A 19 de abril, o site Pastebin dá a conhecer um ataque à plataforma que gere as compras da Entidade de Serviços Partilhados da Administração Pública (ESPAP; a antiga Agência Nacional de Compras Públicas). O ataque reivindicado pelo grupo de hacktivistas Anonymous alega ter garantido o acesso a mais de 30 bases de dados e ainda telefones, moradas e e-mails de mais de 13 mil fornecedores registados na plataforma que suporta uma das maiores fatias de compras do Estado. A reivindicação chegou à Net, mas o ataque terá demorado a ser conhecido fora das conversas entre profissionais de segurança eletrónica. Ao que a Exame Informática apurou junto de peritos, em agosto, a plataforma usada pela ESPAP ainda teria vulnerabilidades que, eventualmente, poderão ter sido usadas no ataque reivindicado pelos Anonymous em Abril. A ESPAP confirma à Exame Informática que alertou as autoridades competentes, depois de ter tido conhecimento do caso. A PJ confirma ter conhecimento da situação com uma frase lacónica, mas elucidativa: «A PJ não se pronuncia sobre casos que estão sob investigação».
Além da PJ, a ESPAP também terá notificado o Instituto dos Mercados Públicos, do Imobiliário e da Construção (IMPIC), o Gabinete Nacional de Segurança (GNS) e a Gatewit. A Gatewit é a empresa que desenvolveu a plataforma que foi selecionadas pela ESPAP para levar a cabo múltiplos concursos relacionados com as compras do Estado. E por isso é natural que tenha sido notificada enquanto fornecedora de uma ferramenta que é usada diariamente por múltiplos fornecedores e organismos do Estado.
No que toca ao IMPIC e ao GNS, as notificações estão previstas pela legislação em vigor. O IMPIC é a entidade que regula e supervisiona a atuação das plataformas eletrónicas que suportam as compras do Estado, e é a única entidade que tem o poder para retirar as credenciais necessárias para operar no mercado da contratação eletrónica. O GNS tem como função fazer, ou pelo menos supervisionar, as auditorias que atestam que cada plataforma usada nas compras do Estado respeita as boas práticas. Consoante os resultados destas auditorias, o IMPIC poderá ordenar ou não a retirada da licença de uma plataforma de contratação eletrónica.
Para já, são ainda desconhecidos os efeitos do ataque dos Anonymous. Os arquivos dos contratos permanecem a salvo? Houve violação das medidas de segurança necessárias para suportar os concursos levados a cabo nos últimos meses? Os hackers terão usado as vulnerabilidades para falsear os resultados ou propostas de concursos? As vulnerabilidades chegaram a ser exploradas antes do ataque de abril?
As questões em aberto são múltiplas – mas há um facto que várias fontes bem colocadas em organismos do Estado confirmam: O IMPIC ordenou a retirada de credenciais à Gatewit. Em Julho, o GNS levou a cabo uma auditoria à plataforma da empresa. Ao que a Exame Informática apurou, essa auditoria rotineira (todas as empresas de contratação eletrónica vão ser sujeitas a auditorias) detetou várias «inconformidades». O que levanta uma questão ainda inexplicada: foi o ataque dos Anonymous ou foram as «inconformidades» detetadas na auditoria rotineira que levaram à ordem de cancelamento da licença? O IMPIC, o GNS, o Ministério do Planeamento e Infraestruturas e o Ministério da Presidência do Conselho de Ministros não avançam com detalhes sobre este assunto, e não comentam nem desmentem a ordem de cancelamento de licenças que foi avançada contra a Gatewit.
Licença em suspenso
Sem as credenciais do IMPIC, a Gatewit ficaria impedida de suportar concursos do Estado. O que pode ser considerado um golpe quase fatal na empresa que é, com grande probabilidade, a líder da contratação eletrónica junto de organismos do Estado. E por isso a Gatewit não tardou a reagir: no dia 2 de agosto dá entrada no Tribunal Administrativo de Círculo de Lisboa uma providência cautelar interposta pela Construlink (o nome original da Gatewit, antes de lançar uma nova marca) que suspende o efeito da ordem do IMPIC que pretendia o cancelamento das credenciais da Gatewit. E é nesse ponto em que se encontra atualmente o processo: à espera que o juiz dê provimento à ordem dada pelo IMPIC ou que, pelo contrário, decida a favor da Gatewit e da manutenção da respetiva licença.
O IMPIC publicou uma nota informativa que classifica como ilegais os tarifários e as velocidades de acesso às plataformas de contratação eletrónica
A Exame Informática contactou por mais de uma vez a Gatewit, que optou por não comentar, negar ou confirmar as informações aqui publicadas.
O Ministério do Planeamento e Infraestruturas (que tutela o IMPIC) e o IMPIC também foram contactados, não tendo avançado com informação sobre o ataque reivindicado pelos Anonymous ou pelas inconformidades que levaram à ordem de cancelamento da licença da Gatewit.
O Ministério da Presidência do Conselho de Ministros remeteu as respostas sobre este caso para o GNS, que está sob a sua tutela. Por e-mail, o GNS não desmente ter feito qualquer auditoria, mas também não fornece qualquer dado que a confirme e é omisso quanto a potenciais inconformidades detetadas na plataforma da Gatewit que hoje é usada pela ESPAP.
Também não é fornecida qualquer confirmação ou detalhe sobre o ataque dos Anonymous que incidiu sobre a entidade que concentra uma grande fatia dos concursos do Estado. No e-mail enviado para a Exame Informática, o GNS apenas esclarece o âmbito da atuação do Centro Nacional de Cibersegurança (CNCS), que «funciona no âmbito do GNS, desenvolve as capacidades nacionais de prevenção, monitorização, deteção, reação, análise e correção destinadas a fazer face a todo e qualquer incidente de cibersegurança e ciberataque».
O GNS também recorda que «no âmbito de qualquer sistema de informação, não é possível garantir uma segurança a 100%, pois, em tese, existe sempre a possibilidade de haver intrusões indevidas. Deste modo, o GNS/CNCS apenas pode assegurar a verificação do cumprimento dos requisitos legalmente definidos». O e-mail, que não inclui uma única menção à Gatewit apesar das questões apresentadas nesse sentido, acrescenta ainda que «até ao cancelamento da licença qualquer empresa gestora pode exercer a atividade de gestão e exploração de plataformas eletrónicas encontrando-se estas, assim, em condições de operar legalmente».
Apesar de fornecer plataformas de contratação eletrónica para a ESPAP, a Autoridade Tributária e o Ministério da Defesa, a Gatewit não tem tido uma relação pacífica com as entidades supervisoras durante os últimos dois anos. No final de 2014, a Gatewit foi alvo de uma auditoria do Centro de Gestão da Rede Informática do Governo (CEGER) que, nessa altura, ainda não tinha sido substituído pela IMPIC nas funções de supervisor das plataformas de contratação eletrónica usadas pelo Estado. Boa parte do diferendo deveu-se à entrada em vigor de novas regras, que previam a interoperabilidade dos selos temporais (que funcionam como certificados que garantem a data em que uma proposta é apresentada por um fornecedor a uma empresa ou organismo do Estado).
A interoperabilidade deu aos fornecedores a possibilidade de usarem nas plataformas de contratação eletrónica selos temporais de diferentes proveniências, independentemente da tecnologia e dos preços praticados. A alteração não terá sido do agrado da Gatewit, que enveredou, antes da alteração dos regulamentos, por uma abordagem comercial e um modelo de negócio que privilegiavam os custos de entrada reduzidos e a obrigatoriedade de uso de selos temporais da própria empresa, com custos mais elevados (depois da interoperabilidade prevê-se que os selos temporais passem a custar dezenas de cêntimos).
Recentemente, surgiram nas redes sociais vários textos e posts que acusam a Gatewit de cobrar tarifários com diferentes velocidades de acesso às plataformas que agregam as propostas que os fornecedores apresentam aos concursos do Estado.
No site Base, que publicita os vários concursos do Estado, o IMPIC divulga, a 10 de outubro, uma nota informativa que reitera a ilegalidade dos tarifários que permitem o aumento de velocidade dentro das plataformas usadas para os concursos dos Estado.
O IMPIC cita a legislação em vigor que determina que «as plataformas eletrónicas devem estar disponíveis, não podendo constituir um fator de restrição no acesso dos interessados aos procedimentos de formação de contratos públicos».
O supervisor da contratação eletrónica nunca chega a citar a Gatewit (apenas é mencionada «uma plataforma eletrónica a laborar no mercado»), mas não deixa margem para dúvidas quanto à apreciação que faz dos tarifários que variam consoante as velocidades de acesso às plataformas eletrónicas: «Pela conjugação destas normas legais, as situações acima descritas (exigência de aquisição de pacotes de velocidade de utilização da plataforma, limitação da gratuitidade aos primeiros 5 minutos de utilização da plataforma e limitação da gratuitidade à submissão de ficheiros até 1 Mb) constituem práticas ilegais por consubstanciarem uma restrição ao acesso dos interessados aos procedimentos de formação de contratos públicos e por estabelecerem limites de utilização gratuita aos serviços base».
«As referidas situações são tipificadas na lei como infrações graves, nos termos do disposto nas alíneas n) e s) do seu artigo 83º, constituindo fundamento para a instauração dos respetivos processos de contraordenação a cargo deste instituto», refere a nota informativa assinada por Fernando Oliveira da Silva, presidente do IMPIC, que exorta os fornecedores do Estado que se considerem afetados pelos tarifários a denunciarem este tipo de práticas.
O site www.compraspublicas.com, que é gerido pela Gatewit, não demorou a responder à nota informativa, com um texto intitulado «Gatewit alerta: textos do IMPIC ou GNS estão fora da Lei». Nesse texto, a Gatewit refere ainda: «Alertamos uma vez mais que as autoridades competentes para interpretar e aplicar a lei nacional, mormente declarando ilegalidades, são, de acordo com a Constituição da República Portuguesa, os Tribunais Portugueses e não meros organismos e serviços públicos, inseridos na Administração Pública, sem poderes de regulação sobre as plataformas eletrónicas. Lamentamos também que o Licenciador IMPIC (que esquece frequentemente que não é regulador) em vez de motivar reuniões de inovação nas plataformas, esteja mais preocupado em incentivar reclamações e à conflituosidade».
