O CM investigou durante largas semanas a rede informática do Governo Regional e as conclusões são, no mínimo, surpreendentes e até podem ser consideradas chocantes para alguns.
Depois de um artigo do CM sobre o anonimato na internet recebemos uma denúncia anónima com um simples parágrafo “Investiguem a segurança da rede informática do Governo Regional (…)”.
Antes de tudo, que se diga que todos os dias o CM recebe denúncias do género que por serem curtas e por terem muito pouco conteúdo, ou de difícil investigação, ficam simplesmente esquecidas. Neste caso havia um contacto de email que nos levou a prosseguir, e lá com muita insistência conseguimos um contacto fidedigno na Informática.
Como já anteriormente publicado pelo CM, o Governo Regional contratou os serviços de uma empresa de capitais públicos chamada EMACOM detida em 100% ela Empresa de Eletricidade da Madeira. Na altura o Concurso Público levantou alguma polémica e até foi impugnado pela então PT, agora ALTICE. De imediato algumas criticas se fizeram ouvir porque não era admissível que os custos fossem tão exorbitantes, isto é, no fundo o Governo fornecia ao próprio Governo um serviço tão caro, senão ainda mais caro, do que qualquer operador privado.
Custos à parte, o principal objetivo do Projeto da Rede Única era criar uma rede integrada no Governo Regional e com isso, além de aumentar o débito da informação, era esperado baixar os custos de funcionamento das telecomunicações, isto é, reduzir o número exagerado de telefones e de acessos internet de todo o Governo Regional, que, segundo as contas da altura, ultrapassava um milhão de euros por ano. E assim sendo, porque é que nesta poupança toda, o SESARAM, como o maior consumidor de informação, ficou de fora deste negócio? Então a rede única afinal não é única?
A tecnologia do Hardware CISCO adquirida pelo Governo era do melhor que havia, mas segundo consta, era muita areia para a camionete dos informáticos responsáveis pela rede, e a implementação prolongou-se por meses a fio por falhas de organização da própria Informática.
Mas se a instalação foi demorada, o pior estava ainda para vir.
Com a implementação da famigerada rede integrada, a manutenção e a assistência técnica começou a ser centralizada e gerida pelos senhores da Informática. Agora os computadores chegam aos funcionários públicos praticamente bloqueados e sem a password de administrador que estranhamente fica no segredo dos técnicos da Informática. E claro que tudo isto em nome, da segurança e do facilitismo de uma assistência remota que se quer eficaz e com cada vez menos recursos humanos.
Surpreendido com este cenário de segredo das passwords, o CM tomou a iniciativa de confirmar com terceiros que em diversas Secretarias e Direções Regionais os utilizadores estão impedidos de fazer um simples download ou mesmo a instalação de um simples aplicativo por não terem a password de Administrador do seu próprio computador. Assim sendo, que segurança têm os dados guardados no Computador Pessoal de um funcionário Público?
Mais uma vez os nobres objetivos do projeto caíram por terra e agora todos os computadores dos funcionários públicos podem ser acedidos pelos técnicos da Informática do Governo Regional, isto é, pelo que percebemos, os trabalhos confidenciais inerentes às missões de cada serviço da Administração Pública pode ser alvo de devassa criminosa ou negligente.
Claro que o CM não conseguiu resistir à esperada questão e perguntou à nossa fonte se isso quer dizer que a informação do computador de um Secretário Regional, dum Chefe de Gabinete, ou de um Diretor Regional está acessível a quem tem a password de Administrador do Computador Pessoal?
Um simples “sim” da nossa fonte foi mais do que elucidativo. Isto quer dizer que o Governo Regional está preocupado com a segurança externa da rede mas negligenciou a segurança interna?
E por mais que se negue, a segurança da informação dos serviços do Governo Regional caiu por terra e a tal Rede 10 do Governo parece um queijo suíço com muitos buracos para entrar, e mesmo sem perguntar, a nossa fonte acrescentou “basta algum de nós deixar o TeamViewer ligado e a partir daí entrar na rede toda do Governo Regional a partir de casa”. A nossa fonte acrescentou que “muitos funcionários públicos nem desligam o computador e basta um scan noturno à rede para ver quais estão ligados”.
Com este cenário de facilitismo, a fonte do CM recomendou que "todos os funcionários públicos devem desligar o seu Computador Pessoal depois do serviço, nunca guardar passwords nos acessos a serviços de internet online, nem deixar dados pessoais nos computadores dos serviços, e se possível, que seja utilizado um disco externo amovível ou pen USB nos documentos confidenciais ou pessoais".
E claro que já todos percebemos que isto já não é nenhum segredo de Estado, e por isso a novidade não se fez esperar, agora o Governo Regional prepara-se para investir mais uns milhões em Cibersegurança que, diga-se, vai custar 100 vezes mais do que quando os serviços estavam isolados.
E o perigo disto tudo é que no limite do bom senso, e sempre em nome da segurança, seja possível ao Governo Regional auditar pelo IP um PC de um qualquer funcionário publico, sabendo, por exemplo, que emails envia ou recebe, e o que ele consulta na internet, como consulta, e quando consulta.
Em modo de conclusão, refira-se que a devassa e o acesso informático indevido é crime, mas não nos esqueçamos que a ocasião faz o ladrão e que o seguro morreu de velho! Ahhh, e foi de propósito? Vai ser a empresa de sempre a levar os milhões?
Depois de um artigo do CM sobre o anonimato na internet recebemos uma denúncia anónima com um simples parágrafo “Investiguem a segurança da rede informática do Governo Regional (…)”.
Antes de tudo, que se diga que todos os dias o CM recebe denúncias do género que por serem curtas e por terem muito pouco conteúdo, ou de difícil investigação, ficam simplesmente esquecidas. Neste caso havia um contacto de email que nos levou a prosseguir, e lá com muita insistência conseguimos um contacto fidedigno na Informática.
Como já anteriormente publicado pelo CM, o Governo Regional contratou os serviços de uma empresa de capitais públicos chamada EMACOM detida em 100% ela Empresa de Eletricidade da Madeira. Na altura o Concurso Público levantou alguma polémica e até foi impugnado pela então PT, agora ALTICE. De imediato algumas criticas se fizeram ouvir porque não era admissível que os custos fossem tão exorbitantes, isto é, no fundo o Governo fornecia ao próprio Governo um serviço tão caro, senão ainda mais caro, do que qualquer operador privado.
Custos à parte, o principal objetivo do Projeto da Rede Única era criar uma rede integrada no Governo Regional e com isso, além de aumentar o débito da informação, era esperado baixar os custos de funcionamento das telecomunicações, isto é, reduzir o número exagerado de telefones e de acessos internet de todo o Governo Regional, que, segundo as contas da altura, ultrapassava um milhão de euros por ano. E assim sendo, porque é que nesta poupança toda, o SESARAM, como o maior consumidor de informação, ficou de fora deste negócio? Então a rede única afinal não é única?
A tecnologia do Hardware CISCO adquirida pelo Governo era do melhor que havia, mas segundo consta, era muita areia para a camionete dos informáticos responsáveis pela rede, e a implementação prolongou-se por meses a fio por falhas de organização da própria Informática.
Mas se a instalação foi demorada, o pior estava ainda para vir.
Com a implementação da famigerada rede integrada, a manutenção e a assistência técnica começou a ser centralizada e gerida pelos senhores da Informática. Agora os computadores chegam aos funcionários públicos praticamente bloqueados e sem a password de administrador que estranhamente fica no segredo dos técnicos da Informática. E claro que tudo isto em nome, da segurança e do facilitismo de uma assistência remota que se quer eficaz e com cada vez menos recursos humanos.
Mais uma vez os nobres objetivos do projeto caíram por terra e agora todos os computadores dos funcionários públicos podem ser acedidos pelos técnicos da Informática do Governo Regional, isto é, pelo que percebemos, os trabalhos confidenciais inerentes às missões de cada serviço da Administração Pública pode ser alvo de devassa criminosa ou negligente.
Claro que o CM não conseguiu resistir à esperada questão e perguntou à nossa fonte se isso quer dizer que a informação do computador de um Secretário Regional, dum Chefe de Gabinete, ou de um Diretor Regional está acessível a quem tem a password de Administrador do Computador Pessoal?
Um simples “sim” da nossa fonte foi mais do que elucidativo. Isto quer dizer que o Governo Regional está preocupado com a segurança externa da rede mas negligenciou a segurança interna?
E por mais que se negue, a segurança da informação dos serviços do Governo Regional caiu por terra e a tal Rede 10 do Governo parece um queijo suíço com muitos buracos para entrar, e mesmo sem perguntar, a nossa fonte acrescentou “basta algum de nós deixar o TeamViewer ligado e a partir daí entrar na rede toda do Governo Regional a partir de casa”. A nossa fonte acrescentou que “muitos funcionários públicos nem desligam o computador e basta um scan noturno à rede para ver quais estão ligados”.
Com este cenário de facilitismo, a fonte do CM recomendou que "todos os funcionários públicos devem desligar o seu Computador Pessoal depois do serviço, nunca guardar passwords nos acessos a serviços de internet online, nem deixar dados pessoais nos computadores dos serviços, e se possível, que seja utilizado um disco externo amovível ou pen USB nos documentos confidenciais ou pessoais".
E claro que já todos percebemos que isto já não é nenhum segredo de Estado, e por isso a novidade não se fez esperar, agora o Governo Regional prepara-se para investir mais uns milhões em Cibersegurança que, diga-se, vai custar 100 vezes mais do que quando os serviços estavam isolados.
E o perigo disto tudo é que no limite do bom senso, e sempre em nome da segurança, seja possível ao Governo Regional auditar pelo IP um PC de um qualquer funcionário publico, sabendo, por exemplo, que emails envia ou recebe, e o que ele consulta na internet, como consulta, e quando consulta.
Em modo de conclusão, refira-se que a devassa e o acesso informático indevido é crime, mas não nos esqueçamos que a ocasião faz o ladrão e que o seguro morreu de velho! Ahhh, e foi de propósito? Vai ser a empresa de sempre a levar os milhões?
 |
Exemplo do Browser Firefox mostrando as passwords de acesso online de um utilizador.
|