terça-feira, dezembro 30, 2008

Cadastrado.

Hoje cheguei às dez da manhã à loja do cidadão, no Odivelas Parque, para renovar o BI. Tirei a senha com o número 201, onde li que o atendimento se estimava ser às onze e cinco. Foi às três e meia da tarde. Uma foto, impressões digitais com uns sensores especiais, uma assinatura com uma caneta sofisticada e deram-me outra senha para a segunda fase, com o número 159. Benditas as 42 pessoas que desistiram, senão ainda lá estava. Às sete e meia da tarde registaram novamente as impressões digitais, mostrei os cartões para copiarem o NIF, o número do BI e do SNS e pronto. No total foram doze euros, três minutos de atendimento e nove horas e meia de espera.

Daqui a um tempo indeterminado vou ter o Cartão do Cidadão («pode ser duas semanas ou até uns meses, não sabemos, às vezes vem mais rápido que outras»). A nossa constituição proíbe a atribuição de um número único a cada cidadão. Infelizmente, ninguém no tribunal constitucional percebe de bases de dados. Por isso aprovaram um cartão único que preserva os vários números diferentes mas que faz o mesmo que atribuir um número único, pois permite cruzar tudo o que o estado reúne sobre nós, das viagens que fazemos aos comprimidos que nos receitam e aos impostos que pagamos.

O Cartão do Cidadão pode ser lido por um leitor à distância*, o que vai poupar os dedinhos cansados dos funcionários que já não precisarão escrever aqueles nove algarismos quando os formos incomodar por algum papel. Basta passar perto do leitor e blip, já está. A nós é que não vai adiantar nada. Mesmo com esta tecnologia de fotografia digital, computadores e sensores para as impressões dos dedos eles demoram nove horas e meia para atender as pessoas e depois das dez da manhã não dão mais senhas. A última que deram hoje para a primeira fase foi a 211, a algum desgraçado que chegou pouco depois de mim. Mas com o trabalho que poupam podem tornar o serviço ainda menos eficientes sem que a coisa rebente de vez.

Um pequeno inconveniente da leitura à distância é que qualquer tipo com um leitor RFID pode recolher os dados do cartão de qualquer pessoa que se chegue perto do leitor. Números de BI, contribuinte e segurança social, e outros dados que lá estejam acessíveis no chip. Umas viagens pelos transportes públicos com o leitor no bolso e qualquer criminoso de meia tigela reúne centenas de identidades. Não é informação secreta, mas aquilo que dantes só revelávamos se mostrássemos o cartão agora pode ser recolhido mesmo sem sabermos.

Penso que nós, cidadãos cadastrados, devíamos ter mais consciência que nada neste sistema incentiva a que zelem pelos nossos interesses. Começa pelos funcionários das lojas dos cidadãos. Estes recebem pelas horas de trabalho sem os mecanismos que noutras profissões garantem uma qualidade mínima no serviço. Os médicos têm os doentes com marcação e os motoristas têm que fazer aquelas carreiras. Estes distribuem duzentas senhas de manhã e pronto, já chega para o dia todo, e quem chega às 10:30 que volte noutro dia. O empregado de mesa tem um patrão que o obriga a despachar-se para não perder clientes. Estes só têm clientes obrigados que não têm outro remédio senão esperar nove horas se for preciso. Tanto faz se são bem servidos ou não. E ninguém tem responsabilidades. Não é má vontade ou antipatia da pessoa que nos atende nem maldade do chefe da secção ou do supervisor. Simplesmente ninguém que lá trabalha tem necessidade de fazer com que aquilo funcione melhor. Atendem as pessoas que atenderem, o cidadão que espere o que for preciso e quando calha um deles ter que renovar o BI o colega dá um jeitinho e despacha-o em dez minutos.

E, no topo, os burocratas-mor querem açambarcar o máximo de informação e o máximo de poder para a usar porque quanto mais papelada nos obrigarem a preencher mais seguros ficam os seus empregos. Nós não ganhamos nada por terem as nossas impressões digitais ou cruzarem os impostos que pagamos com as receitas que aviamos. Mas para eles quanto mais melhor. É por isso que temos dúzias de impostos diferentes em vez de pagar tudo de uma vez e é por isso que tudo precisa de papelinho para aqui e para ali.

A informação pessoal é mais preciosa que o dinheiro. O dinheiro vale apenas pelo que fazemos com ele mas o controlo sobre os nossos dados pessoais é um bem em si. Se quando pagamos queremos saber por quê e para quê, quando damos informações acerca de nós temos que fazer o mesmo. Temos que exigir que justifiquem esses pedidos. Tanto para manter o estado fora do que não lhe compete como para agilizar a burocracia retirando-lhe tudo o que não estiver lá em nosso proveito.

*Errata: isto está incorrecto. Em princípio, o chip só pode ser lido em contacto com o leitor. No entanto a maioria das pessoas não deve saber que para copiar os seus dados todos basta pôr o cartão no leitor.

20 comentários:

  1. Moro em Odivelas mesmo (na parte de cima, no Chapim).

    ResponderEliminar
  2. Possivelmente a tabela da base de dados que guarda aqueles dados, não tem um número gerado na altura como ID e indexa os números do BI, NIF, etc. ;)

    Pessoalmente acho que o CC é uma boa ideia, possivelmente poderia necessitar mais que apenas um leitor RFID para aceder aos numeros (e basta um leitor RFID?), como por exemplo ser necessário usar a impressão digital para autorizar.

    Se realmente com um simples leitor RFID se pode ler os números todos, há sempre a opção de usar o cartão numa capa que impeça a recepção de ondas rádio. :>

    ResponderEliminar
  3. Sócrates,

    «Possivelmente a tabela da base de dados que guarda aqueles dados, não tem um número gerado na altura como ID e indexa os números do BI, NIF, etc. ;)»

    Se usarem o Oracle têm o rowid criado automaticamente, violando logo no SGBD a constituição do nosso país. Mas como os juízes não fazem bases de dados não sabem disso :)

    «Pessoalmente acho que o CC é uma boa ideia,»

    Parece mais conveniente. Escusamos de andar com 4 cartões, e andamos só com um. Mas é uma ilusão perigosa. O que acontece é que cruzam todas essas bases de dados numa só, aumentando a capacidade dos funcionários públicos de bisbilhotar a nossa vida muito para além do que é benéfico para nós criando um alvo muito apetecível para criminosos informáticos.

    Segundo o que está aqui, a informação no chip é:

    «Resumidamente, para além dos elementos de identificação visíveis no cartão (exceptuando a assinatura), no chip ficam ainda:
    Os restantes dados biométricos do cidadão (impressões digitais);
    Morada;
    Informação relativa a indicações eventuais;
    Outras informações que podem ser registadas opcionalmente pelo titular numa zona destinada a arquivar notas pessoais (Bloco de Notas) de leitura pública, mas de escrita limitada ao titular;
    Data de emissão;
    Certificado para autenticação segura;
    Certificado qualificado para assinatura electrónica qualificada;
    Aplicações informáticas necessárias ao desempenho das funcionalidades do Cartão de Cidadão e à sua gestão e segurança.«


    Penso que a informação que está impressa no cartão pode ser lida do chip sem qualquer segurança. Isso quer dizer que qualquer pessoa pode facilmente tirar uma fotocópia do nosso nome e todos nos nossos números sem sequer o sabermos. E possivelmente ter acesso às nossas impressões digitais...

    ResponderEliminar
  4. Já agora, aqui está o manual de utilizador do programa para ler os cartões. Parece que a morada é a única informação no chip que está protegida por um PIN. Basta pôr o cartão no leitor que tudo o resto está acessível (incluindo a foto e impressões digitais, pelo que vejo...)

    E nem sabia que a minha morada ia ficar no cartão. Disseram-me que só queriam a morada para me enviar a carta a avisar que estava pronto, e que essa informação não ia ficar no cartão...

    ResponderEliminar
  5. Mas afinal parece que não pode ser lido à distância, é um chip de contacto... estava a confundir com os dos passaportes novos em alguns países.

    ResponderEliminar
  6. "Se usarem o Oracle têm o rowid"

    ou o SQL Server ou o MySql. Mesmo que não cries a coluna (e mesmo que não "indexes" nada) a base de dados cria sempre uma coluna nas tabelas de sistema com um id por cada row de cada tabela. É core do SQL ou não seria SQL.

    Nem a comissão nacional de protecção de dados (que, apesar de tudo, é das entidades públicas mais eficientes) liga nenhuma a estas questões. Provavelmente porque os técnicos de SQL que as própries empresas e entidades têm são um cadito para o desenrasca (os a sério não ganham nada em levantar estas questões - leia-se não vendem).
    Mas quem poderá ganhar com o roubo de info não é desenrasca e sabe-a toda. E ri-se, sózinho.

    Bom ano a todos.

    ResponderEliminar
  7. Ou o db2 da IBM - Tudo muito certinho e à prova de bala. Todos os rows levam um carimbo sem igual para todo o sempre. Mesmo depois de apagados, triturados, purjados e cuspidos fora. Aqui nunca nada se perde. É core. Perder é que não. Haja espaço em disco.

    ResponderEliminar
  8. Pois, há um fosso assustador entre o que a tecnologia permite e o que os legisladores compreendem. E ainda pior entre a tecnologia e o utilizador.

    Além da facilidade com que se conseguirá obter esta informação toda subornando um funcionário qualquer, haverá também milhentos esquemas para enganar as pessoas e fazerem-se passar por elas.

    A segurança não devia passar por identificar melhor as pessoas mas por depender menos da identificação das pessoas.

    ResponderEliminar
  9. Mesmo se houvesse uma BD que não possa gerar automaticamente IDs (ex: com o "auto_increment" no MySQL), pode-se contar o número de linhas de uma tabela e usar o valor para esse fim. Ou gerar um valor com um script que interaja com a BD (por exemplo, no PHP pode ser usada a função "uniqid"). E é sempre necessário um valor único que identifique a tabela. Mesmo outras tabelas precisam desse valor para se relacionarem entre si.

    «Disseram-me que só queriam a morada para me enviar a carta a avisar que estava pronto, e que essa informação não ia ficar no cartão...»
    LOL Quando foi a última vez que um funcionário te deu informação falsa?

    ResponderEliminar
  10. Poderemos então dizer que, quase todos, somos identificados univocamente por um número, que pode ser obtido por um algoritmo que agora inventemos que tenha como fonte o nosso código ADN (supostamente apenas igual em irmãos gémeos verdadeiros)? :)

    Apesar de compreender e apoiar as mais que pertinentes preocupações, de uma forma ou de outra o número do BI já é basicamente um número que nos identifica em quase todo o lado e até diria que será simples tendo esse número, de obter os outros todos. Desta forma poderíamos dizer que somos univocamente identificados a partir do momento em que temos BI + Nome em qualquer base de dados.

    Defender a não identificação por número único devido ao que acontecia no tempo de Salazar (e isso estar na nossa constituição) não acho que seja racional, mas antes emocional. Por outro lado defender que tal não seja feito tendo por base a segurança dos nossos dados e por forma a dificultar o roubo de identidade, já me parece um argumento mais racional e forte, com o qual concordo (dada a sociedade onde vivemos, num mundo melhor não haveria essa preocupação).

    Repare-se também que supostamente, pelo que li, um funcionário das finanças não terá autorização no sistema para ver os dados médicos, excepto se estiverem públicos no cartão.
    http://www.cartaodecidadao.pt/index.php?option=com_content&task=view&id=5&Itemid=35&lang=pt e http://www.cartaodecidadao.pt/index.php?option=com_content&task=view&id=8&Itemid=35&lang=pt .

    ResponderEliminar
  11. Sócrates,

    «Poderemos então dizer que, quase todos, somos identificados univocamente por um número, que pode ser obtido por um algoritmo que agora inventemos que tenha como fonte o nosso código ADN (supostamente apenas igual em irmãos gémeos verdadeiros)? :)»

    Podemos. E isso não é problema desde que o estado, ou alguma outra organização, não recolham a informação necessária para atribuir esse número a cada um de nós e usá-lo para integrar dados que vão recolhendo acerca das nossas vidas.

    «de uma forma ou de outra o número do BI já é basicamente um número que nos identifica em quase todo o lado»

    Sim e não. Precisas dar o número do BI para uma data de coisas, mas se cada uma dessas for uma base de dados separada, e especialmente se for em papel, não há grande problema porque não pode haver cruzamento do dado. O banco X sabe que aquele BI está associado àquela conta, e o banco Y sabe que o aquele BI está associado àquela outra conta. Mas se não trocarem estes dados, nenhum vai saber que tens a conta no outro banco. O mesmo com os dados que tem o grupo desportivo de que és sócio, o administrador do teu condominio e assim por diante.

    Essa era a situação no estado. As finanças conheciam-te pelo NIF, o registo pelo BI, o SNS pelo teu numero de beneficiário, etc.

    Mas agora está tudo no mesmo pacote. E sempre que nos pedirem o BI lá vai tudo. Contribuinte, beneficiário, eleitor, fotografia, impressão digital, etc. E o estado está a reunir essas dados todos.

    A informação que tipicamente damos para nos identificar não nos coloca em risco se estiver isolada do resto. Mas a capacidade de cruzar todos estes dados é um perigo porque cada vez mais o que fazemos fica registado algures. Cada telefonema, levantamento no multibanco ou compra no supermercado, consulta no médico ou receita aviada, etc.

    Temos que perguntar seriamente se estas melhorias na "eficiência" do sistema são melhorias para nós ou para quem quer poder saber da nossa vida. Penso que o cartão do cidadão, como o temos cá, está claramente do lado desta última.

    ResponderEliminar
  12. Já agora,

    «Repare-se também que supostamente, pelo que li, um funcionário das finanças não terá autorização no sistema para ver os dados médicos, excepto se estiverem públicos no cartão.»

    Confio mais quando estou protegido por limitações técnicas do que por supostas barreiras legais. Primeiro, porque a lei pode mudar a qualquer momento. Basta uma clausula obscura num artigo que ninguém lê e subitamente o gestor dos backups de um ministério qualquer tem acesso a toda a informação sem restrições. Se é que não a tem já.

    E em segundo lugar porque há muita gente que não respeita a lei. Pode não ser legal o funcionário X ter acesso à informação Y. Mas o facto é que está lá a informação toda, mesmo que partida em várias tabelas, e há quem tenha acesso a ela.

    Com o sistema antigo não havia cruzamento de dados porque não era viável fazer isso à mão. Com o sistema novo só não há cruzamento de dados porque eles não o querem fazer. Isso dá-me pouca segurança.

    ResponderEliminar
  13. "e subitamente o gestor dos backups de um ministério qualquer tem acesso a toda a informação sem restrições. Se é que não a tem já."

    Claro que tem!
    Legalmente pode não ter, mas de certeza que a conta dele tem acesso aos dados todos.

    Fiz prjectos para o ITIJ e aquilo na altura era uma dor de cabeça para criar perfis para quem tinha acesso ao quê (não técnica mas de gestão de pessoal). Vai o administrador (não dos sistemas) e manda o dos sistemas criar uma conta genérica com acesso a tudo para facilitar o dia a dia e evitar ter de contratar um especialista em segurança DB a tempo inteiro. Primeiro são tão mal pagos no estado que ninguém aceita os ordenados o que leva obrigatoriamente a contratar empresa externa que cobra um absurdo por mês para gerir aquilo. E isso é que não pode. Não há verba.


    Naquele caso "o gajo dos backups" (qualquer técnico claro) fazia login no winddows 2000 e mesma conta dava-lhe total acesso a qualquer DB. Sem qualquer restrição. Podia por engano, por exemplo, apagar tudo sem querer.

    É a estes que os sabichões vão recorrer.

    Um simples "select" a unir várias tabelas e tens a tua vida TODA exposta (neste caso a vida da justiça). Very nice indeed...

    Vai lá explicar isto ao legislador.

    ResponderEliminar
  14. Ok, dizem-me que agora já não é assim. Que a coisa está num datacenter privado com acessos da responsabilidade dos últimos e tudo e tal conforme mandam as boas práticas. Parece que algo mudou desde 2001.

    ResponderEliminar
  15. Mama eu quero,

    Por muito seguro que seja o datacenter, o facto inescapável é que alguém tem acesso a essa informação. E basta a password dessa pessoa cair nas mãos erradas que está tudo estragado.

    Se não é suposto haver cruzamento de dados então nunca devem reunir num sítio a informação para os cruzar. Podiam fazer como na Austria, que criaram um cartão de cidadão para permitir assinaturas electrónicas e acesso seguro a serviços do estado pela internet, mas esse cartão não tem mais informação nenhuma e não substitui nenhum dos outros que continuam a ser independentes.

    Aqui fizeram asneira. Podiam até acrescentar o chip e os certificados digitais ao BI, mas deixavam o BI separado do resto e garantiam que não havia cruzamento de dados.

    Outra questão importante é os dados que eles recolhem. Não estou convencido que o estado precise das minhas impressões digitais, fotografia ou morada.

    ResponderEliminar
  16. Ludwig,

    Acho que neste post estás a confundir o rato com a montanha. Não ha qualquer problema em que o cartão tenha visivel a informação de vários numeros com os quais os seviços publicos te identificam. É que essa informação não é propriamente nova para eles (ou achas mesmo que as finanças ou a segurança social não sabem o teu numero do BI?). O problema está se essa informação estiver toda centralizada numa base de dados, ou em bases de dados interligadas.
    E isso sim, é que deve ser uma situação a temer, e não o simples facto de os numeros estarem todos visiveis (optica ou electronicamente) no mesmo cartão.

    ResponderEliminar
  17. Fulano de tal,

    Concordo, mas parece-me que é isso que fizeram com o cartão.

    Quando vais tirar o cartão do cidadão tens que levar o BI, o cartão de contribuinte e o do SNS. Eles introduzem esses números, imprimem, e tu assinas a confirmar que estão correctos.

    Também acho que algures entre a papelada das financas e do SNS estava o meu número do BI. Mas isso é diferente de terem uma tabela com as correspondências entre estes números. E é isso que agora têm.

    Outro problema é que, dantes, quando algum banco ou coisa assim me pedia o BI, ou outro me pedia o NIF, eu sabia o que me estavam a pedir e o que eu estava a dar. Agora vão-me pedir para pôr o cartão no leitor e copiam tudo. Mesmo que o estado seja bonzinho e deite fora a tabela com a correspondência entre os meus váris números, essa informação vai ficar replicada sempre que eu usar o cartão. E em formato digital, trivial de recolher e agregar para a população toda.

    ResponderEliminar
  18. Cadastrado.

    Hoje cheguei às dez da manhã à loja do cidadão, no Odivelas Parque, para renovar o BI. Tirei a senha com o número 201, onde li que o atendimento se estimava ser às onze e cinco. Foi às três e meia da tarde. Uma foto, impressões digitais com uns sensores especiais, uma assinatura com uma caneta sofisticada e deram-me outra senha para a segunda fase, com o número 159. Benditas as 42 pessoas que desistiram, senão ainda lá estava. Às sete e meia da tarde registaram novamente as impressões digitais, mostrei os cartões para copiarem o NIF, o número do BI e do SNS e pronto. No total foram doze euros, três minutos de atendimento e nove horas e meia de espera.

    Daqui a um tempo indeterminado vou ter o Cartão do Cidadão («pode ser duas semanas ou até uns meses, não sabemos, às vezes vem mais rápido que outras»). A nossa constituição proíbe a atribuição de um número único a cada cidadão. Infelizmente, ninguém no tribunal constitucional percebe de bases de dados. Por isso aprovaram um cartão único que preserva os vários números diferentes mas que faz o mesmo que atribuir um número único, pois permite cruzar tudo o que o estado reúne sobre nós, das viagens que fazemos aos comprimidos que nos receitam e aos impostos que pagamos.

    O Cartão do Cidadão pode ser lido por um leitor à distância*, o que vai poupar os dedinhos cansados dos funcionários que já não precisarão escrever aqueles nove algarismos quando os formos incomodar por algum papel. Basta passar perto do leitor e blip, já está. A nós é que não vai adiantar nada. Mesmo com esta tecnologia de fotografia digital, computadores e sensores para as impressões dos dedos eles demoram nove horas e meia para atender as pessoas e depois das dez da manhã não dão mais senhas. A última que deram hoje para a primeira fase foi a 211, a algum desgraçado que chegou pouco depois de mim.

    Sócrates disse...

    Possivelmente a tabela da base de dados que guarda aqueles dados, não tem um número gerado


    mama eu quero disse...

    "e subitamente o Mats disse...

    Moras perto de Odivelas?
    31/12/08 11:13

    Moro em Odivelas mesmo (na parte de cima, no Chapim).

    ResponderEliminar
  19. Mats disse...

    "e subitamente o Moras perto de Odivelas?
    31/12/08 11:13
    disse...

    Moro em Odivelas mesmo (na parte de cima, no Chapim).

    mama eu quero disse...

    Fiz prjectos para o ITIJ e aquilo na altura

    era uma dor de cabeça para criar perfis
    para quem tinha acesso ao quê
    (não técnica mas de gestão de pessoal).
    Vai o administrador (não dos sistemas) e manda o dos sistemas criar uma conta genérica com acesso a tudo para facilitar o dia a dia e evitar ter de contratar
    um especialista em segurança DB a tempo inteiro.

    Primeiro são tão mal pagos no estado que ninguém aceita os ordenados o que leva obrigatoriamente a contratar empresa externa que cobra um absurdo por mês para gerir aquilo.

    E isso é que não pode.
    Não há verba.

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.