POLÍTICAS NACIONAIS DE SEGURANÇA CIBERNÉTICAO Regulador das Telecomunicações

Brasil, Estados Unidos, União Internacional das Telecomunicações (UIT)

Defesa de Dissertação de MestradoAluno: Sérgio Alves Jr.

Orientador: Paulo César CoutinhoREGEN/Universidade de Brasília

Brasília, 27 junho 2011

Introdução

� Motivação:� Agência bastante demandada, em razão de competência legal

� Impacto econômico toda a cadeia de TICs;

� Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR): “Estudos e adoção de medidas proteção da infraestrutura(IE) nacional de telecomunicações contra falhas e ataques de guerra cibernética.” [terminologia inadequada]

� falta sistematização

� Problema: eventual papel da Anatel na Política Nacional de Segurança Cibernética (PNSC)

� Hipótese: IE setor subjaz à Internet ⇒ regulador papel destaque

Metodologia

� Pesquisa política (policy research)

� Bibliográfica, documental pública

� Foco exploratório e prático

� Limitações conhecidas� Poucas entrevistas formais e documentos restritos� Carência de fontes institucionais� Parcialidade: pesquisador é servidor Anatel, delegado UIT

Estrutura

� I. Noções Iniciais sobre Segurança Cibernética (SC)� Contextualização e conceitos

� II. Modelos internacionais de políticas SC� União Internacional de Telecomunicações (UIT/ONU)� Federal Communications Commission (FCC/EUA)� Legitimação para atuação� Propostas dos modelos

� III. Política Nacional de Segurança Cibernética (PNSC)� A política nacional nascente� Propostas de atuação da Anatel

I. Fundamentação

� Interconexão, interdependência e sustentabilidade

� Sociedade Informação (SI) �Massificação TICs

� Tudo. Todos. Mesmo tempo. Todos os lugares.

� Condição para SI: Infraestrutura e Informação

� Ameaças ao Ciberespaço � Ameaças à própria SI

Conceitos

� Segurança e Proteção – vocabulário� Construção de arcabouço teórico (¿¿¿Cyber???)� Vulnerabilidades, riscos, ameaças� malware ≈ worm ≈ hacker ≈ botnet ≈ vírus (senso comum)

� Segurança cibernética, Infraestrutura Crítica (IC)� UIT-T, Recomendação X.1205� GSI, Portaria nº 45/2009� EUA, ???

Correlação conceitos UIT e GSI

UIT GSIO que é a coletânea de ferramentas, políticas, conceitos de

segurança, medidas de segurança, diretrizes, abordagens de gestão de riscos, ações, treinamentos, melhores práticas, garantias e tecnologias que pode ser usada para

a arte de

Objetivo proteger o ambiente virtual e os ativos da organização e do usuáriogeral: Disponibilidade, integridade, confidencialidade

assegurar a existência e a continuidade da Sociedade da Informação de uma Nação

Por meio de / como

garantir a realização e manutenção das propriedades de segurança dos ativos da organização e do usuário contra riscos de segurança relevantes no ambiente cibernético

garantindo e protegendo, no Espaço Cibernético, seus Ativos de Informação e suas Infraestruturas Críticas

Ativos Ativos da organização e do usuário incluem dispositivos de computação conectados, pessoal, infraestrutura, aplicações, serviços, sistemas de telecomunicações, bem como a totalidade da informação transmissão e / ou armazenada no ambiente cibernético.

São Ativos de Informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

SC ≈ IC (sistemas, serviços e funções chave cuja interrupção ou destruição teria um impacto debilitante na saúde e segurança pública, comércio, e segurança nacional, ou qualquer combinação dessas questões.) [Obs.: IEC não definido na Recomendação]

São Infraestruturas Críticas as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

Segurança e telecomunicações

� Ameaças/incidentes IC telecomunicações� Speedy, São Paulo, 2008 e 2009� Oi, Bahia, 2010/11

� Stuxnet, China, desvio de tráfego

� Pregões restritos, Telebras, Huaweii, ZTE, FCC, OFCOM

� Marco SC no Brasil: sequência de ataques ao governo desde 22.06.2011� Presidência, Brasil.gov, Senado, Petrobras, IBGE...

UnB!!! 25.06.201125.06.2011

Fon

te: G

oogl

e/ In

tern

et

Significado recente

¿¿¿¿¿jogos de guerra?????

Fon

te: G

oogl

e/ In

tern

et

Nesse cenário, Regulador?Interdependência - PIC

Fonte: Google/ Internet

Nesse cenário, Regulador?Segurança Pública

Fon

te: G

oogl

e/ In

tern

et

Nesse cenário, Regulador?Defesa Cibernética

Fon

te: G

oogl

e/ In

tern

et

II. Para UIT e FCC, Sim.

� Seja como protagonista na atividade regulatória direta (na proteção de infraestrutura crítica e imposição de padrões técnicos)

� Seja como contribuinte eventual (no combate ao crime cibernético e na formulação da estratégianacional de segurança cibernética)

� Entre novas atribuições do regulador, papel crescente como ator em atividades de segurança cibernética.

UIT ≈ FCC ≈ Anatel

UIT

� Legitimação� Cúpula Mundial da Sociedade da Informação (CMSI)

� C5: Criar confiança e segurança na utilização de TICs

� Discurso presidente Lula 2009 na UIT: “faça!”

� Papel� Conferência de Plenipotenciários 2010 (PP-10)

� Brasil, EUA, Europa: contra [≈ contradição discurso Lula]

� África, Árabes, China: a favor (níveis diversos)

� Desfecho: segurança e defesa nacional, crimes cibernéticos, conteúdo de comunicações estão fora do mandato da UIT

UIT: apenas mais um

Fon

te: U

IT

UIT: Regulador e SC

� “Cybersecurity: The Role and Responsibilities of an Effective Regulator”� Estratégia nacional: abordagem conjunta� Atores: Governo, setor privado, usuário

� Pressupostos para Regulador� Instituição é madura perante Administração Pública

� Tem mandato bem definido

� Dispõe de recursos e instrumentos adequados

� Impõe padrões técnicos e fiscaliza implementação

� Integra processo de formulação de políticas

UIT: Reguladores vários

� Regulador lidera (Singapura) e assessora (EUA)

� Spam, botnets = proteção ao consumidor (Holanda)

� Assistência legal (Nigéria) e persecução penal (Malásia)

� Secretariado na Política Nacional (Singapura)

� CSIRTs próprios (Suécia, Singapura, Hungria)

� Cultura de segurança (Reino Unido, Coréia)

� PPP (EUA, Estônia, Japão, Suíça)

EUA

� ARPANet => Internet => 11.09 => Ato Patriota 2001

� Obama: Cyberspace Policy Review (+ Clinton e Bush)

� CNCI: Compartilhamento responsabilidades e Coordenador de SC na Casa Branca (Bush e Obama)

� PNBL� SC incrementaria Segurança Nacional� FCC promoveria SC e proteção de IEC

FCC: Consutas Públicas 2010

� i. Resiliência de redes de banda larga� i) principais falhas na arquitetura das redes, (ii) medidas implementadas por ISPs, (iii) melhores práticas, (iv) prioridade de tráfego de agências de primeiros socorros

� ii. Certificação voluntária de insumos de rede� (i) custos e benefícios; (ii) incentivos a fornecedores para implementação de certificação; (iii) logística, critérios, autorizações e validade de certificação

� iii. Roadmap de SC� (i) principais vulnerabilidades e como abordá-las, (ii) o papel da FCC, (iv) medidas (caso haja) que a FCC deve tomar, (v) como FCC deve interagir com outros órgãos

FCC: Respostas às Consultas

� Respostas conservadoras, maioria é setor privado� Argumentos favoráveis:

� setores financeiro e energético, demandas de smart grids� melhor esforço não é mais suficiente� educar consumidores� ISPs monitoram comportamento e desempenho, obrigá-los a informar interrupções e incidentes (resposta e tratamento)

� estimular adoção de soluções de monitoramento de rede� promover segurança e privacidade� incluir entes públicos, privados, especialistas� Incentivar como selos de qualidade, financiamento, responsabilização limitada de provedores

FCC: Respostas às Consultas

� Respostas conservadoras, maioria é setor privado� Argumentos contrários:

� Cautela!� Falta-lhe mandato� Falta Análise de Impacto Regulatório� Preferência por PPPs� Implicaria duplicação de esforços� Redes já bastante resilientes e respondem bem a crises� DNSSEC, em implementação, aumenta segurança� Alta concorrência já implica incentivos a garantir segurança� Certificação geraria descompasso tecnológico

III. BRASIL

� Estratégia Nacional de Defesa (Decreto nº 6.703/2008)� 3 setores estratégicos: espacial, nuclear e cibernético

� Infraestrutura: “Compatibilizar os atuais esforços governamentais de aceleração do crescimento com as necessidades da Defesa Nacional.”

� Segurança Nacional: “Todas as instâncias do Estado deverão contribuir para o incremento do nível de Segurança Nacional, com particular ênfase sobre (...) segurança cibernética

� Margem para atuação de órgãos de comunicações

Stakeholders Brasil

Fonte: GSI, GT SEG CIBER

Estrutura Brasil

� Conselho de Defesa Nacional� Câmara de Relações Exteriores e Defesa Nacional (CREDEN)

� Grupo Técnico Segurança Cibernética (GT SEG CIBER)

� GT Segurança Infraestruturas Críticas (GT SIC)

� Conselho de Governo� Comitê Gestor de Segurança da Informação (CGSI)

� Grupo de Trabalho de SIC de Informação (GT SICI)

CREDEN/ Conselho de Governo

Leinº8.028/1990

-assessoraroPresidentedaRepúblicanaformulaçãode

diretrizesdeaçãogovernamental

Decreto4.801/2003(alteradoem2008e2009)

-formular,aprovar,promoverpolíticaspúblicasediretrizesdematériasrelacionadascomaáreadas

relaçõesexterioresedefesanacional

-açõespertinentesa[...]segurançadasinfraestruturascríticas,segurançadainformação,

segurançacibernética

Portarianº2/2008/GSI

-pesquisar,propor,avaliar,estudarvulnerabilidades,

interdependência,causas,riscos,medidas,bancodedadosdeIC

PortariaInterministerialnº16/2008/GSI/MC

-GSIreportaàCREDEN

Portarianº4/2009/GSI

Portarianº5/2009/GSI

Portarianº6/2009/GSI

Portariasnº3/2008,15/2009,196/2009,

26/2010/GSI

Portarianº45/2009/GSI

-propordiretrizeseestratégiasparaaSC

-de inesegurançacibernética,ativosdeinformação,infraestruturacrítica

CGSI/ Conselho de Defesa Nacional

ConstituiçãoFederaldoBrasil

-opinarnashipótesesdedeclaraçãodeguerraedecelebraçãodapaz,decretaçãodoestadodedefesa,do

estadodesítioedaintervençãofederal;

-estudar,proporeacompanharodesenvolvimentodeiniciativasnecessáriasagarantiraindependêncianacionale

adefesadoEstadodemocrático.

Decreto3.505/2000

-instituiPolíticadeSegurançadaInformaçãonaAdministração

PúblicaFederal

Portarianº34/2009-CDN/SE

-pesquisar,propor,avaliar,estudarvulnerabilidades,

interdependência,causas,riscos,medidas,bancodedadosdeIEC

Portarianº35/2009/CDN/SE

-proporregulamentaçãoparaousodeRecursosCriptográ icosem

TICs

Portarianº16/2003-CH/GSI

-analisareapresentarpropostadePolíticaNacionalde

Telecomunicaçõeseserviçosdevaloragragadodeinteresseda

DefesaNacional

ConselhodeDefesaNacional

(Vice-Presidente,Câmara,Senado,MJ,MD,MRE,MPOG,Marinha,Exército,Aeronáutica)

ComitêGestordeSegurançadaInformação(CGSI)

(MJ,MD,MRE,MF,Previdência,MS,MDIC,MC,MCT,CasaCivil,GSI,SECOM,

MME,CGU,AGU)

GrupoTrabalhoSICI

(GSI,CasaCivil,MD,MS,MCT,MPOG,MRE,BACEN,BB,CAIXA,SERPRO,

PETROBRAS,DATAPREV)

GTCriptogra ia

(GSI,CasaCivil,MD,MJ,MRE,MC,MDIC,MCT,MF,AGU,CGU,Anatel)

GTPolíticaNacionaldeTelecomunicaçõesvoltadopara

DefesaNacional

(GSI,CasaCivil,MC,MJ,MD,MRE,MF,MS,MPS,MDIC,MPOG,MCT,)

GT SEG CIBER

� GT SEG CIBER (set/2009)

� Propor diretrizes e estratégias SC para Adm. Federal

� Define segurança cibernética e infraestrutura crítica

� GSI, MJ, MD, MRE, Marinha, Exército, Aeronáutica� ∴ ¿¿¿¿¿ MC ?????

Grupos SIC

� Grupo Técnico SIC Telecom (GTSIC–Telecom/CREDEN, jul’08)� GSI, MC, Anatel, órgãos e especialistas convidados� SGTSIC: radiodifusão, telecomunicações, postais� Outros SGs: águas, energia, finanças, transporte

� Grupo Trabalho SIC Informação (GTSICI, CDN, ago’09)� Estudo e análise de matérias de SIC� GSI, CC, Defesa, MPOG, MRE � MS, MCT, BaCen, Banco Brasil, Caixa, Serpro, Petrobras, Datraprev� ∴ ¿¿¿¿¿ MC ?????

Comunicações sub-representadas

� MC participa do Conselho de Governo, mas nãointegra a CREDEN, participa do Grupo Técnico de Segurança de Infraestruturas Críticas (GTSIC/CREDEN), mas não do Grupo Técnico de Segurança Cibernética (GT SEG CIBER)

� MC não participa do Conselho de Defesa Nacional, integra o CGSI, mas não participa do Grupo de Trabalho de Segurança de Infraestruturas Críticas da Informação (GTSICI/CGSI).

� ∴ inconsistência?

Brasil: Livro verde

� GT SEG CIBER

� Desafios, oportunidades, vetores

� Referências a UIT, FCC, Citel� não cita Anatel (LGT)� ≈ propostas dos modelos da pesquisa

� Visa à formulação de futura PNSC

� Clama por contribuições

Livro Verde: imperativos

� Prioridade: lançar PNSC + PNSICríticas

� Regular mercado, por meio de padrões técnicos

� Defender privacidade

� Estabelecer órgão central de cúpula

� Construir arcabouço conceitual

� Estimular parcerias público-privadas

� Promover cooperação internacional

� Liderar futura Convenção global ONU (UNODC??)

� Fomentar P&D

Diagnóstico Anatel

� Países trabalham identificação de stakeholders� UIT afirma que reguladores são primordiais� Atuação FCC não é unânime, mas indica projetostangíveis

� Anatel não desponta em seu caráter político� Manifestação de sua capacidade técnica está oprimida� Obstrução de sua imagem como ente estatal maduroapto a exercer funções estratégicas na PNSC

TCU audita TI da Agência

� Acõrdão nº 465/2011 do TCU, sobre regulamentação CGSI

� Irregularidades, precariedade e oportunidades na Anatel� inexiste Política de Segurança da Informação e Comunicações (POSIC)

� inexiste inventário dos ativos de informação

� inexiste equipe de tratamento e resposta a incidentes em redes computacionais (ETIR ou CERT)

� inexiste processo de gestão de riscos de segurança da informação

� Agência está pronta para PNSC?� A averiguar: sites e órgãos atacados recentemente estavam em dia?

Propostas para Anatel

� Fundamentos� Modelos da pesquisa� LGT e regulamentação do setor� Oportunidades de END e Livro Verde� Desafios de Copa e Olimpíadas sobre IEC e segurança no setor!

i. Possível mandato

� LGT: princípio da Soberania Nacional

� Revisão regulamentação Internet como Serviço de Valor Adicionado (SVA)

� Descompasso com mercado obsta responsabilização

� CPI Pedofilia expôs o setor

� Mandato e recursos são fundamentais para PNSC

ii. Combate ao Spam e Botnets

� Viés proteção ao consumidor

� Regulamentos obrigação de continuidade e qualidade

� Bloqueio da Porta 25

� Agência deve fiscalizar

Fonte: DiploFoundation

iii. IEC e tratamento de incidentes

� Metodologia Proteção IC Telecomunicações (PICT) já desenvolvida por Anatel e CPqD, com recursos do Funtell

� Próxima etapa: caráter obrigatório para operadoras

� Imposição de medidas e padrões técnicos para gestão

� Sigilo e privacidade

� CERT próprio: coleta de dados de incidentes de operadoras

� Cooperação com CERT.br, CTIR.gov, ETIRs de operadoras

iv. PD&I

� Funtell

� Estratégia Nacional de Defesa

� Demanda mundial

� Wikileaks: EUA identifica riscos e oportunidadesem SC e IEC no Brasil, em particular, para osgrandes eventos esportivos

v. Harmonização de ações

� GSI e GT SEG CIBER

� MC e Anatel

� CGI.br e CERT.br

� Telebras (considerando rumos anunciados)

� MJ, Polícias, Congresso Nacional

vi. Estrutura permanente na Agência

� Vinculada ao Conselho Diretor , tal como Bureau de Segurança Nacional (DHS) da FCC

� Coordenação de atividades regulatórias e fiscalizatórias SC

� Promoção da cultura de Segurança Cibernética

� Relacionamento externo com CREDEN, GT SEG CIBER, Congresso Nacional

vii. UIT e cooperação internacional

� Comissões Brasileiras de Comunicações (CBC)

� Incremento de representatividade delegações BR à UIT

� Demandas de foros extrapolam mandato da Anatel

� MRE, GSI, MD, Anatel se coordenaram para PP-10

� PP-10 favorece órgãos técnicos

� Aproximação à FCC e outros reguladores atuantes

Conclusões

� Modelos evidenciam atuação qualificada de reguladores

� Esparsas atividades de SC são empreendidas pela Anatel

� Margem para Anatel e MC na governança nacional, setor estásub-representado (GT SEG CIBER e formulação da PNSC)

� Demanda por coordenação nacional gera impacto no planointernacional

� Segurança Cibernética na UIT já extrapola mandato da Anatel