Nós nas nuvens de Relvas?

 

O Diário de Notícias noticiou, dia 5 de Novembro de 2012, que “um estudo do Governo considera admissível que bases de dados com informações classificadas, como as em segredo de Estado, possam ser centralizadas e guardadas por uma entidade privada”

O Relatório – Estratégia para a Racionalização dos Centos de Dados da Administração Pública – que terá surpreendido os responsáveis dos serviços de informações e da segurança nacional, foi desenvolvido no âmbito do Grupo de Projeto para as Tecnologias de Informação e Comunicação (GPTIC), nomeado pelo Primeiro-Ministro e que está na tutela do Ministro dos Assuntos Parlamentares, Miguel Relvas.

O estudo – a que tive acesso como muitos – apresenta três potenciais cenários para reduzir as despesas com os centros de dados da Administração Pública (AP) e conclui que o mais “vantajoso” é uma solução tecnologicamente nova, a ‘cloud computing’  (computação em nuvem), gerida por uma empresa privada.

Estas estruturas são seriamente desaconselhadas pela Agência Europeia para a Segurança da Informação (European Network and Information Security Agency – ENISA) para guardar qualquer tipo de dados governamentais sensíveis.

O Gabinete do Ministro Relvas terá afirmado que o estudo em causa é ainda uma “versão de trabalho” e que “posteriormente o modelo terá de ser ainda aprovado em Conselho de Ministros”.

O DN invoca “fontes ao mais alto nível” que afirmam que “O documento foi apresentado como definitivo e o modelo está decidido, bem como a escolha do local. Apenas a pressão por causa dos documentos classificados está a fazer com que tentem dissimular os objetivos. Mas a opção está tomada. Tanto que já foi ordenado e está a decorrer um inventário de todas as bases de dados existentes”.

De facto, no relatório é dito que a Presidência do Conselho de Ministros (PCM) está a fazer esse levantamento em toda a AP e que, “numa primeira fase, já se encontra realizado ao nível da PCM e dos ministérios da Administração Interna (MAI), da Educação e da Saúde”.

Na PCM estão as bases de dados do Sistema de Informações da República Portuguesa (SIRP) e do Gabinete Nacional de Segurança, por onde passam, por exemplo, todos os documentos classificados da NATO e da União Europeia, cujas regras de segurança das informações não admitem sequer que outra entidade que não o Estado, proteja aqueles documentos. No MAI estão todas as bases de dados das forças e serviços de segurança, grande parte classificada, mas toda ela sensível.

Quando tive conhecimento destes alegados factos, pedi uma reunião com quem de direito no Grupo Parlamentar do PS.

Decidimos requerer a vinda à Comissão de Assuntos Constitucionais, Direitos e Garantias do Ministro-Adjunto e dos Assuntos Parlamentares, Miguel Relvas, para esclarecimento dos factos noticiados. Chama-se a isto democracia parlamentar, porque é função do Parlamento fiscalizar o Governo. O PCP apresentou idêntica iniciativa.

Durante a discussão prévia à votação dos requerimentos, ouvi da direita argumentos nulos, mas três especialmente preocupantes: 1) o requerimento devia-se a um “especial prazer em ver o Ministro Relvas no Parlamento”; 2) o Ministro em causa já tinha esclarecido numa primeira fase o que referi mais acima e numa carta entretanto enviada à AR garantia a salvaguarda do “segredo de Estado” e a combinação de soluções na solução final, não estando nós perante qualquer decisão neste momentol;3) estranhavam o facto de o PS ter tido acesso ao estudo.

Para além do problema de fundo, que tem que ver com o Estado, com os nossos dados pessoais, com os nossos dados de saúde, com os nossos dados fiscais eventualmente guardados num sistema informático criado por uma empresa privada – nada contra – e gerido por essa mesma empresa, que prestaria um serviço privado ao Estado – tudo contra – a direita (esta) não disfarça na AR o seu profundo sentido antidemocrático.

Manda a lei chamar o Ministro da tutela, que é Relvas, donde PCP e PS terem chamado Relvas não porque apenas e só ele pode ser chamado neste caso, mas para fazer um circo; para esta direita, basta que o Ministro afirme que está salvaguardo o segredo de Estado, para não ver razão para esclarecer se a sua salvaguarda foi uma decisão ou uma pressão – legítima – dos serviços; basta essa frase para ser indiferente tudo o que não é segredo de Estado, como os dados protegidos comunitária e nacionalmente, os nossos dados pessoais, sim, tudo a nosso respeito eventualmente nas mãos de um negócio privado que amanhã poderá entrar no comércio internacional; esta direita, que finge não ter este estudo nas mãos, ou que não o quer pedir ao Ministério – o Presidente da Comissão pediu o estudo formalmente, calma – acha pior o facto de o PS o ter do que o facto de ele existir com o conteúdo referido; finalmente, há uma coisinha chamada democracia procedimental, isto é, eu, como Deputada, controlo um procedimento governamental, ainda que não terminado, se há indícios de ter, por exemplo, um objeto ilegal. Seguindo a lógica inovadora da direita, se o Governo estivesse só a “estudar” a hipótese de introdução da pena de morte em Portugal, eu, sabendo do estudo, como Deputada, teria de estar caladinha até haver “decisão”.  

Tudo isto é opaco e obscuro e o chumbo dos dois requerimentos não mostram conforto. Há Resoluções concretas em vigor sobre a modernização neste campo da AP e queremos todos saber se anda uma empresa privada, não credenciada, a bater à porta de Ministérios a pedir bases de dados ou sistemas de dados.

Quem credencia afirma que não credenciou ninguém, donde como foram feitos o estudo já referido e os que vão aparecendo, como o relativo à PCM?

Mais: como é que este processo se desenvolve sem o envolvimento da CNPD?

Quando questionada sobre a matéria, a Comissão disse isto:

 O levantamento dos recursos informáticos da toda a administração pública (central), efetuado por uma empresa privada de telecomunicações (PT) e, ainda, pela Associação dos Operadores de Telecomunicações (Apritel) através da instalação de um programa informático nos servidores das entidades públicas, suscita à CNPD as mais sérias reservas. A verificar-se tais factos, eles revestem-se de extrema gravidade para a segurança dos sistemas e da informação do Estado.

 Em primeiro lugar, significaria atribuir a entidades externas credenciais de acesso a todos os centros de dados da administração. Se este tipo de inventário de rede e de sistemas não implica por si só o acesso aos dados pessoais constantes das bases de dados, a verdade é que ao conceder-se acesso aos servidores está-se a abrir-se a porta a toda a informação neles contida, mesmo que esse não seja o objetivo.

 Por outro lado, este tipo de levantamento é de tal modo exaustivo e detalhado que permite ter um retrato minucioso das vulnerabilidades dos próprios sistemas. Esta informação é, naturalmente, de uma sensibilidade extrema, na medida em que o seu conhecimento pode pôr em perigo a segurança dos sistemas e, por conseguinte, dos dados pessoais. Aliás, este é o tipo de informação que deveria estar classificada, precisamente pelo risco que representa e pelos graves danos que podem resultar do seu conhecimento. Tais danos ganham outra dimensão se referentes a todos os sistemas de informação da administração central. Pôr o conjunto desta informação nas mãos de entidades externas, privadas, comporta riscos muito elevados.

 Independentemente da sensibilidade dos dados pessoais contidos nos sistemas, o simples facto de ser dado acesso aos centros de dados e de ser feito um mapeamento pormenorizado (do hardware, software, suas versões, patches, IP das placas de rede, carga das transações, etc.) dos recursos por empresas externas já é de si muito preocupante. Mas, claro, que, alguns Ministérios como o MAI, o MJ, o MS, o MF ou o MDN tratam informação pessoal (e não só) que requer, à partida, a adoção de medidas de segurança reforçadas, para evitar intrusões ou ataques aos seus sistemas.

 A segurança dos dados pessoais depende, em boa parte, do nível de segurança dos sistemas e das redes. E é aos responsáveis pelos tratamentos de dados que compete tomar as medidas técnicas e organizativas adequadas para salvaguardar os dados pessoais de acessos indevidos e utilizações ilícitas (artigos 14.º e 15.º da Lei de Proteção de Dados). Qualquer operação de subcontratação de serviços, que envolva dados pessoais, tem de ser notificada à CNPD (artigo 30.º da LPD). A CNPD desconhece a existência deste projeto.

 Esta é, sem dúvida, uma matéria do âmbito das competências da CNPD, pelo que atenta a gravidade dos assuntos em causa, a CNPD irá solicitar uma reunião de urgência com a Presidência do Conselho de Ministros, a fim de conhecer toda a informação relevante relacionada com este projeto e, a partir daí, tomar as ações que considerar ajustadas.”

 Era o que nos parecia. Parece que já houve reunião e no meio da tempestade de uma crise sem memória é difícil dar destaque a um possível ataque ao que faz de nós cidadãos de um Estado de Direito democrático. Dito de outra forma, no meio da tempestade de uma crise sem memória é mais fácil dar cabo do que faz de nós cidadãos de um Estado de Direito democrático.

 Parece um negócio e estranhamente envolvendo os mesmos de sempre.

 

 

 

 

6 thoughts on “Nós nas nuvens de Relvas?”

  1. isabel, ao contrário do ignatz, acho que temos aqui material suficiente para estar alerta, muito alerta e tirarmos conclusões sobre a obsessão deste governo pelo controlo dos indivíduos (o “confisco” das imagens da RTP pra ver quem são os desavergonhados que participam em manifestações, a identificação judicial ilegal de manifestantes só porque foram manifestantes, e depois o cloud computing, que é o sistema mais aberto e inseguro de informação. Mas como diria ali o JL, quem não deve, não teme. E força no big brother barato, partindo do princípio que a empresa privada de amigos (todas as vendas do estado são nuvens escuras e muito irregulares na história deste governo) obterá mais uma vez o match do caderno de encargos, ainda antes do concurso. Caderno, não, livro aberto. Reconheça-se o pioneirismo destes génios.

  2. Cara isabel, mas ainda pensa que o valor da privacidade é algo a que o português comum dá valor?
    Bastaria olhar para os programas de coscuvilhice brejeira e para a pasquinada habitual para duvidarmos que assim é.
    Anda por aí muita gente que entende que a privacidade é poder fechar a porta da casa de banho, fazer amor às escuras ou largar o seu mau cheiro em local isolado, quanto ao rwsto nem sabe bem o que é, para o que serve e a que pode dar origem.
    Talvez quando lhes devassarem a vida já não tenham tempo de reclamar, mas aí concluirão que afinal valeria bem a pena ter saído à rua para defenderem a sua privacidade que neste momento, graças a artifícios mil, já anda pelas horas da amargura.

  3. bora lá defender a privacidade à pedrada, partir umas montras e botar fogo a uns coches, filmamos o momento de glória para o entubanço e currículo político, quando a bófia pedir contas atiramos-lhes com as autorizações para filmar, direitos à privacidade e protecção de dados de pocker, não vale espreitar o jogo do parceiro.

    https://www.facebook.com/photo.php?fbid=554678324558303&set=a.554678277891641.146330.366437663382371&type=1

    um batalhão de gajos esteve um dia inteiro a filmar com as costas aquecidas pela psp, puseram no ar o que lhes apeteceu sem pedir licença a ninguém e agora que deu para o torto com as detenções e porque o inpector patilhas quer confrontar os inocentes com as imagens, alegam privacidade, direitos e outras cenas maradas para obstruir a investigação. até parece que não é normal e até meio complementar de ordenado a troca de informações entre a polícia e os jornalistas.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.