Nesta quarta reportagem da série, o site mostra os desdobramentos de alguns fatos estranhos que ocorreram dentro da Dataprev no ano passado. Sem que se saiba, até agora, se os organismos de controle tiveram conhecimento deles e atuaram no sentido de tomarem medidas para a correção administrativa e a responsabilização dos envolvidos.
No dia 24 de maio de 2019, o Conselho de Administração da Dataprev se reuniu para discutir vários assuntos pertinentes da empresa. Entre eles, um “Plano de Segurança Cibernética”. Curiosamente, este plano foi apresentado pelo então “Assessor da Presidência”, Fábio Koreeda, recém nomeado para o cargo, mas que aguardava a tramitação de sua indicação junto à Casa Civil da Presidência da República para ocupar a Diretoria de Operações da Dataprev, a pedido da presidente da estatal, Christiane Edington.
Então Koreeda, por si só, já era um caso peculiar dentro da Dataprev, conforme reportagem publicada ontem por este site. Pois conseguiu a façanha de perambular dentro da empresa sem ser questionada a sua presença por ninguém. Segundo informações, chegou a frequentar as áreas de segurança máxima da estatal (Datacenter, por exemplo). Para tanto, bastou portar um crachá de diretor – cargo que oficialmente não tinha – contendo até matrícula de servidor, que foi confeccionado à mando da presidente da empresa.
Conselho de Administração
O Conselho de Administração é a instância máxima de comando da Dataprev, está acima da Diretoria Executiva e por isso tem em seus quadros autoridades do governo federal. É formado por gente que se supõe que seja “tarimbada” para ocupar tão relevante cargo. Fazem parte dele, por exemplo, o Secretário de Governo Digital, Luiz Felipe Monteiro (que hoje exerce as funções inerentes as de um CIO dentro do Governo Bolsonaro). E Renê Sanda (membro do Comitê de Auditoria Estatutário da Dataprev). Outros nomes de relevância incontestável, tanto no governo, quanto do mercado privado, integram este Conselho.
Só que, curiosamente, naquela reunião do dia 24 de maio de 2019, nenhum representante estranhou a intempestividade da presença de Fábio Koreeda, um mero “Assessor de Diretoria”, encarregado de apresentar um planejamento estratégico que envolvia a “Segurança Cibernética” da empresa.
Ninguém também estranhou a ausência de qualquer outro responsável pela área de Segurança da Informação da estatal, na apresentação de uma pauta tão importante para a empresa. Pelo menos alguém que realmente fosse dos quadros da Dataprev, já que ali quem estava presente era uma pessoa estranha para o Conselho, provavelmente portando um crachá de diretor – cargo que não ocupava oficialmente, mas se valia dele para perambular dentro da empresa. Ele foi apresentado em Ata como “Assessor da Diretoria”, não como diretor.
Tal fato é considerado inédito, pois não há registros de algo semelhante na Administração Pública Federal. Ocorreu dentro de uma empresa estatal, que é a responsável pela custódia das informações de 58 milhões de Pessoas Jurídicas e paga 24 milhões de aposentados e pensionistas mensalmente. É algo inconcebível, beira ao absurdo, mas aconteceu e está registrado em ATA.
Estratégia
Se faltam explicações para o episódio, sobram perguntas a serem feitas sobre esse “Plano de Segurança Cibernética” da Dataprev. A primeira indagação seria: “quem produziu esse plano”? Fábio Koreeda acabara de entrar na empresa como postulante ao quadro diretivo da Dataprev. O que deixam margens para dúvidas, se ele foi capaz de elaborar toda a estratégia cibernética sozinho, em tão curto espaço de tempo, ouvindo ou não os conselhos dos funcionários dessa área da estatal. E se não foi o autor, de onde veio esse plano, dos funcionários? Qual o interesse?
Somam-se à essa, algumas outras perguntas: 1- O plano já foi implementado de maio de 2019 para cá? 2 – em que estágio está? 3 – Foram feitas despesas para a sua implantação? 4 – qual será o custo final do projeto? 5- quanto já resultou em gastos/investimentos a implementação dele até o momento?
Currículo para mostrar que teria competência para ocupar a Diretoria de Operações da Dataprev Fábio Koreeda tem. Mas resta saber se as experiências que acumulou em áreas de infraestrutura da Contax, Natura, GVT e da Oi, seriam adaptáveis à realidade e peculiaridades da Dataprev.
O fato é que por alguns meses, uma pessoa estranha aos quadros da empresa circulou pelas dependências da Dataprev portando um crachá de diretor, cargo que ainda não tinha sido aprovado para ocupar pelo governo. E também participou de várias reuniões da Diretoria Executiva, tendo acesso a dados e informações consideradas sigilosas.
E talvez o mais grave nesse processo, que tem indícios claros de quebra de segurança orgânica num estatal – autorizada por uma presidente – seja o fato de que a Dataprev ainda pode estar exposta. Pois não se sabe exatamente qual foi o grau de interação de Fábio Koreeda com as diversas áreas da empresa, seu conhecimento sobre os sistemas, senhas de acesso, etc.
Como sua nomeação para o cargo de diretor não foi efetivada, fica a dúvida sobre o que Fábio levou consigo de informações sobre a empresa.
E fica mais uma pergunta: como, neste caso, não se pode cobrar dele a quarentena, que tipo de responsabilidade recairia sobre Fábo Koreeda, caso a empresa venha a ser exposta?
Também resta saber se os organismos de controle estão ou irão investigar alguma coisa deste episódio na Dataprev e se caberia algum tipo punição administrativa contra todos os responsáveis pelo ocorrido. Até agora o que se sabe é que a Controladoria-Geral da União pode estar realizando uma auditoria na empresa, supostamente para investigar o assunto. Mas ainda não tornou público os resultados.
Também não está clara a participação e a possibilidade de haver quebra de confiança da parte de organismos internos como a Consultoria Jurídica, o Compliance e o Comitê de Auditoria da Dataprev. São instâncias que precisam responder agora, os motivos de terem se omitido e não tomado providências para impedir esse suposto abuso de autoridade da presidente da estatal. Que pode estar levando a Dataprev a uma situação de alto risco na área de Segurança da Informação.