O Ministério da Administração Interna de Portugal anunciou uma revisão da Infraestrutura de Chaves Públicas (PKI) após a descoberta de uma brecha de segurança em sistemas de autenticação utilizados por instituições públicas e privadas. A medida surge em resposta a um relatório da Autoridade Nacional de Proteção de Dados (ANPD), que identificou falhas na validação de certificados digitais, colocando em risco a confidencialidade de dados sensíveis.
Revisão da PKI: O que aconteceu
O incidente foi descoberto em meados de abril, durante uma auditoria interna realizada pela ANPD. A brecha permitia que atacantes pudessem gerar certificados falsos, que seriam aceitos como válidos por sistemas de autenticação. A falha foi identificada em um dos principais provedores de serviços de PKI no país, que atende mais de 500 organizações públicas e privadas.
Segundo o relatório, a vulnerabilidade existia há pelo menos dois anos e foi corrigida em meados de maio. No entanto, a ANPD alertou que a falha poderia ter sido explorada antes da correção, colocando em risco dados de cidadãos, como documentos de identificação e processos de assinatura eletrônica.
Por que isso importa
A Infraestrutura de Chaves Públicas é fundamental para a segurança digital em Portugal. Ela é utilizada em serviços como o Cartão de Cidadão, assinaturas eletrônicas e acesso a plataformas governamentais. A falha exposta pode comprometer a confiança dos cidadãos nos serviços digitais do Estado.
Segundo o diretor da ANPD, "a segurança digital é a base da governança moderna. Qualquer falha nesta área pode ter impactos diretos na privacidade e na segurança dos cidadãos".
Contexto e histórico
A PKI em Portugal é regulada pelo Instituto Nacional de Tecnologias de Informação (INTI), que supervisiona a emissão e validação de certificados digitais. A infraestrutura foi implementada em 2010 como parte do plano nacional de governança digital, visando aumentar a segurança e a eficiência dos serviços públicos.
No entanto, o crescimento do uso de sistemas digitais, especialmente durante a pandemia, expôs lacunas na gestão e manutenção da PKI. A ANPD já havia alertado sobre riscos semelhantes em 2021, mas as medidas tomadas foram consideradas insuficientes.
Consequências e o que vem por aí
O Ministério da Administração Interna anunciou uma revisão completa da PKI, que incluirá a atualização de políticas de segurança e a contratação de uma auditoria independente. A medida deve ser concluída até o final do ano, segundo o secretário de Estado da Inovação Digital.
Além disso, o Governo planeja lançar uma campanha de sensibilização para cidadãos e empresas sobre a importância da PKI e como proteger-se contra ameaças digitais. A ANPD também está trabalhando em novas diretrizes para a emissão de certificados, com maior rigor na validação de identidades.
Como a PKI afeta o dia a dia dos cidadãos
O uso da PKI é essencial para a realização de muitas atividades online, como a emissão de certidões, acesso a serviços de saúde e a assinatura de contratos eletrônicos. A falha exposta pode ter impactado a confiança dos cidadãos em esses serviços.
Expertos em segurança digital alertam que, mesmo com a correção da falha, é importante que os cidadãos estejam atentos a possíveis ameaças. "A segurança digital é um processo contínuo", diz um especialista da Universidade de Lisboa. "É fundamental que os governos e as empresas invistam em infraestrutura sólida e em educação digital."
