Caro Benfica, isto é muito mau (notas breves sobre a segurança da informação)

Rui Cruz
Criado a

É surreal que um clube de futebol não tenha medidas de segurança mais fortes que “isto”. Estamos em 2018 mas parece que em muitas empresas ainda estão em 1998.

 

Quando um processo sobre violação do segredo de justiça é vitima de violação do segredo de justiça… é mau.

Sem ofensa, Benfica. Desde já vos digo que o meu conhecimento de futebol está ao mesmo nível do meu conhecimento de maquilhagem. E só para que fique esclarecido, não percebo nada de maquilhagem.

Recebe novos posts por e-mail

Embora a minha família seja do Sporting na grande maioria, nunca liguei a futebol. Nunca entrei num estádio de futebol para ver futebol. Não ligo TV em casa com jogos em direto ou deferido. Portanto, o meu comentário é desprovido de qualquer visão “clubística” e cingindo-me aos factos que encontrei no blog Mercado de Benfica.

Depois de ver passar uma notícia no Facebook sobre  a forma como o processo “E-Toupeira” está disponível online , fui lá ver. Dei click no apenso de busca ao Gabinete de Paulo Gonçalves. Não vi quem ele era. Nem quero saber. Este “é” o meu conhecimento sobre futebol: nulo. Podia ter feito click noutro. Foi neste.

Percebi que era advogado porque a Ordem dos Advogados foi obrigada a ser representada nas buscas. E depois apercebi-me de algo realmente preocupante. A certa altura leio “Cópia e apreensão de ficheiros informáticos”, e de seguida “No gabinete do buscado encontrava-se um computador a partir do qual foi possível o acesso aos emails do buscado (…) que se encontram armazenados em servidor externo”.

 Isto é grave. Vocês não têm a noção da gravidade disto. Mas eu explico. 

 

Parte técnica e como se pode resolver

Antes de mais, o facto dos e-mails estarem em local externo é bom. Mas não chega. No caso concreto, uma empresa como o Benfica pode certamente alugar um servidor dedicado e depois, através de KVM (Kernel-based Virtual Machine) fazer o alojamento dos e–mails.  KVM permite encriptação, ou podemos mesmo encriptar o servidor dedicado em si . Há várias opções. O termo “encriptação”, numa solução mais simples, significa que mesmo que o servidor dedicado (ali descrito como servidor “externo”, de e-mails) fosse apreendido, lá dentro iriam encontrar informação encriptada que sem a devida password para “decriptar” ficaria inutilizável.

Outro método era utilizar um (mini) datacenter dentro do estádio, com uma boa ligação, e aplicar a mesma tecnologia.

Mas este não era nem foi um dos pontos de entrada.  Era algo mais simples e básico . A julgar pelo que foi dito no auto de apreensão, e em abstrato, o advogado não tinha o seu computador encriptado. Se tinha e foi permitido o acesso pelo advogado, isso é outra história, porque o advogado, mesmo com a PJ “a porta”, tem o dever de proteger os seus clientes. Mas como disse e em abstrato não me parece o caso.

O problema é que muitas pessoas com altos cargos, quer seja no que diz respeito à sua importância perante a sociedade, perante uma empresa ou perante os deveres deontológicos que têm perante os seus clientes,  descoram o problema da segurança da informação de forma flagrante .

Um computador pessoal (ou profissional) encriptado permite automaticamente deixar os dados lá contidos totalmente invioláveis. A password deve ser mantida em segredo e nunca revelada, nem às autoridades. Porque é uma questão de privacidade, de direitos humanos (Art.º 12.º da Declaração Universal dos Direitos Humanos).

Com isto, o Benfica ou esta pessoa demonstraram, em abstrato, que não estão confortáveis com a gestão da segurança da informação. E se tudo isto não bastasse, há umas semanas fiz um artigo com o título O meu site é mais seguro que o site do teu banco. Na altura, mostrei o meu certificado SSL como estando “verde” em termos de segurança. E o do site do Benfica? Bom… é ver para crer:

Parece que o meu site é mais seguro que o site do Benfica. Na teoria, pelo menos. 🙂
E eu não tenho milhões de euros para gastar em segurança informática. E pelos vistos o Benfica tem e não os gasta.

O bom disto tudo é que o Porto e o Sporting ainda vão a tempo de estarem mais seguros e aprenderem com este post. E os dez milhões de Portugueses também. Porque como disse é uma questão de privacidade.