Segurança. Governo centraliza bases de dados das polícias num único edifício
A decisão foi aprovada pela PSP e a GNR, mas levanta dúvidas aos inspetores do SEF que veem uma "fusão encapotada" das bases de dados à margem da lei e uma "porta aberta para acessos ilegítimos".
Os servidores das bases de dados da GNR, PSP e SEF vão deixar de estar nas sedes das polícias para ser concentrados num único edifício do ministério da Administração Interna (MAI), por decisão do governo.
Nestas bases de dados estão arquivados todos os processos, fichas de suspeitos, investigações e relatórios da atividade policial. Apesar de a medida ter sido aprovada pela PSP e GNR, levanta preocupações ao SEF que tem à sua guarda sistemas de informações da União Europeia (EU) e receia pela sua proteção.
O PCP já questionou o ministro da Administração Interna e o principal sindicato do SEF denunciou aquilo a que chama uma "fusão encapotada" das bases de dados das forças de segurança.
António Nunes, presidente do OSCOT (Observatório do Segurança, Criminalidade Organizada e Terrorismo) vê na centralização uma maior vulnerabilidade a ciberataques.
O ex-secretário de Estado da Administração Interna, Nuno Magalhães, defende uma "maior transparência e envolvimento de entidades de fiscalização do parlamento" em "processos que envolvam matérias sensíveis, como as informações policiais".
Para já esta medida só está a ser tomada nas polícias tuteladas pelo MAI. Do lado do ministério da Justiça, que tem boa parte dos datacenters já centralizados no Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ), a Polícia Judiciária ainda mantém os seus equipamentos e bases de dados na sua sede.
Relvas deu primeiro passo
A ideia de centralizar todas as bases de dados do Estado, incluindo das polícias, num único "Datacenter" não é nova. Tal como o DN noticiou na altura, já no governo de Passos Coelho, em 2012, o então ministro Miguel Relvas o tinha tentado visando um megacentro privado da Portugal Telecom, na Covilhã. O caso chegou ao parlamento, o Gabinete Nacional de Segurança (GNS) opôs-se, e o projeto foi suspenso.
Por uma questão de redução de custos, a centralização dos servidores informáticos, onde estão alojadas as bases de dados, tem-se mantido na ordem do dia. Na área da segurança, tem o seu epicentro no Tagus Park, em instalações que o ministério da Administração Interna (MAI) aluga à Meo- Serviços de Comunicações e Multimédia (Altice) e estão sob responsabilidade da secretaria-geral do ministério.
Fonte oficial do gabinete do secretário de Estado Adjunto e da Administração Interna (SEAAI), Antero Luís, que está a conduzir este processo, informa que neste edifício estão já os servidores da RNSI - Rede Nacional de Segurança Interna (comunicações de telefone e internet de todos os polícias), da Autoridade de Segurança Rodoviária e da GNR. "As próximas serão as da PSP e do SEF", completa.
Paralelamente, será criado um data-center suplementar, que duplica todo o conteúdo dos servidores das polícias, nas instalações das IP-Telecom, empresa das Infraestruturas de Portugal, de Contumil, Porto.
Racionalizar em segurança
Antero Luís, juiz desembargador que dirigiu o Serviço de Informações de Segurança (SIS) entre 2005 e 2011, explica que "um datacenter é uma infraestrutura, indicada para receber sistemas informáticos críticos e garantir, através das suas características de resiliência específicas, a continuidade da atividade normal de uma organização. Assim sendo, pretende-se, de forma clara e objetiva, respeitar as boas práticas e preservar, em segurança, os recursos computacionais das Forças e Serviços de Segurança (FSS), trazendo uma maior eficiência e qualidade às atuais condições de alojamento dos servidores".
Nesse sentido, acrescenta, "considerando o valor de um investimento desta natureza para responder apenas às necessidades de uma única organização, e que seria certamente subaproveitado, entendeu-se, assim, que a opção mais racional materializa se na concentração física dos recursos computacionais centrais das FSS, numa infraestrutura como a existente no TagusPark, onde já estão localizados os recursos de outras entidades do MAI".
Em pleno estado de emergência, no passado dia 30 de abril, Antero Luís criou um grupo de trabalho para avaliar com a GNR, PSP e SEF as necessidades tecnológicas para esta transferência.
O grupo integra representantes das policias e a coordená-lo está António Pombeiro, um perito em segurança informática, ex-quadro e formador das secretas (SIRP - Serviço de Informações da República Portuguesa) e que é atualmente o secretário-geral adjunto da secretaria-geral do MAI com o pelouro das Tecnologias de Informações e Comunicações (TIC).
SEF preocupado
Ao que o DN apurou junto de fonte que acompanhou este grupo de trabalho - cujo relatório final não foi ainda diculgado - apenas o SEF manifestou preocupações em relação à transferência do seu datacenter para a RNSI e para a IPTelecom.
A diretora Nacional, Cristina Gatões, lembrou que as bases de dados do SEF comportam sistemas de informações críticos da UE, com o Sistema de Informações Schengen ou ou o Sistema de Informações de Vistos, cuja localização, alojamento e condições de segurança têm de ser validadas internacionalmente.
O atual centro de dados do SEF foi certificado pela EU-LISA, a agência europeia que inspeciona os grandes sistemas de informações integrados da EU, como o Schengen, e qualquer mudança tem que ser também validada.
Por inerência de funções, o atual ponto de ligação desta agência em Portugal é, precisamente, Pombeiro, que está a coordenar todo o processo.
O SEF tem atualmente os servidores no seu quartel-general, no Tagus Park (mas num setor distinto da RNSI) e preparava-se para criar um novo datacenter suplementar (redundância) em instalações do Instituto Politécnico da Guarda, que já tinha recebido luz verde da EU-LISA.
Antero Luís terá ouvido os argumentos de Gatões, mas não ficou convencido das vantagens da situação. Daí, segundo um despacho a que o DN teve acesso, ter já ordenado a deslocalização do data-center "mãe" da sede do SEF para o setor da RNSI e do data-center suplementar para Contumil.
"A solução de Contumil (para instalação do D&R do SEF/N-SIS) reúne todas as condições e afigura-se mais vantajosa - quer do ponto de vista securitário, quer do ponto de vista económico - relativamente ao preconizado para a Guarda", escreve Antero Luís num despacho assinado no passado dia 15 de junho.
Fusão encapotada?
Sem limitações de contestação, como a sua diretora nacional, o presidente do Sindicato da Carreira de Investigação e Fiscalização (SCIF), que representa os inspetores do SEF, desconfia e muito das intenções do governo.
Nas últimas semanas desdobrou-se a alertar várias entidades para o que acredita estar nas "sombras" desta medida. "A opção é não só errada como ilegal, por não estar prevista na lei", critica Acácio Pereira.
Escreveu á Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias (CACDLG) da Assembleia da República, ao Gabinete Nacional de Segurança (que como já foi dito travou o plano de Relvas) e para a Comissão Nacional de Proteção de Dados (CNPD) - esta última já respondeu a garantir que estará "atenta" a este processo.
Este dirigente sindical e inspetor do SEF entende que reunir as bases de dados num mesmo local "não acautela o interesse nacional nem os compromissos internacionais que o Estado português assumiu em matérias de estrangeiros e fronteiras".
Lembra que "no quadro legal atual não é possível a fusão das bases de dados de órgãos de polícia criminal, ainda que se encontrem integrados funcionalmente no mesmo ministério, mesmo quando a fusão se apresenta encapotada como transferência para um Datacenter comum".
Acácio Pereira, com 30 anos de carreira de inspeção e oito de dirigente sindical, deteta algumas "coincidências, no mínimo, desconfortáveis": A primeira, que Antero Luís "é um defensor público da fusão das polícias" - com esta concentração das bases de dados "está a dar, subtilmente, o primeiro passo".
A segunda é a presença de António Pombeiro, o ex-quadro das secretas ter sido chamado pelo SEAAI para esta tarefa e o que essas ligações do passado podem envolver e refletir no presente. "Não quero acreditar, pois seria muito grave, que estejam aqui a abrir alguma porta, sem controlo, para o acesso ilegítimo dos serviços de informações às bases de dados das polícias", assinala.
Governo: gestão mantem-se nas polícias
O gabinete de Antero Luís, refuta perentoriamente todas as insinuações do SCIF. "Os dados pertencem às respetivas FSS e vão continuar a ser geridos exclusivamente pelos seus próprios recursos. Apenas a localização física é alterada, sem prejuízo de toda a atividade de administração de sistemas ser realizada remotamente e sempre através das próprias forças e serviços responsáveis pelos seus dados. O acesso físico é controlado e monitorizado", garante o magistrado afastando a tese da "fusão".
Assegura ainda que este Datacenter não terá "absolutamente nenhuma" ligação às secretas. Explica que o ex-quadro do SIRP é licenciado em Informática e está, neste momento, dentro das suas competências técnicas e funcionais, a dirigir a Rede Nacional de Segurança Interna, enquanto Secretário-Geral Adjunto para as TIC/MAI. Não existe, nem nunca existiu, intenção de ligar sistemas mas tão-somente otimizar recursos físicos e de suporte, para maiores ganhos económicos e de segurança na implantação de bastidores das FSS do MAI".
Cautela e caldos de galinha
Luís Marques Guedes, um histórico do PSD em matérias de segurança e presidente da CACDLG, assinala a receção da missiva de Acácio, que entregou aos deputados da 1ª Comissão. Considera "prematuro" tirar conclusões ou fazer críticas porque o que conhece "é apenas a criação de um grupo de trabalho para avaliar as necessidades" da GNR, PSP e SEF para o novo Datacenter.
Lembra que Eduardo Cabrita, na sua última audição a 16 de junho, "chegou a ser questionado por um deputado e garantiu que as preocupações eram infundadas, e que só depois do relatório do grupo de trabalho é que se tomariam decisões definitivas". Esta posição do ministro, no entanto estará desatualizada, tendo em conta as respostas entretanto enviadas ao DN pelo gabinete do SEAAI.
Marques Guedes nota que "a integração das bases de dados no Datacenter, não quer dizer que fiquem interligadas" e admite que "o alerta do SEF foi importante para não se ficar perante um facto consumado - cautela e caldos de galinha nunca são demais".
Afiança que "os deputados têm todas as condições para questionar o ministro, incluindo o PSD, que o fará certamente na próxima audição". E remata: "Sempre que se quer fazer alguma concentração de meios, há sempre algumas capelinhas que vêm com visões alarmistas e a agitar fantasmas. Não quer dizer que não haja um fundo de preocupação e vamos acompanhar".
Elevado risco de intromissão
Num requerimento enviado no passado dia 10 ao ministro Eduardo Cabrita, o PCP acompanha boa parte das preocupações de Acácio Pereira. "A transferência que se pretende não está prevista na lei, e mesmo a Lei de Organização e Investigação Criminal, no seu artigo 11º apenas possibilita a partilha de informações entre órgãos de policia criminal de acordo com os critérios de necessidade e de competência, com níveis de acesso no âmbito de cada órgão de policia criminal", escreve o deputado António Filipe, o mais antigo parlamentar com experiência na área da segurança interna, que assina o requerimento.
Os comunistas sublinham que "a legislação existente não permite a fusão das bases de dados de órgãos de polícia criminal, mesmo que se encontrem integrados funcionalmente no mesmo ministério, ainda que a fusão se apresente encapotada com a transferência para um Datacenter comum".
Assinalam ainda que "a RNSI é um serviço administrativo integrado na Secretária-Geral do MAI, composto por um quadro dirigente e por um número reduzido de funcionários e todas as atividades técnicas de apoio e suporte à rede são asseguradas em outsoursing, através de contratos de ajuste direto".
Para o PCP "a solução que se propõe aponta para uma diminuição das condições de segurança relativas à proteção de dados e de informações sensíveis que pode pôr em causa a confiança conquistada ao longo dos anos".
Por outro lado, assevera, "a diminuição de custos como objetivo desta solução é bastante discutível tendo em conta a sensibilidade da matéria em causa e os riscos elevadíssimos que comporta com a abertura do acesso a dados sensíveis a mais utilizadores com o elevado risco de intromissão ou acessos ilegítimos".
Exigência na segurança
No espetro político oposto, Nuno Magalhães, ex-líder da bancada do CDS e ex-secretário de Estado da Administração Interna, não acredita na "fusão encapotada", mas partilha algumas das preocupações no que diz respeito ao controlo dos dados.
No seu entender "em primeiro lugar, até concordando, do ponto de vista concetual e racional, com uma centralização logística dos servidores, há que avaliar o grau de segurança, que requer muita exigência, desta solução".
O centrista defende que esta concentração das bases de dados "devia ser acompanhada pelo parlamento, através de entidades com competências fiscalizadoras e de controlo de dados, para garantir que tudo está correto".
Para Nuno Magalhães, muitas dúvidas podiam ser dissipadas se o processo "tivesse sido mais transparente e não ser tratados por despachos".
"Não devia haver papões, mas quando se escondem matérias destas em despachos, acabam por aparecer e era preferível que tudo tivesse sido público, numa lógica de transparência e de mostrar que não se tem medo de papões - a democracia portuguesa já chegou a uma idade suficiente para ser crescidinha nestas matérias", conclui.
Risco de ciiberataques
António Nunes, perito em segurança e terrorismo, está de acordo com Magalhães quanto á importância de haver "um controlo destes Datacenter muito exigente, podendo até ser semelhante até ao Conselho de Fiscalização das Bases de Dados do SIRP, que integra magistrados".
O presidente do OSCOT defende que "mais importante do que saber quem tem os dados, é saber quem controla a sua utilização" e que "devia ser criada uma entidade independente, tutelada pela Presidência do Conselho de Ministros, para fazer essa fiscalização regular e produzir relatórios diários - a fiscalização e o controlo são essenciais para a soberania do Estado".
Este responsável só vê uma vantagem na centralização dos servidores da polícia: "económica - porque do ponto de vista de segurança, juntando todos os servidores num só local, aumenta a vulnerabilidade a ciberataques".
Questionado sobre os riscos de segurança, o secretário de Estado garante que "este processo destina-se, precisamente, a mitigar riscos e melhorar as atuais condições em que se encontram os recursos computacionais das FSS, passando do bom para o excelente".
Nas repostas enviadas ao MAI, o gabinete de Antero Luís não indica as contas que foram feitas que sustentam o argumento da raciionalização de despesas, nem as rendas pagas à Altice e à IPtelecom. Também não foram confirmadas datas para a conclusão do processo que, de resto, está em curso.
Apenas no que diz repeito aos datacenters do SEF, no despacho do SEAAI é apontado o mês de setembro para a tranferência ser tratada e validada pela agência internacional.
Fonte: Diário de Notícias
Foto: Kirsty Wigglesworth, Pool