‘Gran violación’: Los diputados se enfurecen por la transferencia de correos electrónicos durante la investigación

Más de 100,000 correos electrónicos y documentos parlamentarios sensibles fueron entregados a un bufete de abogados privado que recientemente había sido víctima de un importante ciberataque, a pesar de las claras advertencias sobre los riesgos extremos involucrados. En 2023, la subsecretaria del Departamento de Servicios Parlamentarios (DPS), Jaala Hinchcliffe, ordenó a su equipo de TI entregar un vasto conjunto de comunicaciones, incluidos archivos de Microsoft Office y chats de Teams, que abarcaban un período de 10 meses. La medida formaba parte de una investigación interna sobre posibles irregularidades por parte de altos cargos, incluido su entonces jefe, Rob Stefanic, quien finalmente fue despedido por pérdida de confianza y credibilidad.\n\nHinchcliffe, que había trabajado en integridad de la aplicación de la ley y agencias anticorrupción, dirigió dos veces al departamento de TI para que diera acceso al bufete legal HWL Ebsworth a las comunicaciones parlamentarias. Se encendieron las alarmas dentro de la división de ciberseguridad del DPS porque HWL Ebsworth había sufrido un masivo ataque de ransomware ruso solo meses antes, resultando en 3.6TB de datos robados. A pesar de que los expertos en ciberseguridad señalaron un riesgo "extremo" de divulgación ilegal, incluyendo posibles violaciones de la seguridad nacional y privilegios parlamentarios, Hinchcliffe no rechazó ni buscó mayor aclaración sobre las advertencias.\n\nLos datos entregados incluían más de 108,000 correos electrónicos y 44,000 registros de Office 365 relacionados con comunicaciones entre varias personas de alto perfil, incluyendo a Stefanic, una ex subsecretaria Cate Saunders, quien recibió un controvertido pago de incentivo de $315,000 para su retiro, y otras figuras senior del servicio público. Esta investigación se desarrolló paralelamente a una pesquisa de la Comisión Nacional Anticorrupción (NACC) y a una investigación separada de recopilación de hechos por la abogada Fiona Roughley.\n\nDespués de la transferencia inicial de datos en julio de 2023, Hinchcliffe solicitó una búsqueda adicional cuando el asesor legal creyó que se había excluido algún material. Esta vez, sin embargo, un analista de datos contratado por HWL Ebsworth realizó la búsqueda, y el contratista del bufete legal recibió acceso completo de administrador a toda la red informática del DPS, una medida que aumentó aún más las preocupaciones de ciberseguridad.\n\nLos políticos federales expresaron indignación por la posible violación del privilegio parlamentario y la confidencialidad. La senadora liberal Jane Hume advirtió que violar dicha confidencialidad podría amenazar los procesos democráticos, mientras que la senadora de los Verdes Steph Hodgins-May criticó al departamento por realizar una búsqueda demasiado amplia que recopiló comunicaciones de empleados junior sin participación en el asunto, calificándolo como una “gran violación de la confianza.” El senador de Queensland James McGrath añadió que si los correos electrónicos se compartieron contra evaluaciones explícitas de riesgo, debería haber una seria rendición de cuentas.\n\nEl departamento sostiene que HWL Ebsworth proporcionó garantías y estableció protocolos para gestionar los datos, y que no se entregaron datos parlamentarios a Roughley en su investigación. La indagación sobre el pago de retiro a Saunders descubrió conflictos de interés y fallos procedimentales, incluyendo errores en la nómina que llevaron a pagos en exceso. Todo el episodio ha generado preguntas sobre cómo equilibrar la necesidad de investigaciones internas con la protección de comunicaciones parlamentarias sensibles, especialmente cuando involucran a terceros con vulnerabilidades recientes en ciberseguridad.