Decorridos alguns meses
sobre o ataque informático às páginas Web da Procuradoria Geral Distrital de
Lisboa, no passado dia 25 de abril, o distanciamento permite-nos agora meditar
friamente sobre o assunto. Naturalmente, decorreu na altura um inquérito no
sentido de encontrar os responsáveis, como não podia deixar de ser.
Infelizmente, apesar de se ter afirmado que se estava a trabalhar afincadamente
no sentido de identificar os autores, parecem não ter sido nenhuns os
resultados. Quase que se poderia dizer que somos o país dos inquéritos e
processos, mas que nos ficamos por aí.
Independentemente das
questões legais, com as quais todos estaremos de acordo e sobre as quais não
tenho qualquer competência para me pronunciar, olhemos para a questão
informática e analisemos as condições que propiciam este tipo de ataques.
Existem múltiplos factores
que afectam de forma crítica a segurança informática dos organismos do Estado,
alguns anteriores à atual crise económica, herdados do passado, e outros que
decorrem das próprias restrições impostas por recentes medidas de combate a
essa mesma crise. Também nesta área se pode dizer que a manta é curta e que quando
se puxa de um lado destapa-se outro.
Um dos principais fatores é
a adoção de políticas de tecnologias de informação e comunicação (TIC) erradas
ou, por vezes, a total ausência de políticas. Durante muitos anos achou-se que
se deveria informatizar atabalhoadamente todo o tipo de serviços, replicando
soluções (eu diria, erros) até à exaustão. Quem se recorda de tantas e tantas
medidas do famoso Simplex?
Desenvolveram-se, assim,
soluções à medida, muitas vezes desenhadas pelos próprios fornecedores, em
concursos determinados pelo menor custo e que quase nunca consideravam aspetos
de segurança. Estamos agora a pagar o preço desses “menores custos” e desse
crescimento informático caótico.
Mais recentemente,
começou-se a falar em soluções de cloud computing, mas a verdade é que, apesar
do potencial de tais soluções, não se pode simplesmente esperar que resolvam
tudo como por magia. Aliás, são também muitos os incidentes de segurança nestas
soluções.
Um outro fator – talvez o
principal – é o dos recursos humanos. Por um lado, a pressão para a redução de
custos com pessoal tem vindo a diminuir fortemente as equipas informáticas. É
frequente que os operacionais destas equipas sejam pessoas cujo vínculo tenha
uma natureza menos forte e, portanto, bons “candidatos” a sair da função
pública. Por outro, quando um especialista informático atinge determinado nível
de competência é facilmente aliciado por empresas nacionais ou estrangeiras,
com salários muito apetecíveis. Por fim, para além do facto de haver
fortíssimas restrições às contratações, poucos jovens informáticos querem
entrar numa carreira mal paga e, em geral, com muito poucas perspetivas. O resultado é que, frequentemente, a segurança
informática de muitos organismos do Estado é descurada em quase toda a linha, com exceção de algumas regras
elementares que de pouco servem.
Não é, portanto de
estranhar, que ocorram ataques bem sucedidos. Estão reunidas todas as condições
de infraestruturas, sistemas e pessoal. O estranho é que ocorram tão poucos
ataques porque, em verdade, também em termos informáticos tudo indica que
seremos um país de “portas abertas”.