Microsoft: binómio segurança/privacidade [Video B!T Talks]
A interligação entre o mundo físico e virtual é incontornável. O que acontece no mundo real afeta o que fazemos no mundo online e o que fazemos no online vai inevitavelmente afetar a segurança no mundo físico. Esta separação, que há uns anos era fácil de gerir, hoje está completamente mesclada. “Temos de saber trabalhar com essa mescla”, disse Sandra Miranda Ferreira, Chief Technology Officer na Microsoft, no evento B!T Talks que decorreu no Cinema Ideal, em Lisboa.
Como é que o mundo tem lidado com estas situações? Sandra Miranda Ferreira deu o exemplo da Microsoft relativamente ao ataque à redação do francês Charlie Hebdo, que ocorreu em janeiro de 2015. A policia francesa detetou que os suspeitos dos ataques tinham duas contas de email da empresa norte-americana que estavam alojadas nos Estados Unidos. Foram ativados os protocolos internacionais e, passado 45 minutos, o conteúdo dessas caixas estava a ser libertado e entregue pelo FBI à polícia francesa. “A segurança pública sobrepôs-se ao direito de privacidade daqueles dois suspeitos em concreto”.
Ainda em janeiro, um exemplo de que este sistema não funcionou, uma vez não terem sido acionados os devidos protocolos. A policia brasileira entra em casa de uma executiva da Microsoft exigindo que fornecesse os dados de uma conta de Skype, também alojada nos EUA, de um suspeito de uma investigação policial. Mas a polícia e a justiça brasileira efetivamente não ativaram os protocolos de cooperação internacional pelo que a Microsoft não pode — seria ilegal — divulgar dados que não estavam alojados no Brasil.
O mesmo já se passou com contas de um suspeito na Irlanda. Caso não seja ativados devidamente os protocolos de cooperação, a Microsoft não pode ultrapassar a liberdade de um cidadão, neste caso da União Europeia.
E, por tudo isto, a tentativa de encontrar algum bom senso no que diz respeito aos protocolos de libertação de dados continua, com os estados a tentarem alcançar um ponto de equilíbrio. Isto depois do Tribunal de Justiça da União Europeia ter invalidado o denominado “Safe Harbor”, um protocolo voluntário de transferência de dados entre os EUA e a União Europeia, sustentado aquela instância que o mesmo não cumpre aqueles que são os direitos de privacidade de dados dos cidadãos europeus. “Tem de haver um substituto deste protocolo, que continua hoje a ser discutido”, explicou Sandra Miranda Ferreira. O objetivo é então chegar a um compromisso de salvaguarda de privacidade, sempre complicado já que a abordagem a este tema é bastante diferente entre a Europa e os Estados Unidos, tendo a UE uma das mais restritivas e rígidas legislações em termos de proteção de dados pessoais.
Mas neste contexto, onde pairam exemplos como o ataque ao Bataclan ou o desastre de S. Bernardino, como é que a tecnologia evoluiu? Qual o papel das empresas de tecnologia? Como garantir a segurança e privacidade dos dados?
Segurança, conformidade, privacidade e transparência
A Microsoft, e um conjunto de outras entidades, encontra-se a promover basicamente três princípios, diz a executiva. O primeiro, é que os direitos das pessoas movem-se com os seus dados. Depois, que a nacionalidade e o local de armazenamento é efetivamente relevante quando se fala em ir obter por processos legais os dados de um determinado cidadão ou empresa. E por último, no caso empresarial, os pedidos legais são sempre direcionados ao cliente empresarial. “O dono dos dados é o cliente e não pode por isso ser um processador, seja de uma cloud ou de um datacenter em outsourcing, a decidir se fornece esses dados. Tem de ser a empresa”.
O papel da Microsoft, segundo Satya Nadella, CEO da empresa norte-americana, é avançar a tecnologia enquanto preservam os valores que são intemporais. “E construímos estes valores à volta de quatro eixos: segurança, conformidade, privacidade e transparência. Estes quatro eixos norteiam aquilo que são os requisitos, inovações e avanços tecnológicos que a Microsoft está a colocar ao dispor dos seus clientes.”
Inteligência na computação
Quando se fala na incontornável tendência chamada cloud, existe uma escala. E as cloud de hiperescala em particular, como a da Microsoft, têm uma dimensão que é difícil de interiorizar sem ver. Uma imagem: uma sala do datacenter de Dublin da Microsoft tem espaço para seis Boeing 747. Exatamente, seis. Mas o datacenter tem seis salas. E esta é a dimensão de apenas um datacenter, sendo que a Microsoft tem mais de 100 espalhados por todo o mundo. “E no topo de tudo isto, temos o ciberterrorismo a escalar a toda a força, com brechas a aumentar a uma velocidade vertiginosa. Como é que se pode aproveitar uma hiperescala a avanços tecnológicos para conseguir combater este fenómeno?”
Basicamente, através da inovação, diz Sandra Miranda Ferreira. Por exemplo, no Centro de Combate ao Cibercrime, sedeado em Redmond, através da análise da Internet, de malwares, de feeds, de comunicações suspeitas entre IP’s, basicamente através da monitorização da internet pública, a Microsoft aplica inteligência e deteta padrões para incorporar uma capacidade de prevenção proativa nos seus produtos. Algo que exige, obviamente, uma brutal capacidade de computação que só é possível com o poder computacional da cloud. “É um exemplo de como o avanço da tecnologia e o paradigma de computação que é a cloud nos permite avançar em medidas de proteção contra ciberameaças que seriam muito onerosas on-premise e, por isso, acessíveis apenas a um grupo muito restrito de empresas”.
“Acreditemos que estamos a conseguir avançar este binómio privacidade-segurança, modernizando a lei. Tal como acreditamos que a cloud é uma inevitabilidade e que já não é um tema de segurança. E o nosso compromisso é proporcionar no mundo onde a legislação ainda não avançou como queríamos, a melhor tecnologia, com a maior confiança”.