AR Eletrônica, riscos e desafios. Por Bruno Linhares
5 de abril de 2023A escalabilidade do cybercrime seria uma das eventuais consequências da adoção da AR Eletrônica
Em 21 de março, a AARB realizou o primeiro EncontrAR Alive, evento virtual em novo formato que proporcionou aos mais de 300 participantes um debate de alto nível sobre Identificação Digital e Segurança da Informação.
Por Bruno Linhares
O encontro foi aberto pelo Presidente Executivo da AARB, Edmar Araújo e se iniciou com uma ilustrativa palestra do Dr. Maurício Coelho, Diretor de Chaves Públicas e Presidente Substituto em exercício no ITI – Instituto Nacional da Tecnologia de Informação.
Em seguida, Dr. Bernardo Campinho, advogado e acadêmico especializado em temas que envolvem o Direito e a Tecnologia e o Professor Jean Martina, cientista especializado em PKIs (Infraestrutura de Chaves Públicas), Segurança da Informação e Identificação Digital, debateram, com meu apoio, algumas das principais questões atuais do cenário da Certificação Digital no país.
Uma das questões mencionadas no evento, tanto na palestra de Maurício Coelho como no debate que se seguiu, foi a AR Eletrônica.
A possibilidade da criação de ARs Eletrônicas, que pressupõe a desumanização da emissão de certificados digitais, foi aprovada anteriormente pelo Comitê Gestor da ICP-Brasil mas nunca efetivamente regulamentada e implementada.
Maurício Coelho nos comunicou que agora é considerado um projeto prioritário para a atual gestão do ITI, o que nos permite acreditar que conta com o aval de setores do novo Governo Federal.
Como o próprio desdobramento no debate demonstrou, trata-se de uma questão muito polêmica.
Rapidamente pude apresentar questões técnicas, éticas e econômicas que me preocupam e gostaria, neste artigo, aprofunda-las mais um pouco.
A questão da Segurança da Informação é basilar quando falamos de certificados digitais. Já é de conhecimento geral o avanço das técnicas de invasão e hackeamento de servidores, agora aliadas à tecnologia de Inteligência Artificial (IA).
Em recente debate realizado no Brasil, um novo cenário foi cruamente apresentado pelo professor de Harvard e guru de cybersegurança Bruce Scheinner. Segundo o pesquisador, a IA em breve permitirá cyberataques mais eficientes e agressivos, afetando os mais diferentes setores da economia.
De todo o modo, é notório o crescimento das organizações criminosas que contam com alta capacidade tecnológica e que com ousadia promovem ações de invasão a serviços digitais e a servidores mais diversos, afetando milhares de empresas e organizações da sociedade, inclusive as governamentais.
Um exemplo inequívoco foi a invasão dos servidores da OAB Federal, ocorrido em 26 de março, com a consequente paralisação dos serviços de identificação no Cadastro Nacional de Advogados. Neste caso, um cadastro de identidades profissionais foi acessado por criminosos e ainda não se sabe a extensão dos danos causados e as informações indevidamente obtidas.
Neste cenário de alto risco digital, a completa automação da emissão de certificados permitiria a realização de fraudes na concessão de identidades em escala nunca vista, inconcebível quando o processo conta com a participação humana obrigatória. Esta “escalabilidade” do cybercrime seria, em minha opinião, uma das eventuais consequências da adoção da AR Eletrônica.
Do ponto de vista da estrutura econômica e produtiva, precisamos deixar claro que o termo “AR Eletrônica” é um eufemismo – trata-se, na verdade, de eliminar o elo “AR” na emissão dos certificados digitais.
A partir da verticalização dos processos de validação, agora sem participação humana, a emissão ficará basicamente restrita às Autoridades Certificadoras (ACs), exclusivas detentoras da tecnologia de automação da emissão integrada aos seus atuais sistemas.
Em contraposição ao atual modelo da ICP-Brasil que prevê a existência de dois elos principais – as ACs, grandes empresas detentoras da tecnologia de emissão e operação dos certificados e as ARs – pequenas e médias empresas, que operam o sistema em sua face mais visível à sociedade.
A verticalização em certificação digital, ademais como todo processo de verticalização da atividade econômica, tem como principal consequência reverter para as ACs a parcela das receitas que hoje remuneram as ARs. Pode ter, ou não, efeito nos preços dos certificados que de toda sorte ocorreriam com o aumento da escala nas emissões.
As ações estatais, sejam políticas públicas sejam ações estratégicas de direcionamento econômico, podem ter efeitos diversos e mesmo contraditórios, conforme a sua orientação.
Na década de 1950, por exemplo, o Governo Federal promoveu a instalação de grandes montadoras de veículos em território nacional tendo como contrapartida a criação de um parque industrial de autopeças formadas por empresas de capital brasileiro. Tratava-se de uma iniciativa para o desenvolvimento de médias empresas nacionais, criação de empregos de qualidade e distribuição de renda.
Já uma alteração de tal ordem na ICP-Brasil terá como consequência a drástica redução das 2.500 empresas que atuam como AR, a destruição de dezenas de milhares de empregos diretos e o crescimento da concentração de renda em grandes empresas.
A desumanização do trabalho a partir da sua completa automação sempre traz também a baila questões de cunho ético. Os recentes debater sobre Inteligência Artificial, que culminaram em manifestação públicas de cientistas e empreendedores de peso, demonstram que a sociedade enxerga com cautela o desenvolvimento tecnológico sem controles éticos.
Podemos encontrar importantes elementos de reflexão nas contribuições de Bernardo Campinho e Jean Martina. Campinho coloca a imperiosa necessidade de repactuação da transição tecnológica, inclusive com requalificação de mão de obra, em um amplo debate que envolva todas as partes antes da adoção de mudanças mais profundas.
Já Martina enxerga que o objetivo não deve ser substituir o fator humano mas sim a criação de ferramentas tecnológicas auxiliares ao processo de identificação e concessão de identidades digitais, com sua qualificação e agilização.
Participo há vários anos das discussões sobre a evolução da ICP-Brasil e sua aplicação nos vários setores da sociedade. Acredito ser importante harmonizar os diversos interesses e visões na construção e manutenção de uma política pública de sucesso, como é o caso da certificação digital no Brasil.
Mas isto nem sempre é e nem sempre foi uma empreitada fácil.
É de conhecimento até do mundo mineral a escassa sensibilidade social dos “Chicago Boys” e suas dificuldades em estabelecer diálogos mais amplos na sociedade. Tanto em sua versão original, no Chile dos anos 1970, como na tardia, que orientou resoluções e ações do Ministério da Economia no governo passado, inclusive algumas que afetaram nosso segmento.
Esperava, e ainda espero, uma experiência completamente diferente na relação com as Autoridades do novo Governo Federal. Têm, neste sentido, o apoio essencial da capacidade e vitorioso histórico do corpo técnico e dos atuais diretores do ITI, como Coelho.
Mas ainda assim não posso esconder o espanto com a inclusão da AR Digital em uma pauta prioritária, sem qualquer aceno ao diálogo com os que sofrerão duramente seus impactos. Creio que o tempo agora é de estabelecer um amplo debate sobre o tema, para apoiar o crescimento sustentável e a evolução tecnológica do país, com segurança da informação e equidade social.
Leia outros artigos escritos por Bruno Linhares
Terraplanismo Digital. Por Bruno Linhares
Segurança da Informação em Tempos de Mudança. Por Bruno Linhares
AR Eletrônica: benefícios, possibilidades e riscos, por Bruno Linhares
Portal único do governo traz riscos de segurança ao cidadão, alerta AARB
Sobre CertifiqueOnline
A CertifiqueOnline é uma empresa especializada em certificação digital, que vende e emite certificados digitais em todo o território nacional. Como Autoridade de Registro, somos autorizados pelo ITI – Instituto Nacional de Tecnologia da Informação – a comercializar, atestar a identidade e emitir certificados aos futuros titulares de todos os tipos de certificados que compõe a ICP-Brasil – Infra-estrutura de Chaves Públicas Brasileira.
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!