“Testemunhando perante o Congresso há pouco tempo atrás, expliquei que eu frequentemente conseguia obter senhas e outras informações sensíveis de empresas fingindo ser outra pessoa e simplesmente pedindo por elas” - Kevin Mitnick, The Art of Deception.
Para quem não se lembra dele, Kevin Mitnick foi um dos crackers mais procurados dos EUA e, preso em 1995, regenerou-se e narrou nesse seu livro parte de suas peripécias. Embora hábil em informática, muitas vezes a fraude social lhe era suficiente para aplicar um golpe, como ele resume na frase acima.
No Brasil, a carreira criminosa de Mitnick certamente teria sido mais longa e produtiva. É de se duvidar que tivesse sido preso. E teria se fartado em atacar serviços públicos, onde a cultura de segurança da informação aparentemente inexiste. Se em um órgão depositário de sigilos cobertos por lei e que guarda informações muito sensíveis de toda a população, como é a Receita Federal, funcionários que têm acesso a essas informações afirmam candidamente que suas senhas eram “socializadas”, o que se pode esperar do restante dos serviços informatizados dos Governos?
A expansão da informatização de serviços públicos é sempre apresentada aos cidadãos como motivo de avanços e melhorias. Espalham-se sistemas e computadores pelas repartições públicas mas... e a política de segurança disso tudo? Qual é, se é que existe? Qual é o treinamento de segurança dado aos funcionários? E qual é o rigor no cumprimento de recomendações tão básicas, como não compartilhar senhas de acesso?
E quais são as políticas de segurança do próprio órgão? Como se viu, basta um papelucho com carimbos falsos e se consegue a declaração de renda de qualquer brasileiro, em qualquer posto fiscal do país.
Uma máxima bastante comum nos ambientes de segurança nos diz que quanto mais um segredo for compartilhado, menos ele será sigiloso. Pois, pelo que parece, qualquer funcionário da Receita, lotado em qualquer lugar do país, tem acesso às declarações de todos os brasileiros. Isso não parece nada seguro. Se segurança perfeita inexiste, ao menos seria recomendável reduzir riscos, dividindo poderes de acesso a esses sistemas. Por exemplo, se o contribuinte é domiciliado em São Paulo, por que funcionários lotados fora de sua jurisdição teriam permissão de acesso a seus dados? Se a Receita tem os endereços dos contribuintes, por que, diante de um pedido de vista da própria declaração, ela não é remetida pelo correio a esse endereço, ao invés de ser entregue a qualquer um que se apresente no balcão? Essas são duas medidas e contramedidas de segurança que parecem muito básicas e que se pode apontar apenas a partir das notícias recentemente publicadas nos jornais. Será que há mais furos de segurança?
Fomos especialmente críticos quando, ainda em trâmite, o projeto de lei de informatização do processo (que resultou na Lei nº 11.419/06) propunha dar senhas de acesso aos juízes, para que buscassem, pelas suas próprias mãos, informações em bancos de dados públicos ou privados. Para os bons juízes – a imensa maioria – o ônus de manter em sigilo tais senhas e realizar pessoalmente os acessos é um grande estorvo que lhes toma precioso tempo de trabalho. Uma ordem eletrônica, respondida também eletronicamente pelo detentor da informação, teria sido igualmente eficiente e preservaria os segredos, não só das poucas maçãs podres que existem no Judiciário, mas também do leigo sem treinamento e pouco afeito às práticas de segurança da informação, como deve ser a quase totalidade dos operadores do Direito. Além disso, a curiosidade é uma qualidade essencialmente humana. Não é irresistível, de posse de uma senhas dessas, e sem freios claros quanto ao seu uso, dar uma bisbilhotadinha nos segredos do cunhado, do vizinho, ou do inimigo?
Que os recentes eventos, tão dolorosos para a Democracia e para o Estado de Direito, sirvam para jogar novas luzes sobre esse grave e arraigado problema.
Nenhum comentário:
Postar um comentário