* por Eduardo Sanches
O cloud computing (sistema de computação na nuvem) esta se expandindo com muita velocidade, aliando praticidade com redução de custos de administração e manutenção. O sistema é uma opção atraente para empresas de todos os tamanhos e segmentos. As preocupações com segurança da informação, por parte de seus usuários, são normalmente eliminadas pelo fato de que os provedores do serviço são as maiores empresas de internet mundiais. As recentes denúncias sobre uma vasta monitoração neste tipo de serviço levanta uma sombra de desconfiança sobre o nível de privacidade do sistema. A nuvem foi definitivamente atingida, dificilmente de forma fatal, mas o tiro vai deixar com certeza alguns CIOs com a pulga atrás da orelha.
Reportagem recente do jornal inglês The Guardian revelou que a NSA (National Security Agency – um órgão de inteligência americano), possui um sistema que permite a escuta eletrônica de informações dos usuários dos maiores provedores de serviços online, tais como: Microsoft, Yahoo, Google, Facebook, Paltalk, AOL, Skype, YouTube e Apple.
É de conhecimento geral que qualquer empresa pode ser obrigada a fornecer informações de seus usuários e clientes quando solicitado legalmente pela justiça. No caso em questão, o fornecimento das informações é facilitado pela aplicação da sessão 702 do FISA (Foreign Intelligence Surveillance Act), direcionada para a coleta de informações de não americanos que estejam fora dos Estados Unidos. Ainda existem diversas perguntas a serem respondidas, mas até o momento, existe um consenso sobre dois tipos de informações coletadas: 1. Metadados de ligações telefônicas (data, hora, origem, destino etc.) 2. Informações de usuários dos serviços de internet listados (dados pessoais, conteúdo etc.). O governo alega que o programa é de conhecimento e funciona sobre a supervisão do congresso americano.
Duas pesquisas recentes, da CBS e do PewResearch, trazem resultados distintos sobre a aprovação da população americana às escutas. A da CBS indica desaprovação da maioria, enquanto a da PewResearch indica aprovação. Em ambos os casos, porém, os pesquisados acreditam que a monitoração é aceitável em caso de suspeita de terrorismo.
O responsável pelo vazamento das informações é um analista que já trabalhou para diversos órgãos de inteligência e que se sentiu indignado com a abrangência das monitorações e a falta de divulgação do que estava sendo feito. O analista, Edward Snowden, munido de um simples Pendrive, coletou um volume ainda não declarado de informações sobre o programa. Depois de enviar evidências para o The Guardian, que divulgou até o momento alguns slides de uma apresentação que explica o funcionamento do sistema, viajou para Hong Kong onde foi entrevistado, depois disso saiu do hotel e no momento tem seu destino desconhecido.
Todos os CEOs das empresas citadas negaram veementemente as acusações de que o governo tenha acesso direto aos seus servidores e reafirmam seu compromisso com a privacidade das informações de seus usuários. Apesar disso, conforme mencionado anteriormente, toda e qualquer empresa é obrigada a fornecer informações, caso solicitada legalmente, e neste caso, com base no FISA, este fornecimento é considerado secreto e não pode sequer figurar nos relatórios de transparência das empresas, como o fornecido em tempo real pelo Google. Para driblar este fato, nos últimos dias, com a autorização do governo americano, as empresas citadas passaram a apresentar relatórios sobre as solicitações de informações provenientes do governo, sem citar se estão ou não relacionadas diretamente com o FISA. Se comparado com o número total de usuários dos sistemas, os números até que são modestos, mesmo assim preocupantes, somente a Microsoft informou ter recebido entre seis e sete mil solicitações de informações, envolvendo algo entre 31 e 32 mil contas de usuários no segundo semestre de 2012, no mesmo período os números do Facebook são expressivos também, entre nove e 10 mil solicitações envolvendo entre 18 e 19 mil contas de usuários e os do Google não ficam atrás para o período citado, com 8.438 solicitações envolvendo 14.791 contas. Como comparação, o governo brasileiro fez ao Google no mesmo período 1.211 solicitações envolvendo 2.526 contas de usuários.
Outro “sistema” que foi divulgado é o Boundless Informant, que aparentemente seria um índice, onde os agentes do governo poderiam encontrar detalhes sobre qual tipo de escuta poderia ser feita em quais países. As informações sobre este sistema não deixam claro os métodos utilizados nem o grau de cooperação dos governos locais para a obtenção das informações.
Com isso, o ambiente de nuvem, tão divulgado e defendido recentemente pode passar a ser olhado com certo receio, afinal de contas, independente da lisura de suas atividades, poucas empresas se sentem confortáveis tendo o governo americano, ou qualquer outro, como papagaio de pirata, olhando sobre o ombro de seus funcionários e a par de tudo que se passa lá dentro. Vamos levar em conta ainda de que estamos falando dos Estados Unidos, onde as leis existem e são seguidas. Agora imaginem o que pode acontecer quando as informações de sua empresa acabam em um datacenter em outro país, eventualmente não tão transparente. Se mesmo nos Estados Unidos, a solicitação e fornecimento das informações, neste caso, são consideradas secretas e não podem ser divulgadas, como será que processos semelhantes são tratados em outros lugares? Com uma rápida pesquisa, é fácil verificar que os grandes provedores de serviço online possuem datacenters nas mais diversas localidades.
A nuvem veio para ficar, sua simplicidade e baixo custo, alinhados ao crescente número de serviços oferecidos é realmente uma oferta imbatível em tempos de recessão e redução de custos, mas se submeter às suspeitas do governo de um país, eventuais interesses políticos e a falta de transparência apresentados neste caso é com certeza um ponto negativo e a ser considerado quando da adoção da tecnologia.
Eduardo Sanches é diretor executivo de Tecnologia da Informação para região ibero-americana da FTI Consulting no Brasil. Atua na área Digital Risk e Management e Digital Forensic e E-discovery.