Portas abertas

Decorridos alguns meses sobre o ataque informático às páginas Web da Procuradoria Geral Distrital de Lisboa, no passado dia 25 de abril, o distanciamento permite-nos agora meditar friamente sobre o assunto. Naturalmente, decorreu na altura um inquérito no sentido de encontrar os responsáveis, como não podia deixar de ser. Infelizmente, apesar de se ter afirmado que se estava a trabalhar afincadamente no sentido de identificar os autores, parecem não ter sido nenhuns os resultados. Quase que se poderia dizer que somos o país dos inquéritos e processos, mas que nos ficamos por aí.

Independentemente das questões legais, com as quais todos estaremos de acordo e sobre as quais não tenho qualquer competência para me pronunciar, olhemos para a questão informática e analisemos as condições que propiciam este tipo de ataques.

Existem múltiplos factores que afectam de forma crítica a segurança informática dos organismos do Estado, alguns anteriores à atual crise económica, herdados do passado, e outros que decorrem das próprias restrições impostas por recentes medidas de combate a essa mesma crise. Também nesta área se pode dizer que a manta é curta e que quando se puxa de um lado destapa-se outro.

Um dos principais fatores é a adoção de políticas de tecnologias de informação e comunicação (TIC) erradas ou, por vezes, a total ausência de políticas. Durante muitos anos achou-se que se deveria informatizar atabalhoadamente todo o tipo de serviços, replicando soluções (eu diria, erros) até à exaustão. Quem se recorda de tantas e tantas medidas do famoso Simplex?

Desenvolveram-se, assim, soluções à medida, muitas vezes desenhadas pelos próprios fornecedores, em concursos determinados pelo menor custo e que quase nunca consideravam aspetos de segurança. Estamos agora a pagar o preço desses “menores custos” e desse crescimento informático caótico.

Mais recentemente, começou-se a falar em soluções de cloud computing, mas a verdade é que, apesar do potencial de tais soluções, não se pode simplesmente esperar que resolvam tudo como por magia. Aliás, são também muitos os incidentes de segurança nestas soluções.

Um outro fator – talvez o principal – é o dos recursos humanos. Por um lado, a pressão para a redução de custos com pessoal tem vindo a diminuir fortemente as equipas informáticas. É frequente que os operacionais destas equipas sejam pessoas cujo vínculo tenha uma natureza menos forte e, portanto, bons “candidatos” a sair da função pública. Por outro, quando um especialista informático atinge determinado nível de competência é facilmente aliciado por empresas nacionais ou estrangeiras, com salários muito apetecíveis. Por fim, para além do facto de haver fortíssimas restrições às contratações, poucos jovens informáticos querem entrar numa carreira mal paga e, em geral, com muito poucas perspetivas.  O resultado é que, frequentemente, a segurança informática de muitos organismos do Estado é descurada em quase  toda a linha, com exceção de algumas regras elementares que de pouco servem.

Não é, portanto de estranhar, que ocorram ataques bem sucedidos. Estão reunidas todas as condições de infraestruturas, sistemas e pessoal. O estranho é que ocorram tão poucos ataques porque, em verdade, também em termos informáticos tudo indica que seremos um país de “portas abertas”.