Preocupação é quanto a segurança de dados sensíveis acessados com assinaturas avançadas.
Durante o EncontrAR Alive, realizado pela Associação das Autoridades de Registro do Brasil (AARB) no dia 21 de março, especialistas sugeriram aperfeiçoamentos no Gov.br, plataforma digital de relacionamento do cidadão com o governo que reúne diversos serviços e disponibiliza três classificações de assinaturas eletrônicas.
O vice-presidente da AARB e presidente da Associação Brasileira das Empresas de Software (ABES), Paulo Milliet Roque, relatou, durante o debate, uma disfuncionalidade no Gov.br que tem ocorrido há alguns meses. Segundo ele, ao atingir o nível ouro da conta com certificado digital, para entrar no portal basta o acesso por login e senha. “Neste nível de conta ouro temos acesso a dados sensíveis e é muito preocupante esta mudança”, alertou.
O professor Jean Everson Martina, pesquisador do Laboratório de Segurança em Computação (LabSEC) da Universidade Federal de Santa Catarina, concordou que o Gov.br precisa de melhorias e que a base de dados consultada pelo governo na migração de uma conta bronze para prata, por exemplo, deve levar em conta mudanças de cadastros feitas pelos usuários nas bases de origem. “Quando você vai projetar um sistema que envolve comprar, vender, pagar e receber você deve pensar sempre em um modelo de autenticação e de registro forte. Não basta olhar para seu selo. Tem que olhar o selo e a forma como você autenticou”.
Para o advogado Bernardo Brasil Campinho, doutor em Direito pela Universidade do Estado do Rio de Janeiro (UERJ), o Gov.br cria uma burocratização, no caso de mudanças de dados, que está além do conhecimento da população sobre meios digitais, em especial para os idosos. “Você começa a criar cidadãos de segunda classe que não tem familiaridade. Estas questões de segurança tem que andar de mãos dadas com a acessibilidade”.
O diretor da AARB, Bruno Linhares, levantou a questão do ciclo de vida dos certificados digitais no Gov.br, pois o selo ouro não tem uma data de validade, ao contrário dos certificados digitais ICP-Brasil. “Garantir um ciclo de vida para o certificado e que tenhamos uma verificação regular de sua pertinência e propriedade sempre foi uma questão fundamental da ICP-Brasil”, disse.
“Hoje o único documento público que utiliza uma estratégia de longo prazo é o diploma digital”, lembrou Martina. “Quando eu preciso fazer um documento de durabilidade maior que prazo do certificado, a estratégia é colocar um carimbo do tempo. E quando a gente tem que fazer guardas de documentos de longo prazo, é indicado utilizar estratégias de arquivamento, de guardar todas as LCRs e todos os caminhos de certificação”, indicou o professor.
O diretor-presidente substituto do Instituto Nacional de Tecnologia da Informação – ITI, Maurício Augusto Coelho, disse que o portal veio preencher uma lacuna, mas ressaltou que o sistema ICP-Brasil traz vantagens não só tecnológicas, mas de processo. “Isto é uma característica das assinaturas qualificadas. A Lei 14.063/2020 diz que a assinatura qualificada está em nível superior de todas as outras”, explicou. “As assinaturas avançadas não têm os mesmos requisitos processuais do sistema ICP-Brasil, então não existe credenciamento, auditorias de fiscalizações, não existe obrigatoriedade de ambientes seguros e nem existe a obrigatoriedade de os HSMs serem certificados”.
O EncontrAR Alive teve o patrocínio da Valid, Certificaminas, Link Certificação Digital, Safeweb, Certisign, Soluti, Online Soluções Digitais, CertFácil Certificação Digital, AC Consulti Brasil, Fenacon CD e Syngular
Também contou com os apoios institucionais do ITI – Instituto Nacional de Tecnologia da Informação, ATID- Associação Brasileira de Tecnologia e Identidade Digital, ANCD – Associação Nacional de Certificação Digital, CryptoID, Insania e Abrid – Associação Brasileira das Empresas de Tecnologia em Identificação Digital
