E quem nos protege? O mediático caso e-toupeira veio colocar a nu a fragilidade da digitalização das nossas vidas e a vulnerabilidade dos sistemas informáticos públicos e privados.
Ainda que o Instituto de Gestão Financeira e Equipamentos da Justiça, entidade responsável pela gestão do sistema informático Citius, e que a ministra da Justiça garantam a segurança das plataformas informáticas judiciais, é preocupante o alerta deixado pelos juízes: é preciso um sistema novo e, na indisponibilidade de recursos financeiros para o fazer, este necessita de ser remodelado.
Não sabemos, ainda, se a "toupeira" roubou usernames e passwords ou se as usou porque estavam às mãos de semear. Sabemos, sim, que acedeu centenas de vezes a processos. Entrou, mexeu e saiu. E para o ter feito centenas de vezes, não o terá feito num par de horas. É difícil, nos dias que correm, que um sistema de comunicação eletrónico não alerte para o uso de um login numa outra máquina, num outro dispositivo. Até uma conta básica criada na Apple ou na Google o faz.
Quem são então os (ir)responsáveis da segurança dos sistemas? Não vamos obter respostas. Mas é evidente que existem problemas com a proteção e a segurança informática dos nossos dados nas instituições públicas. A situação agrava-se quando fica no ar a ideia de que a segurança de um sistema informático assenta em passwords de acesso.
Já em 2015, José Tribolet denunciava a insegurança da informação disponível na Administração Pública. A propósito do crash do Citius, que parou os tribunais durante 45 dias e apagou grande parte das estatísticas de justiça referentes a 2014, o professor catedrático do Departamento de Engenharia Informática do Instituto Superior Técnico alertava para os sistemas obsoletos da Administração Pública que "ninguém conhece" e que "põem em causa a soberania nacional".
Três anos depois, o aviso mantém-se válido. Mas em três anos, estamos mais digitalizados, mais mobile first, cloud first. Temos mais documentos e mais dados online. Estamos necessariamente mais expostos e, portanto, mais vulneráveis num país com uma baixa cultura de segurança e de risco. A partir de 25 de maio, com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados, qualquer uso indevido de dados pessoais de cidadãos europeus irá ser punido e as organizações privadas e públicas estarão sujeitas a um novo contexto digital. Ao menos isso.
* SUBDIRETOR