Portas abertas

Decorridos alguns meses sobre o ataque informático às páginas Web da Procuradoria Geral Distrital de Lisboa, no passado dia 25 de abril, o distanciamento permite-nos agora meditar friamente sobre o assunto. Naturalmente, decorreu na altura um inquérito no sentido de encontrar os responsáveis, como não podia deixar de ser. Infelizmente, apesar de se ter afirmado que se estava a trabalhar afincadamente no sentido de identificar os autores, parecem não ter sido nenhuns os resultados. Quase que se poderia dizer que somos o país dos inquéritos e processos, mas que nos ficamos por aí.

Independentemente das questões legais, com as quais todos estaremos de acordo e sobre as quais não tenho qualquer competência para me pronunciar, olhemos para a questão informática e analisemos as condições que propiciam este tipo de ataques.

Existem múltiplos factores que afectam de forma crítica a segurança informática dos organismos do Estado, alguns anteriores à atual crise económica, herdados do passado, e outros que decorrem das próprias restrições impostas por recentes medidas de combate a essa mesma crise. Também nesta área se pode dizer que a manta é curta e que quando se puxa de um lado destapa-se outro.

Um dos principais fatores é a adoção de políticas de tecnologias de informação e comunicação (TIC) erradas ou, por vezes, a total ausência de políticas. Durante muitos anos achou-se que se deveria informatizar atabalhoadamente todo o tipo de serviços, replicando soluções (eu diria, erros) até à exaustão. Quem se recorda de tantas e tantas medidas do famoso Simplex?

Desenvolveram-se, assim, soluções à medida, muitas vezes desenhadas pelos próprios fornecedores, em concursos determinados pelo menor custo e que quase nunca consideravam aspetos de segurança. Estamos agora a pagar o preço desses “menores custos” e desse crescimento informático caótico.

Mais recentemente, começou-se a falar em soluções de cloud computing, mas a verdade é que, apesar do potencial de tais soluções, não se pode simplesmente esperar que resolvam tudo como por magia. Aliás, são também muitos os incidentes de segurança nestas soluções.

Um outro fator – talvez o principal – é o dos recursos humanos. Por um lado, a pressão para a redução de custos com pessoal tem vindo a diminuir fortemente as equipas informáticas. É frequente que os operacionais destas equipas sejam pessoas cujo vínculo tenha uma natureza menos forte e, portanto, bons “candidatos” a sair da função pública. Por outro, quando um especialista informático atinge determinado nível de competência é facilmente aliciado por empresas nacionais ou estrangeiras, com salários muito apetecíveis. Por fim, para além do facto de haver fortíssimas restrições às contratações, poucos jovens informáticos querem entrar numa carreira mal paga e, em geral, com muito poucas perspetivas.  O resultado é que, frequentemente, a segurança informática de muitos organismos do Estado é descurada em quase  toda a linha, com exceção de algumas regras elementares que de pouco servem.

Não é, portanto de estranhar, que ocorram ataques bem sucedidos. Estão reunidas todas as condições de infraestruturas, sistemas e pessoal. O estranho é que ocorram tão poucos ataques porque, em verdade, também em termos informáticos tudo indica que seremos um país de “portas abertas”.

Convenção de Genebra

Nos últimos tempos temos sido confrontados com inúmeras notícias sobre ciber-espionagem, cujo alvo não são apenas os cidadãos comuns mas também líderes mundiais e países inteiros. Como é natural, pouco se sabe sobre estes casos mas uma coisa é certa: para além dos fins mais pacíficos e meritórios, as tecnologias da informação e comunicação (TIC) são também utilizadas para inúmeras atividades ilegais, obscuras ou inconfessáveis.

É pouco reconfortante saber que quase todas as comunicações, bases de dados, aplicações e serviços podem ser – e, em vários casos, são – alvo de acesso ilícito. Por outro lado, a muitos ainda espanta que certas ‘apps’ que instalamos em smartphones e tablets para os fins mais inocentes possam, afinal, ser utilizadas por terceiros para recolher informação sobre os seus utilizadores, como sejam a localização, os sites aos quais acedem, as atividades que realizam.

Se a isto juntarmos o facto de que cada vez mais informação e serviços de pessoas individuais e coletivas residem na ‘núvem’ – o tão apregoado cloud computing – vemos que hoje em dia é quase impossível escapar a uma vigilância que ultrapassa em muito as mais pessimistas previsões feitas por George Orwell no seu famoso livro “1984”.

Mas, infelizmente, o problema não se fica por simples, embora graves, violações de privacidade e de direitos fundamentais. A questão é que da ciber-espionagem à ciberguerra vai um passo muito curto pois, por um lado os meios são basicamente os mesmos e, por outro, os fins também podem ser em boa parte coincidentes.

A diferença, no entanto, é que a ciberguerra pode crescer de tal forma que os resultados podem ser tão ou mais devastadores do que as guerras convencionais. Hoje em dia tudo é vulnerável a ciber-ataques. Bancos, bolsas, redes eléctricas, de água, de gás e de telecomunicações, hospitais, serviços de emergência e muitos outros não podem já funcionar sem recurso às TIC, pelo que um ataque informático a esses sistemas pode paralisar um país ou grupo de países, causando incontáveis vítimas mortais.

Não falamos aqui de ficção, infelizmente. Existem vários ataques informáticos documentados a vários países desde o ano 2007. Para além destes, muitos são abafados pelos próprios países atacados para não piorar uma situação que começa a ser incontrolável.

Há quem diga que é urgentemente necessária uma “Convenção de Genebra” para a ciberguerra, que impeça certos tipos de ataques e que imponha alguns limites, ditados, por exemplo, por razões humanitárias mas não só. Infelizmente, na ciberguerra não há regras, o inimigo não é conhecido e dificilmente pode ser responsabilizado. Para além disso, nem são necessários grandes investimentos em “armamento”. Por tudo isto, a solução para o problema está ainda longe de ser conseguida e é certo que, infelizmente, mais e mais graves ataques informáticos se registarão no futuro próximo.