[Da imprensa do Sindipetro Unificado SP]
Desde o dia 3 de agosto, a Petrobrás impôs a instalação do Microsoft Intune como condição para que os trabalhadores pudessem ter acesso a contas e ferramentais digitais corporativas como o e-mail, o Teams e o Onedrive.
A justificativa da companhia é que isso aumentaria a segurança, pois os dados trafegariam apenas por aplicativos e ambientes confiáveis, impedindo o vazamento de informações.
Porém, para o especialista em segurança digital e professor do curso de engenharia do instituto de pesquisa Insper Rodolfo Avelino o cenário é exatamente o contrário disso. Ao permitir que a Microsoft tenha acesso a conteúdo sigiloso, a Petrobrás se arrisca diante de uma empresa que já foi acusado de espionar o governo brasileiro.
Do ponto de vista do trabalhador, Avelino explica também que a instalação do software concede automaticamente um acesso privilegiado a quem o comanda, neste caso, o pessoal de TI (tecnologia da informação) da empresa. E caberia a ela o uso ético da ferramenta.
Em entrevista ao Sindicato Unificado dos Petroleiros de São Paulo, o professor esclarece ainda algumas reclamações dos trabalhadores, como a exclusão de aplicativos dos celulares, inclusive corporativos, a dificuldade de acesso a outros programas e o travamento das ferramentas a partir da instalação do Intune.
A Petrobrás aponta que o Intune não fornecerá à empresa acesso a dados do aparelho e do usuário. Há segurança para afirmar isso com certeza?
Tecnicamente é possível configurar para que o sistema acesse apenas os aplicativos que uma política de segurança vai permitir. Por exemplo, se concede apenas o Office 365, só gerenciaria este pacote.
Porém, uma vez que o software estiver instalado no dispositivo, possuirá privilégios muito grandes e próximos dos que tem o administrador do equipamento. Caso a equipe de TI necessite, poderá, quando quiser, alterar a forma como o celular está sendo gerenciado sem que o usuário ofereça consentimento.
Não sou a favor dessa prática de instalar aplicativo corporativo em dispositivo pessoal, invade muito a privacidade do trabalhador e se isso não estiver muito claro na política e ela não tiver sido muito bem explicada, pode causar problemas. Se não deixar claro os limites, a qualquer momento pode mudar e usuário nem saberá.
E o Brasil já teve um problema com a Microsoft há no início da década de 2010…
Sim, o Brasil já teve um *problema divulgado em 2013 pelo Snowden (Edward Snowden, ex-administrador de sistemas da CIA, agência de inteligência estadunidense), no programa Prism (programa de vigilância mundial), da NSA (agência de segurança nacional dos EUA). E a Microsoft foi uma das empresas que mais contribuiu fornecendo informações para as agências norte-americanas.
A Petrobrás, como empresa estratégica de energia brasileira, não considerar esse fator chama muito a atenção. Não deveria nem cogitar pedir aos petroleiros que instalassem isso para circular documentos e informações num processo intermediado por uma empresa americana que já passou por esses problemas.
O problema, então, além do gerenciamento de informações particulares dos trabalhadores pela Petrobrás é a empresa expor suas próprias informações estratégicas à Microsoft?
Sem dúvida, não dá para confiar neles. Agora, em relação à equipe de TI da Petrobrás, eles poderão acessar tudo do equipamento. A partir do momento em que é instalado, o software pode ir se adequando às necessidades da empresa. Como, por exemplo, saber onde o trabalhador está por meio do acesso ao GPS. Isso é muito grave.
Caso, de fato, exista uma necessidade da empresa em fazer um controle tão rigoroso, deveria oferecer um equipamento privado e não tomar o equipamento pessoal como parte de seu ativo.
Alguns trabalhadores reclamaram de incompatibilidade dessa ferramenta com outros aplicativos, inclusive corporativos. Esse tipo de falha é comum quando essa ferramenta é instalada?
Sim, a instalação de um tipo de aplicativo que possua altos privilégios como o Intune, pode acarretar isso. Porque ele será um grande guardião dos programas instalados no dispositivo para que, de fato, consiga restringir acesso, entre outras ações. E é natural que tecnicamente possa impactar em aplicações pessoais. Pode apresentar dificuldade para o usuário utilizar programas pessoais, sobretudo na captura de imagem.
Como a grande função desses aplicativos é não permitir, por exemplo, que um print de um documento possa ser feito, essa função pode impactar outros programas que não tenham nada a ver com o corporativo.
Recentemente, veio à tona um dossiê contra 600 servidores antifascistas que teria sido elaborado por um órgão ligado ao Ministério da Justiça. E a CGU (Controladoria Geral da União) editou uma norma que regula punição ao funcionário público que fizer críticas nas redes sociais ao órgão em que atua. Esse programa também pode atuar para monitorar e alimentar ações como essas?
Dentro desse contexto de vigilância, há outros aplicativos que foram lançados a partir de 2016 e que têm esse papel de fazer a vigilância de grupos e pessoas como jornalistas e militantes de direitos humanos. É o caso do Pegasus, um software israelense, e do Exodus, que é italiano.
A grosso modo, eles funcionam basicamente como um grande guardião do dispositivo tendo acesso irrestrito a arquivos, imagens, entre outros.
A atuação do Intune é uma forma “lícita”, num primeiro momento o usuário pode fazer um mínimo de vigilância. Mas conforme seja interessante para quem o gerencia, ele pode ampliar o monitoramento sem que o usuário tenha consentimento.
Dos termos de uso do Intune, o que chama mais atenção por ser mais invasivo?
O termo de uso é muito genérico e, teoricamente, pode dar aceso a tudo, ler conexões wi-fi, enfim, basicamente, tudo. Mas se perguntar para a equipe de TI que está fazendo o gerenciamento desse software, certamente falará que não é bem assim, que somente gerencia contatos do Outlook corporativo e arquivos baixados por ele. É possível, mas, como disse, uma vez instalado e om tantos privilégios, permite aumentar o tipo de vigilância.
Chegaram ao sindicato reclamações de que o aplicativo criptografa todo celular. Isso é possível?
Ele pode criptografar a área que gerencia e esse é um grande problema também. Eu trabalho com segurança e de três em três meses, formato o meu celular, porque são os aparelhos com maior foco de fraude. Mas, uma vez instalado o Intune, você não tem mais essa liberdade. Também terá dificuldades em fazer limpeza, mesmo que seja um celular particular.
Não só a Microsoft tem esse tipo de sistema, em 2018 já existiam situações onde o backup que muitos aparelhos possuem, incluindo o histórico de navegação, foi interceptado pelas corporações.
Há outras ferramentas que sejam mais efetivas para a segurança das informações da empresa e que não interfiram na privacidade dos petroleiros?
O melhor cenário seria a concessão de um dispositivo corporativo para essas tarefas. Caso seja inviável há outras possibilidades de fazer com que todo acesso corporativo de dados ocorra remotamente sem que exista um agente em execução no dispositivo pessoal e todo esse acesso ser monitorado pela corporação.
Claro que um aplicativo que faz tudo é mais conveniente para quem administra, ainda mais nessa pandemia que gera muito trabalho para as equipes de TI. Como a pandemia não foi algo que chegou aos poucos, algumas companhias adotaram uma forma mais invasiva. Mas já faz cinco meses que isso começou e as empresas deveriam ter pensado em outras arquiteturas tecnológicas.
*Nota: Na ocasião, documentos ultrassecretos obtidos pelo jornalista Glenn Greenwald junto a Snowden mostraram que a presidenta Dilma Rousseff era espionada pela NSA.
[Foto: Agência Brasil]