As regras que o setor público vai ter de seguir em matéria de proteção de dados já foram publicadas em Diário da República. A resolução do Conselho de Ministros define um conjunto de obrigações e recomendações a serem seguidas, de forma a garantir a proteção dos dados pessoais dos cidadãos, a dois meses da entrada em vigor do Regulamento Geral da Proteção de Dados (RGPD). Contudo, essas regras estão agora a gerar polémica.

Alguns especialistas indicam que as regras aprovadas pelo Governo português para o setor público não respeitam o próprio regulamento e que, se forem mesmo seguidas pelo Setor Empresarial do Estado, poderão colocar os dados dos cidadãos em risco. Um desses especialistas é Gil Gomes, do escritório de advogados Candeias & Associados.

Numa nota enviada ao ECO, o engenheiro é pragmático, falando em “incongruências” na lei: as recomendações do Governo “não estão em conformidade” com o RGPD e podem pôr “em risco as informações de todos os que vivem e circulam em Portugal, bem como das empresas aqui sediadas”.

“As recomendações apresentadas não estão totalmente em conformidade com o referido regulamento. Isso é grave, porque deixa de ser possível garantir a segurança que o RGPD impõe, já que coloca em risco as informações pessoais (nacionais ou estrangeiras) manipuladas pelas entidades públicas portuguesas”, alerta Gil Gomes. Acrescenta também que isso “pode impactar de modo negativo o setor empresarial e turístico nacional, refletindo de modo negativo na economia do país”.

Verificamos que, se as entidades públicas portuguesas agirem nos exatos temos desta resolução, além de estarem em manifesta afronta ao RGPD, colocarão em risco as informações de todos que vivem e circulam em Portugal, bem como das empresas aqui sediadas. Gil Gomes Responsável pela conformação técnica das empresas ao RGPD da Candeias & Associados

O que está em causa?

Nem todas as normas definidas pelo Governo estão a ser postas em causa. Mas, em concreto, para a Candeias & Associados, um dos pontos centrais é que as regras deixam “ao critério do utilizador” a implementação de sistemas e protocolos mais seguros — isto é, não obriga; só recomenda. Ou seja, as regras não padronizam o nível de segurança “com a obrigatoriedade da adoção de medidas mais sólidas”. E cada empresa pública pode ou não seguir esta recomendação.

Outra medida que só é recomendada, em vez de ser obrigatória, é o uso de um protocolo de encriptação na internet chamado TLS (Transport Layer Security). Em linhas gerais, este protocolo é uma forma de cifrar informação na internet para impedir que seja intercetada por terceiros. Enquanto o Governo só recomenda o uso de TLS “na sua versão mais recente”, Gil Gomes defende que “deve ser uma medida obrigatória”, visto que “as versões anteriores não preenchem os requisitos de proteção de dados que ora se exige”.

Na resolução do Conselho de Ministros em causa, o Governo recomenda ainda que as credenciais armazenadas em ficheiros sejam convertidas em hashs (um código único que corresponde a uma informação) e também só recomenda que essas hashs sejam cifradas, o que pode colocar em risco essas mesmas credenciais.

“A mera recomendação da não utilização de credenciais em plain text, ou de palavras-passe embebidas no código da base de dados, e a cifra ou codificação dos dados a serem transmitidos através do hash, são medidas imprescindíveis para que não ocorra a violação na proteção dos dados”, explica o perito da Candeias & Associados.

Regras permitem passwords inseguras e algoritmo usado na bitcoin

Há outro ponto a gerar celeuma, apurou o ECO. O Governo define como obrigatório que as palavras-passe tenham nove carateres (ou 13, se a conta tiver acessos privilegiados) e respeitem três de quatro requisitos: incluir letras minúsculas, maiúsculas, números e carateres especiais (como @, & ou !). Ora, se só cumprirem os três primeiros requisitos, poderão ser usadas palavras-passe inseguras, como “Aaaaaaaa1” ou “Password1”, que são fáceis de descobrir por uma pessoa mal-intencionada.

Por fim, outro problema é o facto de o algoritmo “mínimo” que o Governo recomenda que seja usado para cifrar credenciais ser “SHA 256”. É o mesmo algoritmo usado no funcionamento da bitcoin e que tem como característica poder ser quebrado por tentativa e erro. Aliás, existem mesmo computadores fabricados para isto: são os ASIC, o mesmo tipo de computador usado para minerar criptomoedas.

Esta quarta-feira, Bruno Morisson, vice-presidente da direção da Associação Portuguesa para a Promoção da Segurança da Informação e organizador da conferência de segurança BSidesLisbon, recorreu ao Twitter para criticar a resolução que entrou em vigor esta quinta-feira: “Quem escreveu isto não faz ideia. Neste momento, penso que ‘Password1’ é uma password forte de acordo com o documento.” E acrescentou: “Espero que ninguém me peça ajuda para implementar estes disparates.”

O ECO contactou o Ministério da Presidência e da Modernização Administrativa acerca deste assunto. No entanto, ainda não tinha obtido resposta até à hora de publicação deste artigo.