Anacom esconde relatório sobre segurança de infra-estruturas

Mais de um ano após a sua conclusão e de ter pago 500 mil euros por estudo, a autoridade reguladora não o divulga publicamente.

Há nove meses que a Computerworld tenta obter da Anacom um estudo de segurança sobre as infra-estruturas críticas em Portugal, terminado no final de 2010. Sem sucesso.
O estudo não foi classificado como secreto (embora contenha informação sensível para a segurança nacional) mas a entidade reguladora, entre avanços e recuos, recusa-se a divulgar as partes menos sensíveis de um trabalho que custou meio milhão de euros ao erário público e apenas foi divulgado a umas poucas dezenas de pessoas, garantem responsáveis da própria Anacom.
Tanto Amado da Silva (presidente do organismo regulador) como Filipe Baptista, vogal do Conselho de Administração, e Manuel Pedrosa de Barros, director do Gabinete de Segurança das Comunicações (GSC), disseram à Computerworld presencialmente que iam divulgar o documento, mesmo que expurgado das partes mais sensíveis. Nunca concretizaram essa intenção.

Ideia de 2009
A abertura do concurso público para a realização do relatório data de 9 de Junho de 2009 e as propostas deviam ser entregues até 14 de Setembro seguinte.
A 28 de Outubro desse ano, a Anacom aprovou o relatório final do concurso e adjudicou a sua realização à Deloitte & Associados.
O estudo é vasto, está dividido em duas partes (regulatória e análise de infra-estruturas) e, segundo o caderno de encargos, visa fazer “uma análise da infra-estrutura e dos recursos dos operadores de rede e prestadores de serviço de comunicações electrónicas, bem como das políticas, medidas, práticas, planos, meios e recursos por eles afectos para a segurança de redes e de informação”.
O trabalho devia ainda “identificar e caracterizar os principais tipos de interdependências entre as diferentes redes e serviços de comunicações electrónicas”, bem como avaliar e caracterizar o “risco associado à situação encontrada, em termos das principais vulnerabilidades identificadas e de alguns cenários de ameaças”.
Em termos temporais, o estudo mantém-se actual porque deve “ter uma perspectiva de futuro de curto e médio prazo, nomeadamente de 3 a 5 anos, com o objectivo de colocar o País e a economia nacional numa posição sólida e sustentável em termos da segurança das redes públicas de comunicações electrónicas e dos serviços de comunicações electrónicas acessíveis ao público”.

Regulador sem informação
A decisão da Anacom de não divulgar os dados do estudo é tanto mais emblemática quanto, no novo ambiente da Directiva Quadro, é a entidade responsável por obter dados dos operadores de telecomunicações e, em caso de falhas com impacto significativo, que pode obrigar os operadores a efectuar a sua revelação ao público ou ser ela própria a revelá-las.
Ainda no âmbito dessa Directiva, cabe à Anacom garantir uma “melhoria dos fluxos de informação”, nomeadamente na “melhoria da informação ao utilizador”. Aliás, no seu relatório anual de 2010, o regulador coloca a questão de “gerir eficientemente os recursos colocados à sua disposição e prestar contas perante os órgãos com legitimidade democrática, os agentes do sector e os cidadãos em geral”.
No entanto, basta uma pequena pesquisa ao site da Anacom para ver como a informação para “os cidadãos em geral” é limitada. Na área de estudos e relatórios da secção “Segurança dos Sistemas e Redes de Informação”, não há quaisquer documentos nacionais, ao contrário do que ocorre com estudos internacionais.
Isto apesar de no seu plano com “objectivos estratégicos e acções para o triénio 2010-2012”, esta entidade assegurar que pretende “garantir e proteger os direitos dos utilizadores e dos cidadãos em geral”, em que “a temática da segurança das comunicações assume particular importância”.
Por isso mesmo, re-afirmava em 2010 querer “finalizar o estudo de avaliação e caracterização da segurança das comunicações em redes públicas de comunicações electrónicas”. Mas, terminado o trabalho, o resultado tem-se mantido praticamente secreto.

“O estudo não é secreto”
É verdade que o vencedor do concurso se obrigava a ter credenciação de grau “secreto” ou superior de várias entidades (NATO, UE e nacional). A 11 de Agosto, a Deloitte pediu essa credenciação à Autoridade Nacional de Segurança, incluindo para alguns dos envolvidos no estudo, que a certificou a 5 de Novembro.
No entanto, o documento não foi classificado como sigiloso pela Anacom. “O estudo não é secreto”, assegurou Pedrosa de Barros à Computerworld.
Só a Anacom detém os direitos de propriedade sobre o mesmo mas Filipe Baptista afirma que, dado o estudo não ter autoria da Anacom, não o deve revelar. Do lado da Deloitte, o dever de sigilo mantém-se “indefinidamente, até autorização expressa em contrário” da entidade que o pagou.
A Computerworld pediu o documento à Anacom na tarde de 30 de Março passado. A resposta apontava tratar-se “de um documento interno feito para fazer um levantamento do satus quo, no sentido de o utilizar como uma base de trabalho para a prossecução das nossas atribuições em matéria de segurança” e “para nos dar uma base para definir [um] plano de acção dessa nova direcção”. Assim “o estudo não será divulgável por se tratar de um documento interno”.
Seguiram-se mais pedidos durante os meses seguintes até que, a 27 de Outubro, a Computerworld interpelou presencialmente Amado da Silva, presidente da Anacom. Concordou então que o documento poderia ser revelado depois de “expurgado” das partes mais sensíveis, dado que havia “confidencialidade de partes do mesmo”, nomeadamente nos dados dos operadores. Mas “não estão identificados os operadores”, garantiu Filipe Baptista, administrador com o pelouro da segurança na Anacom, numa reunião que decorreu na manhã de 22 de Novembro, também com Pedrosa de Barros.

Estudo de 500 mil euros para 30 pessoas
O estudo é pioneiro a nível nacional e é mesmo “o primeiro a nível europeu”, garante Filipe Baptista. Foi entregue no final de 2010 e inclui recomendações para os operadores melhorarem as suas infra-estruturas críticas. Só foi lido por 30 pessoas, assegura, além das mais de 15 que o elaboraram.
A Anacom usa o “relatório como instrumento de trabalho”, afirma o administrador, mas “partilhámos alguma informação” com operadores, o que lhes deu “a percepcionar questões sobre segurança”.
Questionado se, em tempos de crise, a Anacom não divulga o estudo para proteger os operadores do investimento necessário sobre falhas de segurança divulgadas publicamente, o administrador da Anacom recusa categoricamente: “não há pressão dos operadores para não ser divulgado”. “Após o estudo, os operadores – não sabemos se todos – têm estado a fazer alterações a nível interno”, esclareceu Pedrosa de Barros.
No final dessa reunião, ficou combinado com os dois responsáveis que o documento seria “expurgado” e entregue nessa mesma tarde. Depois de várias tentativas, a Computerworld continua sem obter o estudo prometido pela Anacom.




Deixe um comentário

O seu email não será publicado