Upload
sergio-alves-jr
View
159
Download
2
Embed Size (px)
DESCRIPTION
Dissertação de Mestrado.Políticas Nacionais de Segurança Cibernética. O Regulador das Telecomunicações – Brasil, Estados Unidos, União Internacional das Telecomunicações (UIT). Dissertação de Mestrado. Universidade de Brasília (UnB). Faculdade de Economia, Administração e Contabilidade (FACE). Brasília, Junho 2011.RESUMOCom a massificação do uso de tecnologias da informação e comunicação (TICs), em particular o acesso à Internet, a Sociedade da Informação passa a depender da segurança das infraestruturas críticas e da disponibilidade, integralidade e confiabilidade das informações que a sustentam. À medida que cresce essa dependência, ameaças ao ciberespaço se tornam ameaças à própria Sociedade da Informação. Nesse contexto, o mundo desperta para a “Segurança Cibernética”. Parte-se da premissa que o regulador de telecomunicações teria papel destacado nesses esforços, vez que o setor disponibiliza grande parte da infraestrutura e serviços subjacentes à Internet. Este trabalho buscou identificar o papel da Agência Nacional de Telecomunicações (Anatel) em uma política brasileira de segurança cibernética, utilizando como modelos (i) melhores práticas divulgadas pela União Internacional de Telecomunicações (UIT, agência especializada da ONU) e (ii) projetos da Federal Communications Commission (FCC, regulador estadunidense). Seguindo as respectivas políticas gerais de segurança cibernética enunciadas (i) pela Cúpula Mundial sobre a Sociedade da Informação (CMSI) e Conferência de Plenipotenciários 2010 (PP-10), para a UIT, e (ii) pela Casa Branca, para os EUA, ambas as instituições promovem a atuação significativa do regulador. Na UIT, várias soluções encontradas por outros reguladores indicam margem para sua atuação, mormente como assessor técnico no desenvolvimento das políticas nacionais de segurança cibernética, com foco na qualidade dos serviços prestados ao consumidor e cooperação com o setor privado, que pode desenvolver e adotar padrões seguros; nos EUA, as respostas às consultas públicas da FCC sobre (i) resiliência das redes de banda larga, (ii) impacto de um regime de certificação voluntária de segurança cibernética e (iii) eventual plano (roadmap) de segurança cibernética para a FCC, sugerem cautela na atuação do regulador, que deve analisar o impacto regulatório, evitar duplicação de esforços e promover parcerias público-privadas. No Brasil, nota-se a ausência formal de Ministério das Comunicações e Anatel na formulação da Política Nacional de Segurança Cibernética nascente, considerando discurso do Presidente da República, que, em 2009, clamou pela intensificação de atividades de segurança cibernética na UIT (foro sob competência da Anatel, conforme Lei Geral de Telecomunicações). Com mandato mais claro, seja como protagonista na atividade regulatória direta (na proteção de infraestrutura crítica e imposição de padrões técnicos) ou como contribuinte eventual (no combate ao crime cibernético e na formulação da estratégia nacional de segurança cibernética), recomenda-se a atuação da Anatel e a coordenação/cooperação com outros stakeholders nacionais, em particular, o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e o Grupo Técnico de Segurança Cibernética (GT SEG CIBER). Com isso, acredita-se que a Agência poderia promover o combate ao spam e botnets, proteção de infraestruturas críticas, resposta a incidentes de segurança, pesquisa e desenvolvimento, alinhamento de posições do País na UIT e demais foros internacionais de telecomunicações.ABSTRACTWith the widespread use of information and communication technologies (ICTs), particularly Internet access, the Information Society becomes dependent on the security of critical infrastructure and the availability, integrity and reliability of information that support it. As this dependency grows, threats to cyberspace become threats against the Information Society. In this context, the world awakens to the theme "Cybersecurity". The t
Citation preview
POLÍTICAS NACIONAIS DE SEGURANÇA CIBERNÉTICAO Regulador das Telecomunicações
Brasil, Estados Unidos, União Internacional das Telecomunicações (UIT)
Defesa de Dissertação de MestradoAluno: Sérgio Alves Jr.
Orientador: Paulo César CoutinhoREGEN/Universidade de Brasília
Brasília, 27 junho 2011
Introdução
� Motivação:� Agência bastante demandada, em razão de competência legal
� Impacto econômico toda a cadeia de TICs;
� Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR): “Estudos e adoção de medidas proteção da infraestrutura(IE) nacional de telecomunicações contra falhas e ataques de guerra cibernética.” [terminologia inadequada]
� falta sistematização
� Problema: eventual papel da Anatel na Política Nacional de Segurança Cibernética (PNSC)
� Hipótese: IE setor subjaz à Internet ⇒ regulador papel destaque
Metodologia
� Pesquisa política (policy research)
� Bibliográfica, documental pública
� Foco exploratório e prático
� Limitações conhecidas� Poucas entrevistas formais e documentos restritos� Carência de fontes institucionais� Parcialidade: pesquisador é servidor Anatel, delegado UIT
Estrutura
� I. Noções Iniciais sobre Segurança Cibernética (SC)� Contextualização e conceitos
� II. Modelos internacionais de políticas SC� União Internacional de Telecomunicações (UIT/ONU)� Federal Communications Commission (FCC/EUA)� Legitimação para atuação� Propostas dos modelos
� III. Política Nacional de Segurança Cibernética (PNSC)� A política nacional nascente� Propostas de atuação da Anatel
I. Fundamentação
� Interconexão, interdependência e sustentabilidade
� Sociedade Informação (SI) �Massificação TICs
� Tudo. Todos. Mesmo tempo. Todos os lugares.
� Condição para SI: Infraestrutura e Informação
� Ameaças ao Ciberespaço � Ameaças à própria SI
Conceitos
� Segurança e Proteção – vocabulário� Construção de arcabouço teórico (¿¿¿Cyber???)� Vulnerabilidades, riscos, ameaças� malware ≈ worm ≈ hacker ≈ botnet ≈ vírus (senso comum)
� Segurança cibernética, Infraestrutura Crítica (IC)� UIT-T, Recomendação X.1205� GSI, Portaria nº 45/2009� EUA, ???
Correlação conceitos UIT e GSI
UIT GSIO que é a coletânea de ferramentas, políticas, conceitos de
segurança, medidas de segurança, diretrizes, abordagens de gestão de riscos, ações, treinamentos, melhores práticas, garantias e tecnologias que pode ser usada para
a arte de
Objetivo proteger o ambiente virtual e os ativos da organização e do usuáriogeral: Disponibilidade, integridade, confidencialidade
assegurar a existência e a continuidade da Sociedade da Informação de uma Nação
Por meio de / como
garantir a realização e manutenção das propriedades de segurança dos ativos da organização e do usuário contra riscos de segurança relevantes no ambiente cibernético
garantindo e protegendo, no Espaço Cibernético, seus Ativos de Informação e suas Infraestruturas Críticas
Ativos Ativos da organização e do usuário incluem dispositivos de computação conectados, pessoal, infraestrutura, aplicações, serviços, sistemas de telecomunicações, bem como a totalidade da informação transmissão e / ou armazenada no ambiente cibernético.
São Ativos de Informação os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
SC ≈ IC (sistemas, serviços e funções chave cuja interrupção ou destruição teria um impacto debilitante na saúde e segurança pública, comércio, e segurança nacional, ou qualquer combinação dessas questões.) [Obs.: IEC não definido na Recomendação]
São Infraestruturas Críticas as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.
Segurança e telecomunicações
� Ameaças/incidentes IC telecomunicações� Speedy, São Paulo, 2008 e 2009� Oi, Bahia, 2010/11
� Stuxnet, China, desvio de tráfego
� Pregões restritos, Telebras, Huaweii, ZTE, FCC, OFCOM
� Marco SC no Brasil: sequência de ataques ao governo desde 22.06.2011� Presidência, Brasil.gov, Senado, Petrobras, IBGE...
UnB!!! 25.06.201125.06.2011
Fon
te: G
oogl
e/ In
tern
et
Significado recente
¿¿¿¿¿jogos de guerra?????
Fon
te: G
oogl
e/ In
tern
et
Nesse cenário, Regulador?Interdependência - PIC
Fonte: Google/ Internet
Nesse cenário, Regulador?Segurança Pública
Fon
te: G
oogl
e/ In
tern
et
Nesse cenário, Regulador?Defesa Cibernética
Fon
te: G
oogl
e/ In
tern
et
II. Para UIT e FCC, Sim.
� Seja como protagonista na atividade regulatória direta (na proteção de infraestrutura crítica e imposição de padrões técnicos)
� Seja como contribuinte eventual (no combate ao crime cibernético e na formulação da estratégianacional de segurança cibernética)
� Entre novas atribuições do regulador, papel crescente como ator em atividades de segurança cibernética.
UIT ≈ FCC ≈ Anatel
UIT
� Legitimação� Cúpula Mundial da Sociedade da Informação (CMSI)
� C5: Criar confiança e segurança na utilização de TICs
� Discurso presidente Lula 2009 na UIT: “faça!”
� Papel� Conferência de Plenipotenciários 2010 (PP-10)
� Brasil, EUA, Europa: contra [≈ contradição discurso Lula]
� África, Árabes, China: a favor (níveis diversos)
� Desfecho: segurança e defesa nacional, crimes cibernéticos, conteúdo de comunicações estão fora do mandato da UIT
UIT: apenas mais um
Fon
te: U
IT
UIT: Regulador e SC
� “Cybersecurity: The Role and Responsibilities of an Effective Regulator”� Estratégia nacional: abordagem conjunta� Atores: Governo, setor privado, usuário
� Pressupostos para Regulador� Instituição é madura perante Administração Pública
� Tem mandato bem definido
� Dispõe de recursos e instrumentos adequados
� Impõe padrões técnicos e fiscaliza implementação
� Integra processo de formulação de políticas
UIT: Reguladores vários
� Regulador lidera (Singapura) e assessora (EUA)
� Spam, botnets = proteção ao consumidor (Holanda)
� Assistência legal (Nigéria) e persecução penal (Malásia)
� Secretariado na Política Nacional (Singapura)
� CSIRTs próprios (Suécia, Singapura, Hungria)
� Cultura de segurança (Reino Unido, Coréia)
� PPP (EUA, Estônia, Japão, Suíça)
EUA
� ARPANet => Internet => 11.09 => Ato Patriota 2001
� Obama: Cyberspace Policy Review (+ Clinton e Bush)
� CNCI: Compartilhamento responsabilidades e Coordenador de SC na Casa Branca (Bush e Obama)
� PNBL� SC incrementaria Segurança Nacional� FCC promoveria SC e proteção de IEC
FCC: Consutas Públicas 2010
� i. Resiliência de redes de banda larga� i) principais falhas na arquitetura das redes, (ii) medidas implementadas por ISPs, (iii) melhores práticas, (iv) prioridade de tráfego de agências de primeiros socorros
� ii. Certificação voluntária de insumos de rede� (i) custos e benefícios; (ii) incentivos a fornecedores para implementação de certificação; (iii) logística, critérios, autorizações e validade de certificação
� iii. Roadmap de SC� (i) principais vulnerabilidades e como abordá-las, (ii) o papel da FCC, (iv) medidas (caso haja) que a FCC deve tomar, (v) como FCC deve interagir com outros órgãos
FCC: Respostas às Consultas
� Respostas conservadoras, maioria é setor privado� Argumentos favoráveis:
� setores financeiro e energético, demandas de smart grids� melhor esforço não é mais suficiente� educar consumidores� ISPs monitoram comportamento e desempenho, obrigá-los a informar interrupções e incidentes (resposta e tratamento)
� estimular adoção de soluções de monitoramento de rede� promover segurança e privacidade� incluir entes públicos, privados, especialistas� Incentivar como selos de qualidade, financiamento, responsabilização limitada de provedores
FCC: Respostas às Consultas
� Respostas conservadoras, maioria é setor privado� Argumentos contrários:
� Cautela!� Falta-lhe mandato� Falta Análise de Impacto Regulatório� Preferência por PPPs� Implicaria duplicação de esforços� Redes já bastante resilientes e respondem bem a crises� DNSSEC, em implementação, aumenta segurança� Alta concorrência já implica incentivos a garantir segurança� Certificação geraria descompasso tecnológico
III. BRASIL
� Estratégia Nacional de Defesa (Decreto nº 6.703/2008)� 3 setores estratégicos: espacial, nuclear e cibernético
� Infraestrutura: “Compatibilizar os atuais esforços governamentais de aceleração do crescimento com as necessidades da Defesa Nacional.”
� Segurança Nacional: “Todas as instâncias do Estado deverão contribuir para o incremento do nível de Segurança Nacional, com particular ênfase sobre (...) segurança cibernética
� Margem para atuação de órgãos de comunicações
Stakeholders Brasil
Fonte: GSI, GT SEG CIBER
Estrutura Brasil
� Conselho de Defesa Nacional� Câmara de Relações Exteriores e Defesa Nacional (CREDEN)
� Grupo Técnico Segurança Cibernética (GT SEG CIBER)
� GT Segurança Infraestruturas Críticas (GT SIC)
� Conselho de Governo� Comitê Gestor de Segurança da Informação (CGSI)
� Grupo de Trabalho de SIC de Informação (GT SICI)
CREDEN/ Conselho de Governo
Leinº8.028/1990
-assessoraroPresidentedaRepúblicanaformulaçãode
diretrizesdeaçãogovernamental
Decreto4.801/2003(alteradoem2008e2009)
-formular,aprovar,promoverpolíticaspúblicasediretrizesdematériasrelacionadascomaáreadas
relaçõesexterioresedefesanacional
-açõespertinentesa[...]segurançadasinfraestruturascríticas,segurançadainformação,
segurançacibernética
Portarianº2/2008/GSI
-pesquisar,propor,avaliar,estudarvulnerabilidades,
interdependência,causas,riscos,medidas,bancodedadosdeIC
PortariaInterministerialnº16/2008/GSI/MC
-GSIreportaàCREDEN
Portarianº4/2009/GSI
Portarianº5/2009/GSI
Portarianº6/2009/GSI
Portariasnº3/2008,15/2009,196/2009,
26/2010/GSI
Portarianº45/2009/GSI
-propordiretrizeseestratégiasparaaSC
-de inesegurançacibernética,ativosdeinformação,infraestruturacrítica
CGSI/ Conselho de Defesa Nacional
ConstituiçãoFederaldoBrasil
-opinarnashipótesesdedeclaraçãodeguerraedecelebraçãodapaz,decretaçãodoestadodedefesa,do
estadodesítioedaintervençãofederal;
-estudar,proporeacompanharodesenvolvimentodeiniciativasnecessáriasagarantiraindependêncianacionale
adefesadoEstadodemocrático.
Decreto3.505/2000
-instituiPolíticadeSegurançadaInformaçãonaAdministração
PúblicaFederal
Portarianº34/2009-CDN/SE
-pesquisar,propor,avaliar,estudarvulnerabilidades,
interdependência,causas,riscos,medidas,bancodedadosdeIEC
Portarianº35/2009/CDN/SE
-proporregulamentaçãoparaousodeRecursosCriptográ icosem
TICs
Portarianº16/2003-CH/GSI
-analisareapresentarpropostadePolíticaNacionalde
Telecomunicaçõeseserviçosdevaloragragadodeinteresseda
DefesaNacional
ConselhodeDefesaNacional
(Vice-Presidente,Câmara,Senado,MJ,MD,MRE,MPOG,Marinha,Exército,Aeronáutica)
ComitêGestordeSegurançadaInformação(CGSI)
(MJ,MD,MRE,MF,Previdência,MS,MDIC,MC,MCT,CasaCivil,GSI,SECOM,
MME,CGU,AGU)
GrupoTrabalhoSICI
(GSI,CasaCivil,MD,MS,MCT,MPOG,MRE,BACEN,BB,CAIXA,SERPRO,
PETROBRAS,DATAPREV)
GTCriptogra ia
(GSI,CasaCivil,MD,MJ,MRE,MC,MDIC,MCT,MF,AGU,CGU,Anatel)
GTPolíticaNacionaldeTelecomunicaçõesvoltadopara
DefesaNacional
(GSI,CasaCivil,MC,MJ,MD,MRE,MF,MS,MPS,MDIC,MPOG,MCT,)
GT SEG CIBER
� GT SEG CIBER (set/2009)
� Propor diretrizes e estratégias SC para Adm. Federal
� Define segurança cibernética e infraestrutura crítica
� GSI, MJ, MD, MRE, Marinha, Exército, Aeronáutica� ∴ ¿¿¿¿¿ MC ?????
Grupos SIC
� Grupo Técnico SIC Telecom (GTSIC–Telecom/CREDEN, jul’08)� GSI, MC, Anatel, órgãos e especialistas convidados� SGTSIC: radiodifusão, telecomunicações, postais� Outros SGs: águas, energia, finanças, transporte
� Grupo Trabalho SIC Informação (GTSICI, CDN, ago’09)� Estudo e análise de matérias de SIC� GSI, CC, Defesa, MPOG, MRE � MS, MCT, BaCen, Banco Brasil, Caixa, Serpro, Petrobras, Datraprev� ∴ ¿¿¿¿¿ MC ?????
Comunicações sub-representadas
� MC participa do Conselho de Governo, mas nãointegra a CREDEN, participa do Grupo Técnico de Segurança de Infraestruturas Críticas (GTSIC/CREDEN), mas não do Grupo Técnico de Segurança Cibernética (GT SEG CIBER)
� MC não participa do Conselho de Defesa Nacional, integra o CGSI, mas não participa do Grupo de Trabalho de Segurança de Infraestruturas Críticas da Informação (GTSICI/CGSI).
� ∴ inconsistência?
Brasil: Livro verde
� GT SEG CIBER
� Desafios, oportunidades, vetores
� Referências a UIT, FCC, Citel� não cita Anatel (LGT)� ≈ propostas dos modelos da pesquisa
� Visa à formulação de futura PNSC
� Clama por contribuições
Livro Verde: imperativos
� Prioridade: lançar PNSC + PNSICríticas
� Regular mercado, por meio de padrões técnicos
� Defender privacidade
� Estabelecer órgão central de cúpula
� Construir arcabouço conceitual
� Estimular parcerias público-privadas
� Promover cooperação internacional
� Liderar futura Convenção global ONU (UNODC??)
� Fomentar P&D
Diagnóstico Anatel
� Países trabalham identificação de stakeholders� UIT afirma que reguladores são primordiais� Atuação FCC não é unânime, mas indica projetostangíveis
� Anatel não desponta em seu caráter político� Manifestação de sua capacidade técnica está oprimida� Obstrução de sua imagem como ente estatal maduroapto a exercer funções estratégicas na PNSC
TCU audita TI da Agência
� Acõrdão nº 465/2011 do TCU, sobre regulamentação CGSI
� Irregularidades, precariedade e oportunidades na Anatel� inexiste Política de Segurança da Informação e Comunicações (POSIC)
� inexiste inventário dos ativos de informação
� inexiste equipe de tratamento e resposta a incidentes em redes computacionais (ETIR ou CERT)
� inexiste processo de gestão de riscos de segurança da informação
� Agência está pronta para PNSC?� A averiguar: sites e órgãos atacados recentemente estavam em dia?
Propostas para Anatel
� Fundamentos� Modelos da pesquisa� LGT e regulamentação do setor� Oportunidades de END e Livro Verde� Desafios de Copa e Olimpíadas sobre IEC e segurança no setor!
i. Possível mandato
� LGT: princípio da Soberania Nacional
� Revisão regulamentação Internet como Serviço de Valor Adicionado (SVA)
� Descompasso com mercado obsta responsabilização
� CPI Pedofilia expôs o setor
� Mandato e recursos são fundamentais para PNSC
ii. Combate ao Spam e Botnets
� Viés proteção ao consumidor
� Regulamentos obrigação de continuidade e qualidade
� Bloqueio da Porta 25
� Agência deve fiscalizar
Fonte: DiploFoundation
iii. IEC e tratamento de incidentes
� Metodologia Proteção IC Telecomunicações (PICT) já desenvolvida por Anatel e CPqD, com recursos do Funtell
� Próxima etapa: caráter obrigatório para operadoras
� Imposição de medidas e padrões técnicos para gestão
� Sigilo e privacidade
� CERT próprio: coleta de dados de incidentes de operadoras
� Cooperação com CERT.br, CTIR.gov, ETIRs de operadoras
iv. PD&I
� Funtell
� Estratégia Nacional de Defesa
� Demanda mundial
� Wikileaks: EUA identifica riscos e oportunidadesem SC e IEC no Brasil, em particular, para osgrandes eventos esportivos
v. Harmonização de ações
� GSI e GT SEG CIBER
� MC e Anatel
� CGI.br e CERT.br
� Telebras (considerando rumos anunciados)
� MJ, Polícias, Congresso Nacional
vi. Estrutura permanente na Agência
� Vinculada ao Conselho Diretor , tal como Bureau de Segurança Nacional (DHS) da FCC
� Coordenação de atividades regulatórias e fiscalizatórias SC
� Promoção da cultura de Segurança Cibernética
� Relacionamento externo com CREDEN, GT SEG CIBER, Congresso Nacional
vii. UIT e cooperação internacional
� Comissões Brasileiras de Comunicações (CBC)
� Incremento de representatividade delegações BR à UIT
� Demandas de foros extrapolam mandato da Anatel
� MRE, GSI, MD, Anatel se coordenaram para PP-10
� PP-10 favorece órgãos técnicos
� Aproximação à FCC e outros reguladores atuantes
Conclusões
� Modelos evidenciam atuação qualificada de reguladores
� Esparsas atividades de SC são empreendidas pela Anatel
� Margem para Anatel e MC na governança nacional, setor estásub-representado (GT SEG CIBER e formulação da PNSC)
� Demanda por coordenação nacional gera impacto no planointernacional
� Segurança Cibernética na UIT já extrapola mandato da Anatel