A questão da segurança da informação é basilar quando falamos de certificados digitais.
Por Bruno Linhares
Em 21 de março, a AARB realizou o primeiro EncontrAR Alive, evento virtual em novo formato que proporcionou aos mais de 300 participantes um debate de alto nível sobre Identificação Digital e Segurança da Informação.
O encontro foi aberto pelo presidente-executivo da AARB, Edmar Araújo e se iniciou com uma ilustrativa palestra do Dr. Maurício Coelho, Diretor de Chaves Públicas e Presidente Substituto em exercício no ITI – Instituto Nacional da Tecnologia de Informação.
Em seguida, Dr. Bernardo Campinho, advogado e acadêmico especializado em temas que envolvem o Direito e a Tecnologia e o Professor Jean Martina, cientista especializado em PKIs (Infraestrutura de Chaves Públicas), Segurança da Informação e Identificação Digital, debateram, com meu apoio, algumas das principais questões atuais do cenário da Certificação Digital no país.
Uma das questões mencionadas no evento, tanto na palestra de Maurício Coelho como no debate que se seguiu, foi a AR Eletrônica.
A possibilidade da criação de ARs Eletrônicas, que pressupõe a desumanização da emissão de certificados digitais, foi aprovada anteriormente pelo Comitê Gestor da ICP-Brasil mas nunca efetivamente regulamentada e implementada.
Maurício Coelho nos comunicou que agora é considerado um projeto prioritário para a atual gestão do ITI, o que nos permite acreditar que conta com o aval de setores do novo Governo Federal.
Como o próprio desdobramento no debate demonstrou, trata-se de uma questão muito polêmica.
Rapidamente pude apresentar questões técnicas, éticas e econômicas que me preocupam e gostaria, neste artigo, aprofunda-las mais um pouco.
A questão da segurança da informação é basilar quando falamos de certificados digitais. Já é de conhecimento geral o avanço das técnicas de invasão e hackeamento de servidores, agora aliadas à tecnologia de Inteligência Artificial (IA).
Em recente debate realizado no Brasil, um novo cenário foi cruamente apresentado pelo professor de Harvard e guru de cybersegurança Bruce Scheinner. Segundo o pesquisador, a IA em breve permitirá cyberataques mais eficientes e agressivos, afetando os mais diferentes setores da economia.
De todo o modo, é notório o crescimento das organizações criminosas que contam com alta capacidade tecnológica e que com ousadia promovem ações de invasão a serviços digitais e a servidores mais diversos, afetando milhares de empresas e organizações da sociedade, inclusive as governamentais.
Um exemplo inequívoco foi a invasão dos servidores da OAB Federal, ocorrido em 26 de março, com a consequente paralisação dos serviços de identificação no Cadastro Nacional de Advogados. Neste caso, um cadastro de identidades profissionais foi acessado por criminosos e ainda não se sabe a extensão dos danos causados e as informações indevidamente obtidas.
Neste cenário de alto risco digital, a completa automação da emissão de certificados permitiria a realização de fraudes na concessão de identidades em escala nunca vista, inconcebível quando o processo conta com a participação humana obrigatória. Esta “escalabilidade” do cybercrime seria, em minha opinião, uma das eventuais consequências da adoção da AR Eletrônica.
Do ponto de vista da estrutura econômica e produtiva, precisamos deixar claro que o termo “AR Eletrônica” é um eufemismo – trata-se, na verdade, de eliminar o elo “AR” na emissão dos certificados digitais.
A partir da verticalização dos processos de validação, agora sem participação humana, a emissão ficará basicamente restrita às Autoridades Certificadoras (ACs), exclusivas detentoras da tecnologia de automação da emissão integrada aos seus atuais sistemas.
Em contraposição ao atual modelo da ICP-Brasil que prevê a existência de dois elos principais – as ACs, grandes empresas detentoras da tecnologia de emissão e operação dos certificados e as ARs – pequenas e médias empresas, que operam o sistema em sua face mais visível à sociedade.
A verticalização em certificação digital, ademais como todo processo de verticalização da atividade econômica, tem como principal consequência reverter para as ACs a parcela das receitas que hoje remuneram as ARs. Pode ter, ou não, efeito nos preços dos certificados que de toda sorte ocorreriam com o aumento da escala nas emissões.
As ações estatais, sejam políticas públicas sejam ações estratégicas de direcionamento econômico, podem ter efeitos diversos e mesmo contraditórios, conforme a sua orientação.
Na década de 1950, por exemplo, o Governo Federal promoveu a instalação de grandes montadoras de veículos em território nacional tendo como contrapartida a criação de um parque industrial de autopeças formadas por empresas de capital brasileiro. Tratava-se de uma iniciativa para o desenvolvimento de médias empresas nacionais, criação de empregos de qualidade e distribuição de renda.
Já uma alteração de tal ordem na ICP-Brasil terá como consequência a drástica redução das 2.500 empresas que atuam como AR, a destruição de dezenas de milhares de empregos diretos e o crescimento da concentração de renda em grandes empresas.
A desumanização do trabalho a partir da sua completa automação sempre traz também a baila questões de cunho ético. Os recentes debates sobre Inteligência Artificial, que culminaram em manifestações públicas de cientistas e empreendedores de peso, demonstram que a sociedade enxerga com cautela o desenvolvimento tecnológico sem controles éticos.
Podemos encontrar importantes elementos de reflexão nas contribuições de Bernardo Campinho e Jean Martina. Campinho coloca a imperiosa necessidade de repactuação da transição tecnológica, inclusive com requalificação de mão de obra, em um amplo debate que envolva todas as partes antes da adoção de mudanças mais profundas.
Já Martina enxerga que o objetivo não deve ser substituir o fator humano, mas sim a criação de ferramentas tecnológicas auxiliares ao processo de identificação e concessão de identidades digitais, com sua qualificação e agilização.
Participo há vários anos das discussões sobre a evolução da ICP-Brasil e sua aplicação nos vários setores da sociedade. Acredito ser importante harmonizar os diversos interesses e visões na construção e manutenção de uma política pública de sucesso, como é o caso da certificação digital no Brasil.
Mas isto nem sempre é, e nem sempre foi, uma empreitada fácil.
É de conhecimento até do mundo mineral a escassa sensibilidade social dos “Chicago Boys” e suas dificuldades em estabelecer diálogos mais amplos na sociedade. Tanto em sua versão original, no Chile dos anos 1970, como na tardia, que orientou resoluções e ações do Ministério da Economia no governo passado, inclusive algumas que afetaram nosso segmento.
Esperava, e ainda espero, uma experiência completamente diferente na relação com as Autoridades do novo Governo Federal. Têm, neste sentido, o apoio essencial da capacidade e vitorioso histórico do corpo técnico e dos atuais diretores do ITI, como Coelho.
Mas ainda assim não posso esconder o espanto com a inclusão da AR Digital em uma pauta prioritária, sem qualquer aceno ao diálogo com os que sofrerão duramente seus impactos. Creio que o tempo agora é de estabelecer um amplo debate sobre o tema, para apoiar o crescimento sustentável e a evolução tecnológica do país, com segurança da informação e equidade social.
Bruno Linhares é criador e sócio gestor da empresa CertifiqueOnline e diretor da Associação das Autoridades de Registro do Brasil – AARB