Opinião: Falhas de segurança na Segurança Social Direta - Uma oportunidade para repensar a protecção de dados e a confiança dos cidadãos?

Por Rui Martins (*)

A recente revelação de que algumas contas da Segurança Social Direta tiveram os seus IBANs alterados sem o consentimento dos beneficiários é alarmante e suscita-me preocupações sobre a segurança dos dados dos cidadãos. Este incidente não só pode ter causado perdas financeiras a um número indeterminado de pessoas, mas também compromete a confiança nas instituições que deveriam zelar pela proteção de informações sensíveis. A resposta da Segurança Social, embora tenha sido rápida e eficiente (há que o dizer), levanta-me algumas dúvidas sobre a eficácia das medidas de segurança implementadas até agora neste site e noutros (como o do AforroNet do IGPC) e, sobretudo, sobre a obsolescência generalizada de todas estas plataformas geridas por entidades do Estado.

A decisão de suspender temporariamente as alterações de IBAN online e exigir que mudanças fossem feitas presencialmente é um passo na direcção certa. Contudo, apenas aborda a questão de forma reactiva, quando a natureza proactiva da protecção de dados deve ser uma prioridade contínua. A proposta da Iniciativa CpC: Cidadãos pela Cibersegurança para uma campanha de sensibilização a realizar por todos os utilizadores da plataforma é essencial para aumentar os níveis de segurança e confiança na plataforma. Enquanto fundador da CpC acredito que educar a população sobre os riscos associados à fraudes financeiras e fornecer directrizes claras sobre como todos se podem proteger melhor é uma abordagem que pode prevenir situações semelhantes no futuro.

Outro ponto crítico é a recomendação de alterar passwords. Embora seja crucial, é importante destacar que as regras de construção de passwords agora implementadas devem ser acompanhadas de um verdadeiro esforço para que todos nós - utilizadores do Caixa Directa - compreendam a importância de usar passwords seguras, únicas para cada acesso ou serviço e que evitem palavras ou números que sejam variantes directas de informações públicas (nomes, aniversário, locais, etc). Sugiro vivamente o uso gestores de passwords, tais como o Bitwarden (gratuito) especialmente em combinação com métodos de protecção biométrica (por impressão digital).

De qualquer modo, temos que ter em conta que a cibersegurança é um esforço colectivo: É certo que um sistema de autenticação por múltiplos fatores deveria ser prioritário para os gestores técnicos do site da Segurança Social Direta uma vez que isso não somente aumentaria a protecção das contas, mas também restauraria a confiança perdida dos cidadãos na plataforma. Acredito também que o número de Segurança Social, como username, é um erro. É outro um ponto fraco que deve ser corrigido, dado que tais informações são susceptíveis a serem exfiltradas e vendidas a terceiros.

Por fim, acredito que a presença de cookies rastreadores de terceiros, como o do YouTube no site da Segurança Social Direta, é um contrassenso num contexto onde a segurança da privacidade deveria ser prioritária.

Em suma, a situação actual é preocupante, mas também é uma oportunidade para um realinhamento das prioridades em relação à segurança digital por parte do site. O incidente - a par de outro recente e mais grave no site gerido pelo IGPC do AforroNet - demonstra que existe uma necessidade urgente de actualizar estas plataformas e de as adequar aos mais recentes e seguros padrões actuais de cibersegurança. Contudo, para já, vejo apenas soluções cosméticas e de emergência, faltando de forma gritante o bloqueio de todas as formas de acesso que não usem autenticação por múltiplo factor.