Os encarregados de proteção de dados da Suíça alertaram para o uso de softwares em nuvem, como o Microsoft 365 (antigo Office 365), por órgãos governamentais. O grupo, chamado Privatim, recomenda que instituições públicas evitem plataformas SaaS — programas online acessados por meio de uma assinatura — e serviços de grandes provedores internacionais devido a pontos considerados críticos de segurança e privacidade.
O documento, fruto de uma conferência do setor, foi divulgado na semana passada. Ele decorre de uma preocupação crescente com a falta de criptografia de ponta a ponta efetiva e com o risco de acesso indevido a informações estratégicas. A resolução também cita que versões hospedadas em nuvens sujeitas ao CLOUD Act, dos Estados Unidos, não seriam compatíveis com o nível de proteção exigido para dados especialmente sensíveis.
Por que a Suíça desaprova o SaaS no setor público?
De acordo com a autoridade de privacidade, muitos serviços SaaS ainda permitem que o provedor acesse dados em texto puro, o que contraria práticas de segurança necessárias para informações protegidas por lei. Outra crítica é a capacidade dessas empresas de alterar unilateralmente seus termos de serviço, o que pode fragilizar garantias previamente contratadas.
“O uso de aplicativos SaaS implica uma perda significativa de controle”
Privatim
Para o órgão, quando uma plataforma opera fora do domínio do governo, a instituição não consegue interferir na probabilidade de violações de direitos. A recomendação, portanto, é evitar liberar dados críticos para ambientes externos, salvo em situações em que não haja alternativa.
O texto conclui que, “na maioria dos casos”, soluções de grandes fornecedores internacionais não deveriam ser usadas pelo setor público suíço — com o Microsoft 365 sendo citado explicitamente como exemplo inadequado.
Casos recentes ampliam alerta
Enquanto a Suíça reforça seus critérios, novos episódios destacam as fragilidades do ecossistema digital global.
Um deles envolve a análise do engenheiro de segurança Luke Marshall, que decidiu medir a exposição de informações em repositórios públicos do GitLab. Usando filas da AWS e a ferramenta TruffleHog, ele escaneou 5,6 milhões de projetos e encontrou 17 mil segredos válidos, incluindo credenciais do Google Cloud, chaves da AWS, tokens de bots do Telegram e acessos ao OpenAI. “Isso me custou cerca de US$ 770, mas me permitiu escanear 5,6 milhões de repositórios em cerca de 24 horas”, informou.
Outras plataformas também revisam suas políticas diante de riscos. O aplicativo Strava publicou uma atualização preliminar de termos de uso que responsabiliza totalmente o usuário por eventuais problemas relacionados ao rastreamento de localização. A medida surge após mapas compartilhados na plataforma revelarem posições de agentes de segurança.
No campo da segurança global, o pesquisador Nariman Gharib divulgou documentos que, segundo ele, detalham operações do grupo iraniano Charming Kitten, incluindo desde desenvolvimento de ferramentas ofensivas até ações voltadas a identificar alvos considerados inimigos do regime.
“Cada banco de dados de companhias aéreas violado, cada sistema de reservas de hotéis comprometido, cada clínica médica invadida alimenta um sistema projetado para localizar e matar pessoas que o regime iraniano considera inimigas”, disse ele.
Suíça orienta órgãos públicos a evitar Office 365 e outros serviços SaaS
Link do Autor