Thread com os piores exemplo do funcionamento da videovigilância em Portugal.
(por "funcionamento" entenda-se "bandalheira")
Warning sign Disclaimers: Warning sign
1. Não recomendado a pessoas sensíveis a direitos, liberdades e garantias.
2. Estes são exemplos reais, dados pela própria CNPD. Nem todos os sistemas sofrem de todos estes problemas, esta é uma distinta selecção de tesourinhos.
3. É thread sobre problemas de segurança de sistemas de videovigilância usados pelas autoridades policiais, logo é mt longa.
Pedimos desde já desculpa por isso... mas culpa não é nossa. Nem nos vamos dar ao trabalho de numerar os posts, que queremos ver se acabamos a thread ainda hoje.
O relatório da CNPD pode ser consultado aqui.
E vamos lá começar:
https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?BID=121083
Supostamente a PSP é a responsável pelo tratamento dos dados. Mas como a instalação e manutenção é feita entre municípios e empresas privadas, a PSP não tem legitimidade para pedir correcções e actualizações dos sistemas.
E há sistemas desactualizados? Óbvio. A CNPD encontrou software e firmware desactualizados, ainda na mesma versão de aquando a instalação, com todos os riscos de segurança que isso implica.
Estes contratos não têm quaisquer regras de protecção de dados, como a lei impõe, nem obrigam à credenciação dos técnicos junto do Gabinete Social de Segurança.
Mas a PSP pelo menos controla os perfis de administração do sistema, não?
Nope!
Sistemas de controlo de acessos à sala de operações e data center: Num caso, o sistema estava avariado. Noutro caso, estava desligado. Nos restantes, os cartões de acesso eram facilmente clonáveis com apps gratuitas, e aqui "2FA" parece apenas ser uma sigla estranha.
Também digno de destaque: utilização partilhada da rede do Município (em vez de redes segregadas). Mas esperem, que melhora: os dispositivos dessa rede estavam colocados no chão, em espaço público, podendo ser facilmente acedidos.
Sabem aqueles logs, i.e. os registos de operações no sistema, que têm o tipo de operação (ex: acesso, eliminação de filtros de privacidade) e quem a fez? CNPD apanhou casos em que eram I N E X I S T E N T E S.
Outros às vezes recebem visitas: a CNPD detectou acessos de utilizadores que não estavam autenticados no sistema, nem de serviço (escala). Terá sido um ataque? Não sabemos, porque nem a empresa privada nem a PSP deram por eles.
Talvez porque sistemas que deviam funcionar em rede isolada curiosamente tinham Facebook, Twitter, Netflix, Skype e sabe-se lá que mais instalado.
A hora dos sistemas não estava sincronizada com a horal legal. Dispositivos e postos de trabalho não apresentavam as mesmas horas.
Nenhum dos sistemas tinham plano de Disaster Recovery, nem sequer backups.
(talvez este não conte como ponto negativo?)
O suposto barramento de locais privados (máscaras) *não* impedia a gravação de portas, janelas e varandas.
E de qualquer forma, a opção de activar/desactivar estas máscaras de privacidade não ia para os logs, pelo que nada garante que elas estejam mesmo ligadas, ou que não possam ser desligadas a bel-prazer pelo voyeur de serviço.
Existência de mais de 400 pastas e 6000 ficheiros com fotos e vídeos guardados desde o início do funcionamento do sistema (quando deveriam ser apagados em 30 dias).
Isto é o estado ACTUAL das coisas. Antes da expansão e banalização da videovigilância que se está a discutir agora no Parlamento, e que ainda vai meter inteligência artificial, reconhecimento facial e sistema de gestão analítica de dados ao barulho...
Mas não se preocupem, que o Governo
pediu para o Parlamento aprovar isto com o máximo de urgência, na contagem decrescente para a dissolução do Parlamento, portanto certamente todas as vossas preocupações relacionadas com direitos fundamentais serão tidas em devida conta.
E todas as entidades devidas serão também ouvidas.
Afinal, trata-se apenas, nas palavras da CNPD, de "uma violação grosseira do princípio da proporcionalidade" na restrição de direitos fundamentais dos cidadãos.
Não havia uma comissão qualquer na AR que deveria estar atenta a estas coisas, principalmente quando vêm do Governo? 
@d3 É o esquema tradicional português. Portanto, está tudo a funcionar lindamente! Ninguém quer saber, só uns "parvinhos" como nós!
@d3 que bandalheira. Vocês tem um artigo tipo blogpost que compile toda a info nesta thread, curtia partilhar.
@d3 @joao Haviam de ver o que se passa nas escolas... Também é muito interessante! Estamos todos a pagar para dar os dados dos nossos alunos todos à Micrisoft e à Google. Imaginem, duas empresas privadas, americanas, com os dados oferecidos de toda a futura população dum país! E ainda lhes oferecemos generosas contribuições para os explorarem!
@joaopinheiro @joao melhor ainda: https://threadreaderapp.com/thread/1458758325449990153.html
Partilha à vontade. Obrigado 😉
Mas esta leva a taça: num dos casos, o data center (com controlos de acesso desligados) era o único caminho de passagem para o vestiários dos agentes. Sim, leram bem.
Onde é que esta gente anda a espetar os data centers?