Fornecedores de TICs querem que governo adote certificação internacional, e não solução própria

0

Os grandes fabricantes multinacionais de software e equipamentos de TICs (o que inclui empresas como IBM, Cisco, Oracle, SAP, HP, Microsoft, entre outras) estão em altíssimo grau de preocupação em relação à audiência pública que acontecerá nesta quarta, 12, no Ministério do Planejamento, para "construir os critérios para a auditoria em programas e equipamentos para os serviços de tecnologia da informação e comunicações (TIC) fornecidos aos órgãos do governo federal".

Trata-se, basicamente, da discussão da Portaria Interministerial 141/2014, que implementa a necessidade de certificação de todos os equipamentos e sistemas de TICs a serem vendidos para o governo e empresas públicas em relação à existência de backdoors e vulnerabilidades de segurança em equipamentos de rede, data center, comunicações, etc., adotados pelo governo. Em resumo, o governo quer criar um critério próprio de certificação, e exige que as empresas entreguem o firmware e o código fonte dos softwares.

Sobre a certificação, os fornecedores internacionais até aceitam o debate, mas querem que o Brasil adote padrões mundiais, e não estabeleça uma certificação própria. Em relação à entrega dos códigos fonte, 54 de 55 associadas da Brasscom (associação que representa esses fornecedores) já disseram que em hipótese alguma entregariam isso ao governo brasileiro.

A Portaria 141 trata das comunicações de dados da Administração Pública Federal direta, e autárquica, e nasceu do Decreto 8.135/2013, que estabeleceu uma política de segurança cibernética e veio depois das denúncias de espionagem praticadas pela NSA e pelo governo norte-americano reveladas pelo ex-funcionário da agência de segurança dos EUA, Edward Snowden. O governo, por meio da Portaria (assinada pelo Planejamento, Comunicações e Defesa) definiu que as comunicações governamentais deveriam ser trafegadas por redes públicas e que os equipamentos e softwares contratados deveriam passar por um processo específico de certificação.

Durante o ano de 2014, os grandes fornecedores multinacionais peregrinaram por diferentes órgãos do governo tentando convencer as autoridades que uma política de segurança é algo saudável e desejável, mas que o Brasil estaria começando de trás para frente, se preocupando cum uma pequena parte do problema enquanto questões muito mais básicas como processos e treinamento estavam sendo negligenciados. Reclamam que, apesar de recebidos, não foram ouvidos e não teria havido nenhum debate.

Padrão comum

A mensagem que vem sendo defendida nas reuniões entre os fornecedores internacionais e o governo, e que deve ser explicitada na audiência pública, é de que o Brasil, se for exigir nas compras públicas de TICs a certificação dos equipamentos e softwares (que a portaria batiza de e-PING), deveria adotar o "Common Criteria". Trata-se de um padrão de certificação adotado pelos EUA, Alemanha, França, Japão, Coréia do Sul, Índia entre outros, num total de 26 países. Isso pouparia tempo aos desenvolvedores e fabricantes, já que não é preciso redefinir todos os padrões critérios. Também evitaria, conforme a argumentação desses fabricantes internacionais, que o Brasil ficasse isolado em uma certificação que só vale aqui, e possibilitaria uma economia importante, já que a certificação de cada modelo de equipamento costuma levar seis meses e custar quase meio milhão de dólares. Ao mesmo tempo, permitiria ao Brasil ter laboratórios de certificação que pudessem atuar globalmente.

Mas o ponto da política de segurança estabelecida pelo governo para suas compras públicas e que pode de fato levar a um impasse é a questão da abertura dos códigos-fonte. Os fornecedores consideram que isso é uma ameaça à propriedade intelectual de seus produtos, um enorme risco ao próprio governo brasileiro (que teria que se responsabilizar por qualquer vazamento) e uma medida sem nenhuma eficácia, já que a análise e leitura detalhada desses códigos levaria anos. Nesse caso, o que os fornecedores pedem é que o governo confie na certificação do Common Criteria, que já passa por essa análise e é endossada por todos os países signatários e por outros que compram equipamentos e sistemas com essa certificação.

Impasse

O modelo que está sendo apresentado pelos fornecedores às autoridades brasileiras é o caso da Índia, que inicialmente pensou em seguir o mesmo caminho do Brasil, com uma certificação própria, mas que acabou aderindo integralmente ao Common Criteria. Pesa contra os fornecedores multinacionais, por outro lado, o exemplo da China, que está fazendo exatamente a mesma coisa que o Brasil, mas com outros interesses, já que a China não consegue vender seus equipamentos ao governo dos EUA justamente por suspeitas de vulnerabilidades de segurança.

Se o governo persistir nessa política, alegam os fornecedores, muito provavelmente é que estas empresas multinacionais deixarão de vender para o governo brasileiro, mesmo que isso represente a perda de cerca de 20% do faturamento que cada uma tem no Brasil.

A audiência pública sobre a Portaria  Interministerial 141/2014 acontece nesta quarta, dia 12, às 14:00, no Ministério do Planejamento.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.