Governo barra uso do Office 365 em órgãos públicos

Os responsáveis pela proteção de dados da Suíça emitiram um alerta para o uso de plataformas em nuvem por instituições do governo, incluindo o Microsoft 365, antigo Office 365. O grupo, conhecido como Privatim, orientou que órgãos públicos não utilizem soluções SaaS — softwares acessados por assinatura — nem serviços de grandes empresas internacionais, apontando fragilidades consideradas críticas para segurança e privacidade de informações oficiais.

Motivo da recomendação: acesso a dados e regras inconsistentes

A orientação deriva de um documento apresentado durante uma conferência do setor e destaca a crescente preocupação com a ausência de criptografia de ponta a ponta funcional. Segundo o texto, plataformas hospedadas em nuvens sujeitas ao CLOUD Act dos Estados Unidos não atendem ao padrão de proteção exigido para dados altamente sensíveis.

Para os encarregados de privacidade, muitos serviços SaaS ainda permitem acesso do provedor aos dados em texto puro, o que viola requisitos legais de segurança. Outro ponto crítico é a possibilidade de grandes empresas alterarem seus termos de serviço de forma unilateral, modificando garantias contratadas sem aviso prévio.

A recomendação do grupo é clara: dados estratégicos não devem ser colocados em ambientes externos quando o governo não consegue controlar o risco de violações. O documento afirma que, “na maioria dos casos”, soluções de grandes fornecedores internacionais não deveriam ser utilizadas pelo setor público — com o Microsoft 365 citado explicitamente como exemplo inadequado.

Casos recentes reforçam preocupação com segurança digital

Enquanto a Suíça aperta suas diretrizes, novos episódios expõem vulnerabilidades no ecossistema digital global. Um exemplo veio do engenheiro de segurança Luke Marshall, que analisou a exposição de informações em repositórios públicos do GitLab.

Utilizando filas da AWS e a ferramenta TruffleHog, ele examinou 5,6 milhões de projetos e encontrou 17 mil segredos válidos — como chaves da AWS, credenciais do Google Cloud, tokens do Telegram e acessos ao OpenAI. O trabalho custou cerca de US$ 770 e foi concluído em aproximadamente 24 horas.

Outra plataforma que revisa suas políticas é o aplicativo Strava, que publicou uma atualização preliminar responsabilizando totalmente o usuário por problemas decorrentes de rastreamento de localização. A mudança acontece após mapas compartilhados no serviço exporem posições de agentes de segurança.

Já no cenário de ameaças globais, o pesquisador Nariman Gharib divulgou documentos que, segundo ele, revelam operações do grupo iraniano Charming Kitten. Os registros detalhariam desde desenvolvimento de ferramentas ofensivas até ações destinadas a identificar alvos considerados inimigos do regime. Segundo Gharib, “cada banco de dados de companhias aéreas violado, cada sistema de hotel invadido e cada clínica médica comprometida alimenta um sistema feito para localizar e matar pessoas que o regime iraniano considera inimigas”.