Hackers Éticos

A Nova Guarda Pretoriana Digital do Estado

Portugal, terra de poetas, navegadores e... agora, de hackers éticos ao serviço do Estado. O governo, numa jogada que mistura inovação com um toque de desespero, decidiu institucionalizar os chamados "ethical hackers".

É curioso observar como o termo "ético" é agora associado a uma atividade que, por definição, envolve invasão de sistemas. Mas, claro, desde que seja para o "bem comum" e com a devida autorização, tudo é permitido, afinal de contas, quem melhor para proteger os nossos sistemas do que aqueles que sabem exatamente como quebrá-lo?

Num país onde vulnerabilidades críticas em portais governamentais demoraram até quatro anos para serem corrigidas, é reconfortante saber que agora teremos hackers éticos a identificar e reportar falhas, mas será que o Estado está preparado para ouvir e agir com a celeridade necessária?

Portugal, esse país onde o fado é património, o bacalhau é religião e a password do sistema de saúde é provavelmente “1234”, decidiu agora inovar com hackers éticos.

Sim, meus senhores, hackers éticos, ou como quem diz “assaltantes honestos” ou “gatunos com valores”, uma espécie de Robin Hood digital, mas em vez de roubar aos ricos para dar aos pobres, estes apenas entram nos servidores públicos para dizer “Olhem, entrámos, mas foi com boa intenção, até deixámos tudo como estava, tirando só o ficheiro Excel com os dados do Ministério, que estava mesmo mal protegido”.

O governo, sempre atento ao que está na moda, mesmo que venha com dez anos de atraso, resolveu oficializar os senhores que passam a vida a encontrar buracos no sistema, o que é ótimo, porque, pelos vistos, é mais fácil contratar quem invadiu o site da Justiça do que conseguir que a Justiça funcione.

É uma medida inovadora, sim, mas também com um ligeiro aroma a desespero, como quem chama o ladrão para fazer de segurança porque, convenhamos, já conhece o caminho todo, e agora, com hacker ético ao serviço do Estado, falta só criar o cargo de “corrupto consciente” e temos a reforma da Administração Pública completa.

O CERT.PT, responsável por coordenar a resposta a incidentes de segurança, enfrenta limitações significativas de recursos humanos e financeiros.

A introdução de hackers éticos no sistema é uma tentativa de colmatar estas falhas, mas sem um investimento sério e contínuo, corre-se o risco de ser apenas uma medida paliativa e de pura cosmética.

A institucionalização de hackers éticos soa, à primeira vista, como um gesto louvável e progressista, uma espécie de redenção digital, no entanto, coloca outra questão, a desconfiança de colocar os pirómanos com extintor, quando o Estado contrata os incendiários para apagar o fogo digital.

No fim de contas, convém sobremaneira considerar e levar em conta quem são, de facto, os novos “paladinos da segurança”. Estamos a entregar a chave do cofre àquele que passou metade da vida a ensaiar formas de o arrombar, por outras palavras, será como contratar pirómanos para chefiar os bombeiros e esperar que o quartel não arda.

O Estado, em mais uma manobra digna de teatro tecnocrático de boulevard, escolheu colocar os prevericadores, aqueles que testaram, violaram, exploraram e se aproveitaram das falhas do sistema, a desenhar o próprio sistema de defesa, o mesmo sistema que, até hoje, se mostrou lento, opaco e, frequentemente, analfabeto em termos de cibersegurança.

É como se o sistema imunitário decidisse delegar a sua função ao vírus, com a esperança de que este se tenha regenerado e agora promova a saúde.

E tudo isto sem que se tenha resolvido o essencial, porque não há uma infraestrutura digital sólida, nem uma cultura de segurança enraizada na Administração Pública. O que há são remendos, firewalls desatualizados e funcionários que escrevem passwords em post-its colados ao monitor.

Ao legitimar os hackers, como solução, o Estado português não está apenas a tentar mostrar ação, está a institucionalizar a dependência da falha, a romantizar o fora-da-lei digital e a fingir que o caos é controlável desde que se use fato e gravata.

É a lógica do paciente terminal que convida a bactéria para prescrever antibióticos.

Na ausência de uma reforma real, coerente e profunda, que envolva formação séria, investimento estrutural, responsabilização técnica e política, esta aposta nos hackers éticos não passa de uma medida performativa. Ou seja, criar e validar um espetáculo de sombras, em que os mesmos que provaram que o sistema é frágil, agora são pagos para dizer que está tudo bem, tudo seguro, porque os lobos agora vestem a pele do pastor.

Dormiremos melhor, com certeza, se acreditarmos que tudo ficará bem, só porque não queremos saber quem deixou a porta aberta.

Em suma, enquanto a ideia de ter hackers éticos ao serviço do Estado, soa bem em teoria, a prática requer mais do que boas intenções, requer compromisso, investimento e, acima de tudo, uma mudança de mentalidade em relação à segurança digital.