SociedadeDSF | Corrigidas falhas de segurança no website após denúncia Pedro Arede - 22 Out 2020 Em resposta ao HM, a Direcção dos Serviços de Finanças confirmou ter elevado o grau de encriptação do seu website. A actualização chega após ter sido detectado que o portal apresentava páginas, com formulários a preencher com dados pessoais, vulneráveis a ataques informáticos [dropcap]A[/dropcap] Direcção dos Serviços de Finanças (DSF) corrigiu as falhas de segurança detectadas ao nível da encriptação no seu website e que podiam colocar em risco as informações pessoais submetidas pelos utilizadores através da submissão de formulários. A confirmação foi enviada ao HM em resposta a um pedido de esclarecimento, onde o organismo começa por reiterar que coloca “desde sempre”, grande relevo na segurança informática. “Atendendo a que os sectores exigem, actualmente, a elevação do grau de encriptação na transmissão de dados, a DSF concluiu o trabalho de elevação do grau do sistema de segurança da página electrónica, utilizando um acordo de segurança de transmissão mais seguro”, pode ler-se na resposta. Tal como o HM avançou a 15 de Outubro, o website da DSF apresentava falhas de segurança ao nível da encriptação, que podiam colocar em perigo informações submetidas pelos utilizadores nalgumas páginas do portal. A situação foi confirmada na altura por um especialista em cibersegurança, que explicou que o facto de o website da DSF não apresentar qualquer certificado de encriptação (SSL), permitindo eventualmente que um pirata informático interceptasse informações durante a transmissão de dados entre o navegador (browser) e o local (servidor) onde o portal está alojado. Exemplo dessa situação é a página dedicada ao “Programa de Devolução do Imposto Profissional”, onde para consultar informações relacionadas com o tema, os utilizadores são obrigados a inserir o número completo do BIR. No entanto, ao aceder à página após a actualização de segurança anunciada pela DSF, o HM confirmou que a encriptação das informações transmitidas é agora segura. A mesma correcção foi aplicada em todas as páginas do website. Concretamente, na resposta enviada, a DSF revelou ter tomado medidas adicionais de protecção relativamente a dados sensíveis, tais como, a implementação de mecanismos de transmissão encriptada, um sistema de páginas electrónicas equipado com firewall e a instalação de antivírus para os servidores. A DSF acrescenta ainda que “em sede de controlo de acesso e autorizações”, além de ter configurado os direitos dos utentes no sistema de servidores, o mesmo foi feito ao sistema de aplicações. Sobre as páginas maioritariamente informativas, a DSF revelou ter também reforçado o nível de segurança. “Para as consultas que não abrangem dados sensíveis, a DSF exige, na mesma, encriptação nas transmissões, tendo os indivíduos que pretendem fazer uma consulta, de introduzir o código de verificação que preserve o ataque cibernético, e o conteúdo da resposta apenas se limita ao tipo de mensagens ‘Há/Não há’, ou ‘Válido/Inválido’, não havendo nenhuma outra relação mais aprofundada”, esclareceu o organismo. Uma questão de compromisso Em resposta, a DSF referiu ainda que vai continuar “a observar a Lei da cibersegurança, bem como, as exigências previstas nas regulamentações relacionadas com a protecção de dados pessoais” com o objectivo de proteger as informações dos cidadãos. Recorde-se que o Gabinete para a Protecção de Dados Pessoais (GPDP) avançou na passada terça-feira que as falhas de segurança detectadas no website da DSF motivaram a abertura de uma investigação administrativa sobre o caso e que mais detalhes sobre uma eventual tomada de posição serão revelados no futuro.