Os grandes fabricantes multinacionais de software e equipamentos de TICs (o que inclui empresas como IBM, Cisco, Oracle, SAP, HP, Microsoft, entre outras) estão em altíssimo grau de preocupação em relação à audiência pública que acontecerá nesta quarta, 12, no Ministério do Planejamento, para "construir os critérios para a auditoria em programas e equipamentos para os serviços de tecnologia da informação e comunicações (TIC) fornecidos aos órgãos do governo federal".
Trata-se, basicamente, da discussão da Portaria Interministerial 141/2014, que implementa a necessidade de certificação de todos os equipamentos e sistemas de TICs a serem vendidos para o governo e empresas públicas em relação à existência de backdoors e vulnerabilidades de segurança em equipamentos de rede, data center, comunicações, etc., adotados pelo governo. Em resumo, o governo quer criar um critério próprio de certificação, e exige que as empresas entreguem o firmware e o código fonte dos softwares.
Sobre a certificação, os fornecedores internacionais até aceitam o debate, mas querem que o Brasil adote padrões mundiais, e não estabeleça uma certificação própria. Em relação à entrega dos códigos fonte, 54 de 55 associadas da Brasscom (associação que representa esses fornecedores) já disseram que em hipótese alguma entregariam isso ao governo brasileiro.
A Portaria 141 trata das comunicações de dados da Administração Pública Federal direta, e autárquica, e nasceu do Decreto 8.135/2013, que estabeleceu uma política de segurança cibernética e veio depois das denúncias de espionagem praticadas pela NSA e pelo governo norte-americano reveladas pelo ex-funcionário da agência de segurança dos EUA, Edward Snowden. O governo, por meio da Portaria (assinada pelo Planejamento, Comunicações e Defesa) definiu que as comunicações governamentais deveriam ser trafegadas por redes públicas e que os equipamentos e softwares contratados deveriam passar por um processo específico de certificação.
Durante o ano de 2014, os grandes fornecedores multinacionais peregrinaram por diferentes órgãos do governo tentando convencer as autoridades que uma política de segurança é algo saudável e desejável, mas que o Brasil estaria começando de trás para frente, se preocupando cum uma pequena parte do problema enquanto questões muito mais básicas como processos e treinamento estavam sendo negligenciados. Reclamam que, apesar de recebidos, não foram ouvidos e não teria havido nenhum debate.
Padrão comum
A mensagem que vem sendo defendida nas reuniões entre os fornecedores internacionais e o governo, e que deve ser explicitada na audiência pública, é de que o Brasil, se for exigir nas compras públicas de TICs a certificação dos equipamentos e softwares (que a portaria batiza de e-PING), deveria adotar o "Common Criteria". Trata-se de um padrão de certificação adotado pelos EUA, Alemanha, França, Japão, Coréia do Sul, Índia entre outros, num total de 26 países. Isso pouparia tempo aos desenvolvedores e fabricantes, já que não é preciso redefinir todos os padrões critérios. Também evitaria, conforme a argumentação desses fabricantes internacionais, que o Brasil ficasse isolado em uma certificação que só vale aqui, e possibilitaria uma economia importante, já que a certificação de cada modelo de equipamento costuma levar seis meses e custar quase meio milhão de dólares. Ao mesmo tempo, permitiria ao Brasil ter laboratórios de certificação que pudessem atuar globalmente.
Mas o ponto da política de segurança estabelecida pelo governo para suas compras públicas e que pode de fato levar a um impasse é a questão da abertura dos códigos-fonte. Os fornecedores consideram que isso é uma ameaça à propriedade intelectual de seus produtos, um enorme risco ao próprio governo brasileiro (que teria que se responsabilizar por qualquer vazamento) e uma medida sem nenhuma eficácia, já que a análise e leitura detalhada desses códigos levaria anos. Nesse caso, o que os fornecedores pedem é que o governo confie na certificação do Common Criteria, que já passa por essa análise e é endossada por todos os países signatários e por outros que compram equipamentos e sistemas com essa certificação.
Impasse
O modelo que está sendo apresentado pelos fornecedores às autoridades brasileiras é o caso da Índia, que inicialmente pensou em seguir o mesmo caminho do Brasil, com uma certificação própria, mas que acabou aderindo integralmente ao Common Criteria. Pesa contra os fornecedores multinacionais, por outro lado, o exemplo da China, que está fazendo exatamente a mesma coisa que o Brasil, mas com outros interesses, já que a China não consegue vender seus equipamentos ao governo dos EUA justamente por suspeitas de vulnerabilidades de segurança.
Se o governo persistir nessa política, alegam os fornecedores, muito provavelmente é que estas empresas multinacionais deixarão de vender para o governo brasileiro, mesmo que isso represente a perda de cerca de 20% do faturamento que cada uma tem no Brasil.
A audiência pública sobre a Portaria Interministerial 141/2014 acontece nesta quarta, dia 12, às 14:00, no Ministério do Planejamento.