Mais de um ano após a sua conclusão e de ter pago 500 mil euros por estudo, a autoridade reguladora não o divulga publicamente. Entretanto, após a Computerworld o tentar obter, classificou-o de reservado.
Há 11 meses que a Computerworld tenta obter da Anacom um estudo de segurança sobre as infra-estruturas críticas em Portugal, terminado no final de 2010. Sem sucesso.
O estudo não foi classificado como secreto (embora contenha informação sensível para a segurança nacional) mas a entidade reguladora, entre avanços e recuos, recusa-se a divulgar as partes menos sensíveis de um trabalho que custou meio milhão de euros ao erário público e apenas foi divulgado a umas poucas dezenas de pessoas, garantem responsáveis da própria Anacom.
Tanto Amado da Silva (presidente do organismo regulador) como Filipe Baptista, vogal do Conselho de Administração, e Manuel Pedrosa de Barros, director do Gabinete de Segurança das Comunicações (GSC), disseram à Computerworld presencialmente que iam divulgar o documento, mesmo que expurgado das partes mais sensíveis. Nunca concretizaram essa intenção.
Ideia de 2009
A abertura do concurso público para a realização do relatório data de 9 de Junho de 2009 e as propostas deviam ser entregues até 14 de Setembro seguinte.
A 28 de Outubro desse ano, a Anacom aprovou o relatório final do concurso e adjudicou a sua realização à Deloitte & Associados.
O estudo é vasto, está dividido em duas partes (regulatória e análise de infra-estruturas) e, segundo o caderno de encargos, visa fazer “uma análise da infra-estrutura e dos recursos dos operadores de rede e prestadores de serviço de comunicações electrónicas, bem como das políticas, medidas, práticas, planos, meios e recursos por eles afectos para a segurança de redes e de informação”.
O trabalho devia ainda “identificar e caracterizar os principais tipos de interdependências entre as diferentes redes e serviços de comunicações electrónicas”, bem como avaliar e caracterizar o “risco associado à situação encontrada, em termos das principais vulnerabilidades identificadas e de alguns cenários de ameaças”.
Em termos temporais, o estudo mantém-se actual porque deve “ter uma perspectiva de futuro de curto e médio prazo, nomeadamente de 3 a 5 anos, com o objectivo de colocar o País e a economia nacional numa posição sólida e sustentável em termos da segurança das redes públicas de comunicações electrónicas e dos serviços de comunicações electrónicas acessíveis ao público”.
Regulador sem informação
A decisão da Anacom de não divulgar os dados do estudo é tanto mais emblemática quanto, no novo ambiente da Directiva Quadro, é a entidade responsável por obter dados dos operadores de telecomunicações e, em caso de falhas com impacto significativo, que pode obrigar os operadores a efectuar a sua revelação ao público ou ser ela própria a revelá-las.
Ainda no âmbito dessa Directiva, cabe à Anacom garantir uma “melhoria dos fluxos de informação”, nomeadamente na “melhoria da informação ao utilizador”. Aliás, no seu relatório anual de 2010, o regulador coloca a questão de “gerir eficientemente os recursos colocados à sua disposição e prestar contas perante os órgãos com legitimidade democrática, os agentes do sector e os cidadãos em geral”.
No entanto, basta uma pequena pesquisa ao site da Anacom para ver como a informação para “os cidadãos em geral” é limitada. Na área de estudos e relatórios da secção “Segurança dos Sistemas e Redes de Informação”, não há quaisquer documentos nacionais, ao contrário do que ocorre com estudos internacionais.
Isto apesar de no seu plano com “objectivos estratégicos e acções para o triénio 2010-2012”, esta entidade assegurar que pretende “garantir e proteger os direitos dos utilizadores e dos cidadãos em geral”, em que “a temática da segurança das comunicações assume particular importância”.
Por isso mesmo, re-afirmava em 2010 querer “finalizar o estudo de avaliação e caracterização da segurança das comunicações em redes públicas de comunicações electrónicas”. Mas, terminado o trabalho, o resultado tem-se mantido praticamente secreto.
“O estudo não é secreto”
É verdade que o vencedor do concurso se obrigava a ter credenciação de grau “secreto” ou superior de várias entidades (NATO, UE e nacional). A 11 de Agosto, a Deloitte pediu essa credenciação à Autoridade Nacional de Segurança, incluindo para alguns dos envolvidos no estudo, que a certificou a 5 de Novembro.
No entanto, o documento não foi classificado como sigiloso pela Anacom. “O estudo não é secreto”, assegurou Pedrosa de Barros à Computerworld.
Só a Anacom detém os direitos de propriedade sobre o mesmo mas Filipe Baptista afirma que, dado o estudo não ter autoria da Anacom, não o deve revelar. Do lado da Deloitte, o dever de sigilo mantém-se “indefinidamente, até autorização expressa em contrário” da entidade que o pagou.
A Computerworld pediu o documento à Anacom na tarde de 30 de Março passado. A resposta apontava tratar-se “de um documento interno feito para fazer um levantamento do satus quo, no sentido de o utilizar como uma base de trabalho para a prossecução das nossas atribuições em matéria de segurança” e “para nos dar uma base para definir [um] plano de acção dessa nova direcção”. Assim “o estudo não será divulgável por se tratar de um documento interno”.
Seguiram-se mais pedidos durante os meses seguintes até que, a 27 de Outubro, a Computerworld interpelou presencialmente Amado da Silva, presidente da Anacom. Concordou então que o documento poderia ser revelado depois de “expurgado” das partes mais sensíveis, dado que havia “confidencialidade de partes do mesmo”, nomeadamente nos dados dos operadores. Mas “não estão identificados os operadores”, garantiu Filipe Baptista, administrador com o pelouro da segurança na Anacom, numa reunião que decorreu na manhã de 22 de Novembro, também com Pedrosa de Barros.
Estudo de 500 mil euros para 30 pessoas
O estudo é pioneiro a nível nacional e é mesmo “o primeiro a nível europeu”, garante Filipe Baptista. Foi entregue no final de 2010 e inclui recomendações para os operadores melhorarem as suas infra-estruturas críticas. Só foi lido por 30 pessoas, assegura, além das mais de 15 que o elaboraram.
A Anacom usa o “relatório como instrumento de trabalho”, afirma o administrador, mas “partilhámos alguma informação” com operadores, o que lhes deu “a percepcionar questões sobre segurança”.
Questionado se, em tempos de crise, a Anacom não divulga o estudo para proteger os operadores do investimento necessário sobre falhas de segurança divulgadas publicamente, o administrador da Anacom recusa categoricamente: “não há pressão dos operadores para não ser divulgado”. “Após o estudo, os operadores – não sabemos se todos – têm estado a fazer alterações a nível interno”, esclareceu Pedrosa de Barros.
No final dessa reunião, ficou combinado com os dois responsáveis que o documento seria “expurgado” e entregue nessa mesma tarde. Depois de várias tentativas, [incluindo mais uma hoje] a Computerworld continua sem obter o estudo prometido pela Anacom.
[texto originalmente publicado a 29 de Dezembro de 2011]
[actualização às 18h30 de 30 de Janeiro: Depois de republicado o texto hoje, a Anacom esclareceu o seguinte “O Conselho de Administração da Anacom decidiu considerar o relatório final do estudo Reservado. O estudo servirá de auxiliar no desenvolvimento da ação da Anacom.
O estudo foi feito com o objetivo desta Autoridade se dotar do conhecimento da realidade nacional e preparar-se para o desenvolvimento das suas atribuições nas matérias em causa.
O estudo seguiu o faseamento e a metodologia fixados no caderno de encargos, incidindo sobre as redes e os serviços de comunicações eletrónicas.
A realização deste estudo deu origem a um processo de reestruturação interna e de análise no seio da Anacom no sentido de identificar áreas de intervenção prioritárias e críticas, no quadro da intervenção específica de um regulador, nomeadamente na sequência da recente publicação [de] alteração à Lei das Comunicações Eletrónicas (Lei n.º 51/2011, de 13 de Setembro). Permitiu ainda auxiliar na preparação do enquadramento legal, de âmbito regulatório, aplicável, nomeadamente, quanto ao artigo 2.º-A, sobre segurança e emergência, e aos artigos 54.º-A a G, sobre segurança e integridade das redes e serviços (em especial o artigo 54.º-D, sobre requisitos adicionais), bem como na participação e envolvimento dos operadores nacionais na preparação dos documentos europeus relativos à implementação do artigo 13.º-A da Diretiva n.º 2002/21/CE (que aprovou o quadro regulamentar comum para as redes e serviços de comunicações electrónicas – directiva-quadro), introduzido pela Directiva n.º 2009/140/CE, de 25 de Novembro.”]
Anacom esconde relatório sobre segurança de infra-estruturas
Autoridade reguladora decidiu, mais de um ano após a sua concretização, classificar de reservado um estudo que já foi visto por dezenas de pessoas.
Após a Computerworld ter republicado [a 30 de Janeiro] um texto onde mostra como, 10 meses após o pedido inicial, a Anacom continua sem divulgar um relatório sobre segurança de infra-estruturas, o gabinete de imprensa da autoridade reguladora esclareceu que o seu Conselho de Administração “decidiu considerar o relatório final do estudo Reservado. O estudo servirá de auxiliar no desenvolvimento da ação da Anacom”.
No entanto, a classificação de “Reservado” não impede que partes do documento sejam publicadas – aliás, foi sempre o que a Computerworld requereu ao presidente daquela entidade, Amado da Silva, como a Filipe Baptista, vogal do Conselho de Administração, e a Manuel Pedrosa de Barros, director do Gabinete de Segurança das Comunicações (GSC). Todos disseram que o iriam fazer, após o documento ser “expurgado das partes mais sensíveis”.
O documento não foi classificado originalmente como sigiloso pela Anacom e “o estudo não é secreto”, garantiu presencialmente Pedrosa de Barros à Computerworld, em 22 de Novembro passado. Nessa altura, já tinha sido lido por cerca de 30 pessoas, além das mais de 15 que nele trabalharam.
Diz a legislação sobre a classificação de documentos administrativos que “com a classificação de ‘Reservado’ pretende-se que as matérias que digam respeito ao interesse geral ou interesses parcelares não venham a ser do conhecimento de pessoas não autorizadas” e cuja “divulgação a pessoas não autorizadas possa ser desfavorável para os interesses do País ou dos seus aliados ou de organizações de que Portugal faça parte”.
Mas, refere também a lei sobre o acesso a documentos administrativos, se estes tiverem sido “sujeitos a restrições de acesso são objecto de comunicação parcial sempre que seja possível expurgar a informação relativa à matéria reservada”. É o caso e a posição assumida anteriormente pelos responsáveis da Anacom.
[texto originalmente publicado a 30 de Janeiro de 2012]