Os CISOs do setor público dispõem de controlos maduros de Zero Trust. No entanto, a arquitetura Zero Trust é um modelo de acesso, não um modelo de integridade — e não se trata da mesma coisa. Eis a lacuna e um mecanismo descentralizado para a colmatar.
Aprovou a migração para a nuvem. Implementou a arquitetura Zero Trust. A sua governação de identidades está bem desenvolvida, as suas políticas de acesso são rigorosas e o seu conselho de administração foi informado. Do ponto de vista do perímetro, o risco está controlado.
Eis o que essa arquitetura não lhe oferece: qualquer garantia criptográfica de que os dados que se encontram na infraestrutura do seu fornecedor de serviços na nuvem não foram alterados sem o seu conhecimento depois de os ter colocado lá. Nem por um atacante externo. Nem por um administrador coagido. Nem pelo próprio fornecedor, agindo ao abrigo de um instrumento jurídico sobre o qual nunca foi notificado.
O controlo de acesso e a integridade dos dados não são a mesma propriedade arquitetónica. Na maioria das implementações de nuvem no setor público, estas são tratadas como se fossem — e essa confusão é um dos pontos cegos mais graves que um CISO a trabalhar na administração pública pode ter.
Aqui, define-se a fronteira entre os dois, explica-se o perfil de ameaça que torna esta distinção fundamental, especificamente em ambientes do setor público, e descreve-se o mecanismo — a identificação criptográfica ancorada na blockchain — que colmata essa lacuna. Identifica-se ainda as obrigações de conformidade que fazem com que colmatar esta lacuna seja um requisito regulamentar e não uma decisão arquitetónica discricionária.
Os controlos de acesso «Zero Trust» não verificam o conteúdo
A arquitetura Zero Trust assenta num princípio NIST SP 800-207 afirma sem ambiguidade: não é concedida qualquer confiança implícita aos ativos ou às contas de utilizador com base na sua localização física ou na rede. Cada pedido de acesso é autenticado, autorizado e validado continuamente. Trata-se de um modelo rigoroso e bem definido para controlar quem pode aceder a quê, em que condições e por quanto tempo.
Não se trata de um modelo destinado a verificar o conteúdo desse recurso.
A distinção é de natureza arquitetónica, não semântica. Quando o seu motor de políticas ZTA confirma que um utilizador autenticado e autorizado acedeu a um documento às 14:23 de uma terça-feira, este cumpriu exatamente a função para a qual foi concebido. Não dispõe de qualquer mecanismo que permita determinar se esse documento reflete o mesmo conteúdo que continha quando foi redigido originalmente. A questão — se estes dados foram modificados entre o seu último estado válido conhecido e o momento atual — situa-se inteiramente fora do plano de controlo do ZTA.
NIST SP 800-207A, que alarga os princípios do Zero Trust a ambientes governamentais nativos da nuvem e multicloud, identifica uma limitação estrutural adicional: em muitas arquiteturas governamentais, incluindo sistemas isolados fisicamente e ambientes federados que envolvem várias agências, não é viável um único plano de controlo unificado. Os pontos de aplicação da ZTA simplesmente não conseguem monitorizar todas as operações ao nível da infraestrutura — em particular as que ocorrem no substrato de armazenamento controlado pelo seu fornecedor de serviços na nuvem.
É essa a fronteira. O seu fornecedor de serviços na nuvem dispõe da capacidade técnica necessária, em muitas configurações padrão, para aceder ou modificar dados em repouso sem ativar um único alerta de política ZTA. Isto não constitui uma acusação de má conduta por parte do fornecedor. Trata-se de uma realidade arquitetónica do modelo de responsabilidade partilhada — e é precisamente essa lacuna que exige uma camada de controlo de integridade separada, independente do domínio administrativo do seu fornecedor de serviços na nuvem.
O perfil de ameaças do setor público não é genérico
Todas as organizações enfrentam o risco de ameaças internas. As organizações do setor público enfrentam uma variante desse risco cujas consequências se estendem muito para além das próprias operações da organização.
Um registo de contratação pública adulterado não se limita a expor uma entidade a conclusões de auditoria — pode corromper uma decisão de adjudicação que afeta centenas de milhões em despesas públicas. Um documento de política alterado não se limita a criar uma inconsistência interna — pode invalidar um processo legislativo ou regulamentar. A integridade dos dados dos cidadãos não é uma questão de responsabilidade comercial. É uma questão de confiança pública, à qual está associada a responsabilização democrática.
O Relatório da Verizon sobre Investigações de Violações de Dados de 2024 lugares a administração pública como o principal setor industrial no que diz respeito a ações não maliciosas de ameaças internas. Em todos os setores, 68% das violações envolveram um fator humano — erro, uso indevido de privilégios ou engenharia social —, estando parte desses dados violados alojados em vários ambientes de nuvem. As implementações governamentais, que abrangem habitualmente infraestruturas soberanas no local e um ou mais fornecedores de nuvem pública em simultâneo, enquadram-se perfeitamente neste perfil de exposição multambiental.
O tempo que demora a detecção agrava a exposição. O Relatório Global do Ponemon Institute sobre o Custo dos Riscos Internos em 2025 estima que o período médio de deteção e contenção das ameaças internas seja de 81 dias, sendo os ambientes na nuvem identificados como uma das principais preocupações. No contexto governamental, 81 dias de manipulação não detetada significam 81 dias de registos potencialmente corrompidos a servir de base a decisões políticas, a apoiar processos de contratação pública, a responder a inquéritos parlamentares ou do Congresso e a interagir com os cidadãos. Qualquer ação posterior realizada com base em dados adulterados herda essa falha de integridade.
A dimensão financeira agrava ainda mais a pressão. Os incidentes maliciosos cometidos por pessoas internas atingem agora uma média de $ 779 707 por evento, com os custos anuais totais decorrentes de incidentes relacionados com informações privilegiadas a atingirem $8,8 milhões por organização. No caso das entidades do setor público, esses custos traduzem-se simultaneamente em fundos públicos e em responsabilidade política.
A Camada de Integridade Descentralizada: O que é e para que serve
O mecanismo consiste em conceitualmente simples e criptograficamente robusto. O mais importante é que não é necessário que o documento saia da sua posse em nenhum momento do processo.
Para cada documento ou objeto de dados que se pretenda proteger, é gerado um hash criptográfico — uma impressão digital única — a partir do seu conteúdo, utilizando um algoritmo como o SHA-256. A função hash recebe o documento como entrada e produz uma cadeia de caracteres de comprimento fixo, independentemente de o documento de origem ser um resumo de duas páginas ou um documento regulamentar de 10 000 páginas. Isso o resultado é obtido matematicamente a partir de cada bit do conteúdo do documento nesse momento específico. Basta alterar um único caractere em qualquer parte — um ponto decimal, uma cláusula, um carimbo de data/hora nos metadados — e o hash resultante é completamente diferente.
Esta impressão digital é, em seguida, registada numa blockchain: um registo imutável e distribuído que não é controlado por nenhuma entidade específica. O registo é marcado com a data e a hora e é à prova de adulteração, graças à conceção estrutural do registo. O que é gravado na cadeia é a impressão digital, não o documento. O conteúdo do documento, a sua classificação, as partes envolvidas, os seus termos — nada disto é divulgado. O livro-razão sabe apenas que, no momento T, existia um documento com exatamente este conteúdo.
A verificação é a operação inversa. Quando é necessário demonstrar a um auditor, a uma entidade reguladora ou a uma contraparte que um documento não foi alterado desde que foi selado, gera-se um novo hash do documento atual e compara-se este com o registo na cadeia de blocos. A conclusão é binária e matematicamente certa. Se os hashes coincidirem, o documento é idêntico ao seu estado registado. Caso contrário, o conteúdo foi alterado — e a alteração de um único carácter em qualquer ponto produz um hash totalmente diferente. Não há ambiguidade, nem margem para interpretação, nem dependência da garantia do fornecedor.
A resistência à adulteração do livro-razão é estrutural. O hash de cada bloco inclui o hash do bloco anterior. Alterar qualquer registo histórico requer o recálculo de todos os blocos subsequentes e a obtenção de consenso em toda a rede distribuída simultaneamente — o que é computacionalmente inviável em qualquer cadeia bem estabelecida. Este não é um modelo de confiança. Trata-se de uma restrição matemática à possibilidade de modificações silenciosas e indetetáveis.
As implementações no setor público recorrem normalmente a uma blockchain autorizada — sendo o Hyperledger Fabric o modelo de governação empresarial mais amplamente adotado —, em que a participação na rede é controlada e definida pelo consórcio. Uma arquitetura híbrida acrescenta uma segunda camada, ancorando periodicamente o hash raiz da cadeia autorizada a uma blockchain pública, como a Ethereum. Este compromisso de «hash de hashes» significa que, mesmo que a rede autorizada fosse comprometida, a cadeia pública fornece uma prova verificável de forma independente e com carimbo de data e hora global. O conteúdo do seu documento permanece sempre no seu ambiente controlado — o que é transmitido é o hash, não o ficheiro.
É precisamente esta a arquitetura que Port of Trust implementa na produção. Port of Trust é o núcleo criptográfico do Truth Enforcer framework — uma camada de integridade baseada em blockchain, concebida para selar qualquer ficheiro, registo ou evento com uma impressão digital criptográfica e armazenar a prova em blockchains públicas, sem que quaisquer dados sensíveis saiam do seu ambiente. Apenas o hash é armazenado na cadeia. O documento original permanece sob o seu controlo. A verificação pode ser executada de forma independente em qualquer momento - incluindo os anos posteriores à data de selagem original - com total transparência e auditabilidade, e sem exigir acesso ao sistema nem credenciais por parte da entidade verificadora. Para as organizações do setor público que necessitam desta capacidade sem os custos associados a uma implementação personalizada, Truth Enforcer fornece uma aplicação pronta para produção destinada à selagem operacional de ficheiros, acompanhada da ferramenta Truth Verifier, que permite aos auditores, reguladores e organismos de supervisão confirmar a autenticidade dos documentos através de uma interface acessível ao público — sem necessidade de acesso ao sistema interno. A prova de integridade é sua. É verificável de forma independente. E encontra-se inteiramente fora do âmbito administrativo do seu fornecedor de serviços na nuvem.
Por que é que isto é mais barato do que a alternativa?
A definição dos custos associados a um CISO do setor público envolve dois canais de responsabilização simultâneos que não existem no setor privado sob a mesma forma: o custo financeiro e o custo da responsabilização pública. Ambos agravam-se quando os dados adulterados passam despercebidos.
No âmbito financeiro, é na fase de deteção que os custos se acumulam mais rapidamente. O Relatório da IBM sobre o custo de uma violação de dados de 2024 estabelece um prémio de deteção de $980 000 entre as violações divulgadas pelo atacante e as identificadas internamente — o que significa que cada dia adicional de A manipulação não detetada representa um risco financeiro quantificável. Tendo em conta o período médio de deteção de 81 dias da Ponemon, esse prémio não é meramente teórico.
Ao nível operacional, o risco residual associado à responsabilidade pelo arquivo é o risco mais frequentemente subestimado nos programas governamentais de nuvem. Os documentos arquivados são sujeitos a uma frequência de monitorização reduzida e parte-se do pressuposto de que se encontram em estado de estabilidade. Quando essa suposição se revela errada — durante uma investigação regulatória, um pedido de acesso à informação, um inquérito parlamentar ou a fase de produção de provas num processo judicial — a falha de integridade é detetada no pior momento possível, com as consequências mais graves possíveis.
O custo de implementação de uma camada de integridade de blockchain autorizada, operada como um serviço partilhado numa agência ou departamento, é substancialmente inferior ao de um único incidente malicioso causado por alguém interno — sem sequer ter em conta os riscos legais, regulamentares, de reputação e políticos. O argumento da soberania acrescenta uma dimensão estratégica: a sua prova de integridade reside fora do domínio administrativo do seu fornecedor de serviços na nuvem, mantém-se independentemente do seu contrato com o fornecedor e acompanha-o em caso de renegociação, migração ou rescisão. Trata-se de um ativo do programa, não de uma despesa adicional.
Considerações sobre a implementação de arquiteturas no setor público
Uma camada de integridade ancorada na blockchain é, por definição, independente da nuvem. Quer as suas cargas de trabalho sejam executadas na AWS GovCloud, no Microsoft Azure Government, num centro de dados soberano no local ou numa combinação híbrida dos três, a camada de hash funciona de forma idêntica em todo o ambiente. O princípio orientador não muda consoante a infraestrutura: A sua prova de integridade deve estar sempre armazenada num local fora do alcance do seu fornecedor de serviços na nuvem.
A implementação em ambientes governamentais beneficia de um ritmo que tem em conta a classificação. Os documentos do nível «OFICIAL» podem ter a sua «impressão digital» registada nos eventos de gravação e ser verificados de forma programada. Os documentos com classificação «OFFICIAL SENSITIVE» e superiores exigem verificação em cada evento de acesso e ponto de saída — com o hash, o carimbo temporal e a identidade do utilizador registados como um registo adicional na cadeia de blocos. Os contratos inteligentes aplicam este fluxo de trabalho automaticamente: uma política definida em código que é executada sem intervenção humana, transformar a verificação de acesso de uma atividade processual num registo criptográfico que não pode ser alterado retroativamente.
Integração com a infraestrutura existente é simples do ponto de vista arquitetónico. A geração de hash integra-se nos fluxos de trabalho existentes do SIEM e do SOAR como um feed de telemetria adicional. Para as organizações governamentais que gerem volumes significativos de documentos através do SharePoint — que continua a ser a plataforma de gestão de documentos predominante no governo central do Reino Unido, na Austrália e nas administrações dos Estados-Membros da UE — Truth Enforcer for SharePoint integra o fluxo de trabalho de selagem e verificação diretamente na biblioteca de documentos, sem exigir que os utilizadores alterem a sua forma de trabalhar nem que as equipas de TI criem uma camada de integração personalizada. Secure Sync for SharePoint alarga ainda mais esta funcionalidade em implementações com vários ambientes, permitindo a sincronização orientada por políticas de bibliotecas de documentos entre instâncias locais, híbridas e na nuvem SharePoint, com controlos de filtragem que impõem fluxos de dados sensíveis à classificação — garantindo que apenas conteúdos aprovados e não sensíveis transitam entre zonas de segurança, enquanto os selos de integridade acompanham o documento.
As configurações de armazenamento de objetos imutáveis — S3 Object Lock, Azure Immutable Blob Storage — constituem um complemento processual útil, mas permanecem no âmbito administrativo do fornecedor e não deve ser considerado um substituto de uma prova de integridade independente. Os manifestos de arquivo estruturados como árvores de Merkle proporcionam uma reconciliação matematicamente verificável ao nível da coleção — satisfazendo o requisito de verificações de integridade na recuperação de incidentes de TIC, uma disposição diretamente aplicável às entidades governamentais sujeitas à NIS2.
A questão da governação requer uma atenção especial: trata-se de questões relacionadas com a governação do programa, e não de questões técnicas. Quem é o proprietário do nó da blockchain? Quem define e audita a frequência de verificação? Como é que a deteção de discrepâncias de integridade se integra no seu manual de resposta a incidentes já existente? Estas questões devem constar simultaneamente na documentação da sua estratégia de nuvem e no seu quadro de gestão de riscos de terceiros — não devem ser resolvidas apenas na fase de implementação e nunca mais revisitadas.
Resolver o problema da integridade dos dados
A arquitetura Zero Trust foi a resposta certa ao colapso do perímetro. Redefinindo o modelo de confiança em torno da identidade, do acesso e da verificação contínua — e fê-lo corretamente. Mas resolveu apenas o problema do controlo de acesso. O problema da integridade dos dados é uma questão distinta e continua por resolver na maioria das implementações de nuvem no setor público.
O seu ZTA indica-lhe quem abriu o documento. Não consegue indicar se o documento é o mesmo que era quando o selou. Isso não constitui uma lacuna na sua política de acesso. Trata-se de uma lacuna na sua cadeia de provas - e, num contexto governamental, a sua cadeia de provas constitui também a sua pista de auditoria, o seu registo regulamentar e o seu instrumento de responsabilização democrática.
Truth Enforcer preenche essa lacuna sem complexidade e sem comprometer a segurança. Alarga a sua cadeia de custódia criptográfica desde o momento do acesso até ao estado do conteúdo — proporcionando a si, aos seus reguladores e aos seus organismos de supervisão uma resposta verificável à questão que mais importa: Estes dados foram alterados sem aviso prévio desde que foram selados? Nenhum conteúdo sensível sai do seu ambiente. Não é necessário qualquer modelo de confiança proprietário. A prova pode ser verificada de forma independente por qualquer pessoa, a qualquer momento, sem necessidade de acesso ao sistema.
O seu fornecedor de serviços na nuvem disponibiliza-lhe infraestrutura. A camada de integridade descentralizada fornece-lhe essa prova. No setor público, a comprovação não é opcional.
.
Quer ver como funciona, na prática, a verificação independente da integridade?
Experimente grátis - sem compromisso:
Verificador da verdade para criadores de PI: https://truth-verifier.com/landing
Verificador da verdade para jornalistas: https://truthverifier.news/landing
Entre em contacto connosco para discutir a implementação do Truth Enforcer numa empresa: https://www.connecting-software.com/truth-enforcer-sign-up/
Por Francisco Rodrigues, Gestor de produtos
"Escrevo sobre a forma como as integrações de software se podem adaptar aos ambientes empresariais e responder às exigências específicas do sector. Quero mostrar às empresas o caminho para simplificar processos, eliminar estrangulamentos e garantir a conformidade, capacitando as equipas e os executivos C-suite com as ferramentas certas."
Leituras relacionadas
Integridade dos dados DORA: O que o “padrão mais elevado” realmente exige
O problema da modificação: Regra 613 do SEC - Conformidade do CAT com dados que pode provar que nunca foram tocados
Reforma da legislação sobre testamentos no Reino Unido em 2025: Preparação para a verificação digital independente antes da chegada da lei