Exclusivo: Mais de 100 mil e-mails e documentos parlamentares sensíveis foram entregues a uma empresa privada que foi vítima de um ataque cibernético massivo por criminosos russos, apesar dos avisos de que conceder tal acesso representava um risco “extremo”.
9Notícias, A Idade e The Sydney Morning Herald pode revelar que o segundo burocrata mais graduado do parlamento federal ordenou que seu departamento entregasse uma busca em todos os e-mails, arquivos do Microsoft Office e bate-papos do Teams durante um período de 10 meses em 2023, em uma tentativa de investigar possíveis irregularidades cometidas por colegas seniores, incluindo seu então chefe.
Jaala Hinchcliffe, então vice-secretária do Departamento de Serviços Parlamentares (DPS), supervisionou duas vezes no ano passado uma ordem para que a equipe de TI desse aos advogados do departamento, HWL Ebsworth, acesso às comunicações parlamentares.
Os políticos federais dizem temer que as comunicações confidenciais possam ter sido potencialmente comprometidas. (Sydney Morning Herald)
No segundo caso, um contratante privado recebeu direitos totais de administrador sobre toda a rede informática do DPS, apesar dos especialistas em segurança cibernética do departamento alertarem que isso representava o risco de divulgação ilegal de informações sensíveis, incluindo questões de segurança nacional.
Houve um alarme particular dentro da divisão de segurança cibernética da DPS sobre a entrega de dados não filtrados à HWL Ebsworth, visto que a empresa foi vítima de um ataque cibernético massivo em abril de 2023 por um grupo de ransomware com sede na Rússia.
Nesse ataque, 3,6 TB de dados foram roubados da HWL Ebsworth, que tem dezenas de agências governamentais como clientes, incluindo Assuntos Internos, Defesa, a Polícia Federal Australiana e o Primeiro Ministro e Gabinete.
As redes de computadores são utilizadas por deputados e senadores federais e seus funcionários para realizar seu trabalho, alguns dos quais contam com proteção legal e imunidade sob o chamado privilégio parlamentar.
Políticos federais disseram ao 9News, A Idade e The Sydney Morning Herald eles temem que as comunicações confidenciais possam ter sido potencialmente comprometidas.
“Se esta investigação violou esse privilégio parlamentar, bem, então essa confidencialidade também foi violada, e isso é realmente uma ameaça aos processos democráticos em que confiamos”, disse a senadora liberal Jane Hume.
A senadora verde Steph Hodgins-May disse que foi uma “grande quebra de confiança de um departamento governamental que, francamente, não passa no teste do pub”.
Hinchcliffe estava investigando a propriedade de um “incentivo ao pagamento de aposentadoria” de US$ 315.000 à ex-secretária adjunta do departamento Cate Saunders, que teve um relacionamento pessoal com Rob Stefanic, o secretário do DPS até 17 de dezembro do ano passado, quando foi demitido.
Stefanic foi demitido pela presidente do Senado, Sue Lines, e pelo presidente da Câmara dos Representantes, Milton Dick, alegando perda de confiança.
Hinchcliffe tornou-se secretário interino em novembro e foi nomeado formalmente para o cargo em março deste ano.
Jaala Hinchcliffe era vice-secretária do Departamento de Serviços Parlamentares na época. (Alex Ellinghausen)
A Comissão Nacional Anticorrupção (NACC), que está actualmente a investigar o pagamento a Saunders, invadiu o parlamento em 3 de Outubro do ano passado.
Mas quatro meses antes do ataque do NACC – e um mês antes do DPS pedir à advogada Fiona Roughley para iniciar uma investigação separada de “apuração de fatos” – Hinchcliffe começou sua própria investigação sobre Stefanic, seu então chefe, e o pagamento a Saunders.
Ela pediu à equipe de TI do departamento que buscasse comunicações entre fevereiro e novembro de 2023 envolvendo 10 pessoas, incluindo Stefanic, Saunders, o Comissário do Serviço Público australiano Gordon de Brouwer e funcionários seniores, bem como sete palavras ou termos-chave: incluindo incentivo à aposentadoria, ITR, Secretário, APSC e Comissário.
De acordo com documentos vistos pela 9News, A Idade e The Sydney Morning Heralda pesquisa gerou mais de 108 mil e-mails e 44 mil registros do Microsoft Office 365 – muito mais se fossem incluídas duplicatas recuperadas de vários sistemas de computador.
Esses dados foram enviados à HWL Ebsworth em julho do ano passado.
Mas Hinchcliffe não ficou satisfeito.
Ela disse ao departamento de TI no mês seguinte que o advogado do departamento acreditava que materiais potencialmente relevantes haviam sido “inadvertidamente excluídos” dos dados.
Ela solicitou outra busca, mas desta vez conduzida por um analista de dados contratado pela HWL Ebsworth.
Uma avaliação de risco conduzida pela secção de TI e cibernética do DPS concluiu que o pedido de Hinchcliffe apresentava um risco “extremo” em duas frentes: a potencial violação da confidencialidade, incluindo questões de segurança nacional; e a potencial divulgação de material sujeito a privilégio parlamentar.
Hinchcliffe recebeu o conselho em 4 de setembro, mas 9News, A Idade e The Sydney Morning Herald foi informada de que não aprovou, rejeitou ou solicitou mais detalhes sobre o conselho.
No mês seguinte, a DPS IT foi instruída a dar ao contratante de HWL Ebsworth acesso completo de administrador de sistemas aos sistemas de computadores, dados e redes do departamento, o que ocorreu durante dois a três dias.
Num comunicado, a DPS afirmou que a HWL Ebsworth “forneceu garantias adequadas para facilitar o fornecimento desta informação, com mecanismos e protocolos estabelecidos para gerir todos os dados”.
O senador do LNP de Queensland, James McGrath, disse que ficaria preocupado se comunicações confidenciais fossem compartilhadas fora da rede parlamentar.
“Se os funcionários públicos divulgaram e-mails a terceiros contra uma avaliação de risco que os aconselhava a não divulgar esses e-mails, então cabeças deveriam rolar”, disse McGrath.
Hume disse que o DPS, ao perseguir uma alegada má conduta, pode ter violado a confidencialidade.
“A ideia de que o departamento potencialmente compartilharia informações que já eram privilegiadas com terceiros, e que esse terceiro teve uma violação cibernética apenas 12 meses antes disso, para mim, dispara o alarme”, disse ela.
Hodgins-May disse que embora seja importante investigar possíveis irregularidades, “os métodos são absolutamente importantes”.
“O que vimos é uma rede que vasculhou e capturou mais de 100 mil e-mails, varrendo a correspondência até mesmo entre funcionários juniores, sem nenhum envolvimento sugerido nisso, e depois entregando-a a terceiros”, disse ela.
A DPS disse que Roughley teve acesso às informações da DPS relevantes para o escopo de sua investigação.
“Nenhum dado parlamentar ou parlamentar foi fornecido ao Dr. Roughley”, disse o departamento.
“A DPS pode confirmar que foram solicitados aconselhamento jurídico e outros serviços contratados ao escritório de advocacia nacional HWLE Lawyers para apoiar a investigação de apuração de fatos do Dr. Roughley e o envolvimento da DPS com agências relevantes da Commonwealth, incluindo o NACC.”
Antes de ingressar no Departamento de Serviços Parlamentares, Hinchcliffe foi vice-comissário da Comissão Nacional Anticorrupção e ex-comissário australiano para a integridade policial.
