Nuvens negras sobre a documentação estatal

De acordo com o DN o governo pretende dar à gestão e custódia da documentação produzida pelo Estado a privados, uma espécie de PPP em que o Estado tem muito a perder e o privado pode ter muito a ganhar. Será que o Governo não vê outras áreas onde poupar? Tem realmente de mexer numa área tão sensível que pode envolver a divulgação de documentação classificada como segredo de Estado e de dados pessoais de cidadãos? Mais uma PPP a caminho? A documentação produzida pelo Estado passará a ser feita totalmente em modo digital ou será reconvertida para esse modo? Como asseguram a sua preservação, visto que a obsolescência tecnológica na era digital é assustadoramente rápida.

Á frente do grupo de trabalho que estudou a possibilidade de colocar a informação criada pelo Estado numa nuvem tecnológica está a assessora Marta Sousa, especialista em marketing e uma girl de Miguel Relvas, em ambos os sentidos, que pretende poupar desta forma uns milhões na gestão dos arquivos do Estado, que por acaso nunca antes foram alvo de real preocupação dos sucessivos governos, pois a sua existência e controlo eficaz gera transparência na Administração Pública e permite ganhos de produtividade e financeiros.

O estudo de um sistema deste género foi avançando, apesar da Agência Europeia para a Segurança da Informação desaconselhar completamente este género de soluções. "A sua divulgação pode por em risco projetos importantes para a Nação, países aliados e organizações de que Portugal faça parte, comprometer planos civis, militares e técnicos e revelar procedimentos em curso relacionados com assuntos civis e militares". O conhecimento destes dados por pessoas não autorizadas será muito prejudicial ao país e seus aliados, aos cidadãos e organizações, e incorrer em tamanho risco é de enorme irresponsabilidade. Terá de haver obrigatóriamente um controlo do Estado sobre os servidores/plataforma que permita não só assegurar que a informação confidencial seja inacessível a pessoas não autorizadas, mas também assegurar que a informação não se perca (através de um plano de preservação digital) e que esteja facilmente acessível para as pessoas que dela necessitam.

De acordo com a Agência Europeia para a Segurança Europeia, os 8 riscos de de segurança relacionados com o cloud computing, particularmente no caso de dados sensíveis, são os seguintes:

1. Perda - Implica cedência de controlo da segurança para os fornecedores de serviço de cloud. Os acordos de nível de serviço muitas vezes são omissos no que respeita a segurança e não responsabilizam a empresa que fornece a nuvem;
2. Bloqueio - Dependência do fornecedor da cloud. Este é um dos problemas principais em matéria de documentos classificados. Dificilmente o Estado vai conseguir mudar de fornecedor e vai ficar sujeito aos preços que ele ditar. Deixa de existir mobilidade;
3. Partilha - Como alguns sistemas são partilhados por vários clientes ou várias aplicações, os mecanismos de separação dos componentes da infraestrutura dos diversos clientes podem falhar e ficar-se sujeito a ataques. No entanto, mesmo assim, estes ataques são mais difíceis de efetuar do que os ataques tradicionais;
4. Certificação - Existem riscos de falta conformidade e de certificação. Este é um dos grandes problemas. Não existem produtos certificados para usar na cloud, sendo difícil aos cloud providers mostrar a conformidade com os standards ou mesmo mostrá-los aos clientes, especialmente quando se usa uma cloud pública. Outro problema é a falta de entidade certificadora para a cloud. Estas tecnologias são muito recentes;
5. Interface - Quando o acesso se faz através de um browser na Internet, muitos dos riscos são os inerentes aos da própria internet;
6. Proteção - O cliente não tem capacidade de saber se os seus dados estão protegidos a todo o momento ou se o seu cloud provider está a manuseá-los corretamente, a infringir a lei, ou mesmo se eles não circulam através de federações de clouds, algures em qualquer parte do mundo. Na prática, existe falta de controlos dos cliente relativamente ao cloud provider;
7. Destruição - Este risco verifica-se em todo o lado, mesmo no disco rígido do computador que temos em casa. Quando apagamos dados do disco, estes não são apagados na totalidade. Normalmente ficam lá guardados. O que é apagado são os endereços onde estão localizados, o que significa que os dados na cloud, no local onde ficarem armazenados, mesmo após apagados, continuam lá e podem ser utilizados. A agravar este risco está o facto de a infraestrutura poder ser partilhada por desconhecidos;
8. Administrador - Um elemento pertencente ao cloud provider com acesso privilegiado é um dos maiores riscos á segurança. Num sistema de concentração de dados, como Aqui o risco é maior porque a concentração de dados num único local é elevadíssima.