As toupeiras

A segurança da informação está no topo das preocupações dos CEOs. Em Portugal a preocupação será menor porque, somos um país de otimistas. E, como todos muito bem sabemos, a gestão de risco, em Portugal, pauta-se pelos otimismos e pessimismos.

Em Portugal sucedem-se os casos de toupeiras. São as toupeiras do Benfica, do Departamento de Investigação e Acção Penal (DIAP), da Inspeção Geral de Finanças (aqui) e agora, ao que parece, poderá haver mais um caso de toupeiras na Câmara Municipal de Ovar.

Até no caso da Sociedade de Advogados PLMJ, em que foi tornado publico mais de 4GB de informação, há dúvidas sobre a participação interna. Há uma linha de investigação sobre um eventual apoio de pessoas que conheciam o sistema de informação da PLMJ (aqui). Há, assim, a suspeita de que o ataque à PLMJ tenha resultado de uma ação combinada, com uma atuação externa mas, conjugada com outra interna.

Certo é dizer-se que a maior ameaça é a interna e, mais especificamente, a que está por detrás de um teclado. Sobretudo através dos dispositivos pessoais, designadamente computadores portáteis e telemóveis (aqui) que são alvos fáceis de malware e que, de forma geral, beneficiam de ligações às redes das organizações como se fossem dispositivos internos.

Os especialistas de segurança de informação lá vão alertando para o facto de que a maior ameaça à segurança ter origem interna e que as toupeiras são uma praga com tendência a alastrar-se. Mas, no tradicional clima de irresponsabilidade generalizada que em português suave se designa, por vezes, de otimismo, os alertas não passam de pessimismo e alarmismo. É a gestão de risco que temos.

O mais engraçado é que muitas vezes consegue-se falar dos efeitos das toupeiras calando o tema das toupeiras. O acesso aos dados da Câmara de Ovar é um desses casos que parece ser obra de toupeira, mas que dificilmente será comentado na perspetiva da segurança da informação e das ameaças internas.

O caso que chamo ser da Câmara de Ovar é colocado na imprensa como sendo o caso do Lexus LS500h (setenta e muitos mil euros de carro) do presidente da Câmara de Ovar, Vice do PSD, Salvador Malheiro.

“A história viria a ser bastante mais do que um autarca com um automóvel extravagante e caro. O jornalista da secção de Política do Observador teve depois acesso a faturas detalhadas do abastecimento do carro com o cartão Galp Frota da Câmara de Ovar. A seguir, cruzou as datas e horas das faturas com a agenda de Salvador Malheiro, identificando os compromissos partidários a que se deslocou nesses dias. Recolheu também informações sobre o seguro do carro, que começou a ser pago pela câmara a partir de Janeiro, um detalhe relevante porque põe em causa uma das respostas do autarca, quando foi confrontado pelo Observador e alegou que o concessionário tinha cedido o carro para experimentar nesse período.” A notícia pode ser acedida aqui.

Não cabe neste comentário qualquer consideração sobre a natureza política do acontecimento. Nem análises a processos de intenção a quem convém ou deixa de convir a notícia sobre a gestão da Câmara de Ovar ou sobre o seu presidente Salvador Malheiro ou sobre o PSD. Também não há o propósito de tecer considerações sobre o jornalismo de investigação e os esforços de investigação do Observador ou de como, muitas vezes, o jornalismo de investigação, em Portugal, se limita a reagir à receção do que quase parecem ser “press releases” disponibilizados por grupos de interesses.

O único comentário que se pretende fazer é sobre a aparente facilidade com que se acedeu à informação detalhada sobre o cartão Galp Frota, à informação sobre o seguro do automóvel e à informação sobre o contrato com a Caetano Renting, SA.

Se, neste caso, a divulgação da informação denuncia uma provável violação de dados, então, o problema que quero colocar é sobre os eventuais casos em que não há uma denuncia pública, mas unicamente uma silenciosa utilização indevida da informação.

 O problema que quero colocar é sobre os sistemas de segurança da informação da Câmara de Ovar, da Galp, da companhia de seguros e da Caetano Renting. Que tranquilidade podemos ter quanto aos sistemas de segurança da informação destas organizações? De onde veio a violação de dados e até que ponto é que a informação existente nessas organizações está segura? Até que ponto os sistemas de segurança destas organizações são permeáveis à utilização da informação para fins ilícitos, sejam eles privados ou públicos? Sendo que quando a utilização é para fins privados permite um aproveitamento continuado, sistemático e, frequentemente, indetetável. Sendo que quando a utilização tem uma dimensão publica, no sentido de publicitado, não há uma opinião publica ou uma CNPD que atue rapidamente para esclarecer sobre os níveis de segurança existentes.

Toda a informação acedida poderá estar na Câmara de Ovar pelo que é razoável suspeitar que a violação de dados tenha ocorrido unicamente na Câmara de Ovar. E, se assim for, é bom recordar o post em que se refere as tentativas de colocar a Administração Pública fora das coimas do RGPD (aqui).

Por ultimo, lembremos algumas coisas sobre as toupeiras.

Sobre a sua natureza: As toupeiras são pequenos mamíferos adaptados à vida subterrânea, escavam galerias subterrâneas, autênticos labirintos onde passam a maior parte do tempo; elas dormem, comem e respiram dentro dos seus túneis. Contrariamente ao que se diz as toupeiras têm visão! Fazem estragos avultados e destroem rapidamente o que se demorou a construir. O impacto visual e emocional da sua ação pode ser grande.

Sobre a distribuição e abundância: É uma espécie abundante em todo o mundo. É endémica em Portugal distribuindo-se de forma generalizada de Norte a Sul do território.

Estatuto de conservação: É considerada uma espécie não ameaçada (NT) pela UICN e pelo Livro Vermelho dos Vertebrados Portugueses. Pessoalmente prevejo, até, que venha a conhecer um forte crescimento.

Como afastar ou eliminar toupeiras: É muito difícil porque podem estar adormecidas e só despertarem em circunstâncias particulares. Suspeito que o melhor procedimento seja a colocação de armadilhas. Se apanhadas em armadilhas, não é bem libertá-las noutro local.

Muitos de nós nunca viu uma toupeira mas que as há, lá isso há.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)