Peritos em cibersegurança pedem cuidado com aplicação de rastreamento

 

Portugal deve passar em breve a utilizar a ‘app’ STAYAWAY COVID para monitorizar a propagação do novo coronavírus. O governo tem acompanhado o trabalho do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC), responsável pelo desenvolvimento da plataforma, mas o presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), Jorge Pinto, alerta que a solução comporta alguns riscos.

“Qualquer aplicação instalada no celular representa um risco de segurança. Por isso, qualquer desenvolvimento que seja feito tem de contemplar uma perspectiva de risco: como é que a aplicação pode ser utilizada de uma forma que não estava a ser pensada originalmente e possa prejudicar as pessoas?”, frisa Jorge Pinto, que resume a questão como “uma faca de dois gumes”, podendo servir “fins espetaculares” ou “fins menos reconfortantes” para as pessoas.

A aplicação portuguesa vai assentar no recurso ao ‘bluetooth’ instalado nos celulares e não em serviços de geolocalização, inviabilizando assim o rastreamento da localização física dos utilizadores. No entanto, como observa o professor Miguel Pupo Correia, do Instituto Superior Técnico da Universidade de Lisboa, apesar do alcance “curto e limitado” desta tecnologia, “não saber a localização exata não quer dizer que não se saiba informação que é privada”.

“Saber que duas pessoas estiveram juntas, que um conjunto de pessoas teve uma reunião, que um conjunto de pessoas está junta, a uma determinada hora, ou que uma pessoa está infectada é informação privada e que pode não querer revelar. A geolocalização é muito pior, não há dúvida, mas essa informação de contato ainda é crítica”, assinala o também investigador do Instituto de Engenharia de Sistemas e Computadores, Investigação e Desenvolvimento.

Apesar de reconhecer que as pessoas confiam diariamente informação de natureza privada a empresas tecnológicas, como Facebook, Google ou LinkedIn, Miguel Pupo Correia considera que a aplicação de rastreamento nacional da pandemia deve, do ponto de vista da proteção da privacidade, erguer-se sobre uma solução descentralizada, ou seja, sem enviar a informação sobre os contatos para um servidor centralizado.

“Aqui, o que acontece é que os celulares vão guardando a informação sobre os contatos e de vez em quando vão perguntar a um servidor – que esse, sim, é centralizado – se há alguma informação sobre pessoas infectadas. Então, os nossos celulares vão olhar para os nossos contatos, perceber se estivemos perto de uma pessoa infectada e avisar”, explica, sem deixar de realçar que “os contatos só são úteis se houver muita gente a utilizar a aplicação”.

Paralelamente, Jorge Pinto destaca a mais-valia de ter também a Comissão Nacional de Proteção de Dados a analisar “de uma forma consistente” esta situação e a importância do Regulamento Geral sobre a Proteção de Dados (RGPD) na criação de “uma ‘framework’ a nível europeu para que todos os países possam estar alinhados e ter algum suporte” nesta matéria.

“Deve ser tido em conta nas aplicações de rastreamento de que forma consegue trabalhar com o mínimo de permissões e, mesmo que seja atacada por ‘hackers’ [piratas informáticos], não criar um risco para o seu utilizador. Quanto menos permissões ou informação sobre o utilizador tiver, mais segura está caso seja comprometida”, sentencia o líder da AP2SI.

Em Portugal, morreram 1.465 pessoas das 33.969 confirmadas como infectadas, e há 20.526 casos recuperados, de acordo com a Direção-Geral da Saúde.

A nível global, segundo um balanço da agência de notícias AFP, a pandemia de covid-19 já provocou mais de 392 mil mortos e infectou mais quase 6,7 milhões de pessoas em 196 países e territórios.Mais de 2,8 milhões de doentes foram considerados curados.