Segurança da Informação em Tempos de Mudança. Por Bruno Linhares
2 de janeiro de 2023A certificação digital ICP-Brasil é, e deve continuar sendo, um mercado regulado, em que as normas garantem a segurança das transações eletrônicas.
Por Bruno Linhares
Nesses primeiros dias do novo ano, passamos por tempos de mudança, marcados por dois fenômenos: um deles, natural, em que nosso redondo planeta Terra completa seu movimento de translação em torno do Sol; o outro, oriundo do regime democrático, construção humana que determina o respeito ao voto popular e a alternância no poder.
São então tempos de esperança – “Eppur si muove”, frase com que Galileu Galilei teria enfrentado o Tribunal da Inquisição, é atualmente reconhecida como inquestionável verdade para júbilo dos que prezam a Ciência.
Também cá no Brasil, pudemos acompanhar a posse dos novos presidente e vice-presidente, dos membros do Congresso Nacional, de governadores e deputados estaduais, como previsto na Constituição e como é praxe em todos os países que adotam a Democracia como regime político.
E o que nós, empresários e empresárias, trabalhadoras e trabalhadores em Segurança da Informação, temos a ver com isto? Tudo.
A certificação digital é e deve continuar sendo um mercado regulado, em que a definição e a fiscalização das rígidas normas da ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) garantem à sociedade segurança das transações na internet.
E isto é papel do Estado e de seu órgão fiscalizador que é o ITI (Instituto Nacional de Tecnologia da Informação). Que se insere neste novo arcabouço político a ser construído pelas autoridades empossadas, segundo as prioridades e premissas do novo mandato.
Por este motivo, vale agora apresentar alguns pontos de vista sobre questões que estamos já a debater há algum tempo e que poderão eventualmente servir para pautar um salutar diálogo que venha a se estabelecer entre os novos representantes do Poder Público e os de nosso mercado.
Em primeiro lugar, a diferença entre as distintas formas de assinatura e registro de transações por intermédio da Tecnologia da Informação: a assinatura qualificada – assinatura digital por intermédio de certificados digitais sob a égide da ICP-Brasil e as assinaturas eletrônicas, emitidas por outros métodos que não contam com o mesmo rigoroso regime de segurança previsto pela ICP-Brasil.
Deve se abrir um parêntese especial para as “assinaturas avançadas”, estabelecidas pela Lei 14.063/2020. Apesar de seu reconhecimento pela legislação citada, tem limitações em relação às qualificadas e pelo mesmo motivo já exposto – o forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado.
Quando se trata de questões vitais – segurança da vida, do patrimônio, da Saúde, da Justiça, da Gestão do Meio Ambiente e tantas outras áreas críticas, devemos procurar utilizar mecanismos com a máxima segurança.
Quando, por exemplo, um profissional da Saúde realiza registro em um Prontuário Eletrônico, quando um advogado assina uma petição ou um magistrado profere sua sentença, quando é emitida uma nota fiscal eletrônica, quando é realizada uma transação imobiliária ou ainda quando um fiscal do meio ambiente atesta a origem legal de um lote de madeiras, o primordial é resguardar a autenticidade do ato e de seus autores de forma inequívoca e que garanta sua validade legal de maneira inquestionável, ou seja, com o uso de certificados digitais.
Outros atos de menor relevância ou mesmo o acesso a certos níveis do serviço público digital, como previsto em algumas das aplicações que compõe os sistemas do GOV.BR, estes sim podem e devem ser acessados com formas mais simples de identificação e registro, já que os riscos em relação à segurança das pessoas são menos severos.
A correta avaliação de riscos e benefícios já tem resposta na legislação atual, assim como nas melhores práticas internacionais.
No entanto, em passado recente observamos algumas tentativas de “simplificação” que a nosso ver apresentam riscos a higidez dos sistemas de proteção. Podem representar ameaças a todo o edifício técnico e legal que até agora brindou a sociedade com taxas mínimas de fraudes em atos formais pela internet através de certificados digitais.
Outra questão a ser debatida é a concessão gratuita de assinaturas eletrônicas, particularmente as avançadas. Como todos sabem, não há almoço grátis. Para a identificação de pessoas na internet, concorrem processos tecnológicos operados em servidores de alta segurança, redes de comunicação, assim como é necessário contar pessoal especializado na operação, desenvolvimento e manutenção desses sistemas.
Também é preciso o serviço de pessoas, equipamentos e instalações para atendimento aos seus usuários.
Tem custos envolvidos e não são baixos.
A ICP-Brasil resolveu a questão com o estabelecimento de uma Parceria Público Privada em que a Inciativa Privada entrou com investimentos e despesas e teve como retorno o pagamento por quem utiliza desses serviços, basicamente empresários e profissionais especializados que não só podem custear o valor do seu certificado digital como têm clareza da sua excelente relação custo x benefício. Tudo isto sem necessidade de utilizar dinheiro público.
No Brasil, temos premente necessidade do emprego dos recursos públicos e esforços governamentais para o combate a Fome e da Pobreza, a melhoria da estrutura da Saúde Pública, o avanço da Educação de qualidade, em investimentos em pesquisa e desenvolvimento, entre outras tantas áreas fundamentais para o desenvolvimento do país de forma socialmente justa e equilibrada.
Não há sentido desviar recursos dessas áreas prioritárias para atividades já servidas pela iniciativa privada através desta Parceria Público Privada que é sucesso nacional e internacional.
A própria amplitude dos novos públicos alvo e a forte concorrência neste segmento garantirão tanto tarifas módicas como eventuais gratuidades a determinados setores da população, caso necessário.
O Presidente Lula, em seu discurso de posse no Congresso Nacional, enfatizou a necessidade de previsibilidade, estabilidade e transparência na relação entre o Governo e a Sociedade, em particular na relação com a Iniciativa Privada.
Esta é uma questão que endereça a fundo os anseios dos empresários em certificação digital, que esperam desenvolver e manter um diálogo em alto nível sobre nossas questões setoriais que, por seu impacto nos processos produtivos nacionais, tem também importância para o conjunto na sociedade brasileira.
Bruno Linhares é empresário no segmento de certificação digital e Diretor de Comunicação da AARB – Associação das Autoridades de Registro do Brasil
AR Eletrônica: benefícios, possibilidades e riscos, por Bruno Linhares
Riscos e desafios para cadeia produtiva de Certificação Digital
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!
LEGISLAÇÃO BRASILEIRA SOBRE IDENTIFICAÇÃO DIGITAL E DOCUMENTOS ELETRÔNICOS
No Brasil a validade de documentos eletrônicos está fundamentada na Lei 11.977/09 7 de julho de 2009, Medida Provisória 2.200-02 /2001 de agosto de 2001, Lei nº 13.874 de 20 de setembro de 2019, Lei 14.063 de 23 de setembro de 2020, Decreto nº 10.543, de 13 de novembro de 2020 e Lei nº 14.620, de 13 de julho de 2023.