “detetar, analisar e responder a incidentes de segurança cibernética usando uma combinação de soluções tecnológicas, processos e recursos com formação especializada”.

“Tendo em conta que o tema da segurança assenta não só na tecnologia mas na confidencialidade, integridade e proteção da informação, o facto de termos a certificação da qualidade ISO 9001 é um garante da revisão constante e monitorização das nossas políticas e procedimentos”, acrescenta João Cupertino.

“Hacker” já foi detido entretanto

Rui Pinto, o ‘hacker’ que revelou informações do Benfica e dos seus advogados e que estava sob mandato de busca europeu, já foi detido. O homem de 30 anos foi detido num estado-membro da União Europeia, segundo informação divulgada pelo Ministério Público (MP), e alguns jornais apontaram para a possibilidade de ter sido na Hungria, onde o ‘hacker‘ vivia. Com a sua detenção, agora em causa estão práticas passíveis de constituir crimes de extorsão qualificada na forma tentada, acesso ilegítimo, ofensa a pessoa coletiva e violação de segredo.

O inquérito está decorrer no Departamento Central de Investigação e Ação Penal (DCIAP) e o MP está a contar com o apoio da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da Polícia Judiciária (PJ). A PJ investigava o suspeito há já vários meses. Rui Pinto também já esteve envolvido em crimes de roubo de correspondência eletrónica também ao Sporting e ao FC Porto.

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Ataque pirata à PLMJ reforçou segurança informática nos escritórios

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião