No início do verão os sites dos serviços de informação portugueses surgiram na internet com um novo design. Mas a remodelação não se ficou pelo grafismo. As páginas do Serviço de Informações da República Portuguesa (sirp.pt), do Serviço de Informações de Segurança (sis.pt) e do Serviço de Informações Estratégicas de Defesa (sied.pt) contaram ainda com duas novidades: o uso de um certificado digital atribuído a uma empresa estrangeira e a inclusão de um formulário de recrutamento, que leva os dados a passar por um servidor dessa empresa nos EUA, antes de serem armazenados em Portugal.

Nenhum dos sites dos serviços secretos dos EUA, Reino Unido, Espanha ou França usa certificados digitais atribuídos a entidades externas e também não há registo de que levem dados de candidatos a espiões, peritos de segurança, profissionais administrativos ou especialistas em informática a transitar pelo estrangeiro. “Provavelmente, a empresa que presta o serviço segue as boas práticas e tem um contrato em que se compromete a não aceder aos dados, mas tecnicamente a fuga de informação é possível. Basta uma escuta dentro da infraestrutura dessa empresa para aceder aos dados”, explica José Pina Miranda, pioneiro da internet em Portugal e perito em segurança eletrónica.

A Incapsula — assim se chama a empresa — é conhecida por prestar serviços de alojamento e também de firewall aplicacional (assegura a filtragem de tráfego e evita ataques que podem bloquear os sites). O certificado digital que gere tem por objetivo garantir que a ligação entre cada internauta e o endereço visitado se mantém encriptada. As questões de segurança surgem quando termina a ligação encriptada: os dados que venham a ser inseridos num formulário de recrutamento são descarregados num servidor web que se encontra nos EUA, e só depois seguem para um servidor com funções de arquivo.

É a simples passagem por esse servidor, por breve que seja, que abre uma janela de oportunidade para olhares indiscretos dentro da empresa que presta o serviço ou de espiões da Agência Nacional de Segurança (NSA) que, nos últimos anos, tem mantido acesso privilegiado aos diferentes repositórios de informação das maiores gigantes tecnológicas dos EUA. “Não é um buraco escandaloso, mas é uma questão válida, porque está a abrir a possibilidade de organismos estrangeiros terem acesso a dados que pertencem aos serviços de informação portugueses”, explica Luís Grangeia, especialista de segurança eletrónica.

Os sites da CIA e da NSA não usam certificados atribuídos a entidades externas. Os dados de candidaturas de emprego também não saem do país. No MI5, do Reino Unido, e no Centro Nacional de Inteligencia, de Espanha, a situação é similar. Na Direction Nationale de Securité Intérieure o envio de candidaturas é feito por correio tradicional.

SIRP garante segurança

Ao Expresso, o SIRP reitera que segue as melhores práticas de segurança e nega qualquer fuga de informação. Sem fornecer pormenores por questões de sigilo e operacionalidade, o gabinete do secretário-geral Júlio Pereira sublinha, em resposta por e-mail, que “o armazenamento de dados referentes aos sites é, exclusivamente, efetuado em território nacional em infraestrutura tecnológica integralmente controlada pelo SIRP”.

O Sistema de Informações da República explica ainda que “os dados enviados voluntariamente pelos cidadãos através do processo de ‘candidatura espontânea’ não são sujeitos a qualquer outro tipo de armazenamento, mesmo que temporário, fora da infraestrutura tecnológica (SIRP) atrás referida” — ou seja, nega o armazenamento externo às ‘secretas’ mas não a passagem dos dados pelos EUA.

Instado a explicar porquê a decisão de contratar o serviço da Incapsula, não responde; assim como não revela quantas pessoas já apresentaram candidaturas através dos formulários dos três sites.

Legal, mas perigoso

Manuel Lopes Rocha, advogado da PLMJ e especialista em questões relacionadas com as tecnologias, não se pronuncia quanto ao efeito que uma potencial fuga de dados de candidatos aos serviços secretos pode ter ao nível operacional, mas lembra que a legislação atual não proíbe o recurso a servidores no estrangeiro, desde que tenham garantias de confidencialidade e privacidade “equivalentes às que estão em vigor na UE”.

“Há até alguns especialistas que dizem que é uma boa prática armazenar dados em diferentes continentes para garantir cópias de segurança em caso de perda de dados ou catástrofes”, acrescenta.

Fernando Freire, investigador do Instituto de Defesa Nacional que tem vindo a estudar as várias temáticas relacionadas com a ciberguerra, é mais crítico em relação à opção do SIRP, que terá, no seu entender, implicações em termos de operacionalidade. “Se os dados passam pelos EUA, então há uma elevadíssima probabilidade de a NSA conseguir ter acesso a eles. Neste caso, os serviços de informação não estão a ser coerentes com a missão de segurança de informação”.

Um especialista que em tempos trabalhou nos serviços secretos portugueses secunda os receios do investigador. “Não há uma violação de segredo de Estado, mas não é nada conveniente que os dados das pessoas que se candidatam a trabalhos nos serviços secretos sejam detetados por outras entidades.”