O impacto da Portaria 141/2014 nas operações dos data centers

Está em discussão a Portaria Interministerial 141/2014, que implementa a necessidade de certificação de todos os equipamentos e sistemas de TICs a serem vendidos para o governo e empresas públicas em relação à existência de backdoors e vulnerabilidades de segurança em equipamentos de rede, data center, comunicações, etc., adotados pelo governo. Em resumo, o governo quer criar um critério próprio de certificação, e exige que as empresas entreguem o firmware e o código fonte dos seus softwares.

A Portaria 141 trata das comunicações de dados da Administração Pública Federal direta, e autárquica, e nasceu do Decreto 8.135/2013, que estabeleceu uma política de segurança cibernética e veio depois das denúncias de espionagem praticadas pela NSA e pelo governo norte-americano reveladas pelo ex-funcionário da agência de segurança dos EUA, Edward Snowden. O governo, por meio da Portaria (assinada pelo Planejamento, Comunicações e Defesa) definiu que as comunicações governamentais deveriam ser trafegadas por redes públicas e que os equipamentos e softwares contratados deveriam passar por um processo específico de certificação.

Os fornecedores internacionais até aceitam o debate, mas querem que o Brasil adote padrões mundiais, e não estabeleça uma certificação própria. Em relação à entrega dos códigos fonte, 54 de 55 associadas da Brasscom (associação que representa esses fornecedores) já disseram que em hipótese alguma entregariam isso ao governo brasileiro. Essas empresas incluem a IBM, Cisco, Oracle, SAP, HP, Microsoft, entre outras.

Se a Portaria for aprovada dentro dos critérios estabelecidos pelo governo teremos um colossal impacto nas áreas de TI do governo atingindo diretamente os data centers que utilizam softwares internacionais, ou seja, todos que prestam serviços para o governo. Como os principais fornecedores se negam a submeter seus softwares para o governo, as operações terão que ser transferidas para data centers próprios ou de empresas que aceitarem adotar os padrões do governo.

Veja o caso da ONS (Operador Nacional do Sistema) que executa seus softwares de simulação de demanda de energia na AWS (Amazon.com). Em tese, se a portaria for aprovada, o ONS teria que migrar para um data center em conformidade com a nova legislação ou a AWS se certifica abrindo seus softwares para o governo brasileiro. Embora não atingidas pela portaria, as concessionárias de energia, consideradas de segurança nacional, que utilizam softwares internacionais que poderiam colocar o sistema em risco em caso de má fé de algum fornecedor. Mais critico ainda são os bancos que utilizam softwares internacionais para a gestão de seus processos.

Essa é um assunto muito polêmico. Por um lado, hoje as empresas que adotam softwares internacionais conhecem muito pouco sobre o funcionamento interno dos softwares contratados. Isso se estende para os software de controle dos data centers, tanto em data centers próprios como em ambientes externos, incluindo Cloud Computing. Seu uso é lastreado na confiança no fornecedor do software ou do data center. Essa confiança, infelizmente, abalada pelas declarações do Snowden.

No outro lado, não utilizar softwares internacionais de larga adoção no mercado internacional, reduz drasticamente a competividade e aumenta os custos de desenvolvimento e controle.

Acredito que a solução para esse impasse é o dialogo e pesadas penalidades caso sejam descobertos back doors nos software internacionais e provedores de serviços de data centers.