Destaques

Governo decide auditar equipamentos de comunicação através do Inmetro

Apesar das críticas e sugestões das empresas de TICs, que preferiam que o governo fizesse auditorias em equipamentos de comunicações por meio de organismos internacionais, a Secretaria de Logística e Tecnologia da Informação (SLTI) decidiu por uma solução nacional.

Essa decisão deve ser anunciada nesta quinta-feira (06/08) por meio de três documentos, uma “orientação” para que os órgãos federais, ao adquirirem esses equipamentos, solicitem a certificação via o Inmetro – Instituto Nacional de Metrologia, Qualidade e Tecnologia, que ficará encarregado de auditar os softwares embarcados, a partir da verificação de seus códigos-fonte.

Os três documentos a serem publicados pela SLTI são:

– Modelo de Governança e Gestão para a Auditoria de Segurança da Informação em Programas e Equipamentos;
– Conjunto de Características, Critérios, Condições Mínimas e Medidas para Auditoria de Segurança da Informação em Programas e Equipamentos;
– Cronograma de Implantação.

Esses documentos regulamentam a Portaria Interministerial nº 141 de 2 de maio de 2014, que estabeleceu no parágrafo terceiro do Artigo 1º, no tocante à aquisição de equipamentos para comunicação das redes de governo que: “os programas e equipamentos destinados às atividades deverão possuir características que permitam auditoria para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações”.

Meio termo

A decisão da SLTI, entretanto, foi no sentido de tentar contemplar todos os desejos e obrigações que esta portaria criou para os integrantes do governo, ao mesmo passo que tranquilizar os fornecedores no mercado quanto à possibilidade de quebra dos códigos-fonte e do direito autoral sobre eles. A secretaria manteve a decisão de obrigar a quebra desses códigos, mas não necessartiamente e diretamente pelos órgãos federais. Somente terão que constar em seus editais de licitação, a necessidade de auditagem completa das soluções embarcadas nos equipamentos de comunicações que vierem a ser comprados no âmbito do governo.

Segundo o secretário de Logística e Tecnologia da Informação, Cristiano Heckert, as empresas somente serão obrigadas a ceder o código-fonte para fins de auditagem, caso algum órgão venha solicitar por conta de algum incidente envolvendo vazamento de informações sigilosas do governo. Mesmo assim, essa auditoria no software embarcado num equipamento de comunicação será feita pelo Inmetro, que emitirá seu parecer.

A empresa fornecedora do equipamento de comunicação somente será obrigada a fornecer o código-fonte do seu software ao Inmetro, caso tenha aceitado esta condição prevista em edital, quando ocorreu o processo de aquisição do equipamento por determinado órgão. A eventual obrigatoriedade de apresentar o código-fonte ao comprador é vedada na hora da compra e seria inócua para fins de auditoria e garantia do sigilo das informações, já que possivelmente a solução sofrerá atualizações constantes ao longo do contrato.

“Nós não estamos falando que ele (fornecedor) terá de disponibilizar (o código-fonte) no momento da assinatura do contrato. Estamos dizendo que isso poderá ser requerido, caso o governo assim decida por alguma denúncia ou situação que surja ao longo da execução contratual. É importante que o software seja auditável, não quer dizer que ele será auditado em cem por cento dos casos”, afirmou Cristiano Heckert.

No entanto, o secretário fez questão de frisar que, se o governo lançar mão de auditoria do software em determinado momento da execução contratual, este dará todas as garantias para que seja respeitado o direito autoral e de propriedade da solução ao fornecedor. Com isso, a SLTI sinaliza para alguns integrantes do governo ligados ao movimento open source, que estes não terão acesso ao códifo-fonte. O sigilo dele ficará nas mãos do Inmetro. Além disso, a secretaria garante que nem todos os serviços de comunicação exigirão tamanha rigidez no trato da auditagem. Somente os serviços mais sensíveis, que envolvam segurança nacional deverão atender a este requisito.

Defesa

Heckert informou que o Ministério da Defesa não se opõe que o Inmetro seja a entidade responsável pela auditagem dos softwares embarcados em equipamentos de comunicação do governo adquiridos pelas Forças Armadas. Segundo ele, os militares apoiaram a ideia de ter apenas um único organismo capaz de realizar a tarefa e assegurar a confiança necessária para uso dos equipamentos. “Eles aceitaram de nós montarmos um único modelo, justamente para dar essa segurança ao fornecedor”, explicou.

A ideia é que todas essas auditorias sejam realizadas pelos órgãos que compõem o Sinmetro (sistema brasileiro, constituído por entidades públicas e privadas, que exercem atividades relacionadas com metrologia, normalização, qualidade industrial e certificação da conformidade).

“Dessa forma temos um ganho operacional, pois não precisamos montar uma nova estrutura no governo. Vamos usar a que já existe e atende às preocupações dos fornecedores, porque eles não precisarão passar nenhuma informação sensível diretamente para um governo mas, sim, para laboratórios credenciados pelo Inmetro”, destacou o secretário Cristiano Heckert.

Não está descartado pelo secretário também, que o próprio Inmetro venha a solicitar apoio de laboratórios internacionais com os quais mantenha convênios ou parcerias, se assim achar necessário. No entender dele, isso deverá ainda ser objeto de avaliação pelo próprio instituto, se achar conveniente.

Fonte: Convergência Digital

Próximos Eventos