POLÍTICAS NACIONAIS DE SEGURANÇA CIBERNÉTICA. O Regulador das Telecomunicações --- Brasil, EUA,...
-
Upload
sergio-alves-jr -
Category
Documents
-
view
159 -
download
2
description
Transcript of POLÍTICAS NACIONAIS DE SEGURANÇA CIBERNÉTICA. O Regulador das Telecomunicações --- Brasil, EUA,...
POLÍTICAS NACIONAIS DE SEGURANÇA CIBERNÉTICAO Regulador das Telecomunicações
Brasil, Estados Unidos, União Internacional das Telecomunicações (UIT)
Defesa de Dissertação de MestradoAluno: Sérgio Alves Jr.
Orientador: Paulo César CoutinhoREGEN/Universidade de Brasília
Brasília, 27 junho 2011
Introdução
� Motivação:� Agência bastante demandada, em razão de competência legal
� Impacto econômico toda a cadeia de TICs;
� Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR): “Estudos e adoção de medidas proteção da infraestrutura(IE) nacional de telecomunicações contra falhas e ataques de guerra cibernética.” [terminologia inadequada]
� falta sistematização
� Problema: eventual papel da Anatel na Política Nacional de Segurança Cibernética (PNSC)
� Hipótese: IE setor subjaz à Internet ⇒ regulador papel destaque
Metodologia
� Pesquisa política (policy research)
� Bibliográfica, documental pública
� Foco exploratório e prático
� Limitações conhecidas� Poucas entrevistas formais e documentos restritos� Carência de fontes institucionais� Parcialidade: pesquisador é servidor Anatel, delegado UIT
Estrutura
� I. Noções Iniciais sobre Segurança Cibernética (SC)� Contextualização e conceitos
� II. Modelos internacionais de políticas SC� União Internacional de Telecomunicações (UIT/ONU)� Federal Communications Commission (FCC/EUA)� Legitimação para atuação� Propostas dos modelos
� III. Política Nacional de Segurança Cibernética (PNSC)� A política nacional nascente� Propostas de atuação da Anatel
I. Fundamentação
� Interconexão, interdependência e sustentabilidade
� Sociedade Informação (SI) �Massificação TICs
� Tudo. Todos. Mesmo tempo. Todos os lugares.
� Condição para SI: Infraestrutura e Informação
� Ameaças ao Ciberespaço � Ameaças à própria SI
Conceitos
� Segurança e Proteção – vocabulário� Construção de arcabouço teórico (¿¿¿Cyber???)� Vulnerabilidades, riscos, ameaças� malware ≈ worm ≈ hacker ≈ botnet ≈ vírus (senso comum)
� Segurança cibernética, Infraestrutura Crítica (IC)� UIT-T, Recomendação X.1205� GSI, Portaria nº 45/2009� EUA, ???
Correlação conceitos UIT e GSI
UIT GSIO que é a coletânea de ferramentas, políticas, conceitos de
segurança, medidas de segurança, diretrizes, abordagens de gestão de riscos, ações, treinamentos, melhores práticas, garantias e tecnologias que pode ser usada para
a arte de
Objetivo proteger o ambiente virtual e os ativos da organização e do usuáriogeral: Disponibilidade, integridade, confidencialidade
assegurar a existência e a continuidade da Sociedade da Informação de uma Nação
Por meio de / como
garantir a realização e manutenção das propriedades de segurança dos ativos da organização e do usuário contra riscos de segurança relevantes no ambiente cibernético
garantindo e protegendo, no Espaço Cibernético, seus Ativos de Informação e suas Infraestruturas Críticas
Ativos Ativos da organização e do usuário incluem dispositivos de computação conectados, pessoal, infraestrutura, aplicações, serviços, sistemas de telecomunicações, bem como a totalidade da informação transmissão e / ou armazenada no ambiente cibernético.
São Ativos de Informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
SC ≈ IC (sistemas, serviços e funções chave cuja interrupção ou destruição teria um impacto debilitante na saúde e segurança pública, comércio, e segurança nacional, ou qualquer combinação dessas questões.) [Obs.: IEC não definido na Recomendação]
São Infraestruturas Críticas as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.
Segurança e telecomunicações
� Ameaças/incidentes IC telecomunicações� Speedy, São Paulo, 2008 e 2009� Oi, Bahia, 2010/11
� Stuxnet, China, desvio de tráfego
� Pregões restritos, Telebras, Huaweii, ZTE, FCC, OFCOM
� Marco SC no Brasil: sequência de ataques ao governo desde 22.06.2011� Presidência, Brasil.gov, Senado, Petrobras, IBGE...
UnB!!! 25.06.201125.06.2011
Fon
te: G
oogl
e/ In
tern
et
Significado recente
¿¿¿¿¿jogos de guerra?????
Fon
te: G
oogl
e/ In
tern
et
Nesse cenário, Regulador?Interdependência - PIC
Fonte: Google/ Internet
Nesse cenário, Regulador?Segurança Pública
Fon
te: G
oogl
e/ In
tern
et
Nesse cenário, Regulador?Defesa Cibernética
Fon
te: G
oogl
e/ In
tern
et
II. Para UIT e FCC, Sim.
� Seja como protagonista na atividade regulatória direta (na proteção de infraestrutura crítica e imposição de padrões técnicos)
� Seja como contribuinte eventual (no combate ao crime cibernético e na formulação da estratégianacional de segurança cibernética)
� Entre novas atribuições do regulador, papel crescente como ator em atividades de segurança cibernética.
UIT ≈ FCC ≈ Anatel
UIT
� Legitimação� Cúpula Mundial da Sociedade da Informação (CMSI)
� C5: Criar confiança e segurança na utilização de TICs
� Discurso presidente Lula 2009 na UIT: “faça!”
� Papel� Conferência de Plenipotenciários 2010 (PP-10)
� Brasil, EUA, Europa: contra [≈ contradição discurso Lula]
� África, Árabes, China: a favor (níveis diversos)
� Desfecho: segurança e defesa nacional, crimes cibernéticos, conteúdo de comunicações estão fora do mandato da UIT
UIT: apenas mais um
Fon
te: U
IT
UIT: Regulador e SC
� “Cybersecurity: The Role and Responsibilities of an Effective Regulator”� Estratégia nacional: abordagem conjunta� Atores: Governo, setor privado, usuário
� Pressupostos para Regulador� Instituição é madura perante Administração Pública
� Tem mandato bem definido
� Dispõe de recursos e instrumentos adequados
� Impõe padrões técnicos e fiscaliza implementação
� Integra processo de formulação de políticas
UIT: Reguladores vários
� Regulador lidera (Singapura) e assessora (EUA)
� Spam, botnets = proteção ao consumidor (Holanda)
� Assistência legal (Nigéria) e persecução penal (Malásia)
� Secretariado na Política Nacional (Singapura)
� CSIRTs próprios (Suécia, Singapura, Hungria)
� Cultura de segurança (Reino Unido, Coréia)
� PPP (EUA, Estônia, Japão, Suíça)
EUA
� ARPANet => Internet => 11.09 => Ato Patriota 2001
� Obama: Cyberspace Policy Review (+ Clinton e Bush)
� CNCI: Compartilhamento responsabilidades e Coordenador de SC na Casa Branca (Bush e Obama)
� PNBL� SC incrementaria Segurança Nacional� FCC promoveria SC e proteção de IEC
FCC: Consutas Públicas 2010
� i. Resiliência de redes de banda larga� i) principais falhas na arquitetura das redes, (ii) medidas implementadas por ISPs, (iii) melhores práticas, (iv) prioridade de tráfego de agências de primeiros socorros
� ii. Certificação voluntária de insumos de rede� (i) custos e benefícios; (ii) incentivos a fornecedores para implementação de certificação; (iii) logística, critérios, autorizações e validade de certificação
� iii. Roadmap de SC� (i) principais vulnerabilidades e como abordá-las, (ii) o papel da FCC, (iv) medidas (caso haja) que a FCC deve tomar, (v) como FCC deve interagir com outros órgãos
FCC: Respostas às Consultas
� Respostas conservadoras, maioria é setor privado� Argumentos favoráveis:
� setores financeiro e energético, demandas de smart grids� melhor esforço não é mais suficiente� educar consumidores� ISPs monitoram comportamento e desempenho, obrigá-los a informar interrupções e incidentes (resposta e tratamento)
� estimular adoção de soluções de monitoramento de rede� promover segurança e privacidade� incluir entes públicos, privados, especialistas� Incentivar como selos de qualidade, financiamento, responsabilização limitada de provedores
FCC: Respostas às Consultas
� Respostas conservadoras, maioria é setor privado� Argumentos contrários:
� Cautela!� Falta-lhe mandato� Falta Análise de Impacto Regulatório� Preferência por PPPs� Implicaria duplicação de esforços� Redes já bastante resilientes e respondem bem a crises� DNSSEC, em implementação, aumenta segurança� Alta concorrência já implica incentivos a garantir segurança� Certificação geraria descompasso tecnológico
III. BRASIL
� Estratégia Nacional de Defesa (Decreto nº 6.703/2008)� 3 setores estratégicos: espacial, nuclear e cibernético
� Infraestrutura: “Compatibilizar os atuais esforços governamentais de aceleração do crescimento com as necessidades da Defesa Nacional.”
� Segurança Nacional: “Todas as instâncias do Estado deverão contribuir para o incremento do nível de Segurança Nacional, com particular ênfase sobre (...) segurança cibernética
� Margem para atuação de órgãos de comunicações
Stakeholders Brasil
Fonte: GSI, GT SEG CIBER
Estrutura Brasil
� Conselho de Defesa Nacional� Câmara de Relações Exteriores e Defesa Nacional (CREDEN)
� Grupo Técnico Segurança Cibernética (GT SEG CIBER)
� GT Segurança Infraestruturas Críticas (GT SIC)
� Conselho de Governo� Comitê Gestor de Segurança da Informação (CGSI)
� Grupo de Trabalho de SIC de Informação (GT SICI)
CREDEN/ Conselho de Governo
Leinº8.028/1990
-assessoraroPresidentedaRepúblicanaformulaçãode
diretrizesdeaçãogovernamental
Decreto4.801/2003(alteradoem2008e2009)
-formular,aprovar,promoverpolíticaspúblicasediretrizesdematériasrelacionadascomaáreadas
relaçõesexterioresedefesanacional
-açõespertinentesa[...]segurançadasinfraestruturascríticas,segurançadainformação,
segurançacibernética
Portarianº2/2008/GSI
-pesquisar,propor,avaliar,estudarvulnerabilidades,
interdependência,causas,riscos,medidas,bancodedadosdeIC
PortariaInterministerialnº16/2008/GSI/MC
-GSIreportaàCREDEN
Portarianº4/2009/GSI
Portarianº5/2009/GSI
Portarianº6/2009/GSI
Portariasnº3/2008,15/2009,196/2009,
26/2010/GSI
Portarianº45/2009/GSI
-propordiretrizeseestratégiasparaaSC
-de inesegurançacibernética,ativosdeinformação,infraestruturacrítica
CGSI/ Conselho de Defesa Nacional
ConstituiçãoFederaldoBrasil
-opinarnashipótesesdedeclaraçãodeguerraedecelebraçãodapaz,decretaçãodoestadodedefesa,do
estadodesítioedaintervençãofederal;
-estudar,proporeacompanharodesenvolvimentodeiniciativasnecessáriasagarantiraindependêncianacionale
adefesadoEstadodemocrático.
Decreto3.505/2000
-instituiPolíticadeSegurançadaInformaçãonaAdministração
PúblicaFederal
Portarianº34/2009-CDN/SE
-pesquisar,propor,avaliar,estudarvulnerabilidades,
interdependência,causas,riscos,medidas,bancodedadosdeIEC
Portarianº35/2009/CDN/SE
-proporregulamentaçãoparaousodeRecursosCriptográ icosem
TICs
Portarianº16/2003-CH/GSI
-analisareapresentarpropostadePolíticaNacionalde
Telecomunicaçõeseserviçosdevaloragragadodeinteresseda
DefesaNacional
ConselhodeDefesaNacional
(Vice-Presidente,Câmara,Senado,MJ,MD,MRE,MPOG,Marinha,Exército,Aeronáutica)
ComitêGestordeSegurançadaInformação(CGSI)
(MJ,MD,MRE,MF,Previdência,MS,MDIC,MC,MCT,CasaCivil,GSI,SECOM,
MME,CGU,AGU)
GrupoTrabalhoSICI
(GSI,CasaCivil,MD,MS,MCT,MPOG,MRE,BACEN,BB,CAIXA,SERPRO,
PETROBRAS,DATAPREV)
GTCriptogra ia
(GSI,CasaCivil,MD,MJ,MRE,MC,MDIC,MCT,MF,AGU,CGU,Anatel)
GTPolíticaNacionaldeTelecomunicaçõesvoltadopara
DefesaNacional
(GSI,CasaCivil,MC,MJ,MD,MRE,MF,MS,MPS,MDIC,MPOG,MCT,)
GT SEG CIBER
� GT SEG CIBER (set/2009)
� Propor diretrizes e estratégias SC para Adm. Federal
� Define segurança cibernética e infraestrutura crítica
� GSI, MJ, MD, MRE, Marinha, Exército, Aeronáutica� ∴ ¿¿¿¿¿ MC ?????
Grupos SIC
� Grupo Técnico SIC Telecom (GTSIC–Telecom/CREDEN, jul’08)� GSI, MC, Anatel, órgãos e especialistas convidados� SGTSIC: radiodifusão, telecomunicações, postais� Outros SGs: águas, energia, finanças, transporte
� Grupo Trabalho SIC Informação (GTSICI, CDN, ago’09)� Estudo e análise de matérias de SIC� GSI, CC, Defesa, MPOG, MRE � MS, MCT, BaCen, Banco Brasil, Caixa, Serpro, Petrobras, Datraprev� ∴ ¿¿¿¿¿ MC ?????
Comunicações sub-representadas
� MC participa do Conselho de Governo, mas nãointegra a CREDEN, participa do Grupo Técnico de Segurança de Infraestruturas Críticas (GTSIC/CREDEN), mas não do Grupo Técnico de Segurança Cibernética (GT SEG CIBER)
� MC não participa do Conselho de Defesa Nacional, integra o CGSI, mas não participa do Grupo de Trabalho de Segurança de Infraestruturas Críticas da Informação (GTSICI/CGSI).
� ∴ inconsistência?
Brasil: Livro verde
� GT SEG CIBER
� Desafios, oportunidades, vetores
� Referências a UIT, FCC, Citel� não cita Anatel (LGT)� ≈ propostas dos modelos da pesquisa
� Visa à formulação de futura PNSC
� Clama por contribuições
Livro Verde: imperativos
� Prioridade: lançar PNSC + PNSICríticas
� Regular mercado, por meio de padrões técnicos
� Defender privacidade
� Estabelecer órgão central de cúpula
� Construir arcabouço conceitual
� Estimular parcerias público-privadas
� Promover cooperação internacional
� Liderar futura Convenção global ONU (UNODC??)
� Fomentar P&D
Diagnóstico Anatel
� Países trabalham identificação de stakeholders� UIT afirma que reguladores são primordiais� Atuação FCC não é unânime, mas indica projetostangíveis
� Anatel não desponta em seu caráter político� Manifestação de sua capacidade técnica está oprimida� Obstrução de sua imagem como ente estatal maduroapto a exercer funções estratégicas na PNSC
TCU audita TI da Agência
� Acõrdão nº 465/2011 do TCU, sobre regulamentação CGSI
� Irregularidades, precariedade e oportunidades na Anatel� inexiste Política de Segurança da Informação e Comunicações (POSIC)
� inexiste inventário dos ativos de informação
� inexiste equipe de tratamento e resposta a incidentes em redes computacionais (ETIR ou CERT)
� inexiste processo de gestão de riscos de segurança da informação
� Agência está pronta para PNSC?� A averiguar: sites e órgãos atacados recentemente estavam em dia?
Propostas para Anatel
� Fundamentos� Modelos da pesquisa� LGT e regulamentação do setor� Oportunidades de END e Livro Verde� Desafios de Copa e Olimpíadas sobre IEC e segurança no setor!
i. Possível mandato
� LGT: princípio da Soberania Nacional
� Revisão regulamentação Internet como Serviço de Valor Adicionado (SVA)
� Descompasso com mercado obsta responsabilização
� CPI Pedofilia expôs o setor
� Mandato e recursos são fundamentais para PNSC
ii. Combate ao Spam e Botnets
� Viés proteção ao consumidor
� Regulamentos obrigação de continuidade e qualidade
� Bloqueio da Porta 25
� Agência deve fiscalizar
Fonte: DiploFoundation
iii. IEC e tratamento de incidentes
� Metodologia Proteção IC Telecomunicações (PICT) já desenvolvida por Anatel e CPqD, com recursos do Funtell
� Próxima etapa: caráter obrigatório para operadoras
� Imposição de medidas e padrões técnicos para gestão
� Sigilo e privacidade
� CERT próprio: coleta de dados de incidentes de operadoras
� Cooperação com CERT.br, CTIR.gov, ETIRs de operadoras
iv. PD&I
� Funtell
� Estratégia Nacional de Defesa
� Demanda mundial
� Wikileaks: EUA identifica riscos e oportunidadesem SC e IEC no Brasil, em particular, para osgrandes eventos esportivos
v. Harmonização de ações
� GSI e GT SEG CIBER
� MC e Anatel
� CGI.br e CERT.br
� Telebras (considerando rumos anunciados)
� MJ, Polícias, Congresso Nacional
vi. Estrutura permanente na Agência
� Vinculada ao Conselho Diretor , tal como Bureau de Segurança Nacional (DHS) da FCC
� Coordenação de atividades regulatórias e fiscalizatórias SC
� Promoção da cultura de Segurança Cibernética
� Relacionamento externo com CREDEN, GT SEG CIBER, Congresso Nacional
vii. UIT e cooperação internacional
� Comissões Brasileiras de Comunicações (CBC)
� Incremento de representatividade delegações BR à UIT
� Demandas de foros extrapolam mandato da Anatel
� MRE, GSI, MD, Anatel se coordenaram para PP-10
� PP-10 favorece órgãos técnicos
� Aproximação à FCC e outros reguladores atuantes
Conclusões
� Modelos evidenciam atuação qualificada de reguladores
� Esparsas atividades de SC são empreendidas pela Anatel
� Margem para Anatel e MC na governança nacional, setor estásub-representado (GT SEG CIBER e formulação da PNSC)
� Demanda por coordenação nacional gera impacto no planointernacional
� Segurança Cibernética na UIT já extrapola mandato da Anatel