Como é que o Primeiro-Ministro envia um documento reservado ou faz uma chamada para o telemóvel do Presidente da República? Se depender da Privus, a resposta passará sempre pela app SecurLine. A startup criada por portugueses com sede na Suíça acaba de receber do Gabinete Nacional de Segurança (GNS) a necessária certificação para disponibilizar a aplicação SecurLine para “o processamento e transmissão de informação classificada até ao nível Nacional Reservado”. Além de telefonemas e mensagens, a SecurLine garante a encriptação para videochamadas e chamadas em conferência com vários utilizadores.
Desde 2016 que a Privus tem vindo a explorar o segmento das comunicações encriptadas através da comercialização de uma app, que não será muito diferente de Whatsapp, Signal ou Telegram no que toca à forma de funcionamento, mas promete um nível de segurança e privacidade acrescido, através do uso de ferramentas de encriptação AES 256 e do protocolo ZRTP, que a Agência Nacional de Segurança dos EUA (NSA) já classificou com o nível máximo de dificuldade e robustez face às tentativas de interceção. O processo de certificação do GNS durou cerca de ano e meio, e contemplou a disponibilização do código-fonte da app e testes de intrusão por especialistas em cibersegurança.
Atualmente, a SecurLine é usada por mais de 1000 entidades – e entre elas, constam algumas das personalidades que figuram entre “os mais ricos do mundo”. Ao contrário de outras apps de mensagens e comunicações de voz sobre IP, a SecurLine pode ser usada desde que esteja instalada nos telemóveis de dois ou mais interlocutores – mas está ainda disponível uma versão que, além da app, prevê a instalação de servidores que gerem as comunicações encriptadas nos centros de dados de empresas ou entidades governamentais que são clientes da Privus. E é esta versão que garante a gestão das comunicações com a instalação de servidores em centros de dados (“on-premises”) que recebeu a certificação do GNS.
“O GNS atribuiu à versão 2.4.16 da Aplicação SecurLine da Privus uma certificação com base em critérios pré estabelecidos, sendo esta sujeita a determinadas condições inerentes à sua utilização, como por exemplo a utilização feita através de plataformas com Trusted Execution Environments, gerida “on-premises” e por via de sistemas de gestão centralizada do tipo Mobile Device Management (MDM)”, informa o GNS, que é liderado por António Gameiro Marques.
Na versão que não prevê a instalação de servidores nos centros de dados dos clientes, as comunicações encriptadas são geridas, numa lógica de cloud computing, pelos servidores que a Privus mantém na Suíça. “Esta solução foi desenhada desde o início para garantir a encriptação tanto a nível técnico, como a privacidade a nível legal. Na modalidade de cloud, apenas respondemos legalmente aos tribunais suíços. Por outro lado, no caso das comunicações disponibilizadas a dirigentes e representantes do Governo, faz sentido, por uma questão de soberania dos dados, que os servidores estejam localizados em instalações do Estado”, refere Henrique Corrêa da Silva, diretor e fundador da Privus.
Ao contrário das aplicações especializadas em mensagens e voz sobre IP mais conhecidas da praça, a SecurLine não é gratuita – e apenas é comercializada a grandes empresas e entidades governamentais, não estando disponível para o público em geral.
Henrique Corrêa da Silva garante que é seguida a lógica Know Your Client (tradução: Conhece o Teu Cliente). “Dizemos às pessoas que querem ser nossas clientes que a SecurLine não pode ser usada para coisas ilegais, e quando dizemos isso quem tem intenções menos claras geralmente desiste de se tornar nosso cliente”, acrescenta o líder da Privus, que tem no currículo 15 anos como operacional da Polícia Judiciária e Serviços de Informações de Portugal.
A Privus garante que, uma vez instalada nos telemóveis dos utilizadores, já não tem forma de saber quem é que comunicou com quem. A app de encriptação tira partido dos chips de segurança dos iPhones e de alguns modelos recentes de telemóveis que correm Android para evitar intrusões e extração de dados, como aquelas que levam à clonagem de dados de telemóveis na passagem de algumas fronteiras. Pelo que a contratação dos serviços da SecurLine implica sempre um ponto de contacto do cliente – que é responsável pela gestão do grupo de utilizadores desta app nos diferentes cenários.
“Não guardamos metadados. Imagine que o utilizador 6000 comunica com o utilizador 6002. Apenas o ponto de contacto desse grupo de utilizadores poderá saber quem são os utilizadores 6000 ou 6002. Mesmo no pior dos cenários possíveis, em que alguém consegue furar a nossa segurança e entra nos nossos servidores, apenas saberá que o número 6000 ligou para o número 6002 – mas não tem forma de saber quem é que são essas pessoas, porque nós não temos esses dados”, sublinha o responsável da Privus.
Criada por portugueses e com 70% de capital detido por cidadãos nacionais, a Privus optou por sedear-se no denominado Crypto Valley, em Zug, Suíça. Esta decisão pode ser especialmente importante para o curso de casos legais relacionados com a empresa ou que envolvam o acesso, por parte das autoridades, aos dados que são processados na modalidade de cloud computing que, em vez de servidores no cliente, recorre aos centros de dados da Privus.
“Optámos por colocar a sede na Suíça, porque é um país com boas leis da privacidade. As leis da UE não são tão amigas da privacidade”, refere Henrique Corrêa da Silva.
A SecurLine é a primeira aplicação de encriptação para telemóveis criada por portugueses a receber a certificação do GNS, mas não está sozinha no mercado – e serão os responsáveis governamentais que terão a última palavra na escolha das ferramentas de encriptação que vão contratar para as comunicações classificadas dos diferentes representantes e organismos do Estado.
O GNS confirma que, atualmente, está em apreciação um pedido de certificação de uma outra aplicação de encriptação que foi criada por portugueses. A este pedido de certificação há que juntar todas as ferramentas que já receberam certificações de âmbito internacional – e que eventualmente até poderão já estar em uso nos diferentes ministérios.
O GNS sublinha que a proveniência ou a nacionalidade não é um critério para eliminar à partida um fornecedor de comunicações encriptadas para o Governo. O que poderá não dispensar esses fornecedores do reconhecimento por parte do NS.
“Nos termos da respetiva Lei Orgânica e em face das responsabilidades que estão atribuídas ao GNS, compete-lhe avaliar, acreditar e certificar a segurança de produtos que sirvam ou venham a poder fazer parte de um sistema de tratamento de informação classificada. Esclarece-se, ainda, que o GNS já hoje aceita, para uso nacional, certificações atribuídas por entidades internacionais, para a tramitação de informação classificada. Tendo em conta este enquadramento, a certificação de tecnologias de encriptação de comunicações móveis, desde que fazendo parte de um sistema para aqueles fins, deverá ser sempre reconhecida pelo GNS”, informa o GNS.
Garantida a certificação para as comunicações móveis reservadas do Estado Português, a Privus começou a trabalhar no sentido de solicitar ao GNS a certificação para comunicações móveis para os graus de confidencialidade mais elevados (acima do “reservado”, existem ainda as comunicações e documentos considerados “confidenciais”, “secretos” e “muito secretos”).
Henrique Corrêa da Silva lembra que a Privus também está apostada em garantir outras certificações de âmbito internacional. “Também vamos pedir certificações ao nível da UE e da NATO. Já lançámos programas-piloto com outros Estados que necessitam de comunicações seguras e sem backdoors, e que não confiam nos produtos das empresas americanas, britânicas ou israelitas”, conclui o responsável da Privus.
