After the demonstrations in Kosovo

O objetivo deste trabalho é proteger a informação e garantir o cumprimento do novo RGPD seguindo algumas das diretrizes da norma ISO 27001 [3]. No desenho inicial do sistema algumas indicações foram tidas em conta, como o cuidado de guardar e processar apenas informação estritamente necessária para o funcionamento do modelo de negócio do LIFE PAYT. Os papéis de utilizador permitem também criar uma separação de deveres e atribuição de diferentes responsabilidades a cada papel tal como previsto nos pontos de controlo subjacentes ao ponto A.6.1 do ISO 27001. No entanto poucos mecanismos de segurança existem ainda implementados, sendo que um deles bastante crítico para a proteção da informação, que é o mecanismo de controlo de acesso que tem falhas de segurança que podem comprometer o sistema. No entanto o controlo de acesso por si só não garante um sistema seguro e é por isso necessário definir os requisitos de segurança que o sistema deve cumprir. Este subcapítulo irá definir vários requisitos tais como requisitos de proteção contra ataques externos, desempenho e legalidade do sistema, e por fim os requisitos funcionais do controlo de acesso.

Proteção contra ataques

Sendo um sistema que irá armazenar informação pessoal e sensível a possibilidade de ser atacado irá sempre existir. Atualmente a quantidade de informação sensível ainda é reduzida, mas a obtenção do E-Mail, número de identificação fiscal, morada e interação de um cidadão com o sistema pode representar um perigo para o proprietário. Por exemplo, com o registo das vezes e a que horas um cidadão vai ao contentor do lixo pode-se a partir daí deduzir quando é que uma pessoa se encontra em casa ou não. Além disso, a plataforma está numa fase inicial e pronta para expandir e ter outras funcionalidades. Poderá no futuro ter que guardar informações de pagamento o

que representa um tipo de informação bastante sensível e ainda mais apetecível para potenciais atacantes. O ataque para o roubo deste tipo de informação é geralmente executado por pessoas com intenções de tirar algum partido de informações de terceiros, como por exemplo o assalto a uma propriedade ou a utilização de métodos de pagamento. Este é um modelo de um possível atacante e as técnicas podem ser simples como a descoberta fácil da palavra passe por tentativa e erro, ou outras mais complexas tais como Man In The Middle (MiTM), SQL Injection (SQLi), roubo de cópias de segurança ou ataque direto aos dados ultrapassando o controlo de acesso aos mesmos. Estas formas de atacar o sistema definem o primeiro modelo de atacante tem como principal objetivo roubar informação de terceiros e com isso obter outros tipos de benefícios através da mesma. É por isso importante implementar as medidas de proteção adequadas para estes ataques, evitar a interceção de informação e a sua legibilidade, filtrar todo o texto introduzido pelo utilizador e realizar e proteger as cópias de segurança e as bases de dados para recuperar o sistema em caso de um incidente fatal, seja causado por um ataque externo ou falha do próprio sistema. Deverá também ser implementado um mecanismo de controlo de acesso adequado de forma a que os utilizadores tenham acesso apenas à informação a que podem aceder. As cópias de segurança devem ser periódicas, cifradas e se possível devem ser armazenadas em uma ou várias unidades de armazenamento remotas para o caso de a falha de sistema ser fatal, e assim os dados não se perderem.

Temos ainda outro modelo de atacante, o atacante que pretende causar danos a uma organização ao tornar o serviço indisponível para utilização por parte dos utilizadores. Isto pode ser alcançado com recurso a um ataque DDoS ao serviço, esgotando os recursos das máquinas a disponibiliza-lo levando a que deixe de estar disponível para acesso dos seus utilizadores. É por isso importante ter esta forma de ataque em conta pois é fácil de executar e pode causar grandes danos quer a nível da imagem da entidade responsável pelo serviço como pelos seus lucros que possam ser diretamente dependentes do mesmo.

Desempenho do sistema

O controlo de acesso vai a cada leitura ou escrita verificar se o utilizador a fazer o acesso tem ou não permissão para aceder. Para isso o mecanismo de decisão vai avaliar um conjunto de regras a cada acesso, processo que certamente tornará o acesso mais demorado do que sem qualquer tipo verificação. Em termos de desempenho, o novo mecanismo de decisão não deverá comprometer a utilização por parte dos utilizadores, mesmo que simultaneamente. Espera-se que os testes de desempenho revelem uma resposta mais lenta, mas que não deverá comprometa a utilização normal do sistema.

Requisitos legais

O projeto LIFE PAYT entrou em funcionamento para o público em 2018, ano em que o novo regulamento de proteção de dados da União Europeia entrou em vigor. O novo regulamento estabelece novas obrigações no tratamento de dados, tornando se num assunto de grande importância. O regulamento estabelece que os proprietários da informação devem dar sempre o seu consentimento para a utilização dos seus dados e se possível até escolher que dados querem partilhar ou que sejam processados. É fundamental que todo o processamento seja legitimado e que o proprietário tenha conhecimento de todo o processamento que é feito e para que fins através da política de segurança da organização. A política de segurança definida pode ser encontrada no anexo A.

Controlo de acesso - Requisitos funcionais

Para a implementação do mecanismo de controlo de acesso vamos considerar algumas diretrizes do ISO 27001. A primeira diretriz a considerar é o ponto de controlo A.5.1.1. Esta estabelece que um conjunto de políticas de segurança devem ser definidas e transmitidas a todos os funcionários da organização. Na secção 3.4.4 teremos a política de privacidade definida para o projeto LIFE PAYT e que se irá refletir nas políticas de segurança e regras de controlo de acesso. Estas políticas são diretamente definidas por algumas diretrizes da certificação ISO 27001. Um exemplo disso é a diretriz proveniente do ponto de controlo A.6.1.2. Nas políticas terá que estar definido uma segregação de obrigações dos diferentes utilizadores, definindo o que cada um pode aceder. Os usos de caso descritos na secção anterior podem ser a definição dessa política de segurança por exemplo. Um aspeto fundamental da solução o controlo de acesso que será implementada é a classificação da informação segundo uma escala pré-definida com vários níveis de classificação, tal como proposto nos pontos de controlo A.8.2.1 e A.8.2.2 da certificação ISO 27001. Esta classificação é parte da base da solução para controlar o acesso à informação. As características relativamente à sensibilidade da informação farão parte do processo de decisão, tal como o papel que cada utilizador tem dentro do sistema.

O controlo de acesso poderia resumir-se apenas a estes pontos, mas há mais conside- rações importantes. No sistema LIFE PAYT irão participar vários municípios, sendo que os funcionários de cada um têm o mesmo papel dentro do sistema, o papel de funcionário. Um mecanismo de controlo de acesso que tivesse em conta apenas o papel do utilizador e a sensibilidade da informação que acede, significa que um funcionário de um município X poderia aceder a informações do município Y. Isto pode aplicar-se também aos utilizadores normais e este cenário não é de todo desejado, pois compro- mete a segurança geral do sistema e pode levar a conflitos entre municípios. Por isso

é necessário ter em conta um atributo do utilizador, o município a que pertence. O mecanismo de decisão irá, portanto, decidir com base não só no papel do utilizador, mas também nos atributos da informação que está a ser acedida.

No próximo subcapítulo será apresentada a arquitetura atual do sistema LIFE PAYT e os seus componentes, para depois analisar quais serão os possíveis impactos que os requisitos definidos neste subcapítulo poderão ter no sistema.