Certificação digital e segurança na rede: desafios para o e-gov
-
Upload
camila-cardoso -
Category
Government & Nonprofit
-
view
130 -
download
0
description
Transcript of Certificação digital e segurança na rede: desafios para o e-gov
Certificação digital e
segurança na rede: desafios para o e-gov.
André José LimaArthur Jorge dos S. AndradeAyme Takahashi MizumukaiCamila CardosoDanilo Flávio PestanaHenrique Leon do Rosa MartinsGuilherme RossiJoyce Kelly de Mello Huziwara
O que é Certificação Digital?
Certificação Digital funciona como uma identidade virtual que irá permitir a identificação segura do autor de uma mensagem ou transação feita em meios eletrônicos, ou seja, o certificado digital é um documento eletrônico que garante proteção às transações online e a troca virtual de documentos, mensagens e dados, com validade jurídica.
Tal documento é gerado e assinado por uma terceira parte confiável (Autoridade Certificadora – AC) que associa uma entidade a um par de chaves criptográficas.
Os certificados possuem os dados se seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.
O que é Certificação Digital?
Os sistemas de informação podem validar e reforçar os mecanismos de segurança online, utilizando a tecnologia para garantir a privacidade e confirmar a autenticidade das informações dos usuários, empresas e instituições na rede.
São requisitos de segurança do Certificado Digital:
Autenticidade: Um documento eletrônico é considerado autêntico se foi assinado digitalmente, por meio do uso de um certificado digital válido.
Integridade: É a prova de que um determinado documento não foi alterado, sob nenhum aspecto.
Irrefutabilidade: “Que não se pode refutar; evidente, irrecusável, incontestável”.
Tempestividade: Possibilidade de se comprovar que um evento eletrônico ocorreu em um determinado instante específico no tempo.
O que é Certificação Digital?
A ICP (infra-estrutura de chaves públicas) é um sistema que tem como um de suas finalidades atribuir certificados digitais aos seus usuários. Eles são a terceira parte de confiança, e além de atribuir os certificados, eles também gerenciam o ciclo de vida dos certificados, já que os mesmos podem ser revogados a qualquer momento.
Infra-estrutura: fundação que dissemine algo para um amplo ambiente ou para um grande universo de interessados.
A ICP-Brasil é uma estrutura composta por um Comitê Gestor, pela AC-Raiz da ICP-Brasil, pelas Autoridades Certificadoras e pelas Autoridades de Registro.
O comitê gestor é um conselho deliberativo com sua principal função de coordenar a implantação e o funcionamento da ICP-Brasil definindo normas técnicas. Porém todas as diretrizes feitas pelo comitê são anadalisadas previamente pela Comissão Técnica Executiva(COTEC) que dá suporte ao órgão deliberativo.
As resoluções feitas são aplicadas e cumpridas pela Autoridade Certificadora de Raiz que é o Instituto Nacional de Tecnologia da Informação (autarquia federal vinculada à Casa Civil da Presidência da República) principais atribuições do ITI são as de auditar, credenciar e fiscalizar as Autoridades Certificadoras.
O que é Certificação Digital?
Autoridades Certificadoras
AC – Raiz Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira
autoridade da cadeia de certificação.
É ela quem executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, ou seja, é ela que emite, expede, distribui, revoga e gerencia os certificados das autoridade certificadoras de nível imediatamente abaixo do seu.
Ela também emite a lista de certificados revogados (LCR) e fiscaliza e audita as Autoridade Certificadoras (ACs), Autoridade de Registro (ARs) e as demais prestadoras de serviço habilitados na ICP-Brasil
Autoridades Certificadoras
AC - Autoridade Certificadora É uma entidade (pública ou não) subordinada à hierarquia da ICP-Brasil,
responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
Cabe à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.
Criptografias
Criptografia: do grego kryptós gráphein - escrita secreta. É a ciência de reescrever um texto de forma a esconder o seu significado.
O processo de cifragem é baseado em regras matemáticas de substituição das letras da mensagem e um número que altera o comportamento desta regra.
Existem dois tipos de criptografia:
1. A simétrica: forma mais simples, pois a cifragem e a decifragem da mensagem são realizadas com a utilização de uma mesma senha. Essa forma apresenta algumas limitações, a primeira delas é que para criar a senha é preciso que as partes convencionem juntas o código que será utilizado. A segunda limitação é que teria que criar um novo código para cada pessoa que voce deseja se comunicar.
2. A assimétrica: forma mais complexa, foi desenvolvida nos anos 70 pelos pesquisadores norte-americanos Whitfield Diffie, Martin Hellman e Ralph Merkle. O método utiliza duas chaves, pública e privada, utilizadas pelo emissor e receptor da mensagem. A chave privada é excluisva do titular da chave de assinatura, já a chave pública pode ser amplamente divulgada. Elas são uma combinação de letras e números bastante extensa e atuam em conjunto em que o receptor ao receber a mensagem aplicará a chave pública do remetente para verificar se ela foi efetivamente enviada pelo tal emissor.
Esquema da Certificação Digital
A Certificação digital pode ser utilizada tanto por entidades públicas como privadas. Dentro da esfera pública, ela é utilizada para dar rapidez e segurança aos processos internos ou para prestar informações ao cidadão.
Exemplos da certificação no Governo Federal:
Programa Universidade para Todos – PROUNI;
Programa Juros Zero;
Troca de Informações de Saúde Suplementar – TISS;
Instituto Nacional da Propriedade Industrial – INPI;
ComprasNet;
Sistema de Diárias e Passagens;
Serviço de Documentos Oficiais – SIDOF;
Sistema de Pagamentos Brasileiro – SPB;
Sistema do Banco Central do Brasil – Sisbacen;
Sistema Integrado de Comércio Exterior – SISCOMEX;
FGTS
Receita Federal
O órgão que mais utiliza a certificação é a Secretaria da Receita Federal do Brasil, para agilizar e dar comodidade ao contribuinte, além de garantir o sigilo fiscal estipulado por lei. Algumas das iniciativas utilizadas pela Receita são:
1. Central Virtual de Atendimento ao Contribuinte (e-CAC.
2. Registro de operações e prestação de impostos federais, como: DCTF, DIRPF, DIRPJ, PAF (SRF/MF);
3. Sistema Público de Escrituração Digital (SPED);
4. Nota Fiscal Eletrônica (NF-e).
Entidades Credenciadas
Visualize a lista de entidades credenciadas acessando aqui.
Entidades DescredenciadasVisualize a lista de entidades descredenciadas acessando aqui.
Entidades em CredenciamentoVisualize a lista de entidades em credenciamento acessando aqui.
Benefícios da Certificação Digital
Economia de tempo e redução de custos; Desburocratização de processos; Validade jurídica nos documentos eletrônicos; Possibilidade de eliminação de papéis; Autenticação na Internet com segurança; Praticidade ao não ter que se deslocar a um
órgão e evitando filas; Acessibilidade aos serviços a qualquer hora e em
qualquer lugar
Desafios do E-Gov
Apesar do grande avanço da gestão pública no meio eletrônico, o acesso não é universal, pois apenas uma pequena parcela da população têm acesso à rede.
“Segundo a coordenação do Cetic/CGI (Comitê Gestor da Internet no Brasil), há uma relação direta entre o nível de instrução e a faixa de renda e o uso do governo eletrônico: quanto maior a renda e quanto maior o nível de instrução, maior o uso dos serviços eletrônicos de governo. Entre os motivos mais citados para a não utilização do governo eletrônico, a preferência pelo contato pessoal, com 53% das menções, a preocupação com segurança dos dados, com 19% e a constatação de que o contato com a administração pública é muito complicado, com 17%, aparecem nas primeiras posições.” (SANTOS, 2010)
Um dos principais desafios para este momento do processo de evolução do governo eletrônico brasileiro é garantir o sincronismo, foco e priorização dos projetos de transformação em curso. Ao mesmo tempo, tem-se que promover ações para ampliar o acesso de grupos da sociedade menos favorecidos à tecnologia disponível, para garantir que estes benefícios atingidos possam ser um fator de ampliação e inclusão digital, e consequente, inclusão social da população brasileira. (SANTOS, 2010).
Desafios do E-Gov
Desafios do E-Gov
A estratégia do G-Buster Anti-Fraud System* para Governo Eletrônico, é dotar a Aplicação Web de efetivo sistema de segurança, em aderência às normas e legislação vigentes, que versam sobre o sigilo e a inviolabilidade de informações de interesse da sociedade e do Estado, no âmbito da Administração pública.
*G-Buster Anti-Fraud System, também conhecido como GBPlugIn é uma solução que estrutura um ambiente virtual blindado, com os requisitos necessários para a arealização de transações financeiras através da Internet.
Segurança da Informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
São características básicas de segurança da informação os atributos de: confiabilidade, integridade, autenticidade e disponibilidade, não estando em confiança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.
Desafios do E-Gov
Referências
BARROS, Otávio Santana Rêgo. GOMES, Ulisses de Mesquita, FREITAS, Lacerda de. (org.) Desafios estratégicos para segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011. p. 216
CORSO, Ildo. Implementação de serviços de E-Gov em prefeituras municipais, usando provedores de serviços de aplicação. UFSC: Florianópolis, Junho de 2003.
DINIZ , Eduardo Henrique [et al.]. O governo eletrônico no Brasil: perspectiva histórica a partir de um modelo estruturado de análise. RAP — RIO DE JANEIRO 43(1):23-48, JAN./FEV. 2009.
FREITAS, Christiana Soares de. VERONESE, Alexandre. Segredo e democracia: certificação digital e software livre. Trabalho apresentado ao Grupo de Trabalho Sobre Sociedade de Informação no XII Congresso Brasileiro de Sociologia (01 jun. 2005; Belo Horizonte, MG).
GANDINI , João Agnaldo Donizeti; SALOMÃO, DianaPaola da Silva ; JACOB, Cristiane . A segurança dos documentos digitais.2001.
HORAN, Thomas A. Introducing e-gov: history, definitions, and issues. Communications of the Association for Information Systems (Volume 15, 2004)713-729.
JARDIM, José Maria. A construção do e-gov no Brasil: configurações político-informacionais. Disponível em: http://www.egov.ufsc.br/portal/sites/default/files/anexos/30772-32926-1-PB.pdf. Acesso em: 28.04.2014.
MENKE, Fabiano. Assinaturas digitais, certificados digitais, infra-estrutura de chaves públicas brasileiras e a ICP alemã. Disponível em: http://egov.ufsc.br/portal/sites/default/files/anexos/4375-4369-1-PB.pdf. Acesso em 28.04.2014.
NAZARENO, Claudio [et al.]. Tecnologias da informação e sociedade : o panorama brasileiro. Brasília: Câmara dos Deputados, Coordenação de Publicações, 2006. 187p. (Série temas de interesse do legislativo ; n. 9).
NOBRE, LF et al. Certificação digital de exames em Telerradiologia: um alerta necessário. Radiol Bras 2007;40(6):415–421
PERSEGONA , Marcelo Felipe Moreira; ALVES, Isabel Teresa Gama. História da Internet: origens do e-gov no Brasil. Disponível em: http://ffb.virtual.ufc.br/solar/arquivos/curso/367/historia_da_internet.pdf. Acesso em: 28.04.2014.
SANTOS, P. M. ; FERREIRA, M. V. A. ; BRAGA, M. de M. ; BERNARDES, M. B. ; ROVER, A. J. . Governo Eletrônico no Brasil: Análise dos Fatores Críticos de Sucesso e dos Novos Desafios. In: 39 JAIIO - Simposio Argentino de Informática y Derecho, 2010, Buenos Aires. Anales del SID 2010: Simposio Argentino de Informática y Derecho. Buenos Aires, 2010. p. 2045-2057
SANTOS, R. J. L.: Governo Eletrônico: o que se deve e o que não se deve fazer, XVI Concurso de Ensayos y Monografías del CLAD sobre Reforma del Estado y Modernización de la Administración Pública “Gobierno Electrónico”, Venezuela (2002)
THOMAZ, Katia P. Repositório digitais confiáveis e certificação. , Rio de janeiro, v.3, n.1, p. 80-89, jan./jun.2007.
Sites:
http://serasa.certificadodigital.com.br/ajuda/o-que-e-certificado-digital/ Acesso em: 10.05.2014.
http://www.fazenda.df.gov.br/arquivos/pdf/O_que_e_certificado_digital.pdf Acesso em: 10.05.2014.
http://www.gastecnologia.com.br/pt/solucoes/SOLU%C3%87%C3%83O%20ANTI-FRAUDE%20PARA%20E-GOV.htm Acesso em: 14.05.2014
http://www.governoeletronico.com.br/index.php?option=com_content&task=view&id=19&Itemid=29 Acesso em: 14.05.2014
http://www.egov.ufsc.br/portal/conteudo/seguran%C3%A7a-de-informa%C3%A7%C3%A3o Acesso em: 14.05.2014