5
Arquivos secretos do Estado
podem ser entregues a privados
Proposta.
Bases de dados, mesmo com informação
Um estudo do Governo defende que as bases de
dados de toda administração pública sejam
centralizadas e guardadas por uma entidade
privada, numa nuvem tecnológica (cloud), incluindo os arquivos das informações classificadas e os segredos de Estado. Com o objetivo de
reduzir despesas, o plano está a ser desenvolvido pelo Grupo de Projeto para as Tecnologias de
Informação e Comunicação, na tutela do minis-
classificada,
guardadas por entidade externa
tro Miguel Relvas. Se o plano for aceite, dados da
defesa, da segurança interna e do serviço de informações, acordos internacionais e registos de
saúde ou da justiça passam a ficar guardados
num único local, em cloud compwízngína lnternet) e geridos por uma empresa privada. A segurança deste modelo é contestada por instâncias
internacionais e já gera alarme entre autoridades nacionais. PAÍS PÁGS. 14 E
l
Estudo do Governo
entrega segredos de
Estado a privados
Nuvem. Para cortar despesas, todas as bases de dados do Estado
podem ir parar a uma 'cloud computing' de uma empresa privada
VALENTINA MARCELINO
nova, a
Um estudo do Governo defende
solução tecnologicamente
que as bases de dados com informações classificadas, como as que
estão em segredo de Estado, sejam
centralizadas
e guardadas
por
cloud computing (computação
em nuvem), gerida por uma empresa privada.
Estas estruturas são seriamente desaconselhadas
pela Agência
Europeia para a Segurança da Informação (EuropeanNetworkand
Information Security Agency ENISA) para guardar qualquer
tipo de dados governamentais
uma entidade privada. O docu-
-
mento designado "Estratégia para a Racionalização dos Centos de
Dados da Administração Pública"
chegou, há cerca de duas semados responnas, ao conhecimento
-
sáveis dos serviços
de
informações e da senacional,
gurança
que não tinham sequer sido ouvidos. O
alarme disparou enDirigentes
Gabinete
quanto estes eram
pressionados
para
Segurança
tentarem o plano.
SIRP estão
O relatório, a que o
DN teve acesso, foi
desenvolvido no âmbito do Grupo
de Projeto para as Tecnologias de
e Comunicação
Informação
(GPTIC), nomeado pelo primeiro-ministro e que está na tutela do
ministro dos Assuntos Parlamentares, Miguel Relvas. O rosto mais
conhecido deste grupo, coordenado pela assessora de Pedro Passos
Coelho, Marta Sousa, é um dos gurus nacionais das tecnologias de
informação, o catedrático JoséTri-
bolet (ver perfis, em baixo).
O estudo apresenta três potenciais cenários para reduzir as despesas com os centros de dados da
Administração Pública (AP) e conclui que o mais "vantajoso" é uma
sensíveis
(ver riscos, ao lado).
Contactado pelo DN, o gabinete de Relvas confirma que, "no âmbito do plano global
estratégico de racio-
do
de
e do
decorrer um inas bases de daassegura um des-
e está a
dos existentes",
ses responsáveis.
De facto, no relatório é dito que
do Conselho de Ministros (PCM) está a fazer esse levantamento em toda a AP e que,
"numa primeira fase, já se encontra realizado ao nível da PCM e dos
ministérios da Administração Interna (MAI), da Educação e da
a Presidência
Saúde".
nalização e redução
Na PCM estão as bases de dados do Sistema de Informações da
República Portuguesa (SIRP) e do
Gabinete Nacional de Segurança,
de custos nas Tecnologias de Informação
por onde passam, por exemplo,
todos os documentos classifica-
Comunicação
(TIC) , está prevista a
dos
racionalização
centros de dados e o
cloud computingna
AP". Porém, acrescenta que o estudo em causa é
ainda uma "versão de trabalho" e
que "posteriormente o modelo terá de ser ainda aprovado em Con-
alerta
ordenado
ventário de todas
e
selho de Ministros".
No entanto, fontes ao mais alto
nível ouvidas pelo DN não têm
essa perceção. "O documento foi
apresentado como definitivo e o
modelo está decidido, bem como
a escolha do local. Apenas o facto
de ter começado a haver pressão
por causa dos documentos classificados está a fazer que tentem
dissimular os objetivos. Mas a opção está tomada. Tanto quejáfoi
dos da NATO e da União Europeia,
cujas regras de segurança das in-
formações não admitem que outra entidade que não o Estado proteja aqueles documentos. No MAI
estão as bases de dados das forças
e serviços de segurança, grande
parte classificada e sensível.
Neste estudo nem sequer estão
excluídas as bases de dados de outros sectores que lidam com matérias sensíveis relacionadas com a
soberania nacional. No Ministério
da Defesa Nacional estão docu-
mentos classificados da NATO e
nas Forças Armadas os centros de
dados têm informação logística e
operacional dos militares. No Ministério dos Negócios Estrangeiros
estão guardados documentos classificados da UE. Na Justiça, onde a
base de dados Citius alberga todos
os inquéritos
judiciais
e processos
Os oito riscos
em segredo de justiça, correm
também o risco de ser transferidos
para a "nuvem" privada.
de segurança
da computação
PROTAGONISTAS
MARTA SOUSA
> É a coordenadora
em nuvem
do Grupo
de Projeto para as TecnoLogias
de Informação e Comunicação
perigos. A Agência Europeia para a Segurança
das Informações desaconselha os Governos a
guardar dados sensíveis nas nuvens (clouds).
(GPTIC), na dependência do
ministro adjunto e dos
Assuntos Parlamentares,
MigueL ReLvas. Com apenas
34 anos, Marta tem deixado os
mais altos dirigentes relacionados com a segurança nacional à beira de um ataque de
nervos com as suas exigências. Pertence ao gabinete do
que conheceu durante a campanha
eleitoral, quando era especialista de marketing e comunicação na agência que trabaLhou para o PSD. Antes de
Passos Coelho a levar para o Governo, era assessora do
grupo parlamentar social-deomocrata.
primeiro-ministro,
JOSÉTRIBOLET
Este catedrático
>
do
O Bloqueio.
Dependência do fornecedor da
é um dos problemas principais
em matéria de documentos classificados. Dificilmente o Estado vai conseguir mudar de fornecedor e vai ficar sujeito aos preços que ele ditar.
Á. cloud. Este
O Partilha.
Como alguns sistemas são partilhavários clientes ou várias aplicações,
os mecanismos de separação dos componentes
da infraestrutura dos diversos clientes podem falhar e ficar-se sujeito a ataques. No entanto, mesmo assim, estes ataques são mais difíceis de efetuar do que os ataques tradicionais.
Odos por
Preside a ConseLho de
Diretores e à Comissão
Executiva do Instituto de
Engenharia de Sistemas de
Computadores (INESC), uma
das mais prestigiadas entidades de investigação científica e consultoria tecnológica. TriboLet, o mais ativo
membro e conhecido rosto do ConseLho Consultivo do
adoção do cLoud computing.
serviço muitas vezes são omissos no que respeita a segurança e não responsabilizam a empresa que fornece a "nuvem"
Deixa de existir mobilidade.
Instituto Superior Técnico é
considerado um guru nas
tecnoLogias de informação.
GPTIC, foi autor do prefácio da estratégia nacional,
para a racionalização das tecnologias de informação
comunicação desta comissão, relatório que prevê a
"I Perda de governabilidade.
Implica cedência
_L de controlo da segurança para os fornecedores de serviço de cloud. Os acordos de nível de
e
/
Certificação. Existem riscos de falta conforEste é um dos
e de certificação.
grandes problemas. Não existem produtos certificados para usar na cloud, sendo difícil aos
a conformidade
com os
cloudprovidersmostiav
standards ou mesmo mostrá-los aos clientes,
especialmente quando se usa uma cloudpública. Outro problema é a falta de entidade certificadora para a cloud. Estas tecnologias são muito recentes.
H~midade
[T Interface de acesso. Quando
o acesso se faz
<J através de um browserna Internet, muitos
dos riscos são os inerentes aos da própria inter-
net.
O Proteção
de dados. O cliente não tem capaLJ cidade de saber se os seus dados estão protegidos a todo o momento ou se o seu cloud
provider está a manuseá-los corretamente, a
infringir a lei, ou mesmo se eles não circulam
através de federações de clouds, algures em
qualquer parte do mundo. Na prática, existe
falta de controlos dos cliente relativamente ao
cloud provider.
~7 Destruição de dados insegura. Este risco ve-
I rifica-se em todo
o lado, mesmo no disco rígido do computador que temos em casa. Quando
apagamos dados do disco, estes não são apagados
na totalidade. Normalmente ficam lá guardados.
O que é apagado são os endereços onde estão localizados, o que significa que os dados na cloud,
no local onde ficarem armazenados, mesmo após
apagados, continuam lá e podem ser utilizados. A
agravar este risco está o facto de a infraestrutura
poder ser partilhada por desconhecidos.
Q Administrador 'malicioso'. Um elemento
O pertencente ao cloud provider com acesso
privilegiado é um dos maiores riscos á segurança. Num sistema de concentração de dados, como Aqui o risco é maior porque a concentração
de dados num único local é elevadíssima.
PT, Google
Apple e
Microsoft
têm 'cloud'
executivo da PortuZeinal Bava, anunTelecom,
gal
ciou há uma semana a disponibilização de uma "oferta cloud" gratuita de 16 gigabytes a todos os
portugueses. A operadora é atualmente a que oferece mais espaço
gratuito a nível mundial, mesmo
entre empresas como a Google, a
Microsoft e a Apple. Computação
em nuvem consiste no armazenamento de dados na Net, independentemente do local e equipamento a partir do qual é feito o
acesso. Funciona como um disco
rígido virtual portátil.
O desenvolvimento
deste tipo
de estrutura é a grande aposta comercial da PT, a partir do mega
centro de processamento de dados que está a construir na Covilhã. Numa entrevista à CNBC,
Zeinal Bava, sublinhou que o investimento na "virtualização" dos
dados e uma forma de ajustar os
custos das empresas. Bava salientou que a transferências de muitos aspetos da vida de uma companhia para a "nuvem informatizada" conduz a poupanças entre
os 30% e os 40% dos custos.
o presidente
2 PERGUNTAS A...
PAULO QUERIDO
Consultor em tecnologias
Um estudo do Governo defende a centralização das bases de
dados do Estado numa cloud
privada. É seguro este sistema?
A computação
em nuvem
é
provavelmente mais segura que
os sistemas redundantes, mas
depende da profundidade destes. No entanto, subscrevo as
reservas da Agência Europeia
em relação às bases de dados
do Estado serem transferidas
para clouds.
Que opinião tem sobre esta possibilidade?
Discordo
frontalmente
da
transferência de informação do
Estado para sistemas privados,
independentemente da arquitetura. Professo a existência de
um sistema tipo cloudpara o
Estado. Não me chocará se esse
sistema for elaborado por contrato com empresas privadas,
mas penso que a infraestrutura deve ficar sempre e só debaixo da alçada do Estado. Mesmo
que a grande maioria da informação a guardar seja pública.
Aliás, essa é uma razão de peso
para que a sua guarda não seja
entregue a privados.