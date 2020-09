O Centro Nacional de Cibersegurança (CNCS) não revela os resultados dos testes de segurança que fez à aplicação portuguesa de rastreio à Covid-19, a Stayaway Covid, afirmou a entidade ao Observador. Os testes começaram a 18 de agosto, disse o secretário de Estado da Saúde, António Sales, mas “o resultado dos testes serve, exclusivamente, a equipa de desenvolvimento da aplicação”, explicou o CNCS.

A 18 de agosto, na habitual conferência de imprensa sobre o ponto de situação da pandemia em Portugal, foi revelado por António Sales que, tendo sido concluído parte da fase de testes da app Stayawya Covid, que o Centro de Cibersegurança ia também dar o seu aval. Como noticiou a Direção-Geral da Saúde (DGS), Sales disse aos jornalistas: “Começam hoje os testes de segurança da aplicação, que, segundo o Centro Nacional de Cibersegurança, terão uma duração de mais ou menos duas semanas“.

O que é o Centro Nacional de Cibersegurança? ↓ Mostrar ↑ Esconder Como explica esta entidade pública na sua página oficial, o CNCS “atua como coordenador operacional e autoridade nacional especialista em matéria de cibersegurança junto das entidades do Estado, operadores de Infraestruturas Críticas nacionais, operadores de serviços essenciais e prestadores de serviços digitais, garantindo que o ciberespaço é utilizado como espaço de liberdade, segurança e justiça, para proteção dos setores da sociedade que materializam a soberania nacional e o Estado de Direito Democrático”. Além disso, como explica a entidade na sua missão, “o CNCS atua junto das entidades do Estado, operadores de infraestruturas críticas nacionais, operadores de serviços essenciais e dos prestadores de serviços digitais, na medida em que estes são cruciais para o bom funcionamento da sociedade portuguesa”.

Na tarde 19 de agosto, o Observador questionou a entidade coordenadora da app, o INESC TEC (Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência) sobre os testes de segurança e quanto tempo estes iriam demorar, mas o instituto reencaminhou a resposta para o CNCS. “Os referidos testes de segurança são da competência e responsabilidade do Centro Nacional de Cibersegurança“, afirmou o INESC TEC.

A 27 de agosto, quinta-feira, um dia antes de a Stayaway Covid ter sido lançada de surpresa nas lojas de apps dos sistemas operativos Android, da Google, e iOS, da Apple, a Ministra da Presidência e da Modernização Administrativa, Mariana Vieira da Silva, disse que a aplicação ia ser lançada na semana seguinte. Além disso, a governante referiu: “Está pronta, passou todos os testes de segurança”.

Na tarde dessa quinta-feira, o Observador enviou um email ao CNCS com cinco questões: se os testes que tinha a cabo tinham acabado; qual o parecer da entidade; se considerava que a app cumpre todos os padrões necessários de cibersegurança; se foi encontrada alguma lacuna que teve de ser corrigida; e se esta entidade considerava que a app estava pronta para ser lançada.

Na quarta-feira, um dia após o lançamento oficial da app, o Centro Nacional de Cibersegurança respondeu a todas as questões com uma explicação: “O CNCS acompanhou o desenvolvimento do projeto, com a realização de testes de caráter técnico, de forma a analisar e comentar o código e as diversas decisões do desenho da solução”.

Estes testes são efetuados numa ótica de aconselhamento na mitigação de eventuais vulnerabilidades de segurança, numa lógica de colaboração com a comunidade científica nacional ao nível da Cibersegurança, de forma a apoiar o desenvolvimento da app, de acordo com os princípios de segurança by design e respondendo às melhores práticas de cibersegurança”, disse o CNCS.

Além disso, o Centro Nacional de Cibersegurança explicou: “Neste contexto, o papel do CNCS não passou por emitir pareceres, mas apoiar de perto o processo de desenvolvimento e a equipa de desenvolvimento da aplicação, sendo que o resultado inerente serve, exclusivamente, este grupo restrito”.

Porém, sobre os eventuais erros que podiam ter sido encontrados, não houve resposta. O Observador insistiu para saber quanto tempo demorou o teste anunciado pelo secretário de Estado da Saúde e que lacunas foram eventualmente encontradas e corrigidas, mas o CNCS voltou a responder:

O apoio prestado pelo CNCS na componente de testes desenvolveu-se ao longo do processo de desenvolvimento da aplicação e dos sistemas associados. Assim, esta colaboração foi contínua e acompanhou o período de desenvolvimento da app e dos sistemas associados. Reforço que o resultado dos testes serve, exclusivamente, a equipa de desenvolvimento da aplicação“, referiu o CNCS.

Ou seja, o CNCS não revela que conclusões retirou dos testes que fez à app de rastreio que, segundo a secretária de Estado Adjunta e da Saúde Jamila Madeira na conferência de imprensa desta sexta-feira, já tinha sido descarregada cerca de meio milhão de vezes desde há uma semana — dia em que foi disponibilizada.

Entre 17 de julho e 14 de agosto, o INESC TEC desenvolveu um teste piloto à app Stayway Covid. O teste deveria ter terminado a 31 de julho. Contudo, devido ao atraso da decisão da Apple para permitir o lançamento da app em iOS, foi alargado. Neste período, foi possível encontrar e corrigir falhas como a falta de testes no código da app, como revelou a Exame Informática. Ou até falhas mais graves, como um erro que permitia a uma pessoa marcar-se falsamente como infetada na aplicação, como revelou o Eco.

A app Stayaway Covid ficou disponível, apenas em Portugal continental e não em todo o país como havia sido anunciado, a 28 de agosto. O lançamento oficial da aplicação foi a 1 de setembro numa cerimónia no Instituto Superior de Engenhario no Porto, que contou com a presença de governantes como o primeiro-ministro, António Costa, da ministra da Saúde, Marta Temido, e do ministro da Ciência, Tecnologia e do Ensino Superior, Manuel Heitor.