Dados mais próximos, dados mais seguros?

Numa época em que a palavra segurança parece estar no vocabulário mais utilizado da generalidade da população, resta saber o que podemos, de facto, fazer para garantir a nossa proteção e de tudo o que nos é inerente. Num mundo cada vez mais digital, é imperativo questionar não só o que acontece às informações que colocamos na World Wide Web mas também em que situação se encontram os dados armazenados em data centers. A localização dos centros de dados é um dos temas centrais da Sociedade de Informação e a B!T quis perceber se o local onde são construídos influencia ou não a segurança.

Os centros de dados têm suscitado diversas questões, seja devido ao modo como são construídos e organizados, seja por utilizarem diferentes critérios de manutenção. No entanto, um dos principais pontos em discussão prende-se com a localização dos mesmos.
Nos últimos anos, têm surgido, um pouco por todo o globo, leis que obrigam os dados dos cidadãos a serem armazenados dentro do respetivo país e, apesar de não ser feita menção aos centros de dados per se, é natural que estes sejam contemplados também pelas regras em causa e diretamente afetados por elas.

A principal razão apontada pelos países ou regiões defensoras deste tipo de lei passa pela ideia de que a proximidade da localização dos dados assegura um maior grau de segurança. Porém, esta premissa não é partilhada por todas as frentes. À B!T, Vitor Baptista, EMEA Senior Enablement Manager & EMEA CTO Ambassador da EMC, explica o problema com uma analogia tipicamente norte-americana.
“Nos EUA utiliza-se bastante a analogia com os tempos do velho Oeste, dos cowboys e índios. Não basta encontrar uma boa localização para construir e proteger o Forte contra o ataque dos índios, os cowboys devem estar preparados para que o perímetro seja quebrado e, quando isso acontecer (e vai acontecer) deverão ter meios de defesa para proteger os recursos no seu interior”, disse o executivo da EMC.

Canadá na frente da questão

Para compreender melhor a questão, talvez seja necessário olhar para o cenário geral e perceber em que pé está este processo. Um dos casos mais antigos de implementação de uma lei neste sentido tem lugar no Canadá, mas não na sua totalidade.

Por agora, ainda não são muitos os países ou regiões a adotar este tipo de leis mas, em alguns estados do Canadá, já desde 2004 que as empresas são obrigadas a manter os dados em servidores nacionais. O primeiro estado a aderir foi o de British Columbia tendo em vista a proteção de informações clínicas para que estas não caíssem nas mãos dos EUA. Nova Escócia seguiu-lhe as pisadas e criou também uma lei que garantisse que todas as informações pessoais estivessem sob a custódia do Canadá, o que se traduz no armazenamento e no acesso exclusivo em território nacional.

As regras destes dois estados estão, contudo, a ser desafiadas pela Câmara do Comércio canadiana que está a ponderar aliar-se aos Estados Unidos numa parceria que acabaria com qualquer restrição geográfica à localização dos dados.

Dois passos à frente, um passo atrás

Se, no Canadá, a situação parece estar a seguir o caminho inverso ao que seria de prever perante um momento de crescente paranoia relativamente à segurança dos dados e ao papel de crescente relevo de forças nacionalistas, por outro lado, no Brasil, uma lei deste âmbito não conheceu aprovação.

O governo brasileiro tentou implementar legislação nesse sentido mas a aprovação final deixou de fora a obrigatoriedade dos dados dos cidadãos terem de estar armazenados em estruturas nacionais. A proposta partiu da suspeita de que empresas e autoridades brasileiras estariam a ser vigiadas pela Agência de Segurança Nacional norte-americana e, por isso mesmo, urgia resolver um problema que poderia revelar-se transversal a todo o país.

O Marco Civil da Internet, aprovado em julho de 2014, englobava, primordialmente, três áreas fundamentais do universo digital brasileiro incluindo a privacidade da informação, a neutralidade da rede e a localização dos dados mas este último ponto não obteve um resultado positivo. As empresas mostraram-se terminantemente contra o armazenamento em data centers brasileiros já que essa mudança implicaria avultados investimentos, considerados desnecessários.

O governo optou por modificar o Marco Civil de modo a garantir que a segurança dos dados passava por sistemas de proteção reforçados e não pela proximidade geográfica dos mesmos. Para além disso, apesar dos dados poderem ser armazenados fora das fronteiras brasileiras, terão de obedecer à legislação do país pelo que eventuais dúvidas relativamente a ações criminosas ou terroristas poderão ser dissipadas através do mero pedido por parte das entidades responsáveis.

O caso russo

Na Rússia, o panorama é totalmente diferente. O Kremlin invoca a segurança dos cidadãos como bandeira máxima de todas as ações tomadas e a localização dos dados não escapa a este plano.

No entanto, o facto da obrigatoriedade partir do governo invoca, aliás, outro tipo de explicações para esta tendência que não a proteção da privacidade dos utilizadores. Vitor Baptista, da EMC, lembra que “além de uma questão tecnológica, esta é uma discussão de cariz político, com cada país e governo a defender os benefícios do seu território e assim tentar garantir mais investimentos e emprego”.

No próximo ano, a Rússia cumpre as ameaças de longa data e torna obrigatória a localização dos dados dos cidadãos dentro do país. Em causa estão todas as informações que se enquadrem na esfera pessoal já que, de acordo com o próprio presidente, Vladimir Putin, a medida foi criada em função do conflito com a Ucrânia.

Putin defende que a crise entre os dois países pode suscitar ataques virtuais e que o armazenamento dos dados, na Rússia, deverá garantir a segurança dos mesmos e evitar possíveis roubos.

Graças a esta medida, também os data centers terão de estar localizados, na Rússia, o que significa um esforço por parte dos grupos internacionais em encontrar soluções que prevejam a construção de novas estruturas no território, caso ainda não existam. Mas também as empresas que utilizam soluções cloud, que não deveriam conhecer fronteiras, verão os seus negócios afetados por esta lei.

Caso as empresas que fornecem os serviços que utilizam, atualmente, não aceitem as novas regras, os seus clientes terão de encontrar novas soluções o que implica não só gastos financeiros como também a nível de tempo.

As empresas terão de cumprir a nova lei sob pena de verem as suas páginas bloqueadas pelo regulador Roskomnadzor. Este regulador governamental tem sido também colocado em causa devido ao caráter dúbio que emana relativamente a se é ou não confiável, já que algumas empresas têm mostrado preocupação relativamente ao eventual livre acesso de Putin a informações que deveriam ser confidenciais.

Contactado pela B!T, João Traça, advogado na Miranda Correia Amendoeira Associates e especialista no ramo das TI, partilha a sua visão e refere que obrigar os dados a estarem alojados dentro do espaço nacional não tem a ver com segurança. Na sua perspetiva, este tipo de medidas tem como intuito dificultar a difusão de informações desfavoráveis ao país em causa e diminuir a “possibilidade de escândalos”.

Este é, aliás, um problema transversal a todos os países, independentemente de possuírem ou não uma lei específica para a localização dos dados e suas estruturas físicas de suporte. Se, em países como o Brasil, o governo apenas precisa de pedir para que possa aceder a todo o tipo de informações, noutros países é necessária a apresentação de um mandado legal para o efeito. No entanto, em ambos os casos, os dados tornam-se acessíveis, de modo relativamente simples, às entidades governamentais, se assim o entenderem.

Motivações mantêm-se

Por regra, as empresas ainda não estão a levar em conta a eventual obrigatoriedade de localização dos dados no próprio país das empresas clientes como critério para a escolha do local onde construirão o próximo centro de dados. As principais motivações prendem-se, tal como tradicionalmente, com custos de produção, recursos energéticos, capacidades ecológicas e atração de trabalhadores qualificados, bem como disponibilidade de redes de comunicação eficientes.

Gonçalo Costa Andrade, diretor divisão de Cloud da IBM Portugal, referiu à B!T que “na visão da IBM, caso a localização em si cumpra todas as características de segurança do ponto de vista físico, incluindo os processos implementados e a certificação de segurança dos data centers, essa mesma localização não contribuirá para a redução das atividades de cibercrime e roubo de dados”, lembrando outra justificação comum para a implementação de leis de localização de dados.

O executivo continua, defendendo que “essas atividades têm maioritariamente lugar na Internet, que não tem fronteiras nem é sensível à localização dos ambientes de processamento e de armazenamento de dados”.

Da parte das empresas fornecedoras de soluções de data centers, as motivações primordiais mantêm-se, prevalecendo a segurança física. Pedro Vieira, diretor de desenvolvimento de negócio da CESCE SI, explora ainda outro lado da questão ao explicar que a segurança dos data centers não é “um critério imperativo para condicionar a adoção de outsourcing ou cloud por parte das empresas, pois os fundamentos desse tipo de decisões são tipicamente outros.”

Esses fundamentos típicos, para além dos já referidos, incluem ainda aspetos geológicos e meteorológicos sendo que a localização escolhida deve ter em conta a probabilidade de desastres naturais como terramotos ou cheias.

Em processos de transmissão de dados todos são reis

Porém, aquando da escolha do local de construção de um novo data center, as empresas deverão levar em consideração, cada vez mais, não só os aspetos geográficos mas também as eventuais restrições legais.

Para além das já abordadas, estão ainda em causa outros tipos de regulações. É preciso ter em conta que, muitas vezes, a localização de um centro, em determinado país, que não o de origem da empresa, poderá colocar em conflito as regras de proteção de dados dos dois países levando a questionar onde reside a soberania.

Adicionalmente, é necessário também incluir os países por onde os dados poderão, eventualmente, passar graças aos processos de transmissão que, muitas vezes, implicam a presença temporária dos dados noutras regiões.

No momento de decidir que leis se sobrepõem a quais, não é raro que a questão acabe numa sala de tribunal.

Bom negócio para empresas de curto alcance

Tendo em conta que um centro de dados é muito mais do que um simples local de armazenamento, o investimento torna-se pesado para as empresas mas poderá significar uma fonte de crescimento económico importante para a região escolhida. Em causa estão estruturas, servidores, cabos, conexões à internet, sistemas de segurança, soluções de refrigeração e outros componentes físicos que requerem atenção.

Para além dos eventuais benefícios para a região também as pequenas empresas poderão encontrar aspetos positivos neste tipo de regras. Os negócios locais, por já estarem implementados nos territórios, poderão ser a primeira escolha das empresas clientes em busca de soluções de data centers. Pela primeira vez, pequenos fornecedores poderão competir e até ter algumas vantagens relativamente aos grandes grupos globais.

A importância da localização na Cloud

No campo dos cloud data centers, a localização dos dados assume um papel mais importante que ultrapassa eventuais caprichos governamentais. As empresas que adotam este tipo de soluções para os seus negócios mostram-se, muitas vezes, preocupadas e interessadas em conhecer o trajeto exato que os seus dados percorrem, pelo que esta já é uma realidade para nomes como a Microsoft que disponibiliza aos seus clientes a hipótese de escolherem em que centro de dados querem que as informações sejam alojadas.

Gonçalo Costa Andrade, da IBM, explicou, à B!T, a posição da empresa relativamente a este tema e afirma que “em modelos de cloud, em que podemos levar ao limite a desmaterialização da localização, é, no entanto, importante para muitos clientes a localização dos dados para que possam avaliar os riscos associados”. O executivo garante ainda que a IBM está preparada para identificar inequivocamente a localização dos dados do cliente, “ao nível da localização do data center e do servidor ou do equipamento de storage” e defende que a incapacidade de providenciar este tipo de informação “se pode traduzir numa maior incerteza quanto à sua segurança do ponto de vista físico”.

Portugal segue linhas europeias

Na Europa, também a proteção de dados tem sido amplamente discutida e várias têm sido as propostas de alteração da diretiva em vigor e que data de 1995. De acordo com este documento, os dados têm de estar armazenados em território pertencente ao espaço económico europeu ou, em alternativa, em países cujas leis de privacidade sejam idênticas às da União Europeia.

A título de exemplo, a Argentina possui um nível de proteção considerado adequado ao passo que os Estados Unidos não conseguiram obter esse estatuto. Porém, o país conseguiu resolver o problema de outra forma. João Traça explicou que foi criada uma medida que possibilita a partilha de dados entre os EUA e a UE através do Safe Harbor.

Ao invés de todo o país estar sob o chapéu de nível de proteção adequado, apenas as empresas registadas no Safe Harbor são elegíveis de participar no programa e ter acesso a estruturas europeias.

Mas esta diretiva poderá ser alvo de alterações também neste campo. À luz da mais recente mudança aprovada, cujo objetivo é criar uma “one-stop shop” para a regulação de dados no que diz respeito aos 28 Estados membros, será seguro dizer que as alterações que se sigam terão sempre como pano de fundo a unificação das legislações.

Como explica João Traça, a Diretiva de Proteção de Dados, em vigor, funciona como uma lei-quadro para guiar a criação das leis individuais de cada país. De acordo com este documento, não podem existir barreiras dentro do espaço comunitário pelo que uma empresa portuguesa poderá ter os seus dados alojados em França ou na Alemanha e uma empresa espanhola pode escolher armazenar os seus dados em Portugal.

Essas leis individuais deverão espelhar a diretiva e respeitar as suas linhas guias mas as especificidades são diferentes de país para país. Se a tendência de unificação e desfragmentação se mantiver, esta discrepância entre os diferentes Estados poderá ver um fim.

Tendo em conta o quadro europeu, Portugal não tem nem pode vir a ter leis que obriguem o alojamento exclusivo dos dados em servidores e data centres nacionais, porém, este não parece ser um cenário preocupante para as empresas.

Gonçalo Costa Andrade, da IBM, garante que “a proximidade dos data centers é um fator subjetivo no que diz respeito à segurança dos dados” e deixa a questão: “O que será mais seguro: dados armazenados num data center que se situa num determinado país e que não tem os processos de salvaguarda e segurança adequados, ou dados armazenados num data center certificado mas que se situa noutro local ? … Inequivocamente o segundo caso”.

A localização eventualmente longínqua dos centros de dados onde os mesmos estão armazenados não representa um fator eliminatório aquando da comparação das diferentes opções e ofertas. Vitor Baptista, da EMC, afirma que “a existência de centros de dados locais, por exemplo em Portugal, onde à partida existem melhores condições de segurança para o armazenamento e processamento dos dados, não invalida que opções externas sejam também consideradas”. Embora entenda que, para os clientes, essa característica possa ser aliciante.

“Para os clientes a existência desta variedade e possibilidade de escolha é obviamente positivo, pois podem eleger a melhor oferta considerando os seus requisitos e capacidade de investimento”, refere o executivo.

Pedro Vieira, da CESCE SI, partilha da mesma perspetiva quando declara que “os fornecedores de serviços que tenham capacidade de construir data centers em Portugal, e que cumpram com as boas práticas e os critérios mais rigorosos que se pratiquem internacionalmente, poderão efetivamente tirar partido do facto dos clientes se sentirem mais confortáveis com a proximidade do ‘seu’ data center mesmo quando externalizado.”

Dados Públicos sem regras de localização?

Recentemente, o Governo português anunciou a intenção de guardar bases de dados da Administração Pública através de tecnologia de cloud, contudo, a proposta apresentada não continha qualquer tipo de referência relativamente à localização dos centros de dados.

Apesar de não poderem ser impostas restrições, devido à Diretiva de Proteção de Dados europeia, poderão ser feitas recomendações no sentido de armazenar ou não os dados em estruturas presentes em Portugal.

Na altura, a Comissão Nacional de Proteção de Dados (CNPD) emitiu um parecer onde considerou que a situação merecia “ponderação cuidada” devido à natureza pública dos dados em causa, colocando de novo na ordem do dia a questão sobre se a segurança estará diretamente relacionada com a localização dos centros de dados.

No mesmo parecer, a CNPD recomendou a criação de uma norma que impedisse o alojamento dos dados em estruturas fora das fronteiras portuguesas.

Segurança dos dados está nas mãos dos sistemas de proteção

A ideia de que a segurança depende – se não inteiramente, em grande parte – da localização dos data centers parece estar concentrada em apenas algumas entidades mas ainda sem grande dimensão. Tendo em conta o atual panorama geral, dificilmente este fator se tornará tendência.

O diretor da divisão de cloud da IBM afirma que a localização “não é relevante para o efeito de proteção dos dados, partindo do princípio que estamos a considerar o mesmo nível de segurança física entre distintas localizações”. Em causa estão, então, os sistemas de proteção e se obedecem ou não a níveis adequados de segurança. Vitor Baptista, da EMC, explica que “a segurança dos dados está sobretudo relacionada com os mecanismos de proteção e menos com a localização dos centros de dados. A quase totalidade dos ataques é realizada remotamente e apesar de haver exceções que confirmam esta regra em qualquer dos casos a proteção dos dados – controle de acessos, encriptação, autenticação, etc. – é o fator crucial.”

A propósito do controlo remoto, Pedro Vieira, da CESCE SI, lembra ainda que “na sua quase totalidade os ataques informáticos são realizados por meios que não são físicos” e, por isso “as organizações têm que privilegiar a proteção lógica e a gestão da informação de forma a poder proteger os seus dados.”