O elo mais fraco
A sociedade em que vivemos é cada vez mais digital, com o intuito de permitir mais e melhores serviços em todos os domínios de atividade, assentes na crescente capacidade de processamento dos equipamentos computacionais. É o mundo digital que possibilita os níveis de desenvolvimento de que todos disfrutamos e que nos abre portas tão apelativas como assustadoras. O impacto deste movimento irreversível também se faz sentir na nossa própria identidade, já que muito daquilo que podemos ou não podemos fazer depende de dados e de informação que atestam quem somos no mundo virtual: é a chamada identidade digital.
A identidade digital não é algo relacionado com ficção científica, mas, sim, algo que hoje utilizamos constantemente, quase sem pensar nisso. Por exemplo, quando fornecemos um nome de utilizador e uma palavra passe no acesso a um qualquer sistema estamos a fornecer informação necessária para que esse sistema se certifique de quem somos, ou seja, para que esse sistema nos autentique. Quando assinamos um documento de forma digital, estamos a utilizar uma chave digital privada, que só nós detemos, para garantir que mais ninguém poderia ter executado essa ação de assinatura. E note-se que uma assinatura digital, que tem o mesmo valor legal que uma assinatura manuscrita, é muito mais segura do que esta última. Com efeito, ao contrário de uma assinatura manuscrita, uma assinatura digital não pode ser forjada e garante que o documento assinado não sofreu qualquer alteração depois da assinatura.
A utilização de identidades digitais tem muitas vantagens face a métodos tradicionais. Por um lado, a identidade digital baseia-se em mecanismos criptográficos extremamente robustos, impossíveis de quebrar com os computadores atuais. Por outro lado, possibilita o acesso a um grande número de serviços on-line, de forma generalizada, conveniente, eficiente e personalizada.
É claro que a identidade digital não está livre de inconvenientes, importando, aqui, referir os principais. Ao tornarmo-nos fortemente dependentes de soluções tecnológicas, ficamos vulneráveis a erros e a falhas técnicas nos sistemas que as suportam. Erros e falhas que, tal como a experiência demonstra, ocorrem de forma relativamente frequente. Para além disso, aumenta-se o risco de exclusão, já que nem todas as pessoas têm o mesmo grau de literacia digital nem a mesma aptidão, apetência e capacidade para utilizarem tecnologias digitais. Um outro aspeto muito relevante é o da privacidade, pois muitos sistemas guardam e processam informação sobre a identidade dos utilizadores, muitas vezes, para fins não declarados, ainda que tal seja punido por lei em várias regiões do Globo.
O maior inconveniente e risco é, no entanto, o do roubo de identidade, que consiste na utilização indevida por terceiros das credenciais que atestam a identidade digital de um indivíduo. Trata-se, infelizmente, de uma situação muito mais frequente do que o que se pensa, podendo ter consequências muito graves para as vítimas.
Um caso de roubo de identidade especialmente gravoso e recentemente noticiado (em dezembro de 2023) diz respeito a um técnico informático do Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ), que roubou credenciais de funcionários do Instituto de Registos e Notariado (IRN) para, subsequentemente, entrar nos sistemas de gestão do Cartão de Cidadão, alterar os números de telefone associados às chaves móveis de várias pessoas e utilizar as suas identidades para realizar operações de aquisição de bens e serviços. Detetada esta grave irregularidade, o técnico foi detido, seguindo o processo os trâmites legais.
Este caso ilustra, de forma dramática, três aspetos fundamentais dos sistemas informáticos, quando usados na área da identidade digital.
Em primeiro lugar, o roubo de identidade tem sempre consequências muito gravosas, sendo de deteção e prova muito difícil, que se pode arrastar por vários meses ou anos.
Em segundo lugar, estes sistemas informáticos não podem ser pensados assumindo que os seus utilizadores são bem-intencionados (ainda que o sejam em 99,99% dos casos), mas, sim, pensados para impedir que utilizadores mal-intencionados consigam alcançar os seus intentos. Parece-me inconcebível que os sistemas guardem as credenciais de acesso de funcionários do IRN sem que estas credenciais estejam devidamente protegidas ou encriptadas, o que possibilita que um qualquer gestor desses sistemas informáticos as possa conhecer. Também me parece inconcebível que o sistema de gestão do Cartão de Cidadão guarde as chaves privadas de cada cidadão e que permita que essas chaves privadas sejam utilizadas por alguém que não é o próprio cidadão, subvertendo o conceito criptográfico de “chave privada”, no qual assenta toda a robustez das assinaturas digitais. Mais inconcebível é que ações críticas como o acesso a chaves ou acesso a informações sensíveis possam ser executadas por um único técnico e não sejam alvo de um cuidado registo de quem acedeu a quê e quando. A ser verdade, algo vai muito mal nos sistemas informáticos do Estado.
Por fim, este caso e todos os casos semelhantes demonstram que, em qualquer sistema de segurança (informática ou não), o elo mais fraco é sempre o elo humano e não o sistema em si. É para impedir que esse elo fraco se rompa que devem existir políticas e procedimentos rigorosos, a observar por todas as pessoas envolvidas na gestão e na operação desses sistemas. Essas políticas e procedimentos são um elemento organizativo essencial que, infelizmente, muitas entidades subestimam ou ignoram.
.
11/01/2024