​Cea mai mare bresa de securitate din 2016, denumita de presa Panama Papers, a expus milioane de fisiere care dezvaluie un sistem complex de eludare a taxelor de catre cei mai bogati si influenti oameni. Scurgerea de informatii nu a fost provocata de hackeri, asa cum s-a crezut initial, ci a fost cauzata de furt de date din interior. Una dintre ipoteze este ca o fosta angajata a Mossack Fonseca care avea acces la date a fost implicata intr-o relatie intima cu unul dintre partenerii aflati la conducerea companiei. Relatia nu s-a sfarsit in termeni amiabili, astfel ca angajata a decis sa se razbune furand liste cu clienti si informatii cu caracter confidential din serverele companiei si trimitandu-le catre institutii de presa.

In momentul de fata, procurorii din Panama cauta sa identifice originea scurgerii de informatii, deci au mers la sediul companiei pentru a-i verifica serverele. Procurorii investigheaza ipoteza unui atac informatic, asa cum pretind cei de la Mossack Fonseca.

2,6 TB de date au ajuns la cotidianul german Süddeutsche Zeitung, care le-a trimis mai departe catre Consortiul International pentru Jurnalism de Investigatie, inclusiv conturi apartinand familiei premierului britanic David Cameron si presedintelui rus Vladimir Putin, alaturi de politicieni din Islanda, Malta, Pakistan si Ucraina. 140 dintre firmele offshore din documentele aparute in presa apartin unor persoane publice sau politicieni.

„Companiile va trebui sa isi schimbe politicile de securitate. Vor fi mai atente cum administreaza informatiile si vor investiga suplimentar companiile cu care lucreaza”, a fost una dintre reactiile utilizatorilor de pe Reddit .

Anul trecut, cercetatorii de la Loudhouse au descoperit ca 35% dintre angajati ar vinde informatii despre patente ale companiei, date financiare sau detalii ale cardurilor clientilor pentru pretul corect. Un sfert dintre angajati ar vinde datele companiei riscandu-si slujba si o posibila condamnare pentru mai putin de 8.000 de dolari. Circa 3% ar vinde informatii cu caracter privat pentru 150 de dolari, in timp ce 18% ar accepta un pret de 1.500 de dolari. Circa 35% si-ar trada companie doar pentru sume mai mari de 75.000 de dolari, in timp ce aproape doua treimi nu ar vinde sub nicio forma datele de la serviciu.

Tentatia de a vinde informatie confidentiala este amplificata de faptul ca 61% dintre respodenti au acces nelimitat la datele personale ale clientilor. Jumatate pot accesa date financiare, precum conturi ale companiilor, informatii despre actionari, date despre produse sau servicii de importanta strategica pentru business, lansari planificate sau patente, conform cercetarii.

In ce priveste atitudinea fata de securitatea datelor, 29% dintre angajati considera ca angajatorul este pe deplin responsabil, iar 22% spun ca nu isi asuma niciun fel de raspundere. Rezultatele studiului reconfirma nevoia companiilor de a implementa strategii care sa previna pierderea datelor si, simultan, de a a folosi tehnologia ca sa securizeze datele si sa le protejeze de amenintari periculoase sau de neglijenta sau reavointa angajatilor.

Mai mult decat atat, amenintarile interne se claseaza pe locul al doilea in topul vectorilor de atac identificati de specialistii in securitate, potrivit unor studii ale SANS Institute, fiind nominalizate de 49% dintre respondenti printre primele trei amenintari, urmate de integrarea sistemelor IT in retele de control, cu 46%.

Pentru a reduce erorile umane, organizatiile trebuie sa inceapa sa instaleze sisteme de control al securitatii pentru a monitoriza persoanele care au acces la date importante. Masurile de securitate intreprinse pentru protectia datelor includ:

- Administrarea si monitorizarea privilegiilor utilizatorilor

- Derularea de controale ale istoricului activitatii angajatului inainte de a i se oferi dreptul de a accesa informatii

- Segmentarea retelei pentru control si securitate sporite

„Pentru a limita riscurile venite din interior, o companie trebuie sa aplice politici ferme legate de felul in care sunt folosite echipamentele si infrastructura sau privilegiile pe care un utilizator le detine in aceasta infrastructura. Departamentul de IT trebuie nu numai sa creeze politici de utilizare acceptabila a echipamentelor, dar trebuie totodata sa se asigure ca aceste politici sunt implementate", spune Bogdan Botezatu, expert in securitate in cadrul producatorului de solutii de securitate IT Bitdefender.

Un alt element cheie pentru securitatea companiei este segregarea drepturilor de acces pe criterii de necesitate: angajatii trebuie sa poata accesa doar acele resurse care le sunt esentiale pentru activitatile de zi cu zi. Specialistii in securitate ai Bitdefender sustin ca angajatii din departamentul de IT trebuie sa respecte la randul lor un set de politici de securitate. Astfel, copiile de siguranta trebuie pastrate doar in interiorul companiei, numerotate si distruse corespunzator atunci cand nu mai sunt necesare, iar privilegiile si conturile fostilor angajati trebuie revocate imediat la incetarea relatiilor cu compania angajatoare.

Astfel, accesul la datele critice si sensibile trebuie sa se realizeze doar de catre personal autorizat, folosind proceduri stricte de securitate si metode avansate de autentificare. Se poate opta atat pentru sisteme de autentificare dubla (two-factor) sau pentru validarea autentificarii de catre o terta parte (two-man rule). In acelasi timp, accesul la orice tip de date, indiferent daca acestea sunt stocate intr-un cloud privat sau public, trebuie sa se realizeze prin mecanisme de autentificare. Acestea trebuie sa presupuna mai mult decat simple credentiale de access - pentru date sensibile - si pot ajunge pana la autentificari biometrice sau prin certificate digitale.

Toate parolele folosite pentru accesarea conturilor trebuie schimbate pentru a diminua riscul aparitiei unei brese de securitate.

Situatia este agravata de faptul ca 64% dintre companii sunt nesigure in ce priveste locul unde stocheaza informatiile deosebit de importante, conform unui studiu al institutului Ponemon. Fireste, lipsa unor reguli clare privitor la pastrarea si protejarea informatiilor le permite angajatilor care opereaza zi de zi cu date strategice sa le poata stoca si folosi in interes propriu.

Scurgerea de informatii din scandalul Panama Papers a generat peste 10.000 de articole in presa de pe mapamond. The Guardian sustine ca traficul din editia online in 4 aprilie, ziua in care povestea a aparut initial, a atins un nivel record de 10,4 milioane de vizitatori unici si 35 de milioane de afisari, fata de o medie zilnica de 8,5 milioane de vizitatori. Compania Mossack Fonseca a fost mentionata de zeci de mii de ori, iar reputatia sa a fost grav afectata de expunerea in media.