Uma consulta rápida ao Portal Base da contratação pública indica que nos últimos anos foram feitos 3722 contratos públicos com a Microsoft. Falamos, certamente, de milhões de euros:
https://www.base.gov.pt/Base4/pt/pesquisa/?type=contratos&texto=microsoft&tipo=0&tipocontrato=0&cpv=&aqinfo=&adjudicante=&adjudicataria=&sel_price=price_c1&desdeprecocontrato=&ateprecocontrato=&desdeprecoefectivo=&ateprecoefectivo=&desdeprazoexecucao=&ateprazoexecucao=&sel_date=date_c1&desdedatacontrato=&atedatacontrato=&desdedatapublicacao=&atedatapublicacao=&desdedatafecho=&atedatafecho=&pais=0&distrito=0&concelho=0
(por exemplo, um dos maiores contratos é o de Silves de “Prestação de serviços de implementação de Licenças Microsoft” por 124 mil euros)
(dois dias depois, a 19 de abril, já eram 3726 contratos públicos).
Os contratos com a Microsoft são, aliás, tão numerosos que a plataforma Base não é capaz de lidar com o seu volume e devolve um erro cada vez que os tentamos extrair para ficheiro para os podermos analisar. Ou seja, quem quiser trabalhar e processar estes dados não o consegue fazer o que, de per si, é um atentado à transparência que se exige às entidades públicas e à própria legislação (Decreto-Lei nº 111-B/2017, de 31 de agosto, que procedeu à nona alteração ao Código dos Contratos Públicos, aprovado pelo Decreto-Lei nº 18/2008, de 29 de janeiro).
Apesar desta falta “técnica” de transparência, não há qualquer dúvida que a Microsoft, é a principal fornecedora tecnológica do governo e autarquias portuguesas. Ora, actualmente, a empresa enfrenta muitas críticas por falhas de segurança que comprometeram dados públicos e, em particular, do governo dos EUA (https://www.crn.com/news/security/2024/cisa-publishes-emergency-order-on-microsoft-breach-by-russian-group-confirms-stolen-emails) sendo agora sabido que a agência de cibersegurança dos Estados Unidos (CISA) afirma que vários emails foram roubados de órgãos federais em conexão com o comprometimento do sistema de email corporativo da Microsoft pelo actor estatal de ameaças (APT) conhecido como Midnight Blizzard e que, geralmente, é associado à Rússia.
Estas falhas graves poderão já ter afectado ou vir a afectar no futuro também entidades públicas (autarquias e governo central) portuguesas e temos que sublinhar que um relatório recente do Cyber Security Council critica a Microsoft pela sua cultura de segurança inadequada e pela falta de investimento em medidas preventivas. A isto somamos uma dependência crescente da cultura de outsourcing massivo para países terceiros e uma obsessão na redução de custos operacionais que se traduz na perda de confiança e segurança por parte de muitos clientes.
Actualmente a Microsoft é essencial para o funcionamento das suas operações detendo um conhecimento profundo das infraestruturas digitais das entidades públicas, tornando-a um parceiro crucial na defesa contra ciberataques. Contudo, a falta de responsabilização da empresa norte-americana nesta vaga de ataques e a sua crescente perda de qualidade de suporte torna as entidades públicas portuguesas mais vulneráveis a ataques informáticos. Recordamos ainda que a Microsoft lucra com a venda de serviços de segurança adicionais, em vez de os tornar padrão para todos os clientes, criando um incentivo para manter um certo nível de risco.
A CpC acredita que:
a) O governo português pode impor novas exigências aos fornecedores de serviços informáticos, como auditorias de segurança regulares e a obrigatoriedade de implementar medidas de segurança robustas.
b) A sociedade civil portuguesa poderá pressionar a Microsoft a adotar práticas mais responsáveis em termos de segurança, protegendo os dados dos cidadãos e a infraestrutura digital do país.
c) Existe uma necessidade urgente de investir em formação e capacitação em cibersegurança para os funcionários das entidades públicas portuguesas.
d) É preciso promover a criação de uma cultura de segurança da informação em todo o setor público português.
e) É preciso diversificar os fornecedores de serviços informáticos para reduzir a dependência da Microsoft.
f) Em alguns sectores é possível abandonar a Microsoft e a sua plataforma de Office em lugar a distribuições Linux e de soluções baseadas em software equivalente mas em open source.
g) O Estado central e as autarquias locais precisam de implementar um sistema de documentação interno similar ao modelo Linux, com maior abertura e acesso à informação para programadores e administradores.
h) É urgente fazer uma redução de pontos únicos de falha através da implementação de mecanismos de autenticação multifactorial robusta, evitando o uso de passwords únicas como credenciais de adminstração (recentemente uma falha num datacenter no Texas impediu a autenticação a muitos serviços públicos e o mesmo pode repetir-se em breve na Europa).
i) Investir em redundância de serviços críticos, tanto em soluções locais quanto na nuvem, para garantir disponibilidade em caso de falhas pontuais.
j) Estabelecer planos de contingência para cenários de indisponibilidade de serviços terceirizados, como tai como os fornecedores de MFA.
Ao implementar estas medidas, o Governo e as autarquias podem fortalecer a sua segurança digital, proteger os dados dos cidadãos e garantir a continuidade dos serviços públicos. Acreditamos que a colaboração entre Governo, a sociedade civil e o sector privado é fundamental para construir um futuro digital mais seguro e resiliente para Portugal.
Iniciativa CpC: Cidadãos pela Cibersegurança 