A NSA agradece

Governo recupera plano Relvas e alarma Comissão de Protecção de Dados
Para cortar na despesa dos centros de dados do Estado, onde está informação sensível dos cidadãos, o Governo vai transferi-los para clouds, um armazém virtual que ainda suscita dúvidas. [DN]

Passar serviços do estado para a esfera privada tem sido neste governo o equivalente às novas auto-estradas, requalificações, parques escolares, scuts, privatizações e obras públicas de anteriores governos. Uma forma de continuar a gerar negócio para uma clientela que vive encostada ao estado, apesar do discurso insurgentemente oficial de menos estado.

O argumento? É mais barato. Será mais barato? A pergunta está errada, na sua natureza. Dado que não se fazem omeletes sem ovos, no público só será alguma vez mais caro caso a gestão pública, que é de nomeação política, seja incompetente. Mas mesmo dando de barato que possa ser menos caro, qual é o preço da soberania? Num governo que escolheu como lema “Portugal[,] acima de tudo”, apesar de ter entregue ao estrangeiro sectores altamente estratégicos como a produção e distribuição de electricidade, esta questão dos dados dos cidadãos estarem na posse de empresas privadas, nacionais ou não, deveria fazer soar alguma campainha.

Olhando para este assunto de uma forma mais técnica, algo que o governo deveria igualmente fazer, em vez de se focar no negócio, há sérias questões associadas ao recurso de uma cloud para armazenamento de dados. O que é uma cloud, neste contexto? Não sabemos. Um projecto tão sensível como este está, como noutros casos, envolto em secretismo, sem discussão pública, à espera de uma aprovação discreta, seguida da estratégia de facto consumado. Graças à Comissão Nacional de Proteção de Dados ficamos a saber um pouco mais:

“A proposta admite, isto é, não excluía localização dos centros de dados em qualquer parte do mundo (…) não se pode deixar de referir, no respeito pelos princípios constitucionais, que colocar os dados pessoais da população portuguesa fora do território nacional, suscita sérios problemas de soberania”. [CNPD, citada pelo DN]

Estamos, portanto, perante alojamento de dados em data centers, em território nacional ou não. Como refere a CNPD, estando os dados no estrangeiro, haverá questões de soberania associadas mas existe, além disso, a questão da segurança, para a qual é indiferente a nacionalidade do centro de dados. Com efeito, não parecendo credível que venha a ser estabelecida uma ligação privada entre os diversos serviços do estado e o data center, especialmente num governo focado nos custos, estes dados serão acedidos por redes públicas, construídas em cima da Internet. É de crer, mesmo numa implementação pouco cuidada, que sejam usadas técnicas como VPN e encriptação de dados para estabelecer um canal seguro entre o ponto de acesso aos dados e o ponto de consumo desses dados.

No entanto, as questões de segurança vão muito além destes aspectos, estando essa análise fora do âmbito de um post como este. É de reter, no entanto, que grandes empresas viram recentemente os seus dados atacados e expostos na net. Exemplos disso foi o ataque à iCloud da Apple, levado a cabo, possivelmente, por hackers chineses, tendo sido expostos dos dados dos seus utilizadores. Outro problema de segurança, com um potencial devastador em boa parte dos serviços online, foi a falha de segurança num dos protocolos mais usados para estabelecer ligações seguras, como as usadas pelas VPN. São dois exemplos apenas, de entre muitos disponíveis, para ilustrar uma questão demasiado séria para ser tomada com a ligeireza de uma discussão de Conselho de Ministros (esses mesmos que depois dizem não ter responsabilidade política sobre os organismos que tutelam).

Ao nível nacional, as questões de segurança, como podemos ver no caso do fisco, têm sido complemente descuidadas pelas empresas envolvidas. Ao usar uma cloud, existirá o real risco de dados altamente apetecíveis ficarem expostos devido a implementações com falhas de segurança. A estas falhas, somam-se as outras existentes nos sistemas de terceiros, usados pela solução. E, por fim, dada a natureza dos dados envolvidos, as agências de espionagem internacional, estatais ou não, olharão para este pote de mel como algo a obter. O que, mais cedo ou mais tarde, conseguirão, como aconteceu com o caso em que a NSA montou antenas de GSM para interceptar todas as chamadas e dados dos utilizadores.

Ainda mais uma nota quanto a segurança. Uma das técnicas de espionagem da NSA consiste em interceptar as encomendas de equipamentos de rede (routers) e servidores para neles injectarem código que, remotamente, lhes permitirá monitorizar e controlar esses equipamentos. A situação chegou a tal ponto que a Cisco, um dos grandes fornecedores de routers, passou a enviar as suas encomendas para moradas falsas, na expectativa de não despertar a atenção das agências de espionagem.

Países como o Brasil passaram a ter como política a obrigatoriedade de terem acesso ao código fonte do software para garantir que este não contem cavalos de tróia. E é prática geral, vista habitualmente nos cadernos de encargos onde existam dados sensíveis, a desconsideração do recurso a clouds para alojamento de dados. Por estas razões, é muito irresponsável que o governo opte por este caminho, sem discussão pública e sem se conhecerem os detalhes envolvidos.

Finalmente, repare-se a forma como a notícia foi plantada. Um “armazém virtual que ainda suscita dúvidas”, como se estas estivessem para desaparecer. Para ser jornalismo mais exacto, a frase deveria referir que continua a suscitar dúvidas, dado que estas já tinham sido lançadas pela CNPD. Quanto ao título, é dito que o projecto “alarma Comissão de Protecção de Dados” mas em causa não está uma questão de pânico mas sim de incompetência técnica que o governo se prepara para concretizar. Um pouco mais de rigor e investigação, s.f.f., pode ser?