A protecção de dados e a segurança da informação voltam à ordem do dia. Por haver suspeitas de acessos ilegítimos e de partilha de dados entre entidades que disputam votos. Por haver desconfiança de expedientes que envolvem algoritmos, favores políticos e alguma vista grossa. Como são tratados os nossos dados pessoais nesta Região? Este é o ponto de partida da reflexão assinada por Miguel Rodrigues. Até porque por muito que quem manda fale em segurança, parece ter sido muito fácil ‘hackear’ o site do Governo.
R.O.
Com muitos avanços e recuos, foi, finalmente, aprovada na Assembleia da República, no passado dia 14 de junho, a nova Lei de Protecção de dados (LPD).
Esta lei e consequente aprovação tardia, deriva da aplicação do Regulamento Europeu de Proteção de Dados. Estabelece as regras relativas ao tratamento de dados pessoais referentes a pessoas singulares na UE, quer seja por uma pessoa singular ou coletiva.
Muitas das nossas instituições ainda vivem em estado de negação, o que faz com que o Regulamento Geral da Proteção de Dados Pessoais seja ainda entendido por muitos como o “RGP Quê?”.
O RGPD entrou em vigor em abril de 2016 , é de aplicação obrigatória desde 25 de maio de 2018. Portugal teve dois anos para o implementar e fazer a sua transposição para a lei nacional. Como sempre fomos dos últimos, e sempre com a tendência para viver num total estado de negação, à espera para ver o que o “vizinho do lado” iria fazer, na vã esperança de que não seria realidade.
Ao contrário do que muitos pensavam, as entidades públicas também vão pagar as coimas por violação ou por divulgação de dados pessoais, mas, em casos excecionais e bem fundamentados, podem pedir à Comissão Nacional de Proteção de Dados – CNPD a isenção da aplicação do RGPD por um período de duração de três anos.
Vivemos anos com uma Lei de Proteção de Dados (LPD) que foi ficando desajustada à realidade tecnológica. A LPD datava de 1998 mas mesmo nesta lei antiga e desajustada, já havia regras de cumprimento obrigatório, que poucos cumpriam e onde o crime compensava em virtude das coimas serem muito baixas para os ganhos que uma entidade poderia obter com os acessos indevidos à informação, a sua manipulação, a sua partilha, tudo isto aliado à grande falta de meios de fiscalização (que ainda existe).
Não obstante, mesmo com a entrada em vigor do RGPD e a aprovação recente da nova LPD, continuamos a assistir a uma “dança” de informação com dados pessoais entre instituições.
Assistimos a fugas de informação, a partilhas de dados pessoais na internet (e não só) oriundas de diversas fontes e que ocorrem por simples incúria, desconhecimento, fragilidades dos sistemas ou porque era já normal essa troca de informações entre instituições sem que o verdadeiro “dono dos dados”, ou seja, nós, tenhamos dado o devido consentimento para tal.
Facilmente se verifica a existência online de formulários de recolha de informação, por exemplo, para filiações partidárias, criados de forma incorreta, sem que se cumpra uma das regras mais elementares que o RGPD trouxe para a nossa realidade: o consentimento e a limitação da finalidade do tratamento dos dados.
Recentemente, centenas de documentos da empresa Atlanticoline (Açores) com imagens de cartões de cidadão de familiares e utilizadores dos navios, dados pessoais de menores e comprovativos de pagamento assim como acordos judiciais, foram divulgados na internet.
No Hospital do Barreiro-Montijo, detetaram-se falsos perfis médicos para acesso ao sistema informático clínico do hospital. Havia mais de 900 perfis “médico” criados e com permissão para consultar todo o historial clínico dos utentes para apenas 296 médicos reais. O Hospital foi multado em 400 mil euros.
Até Bruxelas expôs dados pessoais de autarcas de toda a Europa devido a uma falha de segurança.
A segurança da informação não começa nem se resolve apenas com soluções tecnológicas, como muitos pensam. A segurança da informação começa com a sensibilização das estruturas de topo das organizações e dos seus quadros, pela definição de regras internas e de procedimentos bem delineados e aprovados, com boas práticas e trabalho no manuseamento da informação.
Muito se tem lido, ouvido e falado sobre cibersegurança e estratégia, esquecemos que a segurança começa dentro de casa, com a educação dos utilizadores. De nada serve termos o state of the art em tecnologia, e comprarmos quilos da mesma, se falhamos internamente no elo mais fraco de um sistema: o ser humano, as suas fragilidades, desatenções e pouca formação.
Mais importante do que divagar sobre legislação e a cibersegurança, é definir normas internas e boas práticas, para isso basta seguir as regras presentes em normas internacionais aliadas ao trabalho contínuo de monitorização. Sim, dá muito trabalho!
Hoje em dia, com um simples “clique” estamos a partilhar informações, de uma forma completamente aberta ao mundo.
São as redes sociais, as partilhas de informações em fóruns de discussão, as partilhas de opinião em páginas de órgãos de comunicação social, entre outras, e tudo fica disponível para todos.
Vivemos num mundo por vezes falso onde nem tudo o que parece é, passamos a descurar as regras básicas não só do bom senso, mas também da boa educação. Muitos julgam esconder-se por detrás de uma internet supostamente anónima, a calúnia gratuita fácil, as ofensas verbais, alimentando sentimentos de impunidade e falsas sensações de segurança, escondidos por um teclado ou via de um perfil falso criado numa rede social qualquer, pensando, erradamente, que são anónimos quando na verdade são todos localizáveis, com mais ou menos dificuldade, mas são sempre localizáveis. São apenas mais uma variável dentro do mundo digital.
Este acesso desmedido aos nossos dados, localizações e informações, levanta muitas questões e quase ninguém se preocupa com isso, principalmente o utilizador final e principal responsável por elas. Por onde andam os nossos dados? Quem é que acede? O que fazem com eles? Como é que as nossas instituições, públicas e privadas, estão a abordar estas questões da privacidade e da segurança da informação?
Em jeito de raio-x ao estado da implementação do RGPD e da segurança da informação, passamos de uma histeria coletiva pré/pós 25 de maio de 2018 que durou sensivelmente um mês e meio e que fizeram do RGPD um bicho papão, para um silêncio ensurdecedor e preocupante.
Existe um baixo grau de maturidade para este tipo de questões e para as novas exigências europeias, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.
Poucos planeiam e organizam ou não sabem o que querem, formam mal só para cumprir as horas obrigatórias por lei, e apenas esperam.
O fator crítico para o sucesso, é o conhecimento dos processos, saber quem faz o quê, como o faz e por onde circula a informação.
Uma boa construção inicia-se pelos alicerces e não pelo telhado e muitos projetos falham por causa disso mesmo.
Muitos estão deveras atrasados e nem pensaram muito bem no assunto. Alguns a meio-gás e com trabalho de casa feito e poucos estão com uma implementação consolidada.
Há os que cortam acessos e paralisam instituições em nome do RGPD e há também aqueles que não querem abordar o assunto porque quanto menos se falar dele, melhor.
Possivelmente ainda há aqueles, mesmo recebendo instruções superiores para o fazer simplesmente não as cumprem, seja por inércia, esquecimento ou incompetência.
Faz-me recordar uma frase do gato na estória de “Alice no País das Maravilhas” – “Para quem não sabe para aonde vai, qualquer caminho serve”.
Esta lei e consequente aprovação tardia, deriva da aplicação do Regulamento Europeu de Proteção de Dados. Estabelece as regras relativas ao tratamento de dados pessoais referentes a pessoas singulares na UE, quer seja por uma pessoa singular ou coletiva.
Muitas das nossas instituições ainda vivem em estado de negação, o que faz com que o Regulamento Geral da Proteção de Dados Pessoais seja ainda entendido por muitos como o “RGP Quê?”.
O RGPD entrou em vigor em abril de 2016 , é de aplicação obrigatória desde 25 de maio de 2018. Portugal teve dois anos para o implementar e fazer a sua transposição para a lei nacional. Como sempre fomos dos últimos, e sempre com a tendência para viver num total estado de negação, à espera para ver o que o “vizinho do lado” iria fazer, na vã esperança de que não seria realidade.
Ao contrário do que muitos pensavam, as entidades públicas também vão pagar as coimas por violação ou por divulgação de dados pessoais, mas, em casos excecionais e bem fundamentados, podem pedir à Comissão Nacional de Proteção de Dados – CNPD a isenção da aplicação do RGPD por um período de duração de três anos.
Vivemos anos com uma Lei de Proteção de Dados (LPD) que foi ficando desajustada à realidade tecnológica. A LPD datava de 1998 mas mesmo nesta lei antiga e desajustada, já havia regras de cumprimento obrigatório, que poucos cumpriam e onde o crime compensava em virtude das coimas serem muito baixas para os ganhos que uma entidade poderia obter com os acessos indevidos à informação, a sua manipulação, a sua partilha, tudo isto aliado à grande falta de meios de fiscalização (que ainda existe).
Não obstante, mesmo com a entrada em vigor do RGPD e a aprovação recente da nova LPD, continuamos a assistir a uma “dança” de informação com dados pessoais entre instituições.
Assistimos a fugas de informação, a partilhas de dados pessoais na internet (e não só) oriundas de diversas fontes e que ocorrem por simples incúria, desconhecimento, fragilidades dos sistemas ou porque era já normal essa troca de informações entre instituições sem que o verdadeiro “dono dos dados”, ou seja, nós, tenhamos dado o devido consentimento para tal.
Facilmente se verifica a existência online de formulários de recolha de informação, por exemplo, para filiações partidárias, criados de forma incorreta, sem que se cumpra uma das regras mais elementares que o RGPD trouxe para a nossa realidade: o consentimento e a limitação da finalidade do tratamento dos dados.
Recentemente, centenas de documentos da empresa Atlanticoline (Açores) com imagens de cartões de cidadão de familiares e utilizadores dos navios, dados pessoais de menores e comprovativos de pagamento assim como acordos judiciais, foram divulgados na internet.
No Hospital do Barreiro-Montijo, detetaram-se falsos perfis médicos para acesso ao sistema informático clínico do hospital. Havia mais de 900 perfis “médico” criados e com permissão para consultar todo o historial clínico dos utentes para apenas 296 médicos reais. O Hospital foi multado em 400 mil euros.
Até Bruxelas expôs dados pessoais de autarcas de toda a Europa devido a uma falha de segurança.
A segurança da informação não começa nem se resolve apenas com soluções tecnológicas, como muitos pensam. A segurança da informação começa com a sensibilização das estruturas de topo das organizações e dos seus quadros, pela definição de regras internas e de procedimentos bem delineados e aprovados, com boas práticas e trabalho no manuseamento da informação.
Muito se tem lido, ouvido e falado sobre cibersegurança e estratégia, esquecemos que a segurança começa dentro de casa, com a educação dos utilizadores. De nada serve termos o state of the art em tecnologia, e comprarmos quilos da mesma, se falhamos internamente no elo mais fraco de um sistema: o ser humano, as suas fragilidades, desatenções e pouca formação.
Mais importante do que divagar sobre legislação e a cibersegurança, é definir normas internas e boas práticas, para isso basta seguir as regras presentes em normas internacionais aliadas ao trabalho contínuo de monitorização. Sim, dá muito trabalho!
Hoje em dia, com um simples “clique” estamos a partilhar informações, de uma forma completamente aberta ao mundo.
São as redes sociais, as partilhas de informações em fóruns de discussão, as partilhas de opinião em páginas de órgãos de comunicação social, entre outras, e tudo fica disponível para todos.
Vivemos num mundo por vezes falso onde nem tudo o que parece é, passamos a descurar as regras básicas não só do bom senso, mas também da boa educação. Muitos julgam esconder-se por detrás de uma internet supostamente anónima, a calúnia gratuita fácil, as ofensas verbais, alimentando sentimentos de impunidade e falsas sensações de segurança, escondidos por um teclado ou via de um perfil falso criado numa rede social qualquer, pensando, erradamente, que são anónimos quando na verdade são todos localizáveis, com mais ou menos dificuldade, mas são sempre localizáveis. São apenas mais uma variável dentro do mundo digital.
Este acesso desmedido aos nossos dados, localizações e informações, levanta muitas questões e quase ninguém se preocupa com isso, principalmente o utilizador final e principal responsável por elas. Por onde andam os nossos dados? Quem é que acede? O que fazem com eles? Como é que as nossas instituições, públicas e privadas, estão a abordar estas questões da privacidade e da segurança da informação?
Em jeito de raio-x ao estado da implementação do RGPD e da segurança da informação, passamos de uma histeria coletiva pré/pós 25 de maio de 2018 que durou sensivelmente um mês e meio e que fizeram do RGPD um bicho papão, para um silêncio ensurdecedor e preocupante.
Existe um baixo grau de maturidade para este tipo de questões e para as novas exigências europeias, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.
Poucos planeiam e organizam ou não sabem o que querem, formam mal só para cumprir as horas obrigatórias por lei, e apenas esperam.
O fator crítico para o sucesso, é o conhecimento dos processos, saber quem faz o quê, como o faz e por onde circula a informação.
Uma boa construção inicia-se pelos alicerces e não pelo telhado e muitos projetos falham por causa disso mesmo.
Muitos estão deveras atrasados e nem pensaram muito bem no assunto. Alguns a meio-gás e com trabalho de casa feito e poucos estão com uma implementação consolidada.
Há os que cortam acessos e paralisam instituições em nome do RGPD e há também aqueles que não querem abordar o assunto porque quanto menos se falar dele, melhor.
Possivelmente ainda há aqueles, mesmo recebendo instruções superiores para o fazer simplesmente não as cumprem, seja por inércia, esquecimento ou incompetência.
Faz-me recordar uma frase do gato na estória de “Alice no País das Maravilhas” – “Para quem não sabe para aonde vai, qualquer caminho serve”.
Quo Vadis RAM?
Artigo da edição impressa do Diário de Notícias da Madeira
1 de Agosto de 2019
Página 6 "Raio X"
Reacções:
Liberal aponta quatro vantagens da nova directiva europeia sobre Protecção de Dados
"A directiva europeia que instituiu o Regulamento Geral de Protecção de Dados (RGPD) é um bom exemplo do que é uma legislação liberal em comparação com uma legislação estatista que anteriormente existia para o mesmo fim". É esta a reacção da Iniciativa Liberal sobre o tema do Raio X de hoje, Segurança e Protecção de Dados.
O liberal recorda que, "antes, quem quisesse ter uma base de dados tinha de pedir autorização prévia à Comissão Nacional de Protecção de Dados (Estado), que aplicava a lei de forma restritiva e era um ponto de atraso e atrapalho. O Estado gastava imensos recursos para dar as autorizações prévias e não as fiscalizava à posteriori. Mesmo que fiscalizasse, as multas eram baixas. O resultado era que a lei era ignorada, a não ser nos casos em que esse passo era obrigatório, como quando se criavam bases de dados para o próprio Estado".
Assim, no seu entender, a nova directiva "mudou totalmente a perspectiva para uma forma de actuar liberal. "Podemos ver esse liberalismo em quatro formas":
"As autoridades públicas devem ser merecedoras da maior confiança por parte dos cidadãos, são depositárias de informação vital de todos nós – dados fiscais, dados da identidade civil - e essa informação tem de estar salvaguardada. O Raio X desta semana foca bem o facto que a par da tecnologia, o factor humano é fundamental, é necessário formação e regras claras", afirma Paulino Ascenção.
O Coordenador do Bloco de Esquerda/ Madeira realça que é "inaceitável que sistemas críticos como os das Finanças, da Justiça ou das forças armadas, de toda a Administração Pública em geral não sejam controlados integralmente pelos funcionários de tais serviços".
"Os sistemas operativos e as Bases de Dados mais comuns são autenticas caixas negras, são propriedade de empresas estrangeiras (Microsoft e Oracle, por ex:) o uso de tais sistemas é sujeito a licença que não permite que os administradores dos sistemas informáticos do Estado estudarem o funcionamento interno para identificar falhas para as corrigirem. Mais grave as licenças proíbem o acesso ao código", sustenta.
Tal significa, a seu ver, que "o Estado não sabe como funcionam internamente tais sistemas e aceita uma licença que o proíbe de saber. Fica nas mãos das empresas donas dos sistemas para a sua manutenção, detecção e correcção de falhas".
Não obstante, "há alternativas que permitem soberania do Estado sobre os dados que recolhe e guarda", aponta o BE referindo-se ao "uso de sistemas abertos".
"O Bloco é a favor do recurso ao software livre, para garantir a soberania e a independência face aos fornecedores. Só a habitual subserviência dos maiores partidos aos interesses privados impede maior uso de tais ferramentas livres", conclui. (LINK)
Sobre o tema do Raio X de ontem, Segurança e Protecção de Dados, Carlos Pestana do JPP recorda que o Regulamento Geral de Proteção de Dados (RGPD) em vigor desde 2018, teve como principal objectivo proteger o cidadão no tratamento que é feito aos seus dados pessoais, nomeadamente no meio digital. Até porque, "no mundo da internet onde tudo parece seguro, mas às vezes não o é, nada como poder estar, pelo menos, seguro quanto ao que é feito com os nossos dados pessoais. Sejam o número do CC, o contribuinte, a morada, o número de telefone, o perfil cultural, enfim tudo o que possa constituir informação para terceiros e que depois possa ser usada com fins menos óbvios."
E recorda: "um exemplo claro e útil do tratamento de dados é o que a Google fez durante anos com a informação que foi recolhendo devido aos picos da gripe. Analisando essa informação, conseguia prever que em determinada altura, iria aparecer um surto e com isso fazer com que as autoridades pudessem atuar por antecipação. Um exemplo menos claro e nada útil foi a polémica instalada à volta do Facebook e que envolveu a apropriação de dados de milhões de utilizadores por parte da Cambridge Analytica".
Carlos Pestana defende que "teoricamente os cidadãos poderão sentir-se mais seguros com esta nova lei de proteção de dados. Agora, sempre que acede a um determinado sítio na internet, pode sempre mudar a política de privacidade. E pode mesmo pedir para que os seus registos sejam apagados. E na cidadania do mundo digital cabe, também, aos políticos um papel da criação da segurança. No limite, com a primorosa ajuda do legislador, cabe aos políticos zelar pelas estratégias de segurança das populações que os elegem."
"A proteção de dados dos cidadãos pode ser encarada enquanto estratégia política", admite. "Mas depois nasce a eterna questão: qual a hierarquia que existe entre política e estratégia. Qual das duas comanda a outra? É a estratégia que vem em primeiro lugar ou a política? Qual se subordina à outra? E que efeitos tem uma sobre a outra? Bem, a estratégia uma é uma ciência que vê o todo, a outra é uma atividade que olha para o momento. Mas as duas são indissociáveis. Ambas fazem parte do xadrez humano, e esse rendilhado deve ser observado como universal", defende. (LINK)
O liberal recorda que, "antes, quem quisesse ter uma base de dados tinha de pedir autorização prévia à Comissão Nacional de Protecção de Dados (Estado), que aplicava a lei de forma restritiva e era um ponto de atraso e atrapalho. O Estado gastava imensos recursos para dar as autorizações prévias e não as fiscalizava à posteriori. Mesmo que fiscalizasse, as multas eram baixas. O resultado era que a lei era ignorada, a não ser nos casos em que esse passo era obrigatório, como quando se criavam bases de dados para o próprio Estado".
Assim, no seu entender, a nova directiva "mudou totalmente a perspectiva para uma forma de actuar liberal. "Podemos ver esse liberalismo em quatro formas":
- Estende os direitos dos cidadãos;
- Agiliza o processo;
- Dá mais liberdade e responsabilidade aos cidadãos e empresas;
- Coloca o esforço do Estado onde importa - na regulação e fiscalização", aponta o Liberal.
Bloco a favor do recurso ao software livre
O Coordenador do Bloco de Esquerda/ Madeira realça que é "inaceitável que sistemas críticos como os das Finanças, da Justiça ou das forças armadas, de toda a Administração Pública em geral não sejam controlados integralmente pelos funcionários de tais serviços".
"Os sistemas operativos e as Bases de Dados mais comuns são autenticas caixas negras, são propriedade de empresas estrangeiras (Microsoft e Oracle, por ex:) o uso de tais sistemas é sujeito a licença que não permite que os administradores dos sistemas informáticos do Estado estudarem o funcionamento interno para identificar falhas para as corrigirem. Mais grave as licenças proíbem o acesso ao código", sustenta.
Tal significa, a seu ver, que "o Estado não sabe como funcionam internamente tais sistemas e aceita uma licença que o proíbe de saber. Fica nas mãos das empresas donas dos sistemas para a sua manutenção, detecção e correcção de falhas".
Não obstante, "há alternativas que permitem soberania do Estado sobre os dados que recolhe e guarda", aponta o BE referindo-se ao "uso de sistemas abertos".
"O Bloco é a favor do recurso ao software livre, para garantir a soberania e a independência face aos fornecedores. Só a habitual subserviência dos maiores partidos aos interesses privados impede maior uso de tais ferramentas livres", conclui. (LINK)
"A protecção de dados pode ser encarada como estratégia política"
E recorda: "um exemplo claro e útil do tratamento de dados é o que a Google fez durante anos com a informação que foi recolhendo devido aos picos da gripe. Analisando essa informação, conseguia prever que em determinada altura, iria aparecer um surto e com isso fazer com que as autoridades pudessem atuar por antecipação. Um exemplo menos claro e nada útil foi a polémica instalada à volta do Facebook e que envolveu a apropriação de dados de milhões de utilizadores por parte da Cambridge Analytica".
Carlos Pestana defende que "teoricamente os cidadãos poderão sentir-se mais seguros com esta nova lei de proteção de dados. Agora, sempre que acede a um determinado sítio na internet, pode sempre mudar a política de privacidade. E pode mesmo pedir para que os seus registos sejam apagados. E na cidadania do mundo digital cabe, também, aos políticos um papel da criação da segurança. No limite, com a primorosa ajuda do legislador, cabe aos políticos zelar pelas estratégias de segurança das populações que os elegem."
"A proteção de dados dos cidadãos pode ser encarada enquanto estratégia política", admite. "Mas depois nasce a eterna questão: qual a hierarquia que existe entre política e estratégia. Qual das duas comanda a outra? É a estratégia que vem em primeiro lugar ou a política? Qual se subordina à outra? E que efeitos tem uma sobre a outra? Bem, a estratégia uma é uma ciência que vê o todo, a outra é uma atividade que olha para o momento. Mas as duas são indissociáveis. Ambas fazem parte do xadrez humano, e esse rendilhado deve ser observado como universal", defende. (LINK)
0 comentários:
Enviar um comentário
Pedimos que seja educado e responsável no seu comentário. Está sujeito a moderação.