Proteção de Dados

Dados do Censos 2021 estão em causa? "Então o site das Finanças também estaria"

Dados do Censos 2021 estão em causa? "Então o site das Finanças também estaria"

Analista de sistemas e programador português João Pina garante que a Comissão Nacional de Proteção de Dados "está a criar um precedente muito errado" ao ordenar que o INE suspenda os serviços da gigante de cibersegurança norte-americana Cloudflare para os Censos 2021 e lembrou que o site das Finanças e Eleições usam serviços semelhantes. INE pode, assim, ter perdido proteção contra ataques.

A internet é de simples acesso, mas a sua segurança é mais complexa do que muitos possam julgar. Uma das empresas mais relevantes a nível mundial na hora de dar uma base de rapidez e segurança aos sites e apps (e tudo o que esteja online) é a norte-americana Cloudflare, . A Comissão Nacional de Proteção de Dados (CNPD) ordenou, na terça-feira, o INE a deixar de usar os serviços da empresa no Censos 2021 devido a possível "envio de dados dos Censos para os EUA". Tudo terá começado num post de Facebook com informação falsa (que foi promovido pelo grupo Juristas pela Verdade).

Estima-se que a Cloudflare seja usada por cerca de 12,3% dos sites e apps da internet (em Portugal é dominante, incluindo em sites do Estado e de várias empresas) e mais de 30% das empresas Fortune 500 usam os seus serviços. Existem ainda outras estimativas de analistas que apontam que entre 6 e 10% do tráfego na internet passa pela Cloudflare - há rivais sem o mesmo tamanho como Imperva, Akamai, Amazon CloudFront, etc.

O analista de sistemas e programador português João Pina garante que "a CNPD está a criar um precedente muito errado" e que "o atual funcionamento base da internet não consegue garantir que o tráfego não dê a volta ao mundo até chegar ao servidor de destino".

Pina é autor de vários projetos utilitários online como o Fogos.pt, janaodaparaabastecer.vost.pt ou suprimidos.pt e tem-se tornado conhecido por expor com frequência vulnerabilidades em sites de empresas e do Estado. O programador analisou as acusações da CNPD ao pormenor no seu site (com vários dados técnicos) e lamenta que se esteja a "dar valor a uma publicação feita numa rede social por alegadamente uma conta falsa apenas criada para espalhar desinformação".

A Cloudflare tem indicado que está em conformidade com o Regulamento Geral de Proteção de Dados e indicou já uma série de precedentes na UE que o comprovam, algo que a CNPD não aceita, sem prestar qualquer informação concreta porque o faz. Na sua deliberação indica que apesar da Cloudflare deter 200 datacenters localizados em mais de cem países (incluindo em Portugal), "a grande maioria dos quais não tem um nível de proteção de dados adequado", nos termos previstos no RGPD.

PUB

João Pina explica ao Dinheiro Vivo que são esses 200 datacenters (determinantes em tornar os sites mais rápidos) e um foco rigoroso na privacidade e segurança que tornaram a Cloudflare uma referência mundial na área. Indica também que a alegação da CNPD de que o INE "não tem forma de saber se o tráfego está a ser dirigido" para servidores fora da UE "não é totalmente verdade". "A Cloudflare injeta em todos os pedidos um header com a indicação da cidade onde está o servidor que recebeu o pedido".

Os dados pessoais do Censos podem estar a ser espiados?

O analista de sistema garante que não é isso que acontece, pelo menos pela Cloudflare. "Obviamente que não é isso que acontece [sobre a Cloudflare poder armazenar o tráfego que lá passa e poder aceder aos dados a qualquer momento, como indicia a CNPD]".

Embora possa ter acesso aos dados de IP, a Cloudflare "não armazena as respostas das pessoas aos censos", garante João Pina, dando o exemplo de que qualquer operador de trânsito online consegue ver o tráfego, mas não o que lá vai dentro.

Censos agora mais vulneráveis a ataques?

João Pina explica que sem a Cloudflare, além do site do INE para o Censos poder se tornar mais lento, também perde proteções contra ataques online. "Perderam a WAF que bloqueia coisas como o SQL injection, XSS e muitos outros ataques e perderam a proteção anti DDoS". Apesar do INE poder contratar algo semelhante a outro prestador, eventualmente até algum menos experiente e nacional, "não sei se o fizeram em tão pouco tempo e nunca será ao preço que pagavam na Cloudflare, que consegue preços mais baixos e mais eficiência, incluindo em segurança", garante.

Finanças e eleições também espiados?

Outros sites relevantes do Estado também usam operadores norte-americanos para a base dos seus sites - para a tal rapidez e segurança base dos sites, daí que João Pina considera a decisão da CNPD "um precedente muito errado" na era da internet onde para consultar qualquer coisa no telemóvel (Android ou iOS) ou num site seja de um governo ou de empresa é normal haver dados - nem que seja de simples IPs - a viajar pelo planeta.

O programador lembra que, por exemplo, o Portal das Finanças - onde milhões de portugueses colocam as suas declarações de IRS por esta altura - e o Portal das Eleições usam os serviços de CDN da americana Akamai - uma empresa mais pequena que a Cloudflare, que é a líder nesta área a nível mundial.

A Agência para a Modernização Administrativa, I.P. dá-se mesmo ao trabalho de indicar na sua política de privacidade onde explica todos os pormenores de privacidade e proteção de dados que pode usar Cloudflare para melhoria de desempenho dos sites.

João Pina deixa ainda uma provocação ao CNPD: "aguardo com calma e serenidade o despacho da CNPD para que sejam desligados estes CDNs [das Finanças e do Portal das Eleições] no prazo de 12h, principalmente porque estamos na época da entrega do IRS e ia ser interessante ver o desempenho deste portal [sem estes serviços]".

Mais Notícias

Outros Conteúdos GMG