Gov.br necessita de ajustes, apontam especialistas
Preocupação é quanto a segurança de dados sensíveis acessados com assinaturas avançadas
O acesso do cidadão ao poder público tem crescido a cada ano devido a interação facilitada aos serviços digitais disponibilizados pela plataforma Gov.br. De acordo com os dados divulgados em 2022 pela Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia, o sistema atingiu 130 milhões de usuários. O número equivale a 80% da população acima de 18 anos no país.
A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada. A assinatura simples permite identificar quem está assinando e anexa ou associa seus dados a outros dados. A avançada utiliza certificados não emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria em forma eletrônica, desde que admitido pelas partes como válido. Já a assinatura qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1º do art. 10 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
Entretanto, especialistas em segurança digital sugerem aperfeiçoamentos no Gov.br, devido aos riscos de segurança em relação ao grande contingente de dados sensíveis acessados e alocados diariamente na plataforma digital. A falta de acessos seguros ao sistema, como a adoção de uma criptografia, por exemplo, tem causado brechas para fraudes que afetam diversos serviços, como vazamentos de dados de chaves Pix, CPF, CNPJ, bilhetes únicos de transporte público, dados de saúde entre outros. Só as fraudes no INSS já afetaram cerca de 22 mil beneficiários e causaram um prejuízo de R$1 bilhão aos cofres públicos.
O presidente da Associação Brasileira das Empresas de Software (ABES), Paulo Milliet Roque, alertou, durante evento virtual promovido pela Associação das Autoridades de Registro do Brasil (AARB) em março, uma disfuncionalidade no Gov.br que tem ocorrido há alguns meses. Segundo ele, ao atingir o nível ouro da conta com certificado digital, para entrar no portal basta o acesso por login e senha. “Neste nível de conta ouro temos acesso a dados sensíveis e é muito preocupante esta mudança”, disse.
O professor Jean Everson Martina, pesquisador do Laboratório de Segurança em Computação (LabSEC) da Universidade Federal de Santa Catarina, concorda que o Gov.br precisa de melhorias e que a base de dados consultada pelo governo na migração de uma conta bronze para prata, por exemplo, deve levar em conta mudanças de cadastros feitas pelos usuários nas bases de origem. “Quando você vai projetar um sistema que envolve comprar, vender, pagar e receber você deve pensar sempre em um modelo de autenticação e de registro forte. Não basta olhar para seu selo. Tem que olhar o selo e a forma como você autenticou”.
Para o advogado Bernardo Brasil Campinho, doutor em Direito pela Universidade do Estado do Rio de Janeiro (UERJ), o Gov.br cria uma burocratização, no caso de mudanças de dados, que está além do conhecimento da população sobre meios digitais, em especial para os idosos. “Você começa a criar cidadãos de segunda classe que não têm familiaridade. Estas questões de segurança tem que andar de mãos dadas com a acessibilidade”.
O diretor da AARB, Bruno Linhares, levantou, no evento, a questão do ciclo de vida dos certificados digitais no Gov.br, pois o selo ouro não tem uma data de validade, ao contrário dos certificados digitais ICP-Brasil. “Garantir um ciclo de vida para o certificado e que tenhamos uma verificação regular de sua pertinência e propriedade sempre foi uma questão fundamental da ICP-Brasil”, disse.
“Hoje o único documento público que utiliza uma estratégia de longo prazo é o diploma digital”, lembra Martina. “Quando eu preciso fazer um documento de durabilidade maior que o prazo do certificado, a estratégia é colocar um carimbo do tempo. E quando a gente tem que fazer guarda de documentos de longo prazo, é indicado utilizar estratégias de arquivamento, de guardar todas as Listas de Certificados Revogados (LCRs) e todos os caminhos de certificação”, indica o professor.
O diretor-presidente substituto do Instituto Nacional de Tecnologia da Informação - ITI, Maurício Augusto Coelho, diz que o portal veio preencher uma lacuna, mas ressalta que o sistema ICP-Brasil traz vantagens não só tecnológicas, mas de processo. “Isto é uma característica das assinaturas qualificadas. A Lei 14.063/2020 diz que a assinatura qualificada está em nível superior de todas as outras”, explica. “As assinaturas avançadas não têm os mesmos requisitos processuais do sistema ICP-Brasil, então não existe credenciamento, auditorias de fiscalizações, não existe obrigatoriedade de ambientes seguros e nem existe a obrigatoriedade de os HSMs serem certificados”.