No setor público, uso de criptografia garante privacidade e proteção de dados do cidadão que acessa serviços digitais do governo

De maneira desapercebida, a criptografia se mostra mais presente no cotidiano das pessoas do que se imagina. Para se ter uma ideia, atualmente, diversos serviços públicos do governo federal ofertados de maneira digital utilizam a tecnologia, tais como sites e aplicações móveis de serviços públicos.

O responsável por acompanhar todo este processo é a Secretaria de Governo Digital (SGD) do Ministério da Economia, órgão central de tecnologia da informação (TI) do governo federal que incentiva o uso de criptografia em diferentes contextos.

A pasta entende que a criptografia é uma técnica antiga de proteção de dados que evoluiu ao longo dos tempos e atualmente é um importante mecanismo de segurança da informação. 

“A criptografia traz benefícios associados à manutenção da integridade dos dados, proteção do dado em trânsito, para que não seja interceptado e compreendido por terceiros alheios à comunicação, proteção do dado em repouso, nos bancos de dados”, explica o Ministério da Economia.

Dessa forma, prossegue a pasta, é natural que as ferramentas e plataformas do setor público adotem a criptografia em diferentes situações para aumentar a segurança, o grau de proteção aos dados e a continuidade da prestação de serviços públicos.

Normas

Para a nossa CriptoHistórias, a SGD explicou que o uso da criptografia no governo federal tem uma extensa fundamentação normativa. Como exemplo, cita o Anexo I da Instrução Normativa SGD/ME nº 31, de 01/04/2019, que estabelece que as contratações de soluções de TI devem considerar a implementação de controles criptográficos, dentre outros aspectos que visam prover segurança e privacidade para tais soluções.

Outro documento que a SGD cita como norteador do uso da criptografia nas aplicações do governo federal é o “Guia de Requisitos e de Obrigações quanto à Segurança da Informação e Privacidade”. O guia orienta para a implementação e manutenção de controles criptográficos para armazenamento, tráfego e tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da informação definido pelo órgão contratante.

Há também, normas previstas para aplicativos móveis, como o “Guia de Requisitos Mínimos de Segurança e Privacidade para Aplicativos Móveis”, também da SGD. Este guia estabelece que os aplicativos móveis devem criptografar todas as suas comunicações e usar a fixação de certificado (ou chaves pré-instaladas) para evitar ataques man-in-the-middle, quando adversários podem comprometer a infraestrutura do certificado TLS.

Para a web, a SGD explica que as aplicações do governo precisam ser desenhadas seguindo as diretrizes do “Guia de Segurança em Aplicações Web”, que estabelece uma arquitetura de criptografia forte para proteger seus dados. Além de incentivar o equilíbrio no uso da criptografia conforme os riscos e o sigilo dos dados que a aplicação web irá tratar.

Chaves Públicas

Outro elemento importante de criptografia dentro do poder público citado pelo Ministério da Economia é a Infraestrutura de Chaves Públicas (ICP-Brasil). Essa tecnologia é implementada há mais de 20 anos, e consiste em uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.

Segundo a pasta, os certificados digitais da ICP-Brasil são aplicados em diferentes contextos pelos cidadãos, como assinatura eletrônica de contratos públicos e particulares, e autenticação em sistemas governamentais. 

“A criptografia é mandatória no tratamento de informação classificada quanto ao grau de sigilo (reservado, secreto, ultrassecreto). Nesse contexto, os órgãos públicos aplicam controles criptográficos na transmissão de tais informações por meio eletrônico, bem como no armazenamento, na cifração e na decifração dessas informações, conforme estabelece o Decreto nº 7.845, de 14/11/2012”, diz o ME.

Outro exemplo típico do uso de criptografia é o protocolo HTTPS (Hyper Text Transfer Protocol Secure ou Protocolo de Transferência de Hipertexto Seguro), que permite uma comunicação criptografada na internet, aumentando a segurança. O Ministério da Economia explica que o intuito do protocolo é trazer maior proteção às conexões e ao tráfego de dados na internet, o poder público usa de forma massiva tal protocolo em seus sites na internet. Alguns sites que usam endereço HTTPS, são o Governo Federal; o Conecte SUS e o portal do TCU

Blockchain em campo

Outro exemplo mencionado pelo Ministério da Economia são as transações em blockchain, que funcionam por meio de mensagens criptografadas. “Blockchain é uma tecnologia emergente, que ganha cada vez mais espaço e aplicação no setor público, como nas aplicações para registros públicos, identidade digital, saúde e assistência médica, comércio exterior, tokenização de moeda nacional fiduciária, programas sociais e compartilhamento de informações entre órgãos públicos”.

De forma geral, entende-se que a criptografia é um mecanismo subjacente, muitas vezes não percebida diretamente pelo usuário final do serviço público, mas que está presente de diferentes maneiras em ferramentas e ações do setor público para aumentar a segurança das comunicações e das informações por ele custodiadas.

Por fim, o Ministério da Economia reconhece que a criptografia é um dos mecanismos que leva a um “Governo confiável, que respeita a liberdade e a privacidade dos cidadãos e assegura a resposta adequada aos riscos, ameaças e desafios que surgem com o uso das tecnologias digitais no Estado”, conforme estabelece a Estratégia de Governo Digital 2020-2022, instituída pelo Decreto nº 10.332, 28/04/2020. 

Se você se interessou pelas aplicações da criptografia em nosso cotidiano, não deixe de acompanhar a série CriptoHistórias e participar da live no instagram do IRIS no dia 21 de outubro onde vamos conversar sobre os bastidores do projeto.