Segurança da informação em tempos de mudança

Nesses primeiros dias do novo ano, passamos por tempos de mudança, marcados por dois fenômenos: um deles, natural, em que nosso redondo planeta Terra completa seu movimento de translação em torno do Sol; o outro, oriundo do regime democrático, construção humana que determina o respeito ao voto popular e a alternância no poder.

São então tempos de esperança – “Eppur si muove”, frase com que Galileu Galilei teria enfrentado o Tribunal da Inquisição, é atualmente reconhecida como inquestionável verdade para júbilo dos que prezam a Ciência.

Também cá no Brasil, pudemos acompanhar a posse dos novos presidente e vice-presidente, dos membros do Congresso Nacional, de governadores e deputados estaduais, como previsto na Constituição e como é praxe em todos os países que adotam a Democracia como regime político.

E o que nós, empresários e empresárias, trabalhadoras e trabalhadores em Segurança da Informação, temos a ver com isto? Tudo.

A certificação digital é e deve continuar sendo um mercado regulado, em que a definição e a fiscalização das rígidas normas da ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) garantem à sociedade segurança das transações na internet.

E isto é papel do Estado e de seu órgão fiscalizador que é o ITI (Instituto Nacional de Tecnologia da Informação). Que se insere neste novo arcabouço político a ser construído pelas autoridades empossadas, segundo as prioridades e premissas do novo mandato.

Por este motivo, vale agora apresentar alguns pontos de vista sobre questões que estamos já a debater há algum tempo e que poderão eventualmente servir para pautar um salutar diálogo que venha a se estabelecer entre os novos representantes do Poder Público e os de nosso mercado.

Em primeiro lugar, a diferença entre as distintas formas de assinatura e registro de transações por intermédio da Tecnologia da Informação: a assinatura qualificada – assinatura digital por intermédio de certificados digitais sob a égide da ICP-Brasil e as assinaturas eletrônicas, emitidas por outros métodos que não contam com o mesmo rigoroso regime de segurança previsto pela ICP-Brasil.

Deve se abrir um parêntese especial para as “assinaturas avançadas”, estabelecidas pela Lei 14.063/2020. Apesar de seu reconhecimento pela legislação citada, tem limitações em relação às qualificadas e pelo mesmo motivo já exposto – o forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado.

Quando se trata de questões vitais – segurança da vida, do patrimônio, da Saúde, da Justiça, da Gestão do Meio Ambiente e tantas outras áreas críticas, devemos procurar utilizar mecanismos com a máxima segurança.

Quando, por exemplo, um profissional da Saúde realiza registro em um Prontuário Eletrônico, quando um advogado assina uma petição ou um magistrado profere sua sentença, quando é emitida uma nota fiscal eletrônica, quando é realizada uma transação imobiliária ou ainda quando um fiscal do meio ambiente atesta a origem legal de um lote de madeiras, o primordial é resguardar a autenticidade do ato e de seus autores de forma inequívoca e que garanta sua validade legal de maneira inquestionável, ou seja, com o uso de certificados digitais.

Outros atos de menor relevância ou mesmo o acesso a certos níveis do serviço público digital, como previsto em algumas das aplicações que compõe os sistemas do GOV.BR, estes sim podem e devem ser acessados com formas mais simples de identificação e registro, já que os riscos em relação à segurança das pessoas são menos severos.

A correta avaliação de riscos e benefícios já tem resposta na legislação atual, assim como nas melhores práticas internacionais.

No entanto, em passado recente observamos algumas tentativas de “simplificação” que a nosso ver apresentam riscos a higidez dos sistemas de proteção. Podem representar ameaças a todo o edifício técnico e legal que até agora brindou a sociedade com taxas mínimas de fraudes em atos formais pela internet através de certificados digitais.

Outra questão a ser debatida é a concessão gratuita de assinaturas eletrônicas, particularmente as avançadas. Como todos sabem, não há almoço grátis. Para a identificação de pessoas na internet, concorrem processos tecnológicos operados em servidores de alta segurança, redes de comunicação, assim como é necessário contar pessoal especializado na operação, desenvolvimento e manutenção desses sistemas.

Também é preciso o serviço de pessoas, equipamentos e instalações para atendimento aos seus usuários.

Tem custos envolvidos e não são baixos.

A ICP-Brasil resolveu a questão com o estabelecimento de uma Parceria Público Privada em que a Inciativa Privada entrou com investimentos e despesas e teve como retorno o pagamento por quem utiliza desses serviços, basicamente empresários e profissionais especializados que não só podem custear o valor do seu certificado digital como têm clareza da sua excelente relação custo x benefício. Tudo isto sem necessidade de utilizar dinheiro público.

No Brasil, temos premente necessidade do emprego dos recursos públicos e esforços governamentais para o combate a Fome e da Pobreza, a melhoria da estrutura da Saúde Pública, o avanço da Educação de qualidade, em investimentos em pesquisa e desenvolvimento, entre outras tantas áreas fundamentais para o desenvolvimento do país de forma socialmente justa e equilibrada.

Não há sentido desviar recursos dessas áreas prioritárias para atividades já servidas pela iniciativa privada através desta Parceria Público Privada que é sucesso nacional e internacional.

A própria amplitude dos novos públicos alvo e a forte concorrência neste segmento garantirão tanto tarifas módicas como eventuais gratuidades a determinados setores da população, caso necessário.

O Presidente Lula, em seu discurso de posse no Congresso Nacional, enfatizou a necessidade de previsibilidade, estabilidade e transparência na relação entre o Governo e a Sociedade, em particular na relação com a Iniciativa Privada.

Esta é uma questão que endereça a fundo os anseios dos empresários em certificação digital, que esperam desenvolver e manter um diálogo em alto nível sobre nossas questões setoriais que, por seu impacto nos processos produtivos nacionais, tem também importância para o conjunto na sociedade brasileira.

Bruno Linhares é empresário no segmento de certificação digital e Diretor de Comunicação da AARB – Associação das Autoridades de Registro do Brasil