As notícias sobre o ?grampo americano? que coloca o Brasil como um dos principais países vitimados pela espionagem cibernética nos alerta para discussões antigas sobre o prontuário eletrônico hospedado ?na nuvem?.

A primeira é pensar que existe proteção absoluta para dados. Que existem métodos de criptografia que garantem a inviolabilidade dos dados. Isso não existe. É ingenuidade continuar pensando que existe algo que se faça em um dispositivo conectado na rede que não possa ter sua segurança quebrada: já faz algum tempo que vivemos em um grande ?big brother?.

A segunda é pensar que governo brasileiro possui um sistema de inteligência capacitado para competir com os países de maior desenvolvimento tecnológico. Isso não é verdade. Tanto que uma das bases de espionagem do governo americano denunciadas no escândalo fica em Brasília !

A terceira é pensar que a computação em nuvem significa deixar de se preocupar com quem está hospedando suas informações e aplicações. Um erro fatal. O fato de utilizar o serviço na nuvem não significa que podemos abandonar os processos de habilitação do provedor, auditoria dos seus processos de segurança, aferição periódica da composição societária dele, etc. O provedor de serviços na nuvem é um fornecedor como outro qualquer: se está hospedando informações críticas deve ser empresa idônea, formalizar contrato com cláusulas que protejam o contratante, e tudo mais que fazemos com todos os outros fornecedores.

Considerando somente estas 3 premissas (existem vários outros pontos para se discutir sobre o tema): um hospital que utiliza serviços em provedores na nuvem sem saber quem são, e hospedam informações do prontuário eletrônico neles, é absolutamente irresponsável !

E não falamos apenas do sistema PEP. Dizer que o PEP está hospedado no Datacenter internos e só os demais serviços estão na nuvem é igualmente irresponsável:

  • A maioria das informações utilizadas na assistência ao paciente ainda não estão no PEP, ou no HIS, estão em arquivos Office arquivados no servidor de arquivos, transitando via email, em áreas da Intranet, etc.;
  • 100 % das informações de projetos de pesquisa são produzidas e manipuladas em arquivos Office ? isso é fato, não é ?achismo?.

Vivemos em uma época em que ainda não existe regulamentação internacional para ?regrar? os serviços dos provedores, acordado pelos países que utilizam a web. Infelizmente as regras de utilização dos serviços em nuvem são ditadas por algumas poucas empresas do vale do ?silício americano? ? nenhum órgão internacional definiu de comum acordo com os países as regras de segurança da informação: existem melhores práticas, recomendações de entidades certificadoras, mas não existem lei e regras claras e adequadas.

Por isso quando eclode um escândalo como este de espionagem nos deparamos com o espanto geral de autoridades europeias, asiáticas, e de todos os países prejudicados, expondo a fragilidade deles em relação ao ocorrido !!!

Vemos no noticiário o foco que sempre dão quando se fala em segurança da informação: estão ?bisbilhotando? emails de políticos, informações privilegiadas sobre finanças de empresa, espionagem industrial … sempre colocam no foco informações relacionadas às operações financeiras das empresas e do governo.

Ninguém cita que pode estar havendo vazamento de nossos projetos de pesquisa na área médica, capturando informações sobre o perfil epidemiológico brasileiro, analisando nossos POPs de atendimento assistencial que demoraram anos para serem desenvolvidos, observando as teses de nossos mestrandos e doutorandos relacionadas à nossa riquíssima fauna, flora e minérios.

Este episódio serve de lição para algo fundamental: a computação em nuvem só pode ser utilizada quando as empresas já superaram a implantação de uma política de segurança da informação adequada. Utilizar provedores na nuvem antes disso é um grande erro … uma bobagem que não tem tamanho !

Et: esperamos que o governo brasileiro (em todas as suas instâncias) seja firme neste episódio ? não podemos deixar impune a espionagem e ainda ouvir um governo de outro país dizer que não faz nada que os outros também não fazem ? que ?cara de pau? é essa ?