PRESIDNCIA DA REPBLICA Gabinete de Segurana Institucional Secretaria Executiva Departamento de Segurana da Informao e Comunicaes

LIVRO VERDE SEGURANA CIBERNTICA NO BRASIL

Raphael Mandarino Junior e Claudia Canongia (Organizadores)

Braslia - DF 2010 1

Presidente da Repblica Luis Incio Lula da Silva Vice-Presidente da Repblica Jos Alencar Gomes da Silva Ministro Chefe do Gabinete de Segurana Institucional Jorge Armando Felix Secretrio Executivo Antnio Srgio Geromel Diretor do Departamento de Segurana da Informao e Comunicaes Raphael Mandarino Junior Representantes do Grupo Tcnico de Segurana Ciberntica - GT SEG CIBER GSIPR-DSIC e ABIN Raphael Mandarino Junior (Titular e Coordenador; DSIC/GSIPR) Marlos Ribas Lima (Suplente; ABIN/GSIPR) Dr Claudia Canongia (Convidada; DSIC/GSIPR) Ministrio das Relaes Exteriores Ministra Virgnia Toniatti (Titular) Ricardo Poletto (Suplente) Ministrio da Justia Jorilson da Silva Rodrigues (Titular; Ministrio da Justia) Carlos Eduardo Miguel Sobral (Suplente; Departamento da Polcia Federal) Ministrio da Defesa Capito de Fragata Alexandre Mariano Feitosa (Titular) Capito de Fragata Cssio Alexandre Ramos (Suplente) Comando do Exrcito Tenente Coronel Jos Ricardo Souza Camelo (Titular) Coronel Said Brando Sayd (Suplente) Comando da Marinha Capito de Fragata Valter Monteiro Junior (Titular) Capito de Fragata Ricardo Brigatto Salvatore (Suplente) Comando da Aeronutica Coronel Adrian Nicolaiev Pereira dos Santos (Titular) Major Cludio Ramos Cruz (Suplente)

Copyright 2010 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total, por qualquer meio, se citada a fonte. Disponvel em formato eletrnico: http://dsic.planalto.gov.br Organizadores Raphael Mandarino Junior Claudia Canongia Colaboradores Grupo Tcnico de Segurana Ciberntica GT SEG CIBER Projeto grfico, edio e impresso Agncia Brasileira de Inteligncia/GSIPR Apoio de reviso tcnica Marlene Isidro (DSIC/GSIPR) Admilson Gonalves Jnior (DSIC/GSIPR)

Ficha Catalogrfica Dados Internacionais de Catalogao na Publicao (CIP) B823l Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento de Segurana da Informao e Comunicaes. Livro verde : segurana ciberntica no Brasil / Gabinete de Segurana Institucional, Departamento de Segurana da Informao e Comunicaes; organizao Claudia Canongia e Raphael Mandarino Junior. Braslia: GSIPR/SE/DSIC, 2010. 63 p. 1. Segurana Ciberntica Brasil. 2. Segurana da Informao e Comunicaes. 3. Segurana das Infraestruturas Crticas da Informao. I. Ttulo. II. Canongia, Claudia. III. Mandarino Junior, Raphael.

CDD 658.4038 CDU 004.056.57 Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica.

Gabinete de Segurana Institucional (GSI/PR) Secretaria Executiva (SE) Departamento de Segurana da Informao e Comunicaes (DSIC) Praa dos Trs Poderes Anexo III do Palcio do Planalto. Trreo, Ala A Sala 107 70150-900 - Braslia, DF Fax: +55 (61) 3411-1217 Site: http://dsic.planalto.gov.br

APRESENTAO
com grande satisfao que apresento este Livro Verde, o qual rene propostas de diretrizes bsicas, visando iniciar amplo debate social, econmico, poltico e tcnicocientfico sobre a Segurana Ciberntica no Brasil, dada a

contemplando

relevantes

aspectos

destacados,

complexidade do tema no cenrio atual. Dentre as motivaes do Gabinete de Segurana Institucional, rgo essencial da Presidncia da Repblica, para esta obra, tem-se a prpria prerrogativa do Gabinete de coordenar a atividade de Segurana da Informao, mantendo o compromisso com o Estado. Assim, motivado por esta misso e considerando a necessidade de assegurar dentro do espao ciberntico aes de segurana da informao e comunicaes como fundamentais para a disponibilidade, a integridade, a confidencialidade e a autenticidade da

informao; a possibilidade real e crescente de uso dos meios computacionais para aes ofensivas por meio da penetrao nas redes de computadores de setores estratgicos para a nao; e o ataque ciberntico como sendo uma das maiores ameaas mundiais na atualidade; foi institudo Grupo Tcnico para estudo e anlise de matrias relacionadas Segurana Ciberntica. Este Livro Verde, alm de assistir a misso do GSIPR, rene vises tcnico-estratgicas desenvolvidas por

especialistas de diferentes rgos da Administrao Pblica 5

Federal, direta e indireta.

Tal diversidade enriqueceu e

propiciou diversas e significativas opinies, as quais, sem sombra de dvida, fomentaro discusses e propostas de melhorias sobre o assunto. Recomendo, portanto, a leitura desta obra, cuja publicao considero significativo incremento no arcabouo de documentos que objetivam garantir a Segurana Nacional, e convido-os a contribuir com propostas e sugestes para a evoluo da mesma, visando formular, colaborativamente, a Poltica Nacional de Segurana Ciberntica.

Boa leitura! Participe!

Jorge Armando Felix Ministro Chefe do Gabinete de Segurana Institucional da Presidncia da Repblica

LISTA DE SIGLAS E ABREVIATURAS

ABIN ABNT APF CAIS CDN CERT CERT.br CETIR Gov Agncia Brasileira de Inteligncia Associao Brasileira de Normas Tcnicas Administrao Pblica Federal Centro de Atendimento a Incidentes de Segurana Conselho de Defesa Nacional Computer Emergency Response Teams Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil Centro de Tratamento de Incidentes de Segurana em Redes de Computadores da Administrao Pblica Federal Comit Gestor da Internet Comit Gestor de Segurana da Informao e Comunicaes Comit Interamericano contra o Terrorismo Ciberntico Comisso Interamericana de Telecomunicaes Comando da Aeronutica Cmara de Relaes Exteriores e Defesa Nacional Computer Security Incident Response Teams Dirio Oficial da Unio Departamento da Polcia Federal Departamento de Segurana da Informao e Comunicaes Exrcito Brasileiro Estratgia Nacional de Defesa Padres de Interoperabilidade de Governo Eletrnico Federal Communications Commission Fundo Nacional de Desenvolvimento Cientfico e Tecnolgico Group of Governmental Experts Gabinete de Segurana Institucional da Presidncia da Repblica 7

CGI CGSI CICTE CITEL COMAER CREDEN CSIRT D.O.U. DPF DSIC EB END e-PING FCC FNDCT GGE GSIPR

GT GT SEG CIBER IBGE ICCP IEC ITU LDO MB MD MJ MRE OCDE OEA ONG ONU PDE PNSIEC PPP REMJA RNP TIC WPISP

Grupo de Tcnico Grupo Tcnico de Segurana Ciberntica Instituto Brasileiro de Geografia Estatstica Comittee for Information, Computer and Communications International Engineering Consortium International Telecommunication Union Lei de Diretrizes Oramentria Marinha do Brasil Ministrio da Defesa Ministrio da Justia Ministrio das Relaes Exteriores Organizao para Cooperao e Desenvolvimento Econmico Organizao dos Estados Americanos Organizaes No Governamentais Organizao das Naes Unidas Plano de Desenvolvimento de Educao Plano Nacional de Segurana das Infraestruturas Crticas Parcerias Pblico-Privadas Reunio de Ministros da Justia ou Procuradores Gerais das Amricas Rede Nacional de Ensino e Pesquisa Tecnologia da Informao e Comunicaes Working Party on Information Security and Privacy

LIVRO VERDE SEGURANA CIBERNTICA NO BRASIL SUMRIO

APRESENTAO, 5 LISTA DE SIGLAS E ABREVIATURAS, 7 PREFCIO, 11 INTRODUO, 13 I.
I.1. I.1.1. I.2. I.2.1. I.2.2. I.2.3.

OBJETIVO, 17
MOTIVAO E PERSPECTIVAS, 17 Brasil um dos protagonistas iniciativas e fruns internacionais, 20 COMPETNCIAS ESSENCIAIS, 26 Comparao Internacional:, 28 Comparao Intertemporal:, 28 Tendncias para 2020:, 29

II.

VISO BRASIL: MARCOS RECENTES, 33

POLTICO-ESTRATGICO, 33 ECONMICO, 34 SOCIAL e AMBIENTAL, 35 CT&I, 37 EDUCAO, 38 LEGAL, 39 COOPERAO INTERNACIONAL, 39 SEGURANA DAS INFRAESTRUTURAS CRTICAS, 40

III.

DIRETRIZES A SEREM CONTEMPLADAS NA POLTICA NACIONAL DE SEGURANA CIBERNTICA, 43

POLTICO-ESTRATGICO, 43 ECONMICO, 44 SOCIAL E AMBIENTAL, 44 EDUCAO, 45 MARCO LEGAL, 45 CT&I, 45 COOPERAO INTERNACIONAL, 46 SEGURANA DAS INFRAESTRUTURAS CRTICAS, 47

IV. CONSIDERAES FINAIS, 49 GLOSSRIO, 53 BIBLIOGRAFIA CONSULTADA, 57 STIOS CONSULTADOS NA INTERNET, 63

10

PREFCIO
O Grupo Tcnico de Segurana Ciberntica (GT SEG CIBER), institudo no mbito da Cmara de Relaes Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo, tem como objetivo propor diretrizes e estratgias de Segurana Ciberntica, e conta com representantes dos seguintes rgos: Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR DSIC e ABIN), Ministrio da Justia (MJ e DPF), Ministrio das Relaes Exteriores (MRE), Ministrio da Defesa (MD), e Comandos da Marinha, do Exrcito e da Aeronutica. A Coordenao do GT exercida pelo Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR), por intermdio de seu Departamento de Segurana da Informao e Comunicaes (DSIC). Em nosso entendimento, a efetiva colaborao de todos do GT para a elaborao deste Livro Verde: Segurana Ciberntica no Brasil, neste ano de 2010, caracteriza o desejo e preocupao de seus participantes, de que iniciativas que favoream maior engajamento e sincronicidade em torno da segurana ciberntica sejam incrementadas e concretizadas brevemente no pas, propiciando, assim, a construo da doutrina e da poltica nacional, e os subsdios iniciais para o planejamento estratgico e construo de viso de futuro. Sabemos que ainda h muito a ser alcanado, pois estamos dando os primeiros passos, para criar as condies necessrias de segurana ciberntica, principalmente, no que diz respeito ao entendimento das novas exigncias para a proteo da sociedade e do Estado Brasileiro. Esta uma realidade que deve estar presente nas agendas do governo, da academia, do setor privado, e do terceiro setor, no somente como um desafio do pas, mas como um desafio de magnitude mundial. Salientamos que o pas, apesar de estar construindo as bases de sua Poltica no tema, j vem sendo reconhecido internacionalmente como um dos protagonistas. Ressaltamos que criar, cultivar e ampliar a cultura de segurana ciberntica no Brasil, um desafio de longo prazo e de grande alcance, que merece um olhar especial, priorizao, 11

e principalmente o esforo de amplo trabalho participativo na construo de senso comum e das premissas e diretrizes para o Livro Branco: Poltica Nacional de Segurana Ciberntica. Estamos certos de continuar contando com o apoio e a contribuio dos especialistas no tema, tanto de rgos governamentais federais, quanto das demais esferas de governo, do setor privado, da academia, e do terceiro setor, na consulta ora aberta1, para anlises e contribuies sobre os pontos apresentados, e as diretrizes apontadas neste Livro Verde: Segurana Ciberntica no Brasil, o qual serve de base para a elaborao do almejado Livro Branco. Registramos, por fim, os nossos profundos agradecimentos a todos do GT SEG CIBER, do DSIC, da ABIN, e do GSIPR, que apoiaram fortemente esta iniciativa, com especial ressalva ao apoio e confiana do Sr. Ministro Chefe do GSIPR, Jorge Armando Felix. Raphael Mandarino Junior,
Diretor do DSIC/ GSIPR, e Coordenador do GT SEG CIBER, e

Claudia Canongia,
Assessora Tcnica do DSIC/ GSIPR, e pesquisadora convidada do GSIPR no GT SEG CIBER.

Portal DSIC http://dsic.planalto.gov.br

12

LIVRO VERDE SEGURANA CIBERNTICA NO BRASIL INTRODUO

Todos os dias, milhes de brasileiros acessam a Internet, trocam informaes e usam servios tais como bancrios, de comrcio eletrnico, servios pblicos federais, estaduais e municipais, de ensino e pesquisa, das redes sociais, dentre outros, constituindo uma ampla rede de atividades digitais. A Segurana Ciberntica, desafio do sculo XXI, vem se destacando como funo estratgica de Estado, e essencial manuteno das infraestruturas crticas de um pas, tais como Energia, Defesa, Transporte, Telecomunicaes, Finanas, da prpria Informao, dentre outras. Diante de tais desafios, as Naes vm se preparando, urgentemente, para evitar ou minimizar ataques cibernticos s redes e sistemas de informao de governo, bem como de todos os demais segmentos da sociedade. Dessa forma, o entendimento sobre a importncia da segurana ciberntica caracteriza-se cada vez mais como condio sine qua non de desenvolvimento, requerendo para tanto, dentre outras aes, a promoo de dilogos e de intercmbios de idias, de iniciativas, de dados e informaes, de melhores prticas, para a cooperao no tema, no pas e entre pases. Entender, portanto, tais movimentos e as respectivas oportunidades e desafios so questes estratgicas que o Estado Brasileiro vem se aprimorando e se organizando para melhorar seu posicionamento tanto no nvel nacional quanto, consequentemente, no que se refere sua insero internacional, no tema. Chama a ateno que o chamado espao ciberntico, no tem suas fronteiras ainda claramente definidas, impacta o dia a dia de todos os dirigentes governamentais, de empreendimentos privados e dos prprios cidados.

13

Na nova conformao da Sociedade da Informao, vale destacar os seguintes fenmenos: a) Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento crescente e bastante substantivo de acesso Internet e das redes sociais; d) Avanos das tecnologias de informao e comunicao (TICs); e) Aumento das ameaas e das vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos atores, diversidade de interesses, e em constantes e rpidas mudanas. Neste contexto, as estratgias internacionais no tema apontam para o estabelecimento de parcerias e aes colaborativas efetivas entre pases, que propicie a anlise, a coordenao, e a integrao dos conhecimentos, permitindo, alm da correlao entre tais conhecimentos, o entendimento dos impactos que a convergncia e a interdependncia existentes, e ainda por vir, tm e tero no futuro. H uma tendncia de que tais esforos devam ser suportados por macro-coordenao e governana bem estabelecidas, bem como baseados em modelos efetivos e eficazes de colaborao entre governo, setor privado e academia. Ressalta-se a transversalidade2 e particularidade da segurana ciberntica, bem como a tendncia mundial de destacar as diretrizes estratgicas, os planos e as aes neste tema, alm do interesse do Brasil em protagonizar tal tema nos diferentes fruns internacionais, sendo reconhecidamente um dos players na arena internacional. Os desafios da segurana ciberntica so muitos, e portanto, fundamental desenvolver um conjunto de aes colaborativas entre governo, setor privado, academia, terceiro setor, e sociedade, para lidar com o mosaico de aspectos que perpassam a segurana ciberntica.
2

s. f.: 1. Qualidade do que transversal; 2. Direo transversal. 3. Jur. Qualidade de ser colateral.

14

As ameaas naturais (por fora da natureza) ou intencionais (sabotagens, crimes, terrorismo e guerra) ganham uma conotao e dimenso muito maior quando se trata do uso do espao ciberntico. A construo de ambiente no Pas que permita sistematizar a identificao, a monitorao, a minimizao e a mitigao de riscos cibernticos, impulsionando o desenvolvimento de aes preventivas, pr-ativas, reativas, e de represso, a todo o tipo de ameaas, prescinde de Poltica de Estado, visando assegurar e defender os interesses do pas e da sociedade brasileira. O desafio , portanto, de todos, premente, e requer agilidade na formao de senso comum a fim de que o pas cresa, em segurana, se apropriando dos benefcios da Internet, rede global em mudana contnua, e minimizando impactos negativos decorrentes de desastres ou de uso malicioso da Rede. Este Livro Verde: Segurana Ciberntica no Brasil apresenta, assim, breve viso do pas, sem qualquer pretenso de ser exaustivo, mas destacando alguns marcos recentes, oportunidades e desafios, nos vetores: Poltico-estratgico, Econmico, Social e Ambiental, CT&I3, Educao, Legal, Cooperao internacional, e Segurana das Infraestruturas Crticas. E, finalmente, sinaliza potenciais diretrizes estratgicas para cada vetor em anlise, como subsdios ao amplo debate no mbito do governo e da sociedade em geral, visando construo da Poltica Nacional de Segurana Ciberntica, a qual se constituir no Livro Branco do Pas para enfrentamento de tal temtica, reconhecidamente o grande desafio do sculo XXI.

Cincia, Tecnologia e Inovao

15

16

LIVRO VERDE SEGURANA CIBERNTICA NO BRASIL I. OBJETIVO

O Livro Verde: Segurana Ciberntica no Brasil visa expressar potenciais diretrizes estratgicas para o estabelecimento da Poltica Nacional de Segurana Ciberntica, articulando viso de curto (2 - 3 anos), mdio (5 7 anos), e longo (10 15 anos) prazo no tema, abrangendo, como ponto de partida, os seguintes vetores: Polticoestratgico, Econmico, Social e Ambiental, CT&I, Educao, Legal, Cooperao Internacional, e Segurana das Infraestruturas Crticas.

I.1. MOTIVAO E PERSPECTIVAS

Os avanos cientficos e tecnolgicos dos ltimos 30 anos promoveram um aumento substantivo por produtos e servios baseados em tecnologia, especialmente os relacionados com computao, telecomunicaes, automao, robtica, bioinformtica, mecatrnica, nanotecnologia, dentre outras. Toda e qualquer reflexo sobre o porvir da Sociedade da Informao deve apoiar-se numa anlise da mutao contempornea da relao com o saber, em que a velocidade do surgimento e da renovao dos saberes e do know-how avassaladora. Constata-se que a maioria das competncias adquiridas no incio do percurso profissional sero praticamente obsoletas ao final da carreira. Outro fenmeno refere-se nova natureza do trabalho: trabalhar, atualmente, equivale cada vez mais a aprender, transmitir saberes e produzir conhecimentos. Soma-se, ainda, que o ciberespao (ou espao ciberntico) suporta tecnologias que ampliam, exteriorizam e alteram muitas funes cognitivas humanas: a memria (bancos de dados, hipertextos, fichrios digitais [numricos] de todas as ordens), a imaginao (simulaes), a percepo (sensores digitais, 17

telepresena, realidades virtuais), os raciocnios (inteligncia artificial, modelizao de fenmenos complexos). Segundo Pierre Levy, o espao ciberntico entendido numa viso de inteligncia coletiva e mutante, totalmente baseado em redes e trocas de saber, conforme citao a seguir:
Pierre Levy - A emergncia do ciberespao e as mutaes culturais O que seria o espao ciberntico? O espao ciberntico um terreno onde est funcionando a humanidade, hoje.(...) a instaurao de uma rede de todas as memrias informatizadas e de todos os computadores. Atualmente, temos cada vez mais conservados, sob forma numrica e registrados na memria do computador, textos, imagens e msicas produzidos por computador. Ento, a esfera da comunicao e da informao est se transformando numa esfera informatizada. (...) Com o espao ciberntico temos uma ferramenta de comunicao muito diferente da mdia clssica, porque nesse espao que todas as mensagens se tornam interativas, ganham uma plasticidade e tm uma possibilidade de metamorfose imediata. E a, a partir do momento que se tem o acesso a isso, cada pessoa pode se tornar uma emissora, o que obviamente no o caso de uma mdia como a imprensa ou a televiso. (...) Do interior do espao ciberntico encontramos uma variedade de ferramentas, de dispositivos, de tecnologias intelectuais. Por exemplo, um aspecto que se desenvolve cada vez mais, nesse momento, a inteligncia artificial. H tambm os hipertextos, os multimdia interativos, simulaes, mundos virtuais, dispositivos de tele-presena. (...) O importante que a informao esteja sob a forma de rede e no tanto a mensagem, porque esta j existia numa enciclopdia ou dicionrio. (http://www.sescsp.org.br/sesc/conferencias/subi ndex.cfm?Referencia=168&ID=35&ParamEnd=9)

18

Em decorrncia de tais avanos tecnolgicos e da velocidade com que os mesmos vm ocorrendo possvel verificar um movimento acentuado de re-arranjo das proposies das naes em termos de segurana e defesa. Tal est sendo propiciado quer seja por meio da reviso e/ou reforo de suas polticas, estratgias, e normas, quer seja pela atualizao e/ou reformulao das competncias essenciais de rgos chave de governo, visando principalmente criar as condies necessrias de segurana e defesa do espao ciberntico, notadamente no que diz respeito ao entendimento das novas exigncias para a proteo de uma nao. A Segurana Ciberntica, portanto, vem se caracterizando cada vez mais como uma funo estratgica de Estado, e essencial manuteno e preservao das infraestruturas crticas4 de um pas, tais como Energia, Transporte, Telecomunicaes, guas, Finanas, Informao, dentre outras. Em relao aos conceitos tanto de Segurana Ciberntica quanto de Defesa Ciberntica, cabe colocar que estes vm sendo construdos. Entende-se que o escopo de atuao da Segurana Ciberntica compreende aspectos e atitudes tanto de preveno quanto de represso. E para a Defesa5 Ciberntica entende-se que a mesma compreende aes operacionais de combates ofensivos. Para fins deste Livro tomou-se como base, ento, a seguinte conceituao, como ponto de partida, sobre segurana ciberntica, qual seja: a arte de assegurar a existncia e a continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no Espao Ciberntico, seus ativos de informao e suas infra-estruturas crticas6.
4

Por infraestruturas crticas (IEC) entendem-se as instalaes, servios, bens e sistemas cuja interrupo ou destruio, total ou parcial, provocar srio impacto social, econmico, poltico, ambiental, internacional ou segurana do Estado e da sociedade. 5 De acordo com o Glossrio das Foras Armadas (MD35-G-01;2007) o termo defesa entendido como o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condio reconhecida como de segurana, ou ainda, como reao contra qualquer at aque ou agresso real ou iminente. 6 Conceito publicado na Portaria No. 45, Grupo Tcnico de Segurana Ciberntica, de 08 de setembro de 2009, publicada no D.O.U. No. 172 de 09

19

um conceito abrangente, portanto, e maior que segurana em TI, pois envolve pessoas e processos. Fica em evidncia que a proteo efetiva das infraestruturas crticas requer, comunicao em escala mundial, coordenao e cooperao entre todas as partes interessadas. Soma-se o fato de que os pases desenvolvidos vm cada vez mais tratando do tema com bastante propriedade e seriedade, notadamente aps o episdio de 11 de setembro de 2001, nos Estados Unidos. Cabe acrescentar que os resultados das aes j empreendidas fazem parte de ampla discusso em fruns internacionais ocorridas sistematicamente, desde ento. I.1.1. Brasil um dos protagonistas iniciativas e fruns internacionais Uma iniciativa que vale frisar a adoo, pela OEA, desde 2004, de uma Estratgia Interamericana Integral para Combater as Ameaas Segurana Ciberntica7, visando a criao de uma cultura de segurana ciberntica para lutar contra as ameaas aos cidados, economia e aos servios essenciais, que no possam ser enfrentadas por um nico governo ou combatidas por meio de uma disciplina ou prtica solitria. No ano de 2009, o Workshop Hemisfrico Conjunto da OEA sobre o Desenvolvimento de uma Estrutura Nacional para Segurana Ciberntica foi realizado de 16 a
de setembro de 2009. Complementarmente acrescenta-se o conceito de ativos de informao que so os meios de armazenamento, transmisso e processamento da informao, os sistemas de informao, bem como os locais onde se encontram esses meios, e as pessoas que a eles tm acesso. (Portaria CDN/SE No. 34, Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao, publicada no D.O.U No. 149 de 06/08/2009) 7 CONSELHO PERMANENTE DA ORGANIZAO DOS ESTADOS AMERICANOS. COMISSO DE SEGURANA HEMISFRICA. Adoo de uma estratgia interamericana integral para combater as ameaas segurana ciberntica: uma abordagem multidimensional e multidisciplinar para a criao de uma cultura de segurana ciberntica. (CP/CSH-635/04 rev. 2,13 de maio 2004)

20

20/Nov/2009, contando na organizao, alm do Governo brasileiro, anfitrio, por intermdio do GSIPR, da OEA representada pelos seguintes fruns: Comit Interamericano contra o Terrorismo Ciberntico (CICTE), Comisso Interamericana de Telecomunicaes (CITEL), e, Reunio de Ministros da Justia ou Procuradores Gerais das Amricas (REMJA), o que fortaleceu o papel do Brasil como um dos protagonistas no tema; A participao de representante do Brasil, do GSIPR, na categoria de observador ad hoc no Working Party on Information Security and Privacy - WPISP, e do Comittee for Information, Computer and Communications - ICCP, promovidos pela Organizao para Cooperao e Desenvolvimento Econmico OCDE, realizados em Paris/Frana, em 2009 e 2010, tambm merece destaque. Por ocasio da reunio de 2010, o Brasil apresentou proposta de realizao de Estudo comparativo das estratgias nacionais de segurana ciberntica; a qual foi plenamente aceita e, para tanto, foi criado Grupo com presena de pases voluntrios para tal finalidade. O Grupo presidido pelo representante de Portugal na OCDE, e conta com a participao dos seguintes pases: Portugal, EUA, Coria, Austrlia, Japo, Espanha, e Brasil. O que reala a competncia articuladora, de gesto, e tcnica do pas, no tema; Cabe citar, tambm, o evento Meridian Conference, um encontro de alto nvel, com a participao de especialistas e tomadores de deciso de governo, atuantes nas questes de segurana das infraestruturas crticas da informao e correlatas, que vem explorando os benefcios e oportunidades de cooperao entre 21

governos, e promovendo frum de excelncia para compartilhamento das melhores prticas mundiais, no tema. Neste contexto, vale citar que o Reino Unido introduziu o conceito de Meridiano e promoveu a 1 Conferncia em 2005, no ano seguinte ocorreu o Meridian 2006 em Budapeste, e posteriormente, o Meridian 2007 em Estocolmo, o Meridian 2008 em Singapura, e o Meridian 2009 nos EUA. Este ltimo evento contou pela 1. vez com a participao de pases latino-americanos, tendo sido convidados alm do Brasil, a Argentina, Barbados, e Chile, sendo que o Brasil foi o nico pas latino americano com direito a voz, representado pelo GSIPR, nos debates e trocas de experincias; Acrescenta-se, ainda, que dentre as posies dos pases que integram o Group of Governmental Experts (GGE) on Developments in the Field of Information and Telecommunications in the Context of International Security no mbito da Organizao das Naes Unidas (ONU), grupo em que o Ministrio da Defesa (MD) representa o Brasil desde sua criao, e no qual nas reunies ocorridas em 2010, contou com a participao do GSIPR, na qualidade de observador, foram debatidos, nos ltimos anos, cerca de 35 itens, e chegou-se ao consenso de aproximadamente 18, sendo que dentre os itens considerados polmicos e para futuras recomendaes, tem-se o de no proliferao de armas de informao8 e o de liberdade de expresso. O
8

O Glossrio das Foras Armadas (MD35-G-01; 2007) no define arma de informao, no entanto, define guerra de informao como conjunto de aes destinadas a obter a superioridade das informaes, afetando as

22

texto final do GGE, com recomendaes de aes, especialmente no campo da cooperao internacional no tema segurana ciberntica, ser apresentado na prxima Assemblia Geral da ONU, em novembro de 2010. O pas mais uma vez alcana reconhecimento e valorizao no tema, em nvel internacional; Finalmente, destaca-se a importncia para o pas de construir as bases para o entendimento internacional sobre a segurana ciberntica, especialmente sobre crime ciberntico, o quanto antes, e contando com a maior participao de rgos possvel. J entendido por vrios pases que, atualmente, a Conveno de Budapeste no atende as exigncias atuais de crimes cibernticos, dado os avanos tecnolgicos ocorridos e tampouco suficiente em termos da cooperao internacional. Assim, como resultado da Conveno do Crime Ciberntico, ocorrida no ano de 2010, em Salvador/Brasil, foi emitida Declarao, consensada pelos 158 pases sobre tal aspecto, o que abriu a oportunidade de criao de grupo para tratar globalmente a matria - crime ciberntico. Existe, portanto, proposta em andamento de uma nova Conveno, de carter global, a qual teria como ponto de partida, a cooperao no mbito dos BRICS (Brasil,

redes de comunicao de um oponente e as informaes que servem de base aos processos decisrios do adversrio, ao mesmo tempo em que garante as informaes e os processos amigos. E guerra ciberntica como conjunto de aes para uso ofensivo e defensivo de informaes e sistemas de informaes para negar, explorar, corromper ou destruir valores do adversrio baseados em informaes, sistemas de informao e redes de computadores. Estas aes so elaboradas para obteno de vantagens tanto na rea militar quanto na rea civil.

23

Rssia, ndia, China e frica do Sul). Destaques que o MRE, representante do Brasil neste frum, aponta: a) O Brasil ter um papel importante na negociao da nova Conveno; b) H que se desenvolver mecanismo pedaggico sobre o tema; c) essencial que o trabalho de negociao da nova Conveno e seus desdobramentos, bem como de apoio pedaggico, seja realizado rapidamente para dentro do pas, e junto aos pases vizinhos, bem como aos da frica do Sul; e, d) O grupo presidido pelo Embaixador do Brasil que atua em Viena, e o ponto focal no pas o MRE, que mobilizar os debates no pas, desenvolver e levar o posicionamento do pas ao citado grupo. De acordo com o ITU9, as reas consideradas foco para promoo da segurana ciberntica nos pases membros da OECD10, so: reas de elevada ateno (prioritrias): Combate ao crime ciberntico, criao em nvel nacional de CERTs/CSIRTs (Computer Emergency Response Teams/Computer Security Incident Response Teams); aumento da cultura de segurana ciberntica e suas atividades; e promoo da educao; e,
9

International Telecommunication Union. Agncia sediada em Genebra, Suia, cuja misso o crescimento e o desenvolvimento sustentado das telecomunicaes e redes de informao, bem como facilitao de amplo acesso e fortalecimento da Sociedade da informao. A ITU conta com 192 Estados-membros, e mais de 700 setores membros e afiliados. 10 Organization for Economic Co-operation and Development

24

 reas que merecem maior reforo (relevantes): pesquisa e desenvolvimento; avaliao de risco e monitoramento; e atendimento s demandas de pequenas e mdias empresas (PMEs).11 Urge formalizar, portanto, a estrutura da Segurana Ciberntica no Pas, bem como apoiar e fortalecer suas atividades, de forma a viabilizar e agilizar tanto a formulao de polticas, normas e regulao, a pesquisa e o desenvolvimento de metodologias e tecnologias, quanto cooperao internacional e a implantao e promoo de uma macrocoordenao que propicie a integrao de processos, visando assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes de interesse do Estado brasileiro e da sociedade, bem como a resilincia de suas infraestruturas crticas. Destaca-se que a iniciativa na direo efetiva da criao da Poltica Nacional de Segurana Ciberntica, cujo Livro Verde de Segurana Ciberntica do Brasil serve de subsdio e dever, na medida do possvel, ser precedida de anlises e consensos construdos com a participao de stakeholders para a viabilizao e otimizao do processo como um todo, criando uma Agenda de Estado poltico-estratgica e tcnica. Tal Agenda de Estado proporcionar conhecimentos slidos e intercmbio de experincias que podero aprimorar o trabalho colaborativo para tal finalidade, cuja dificuldade reside na complexidade e dimenso do tema. neste contexto, que se faz mister construir viso de futuro e traar metas e datas alvo, para o alcance do objetivo, qual seja, expressar potenciais diretrizes estratgicas, para o estabelecimento da Poltica Nacional de Segurana Ciberntica.

11

SUND, Christine. Promoting a Culture of Cybersecurity. In.: ITU Regional Cybersecurity Forum for Eastern and Southern Africa. Lusaka, Zambia. 2528 August 2008.

25

I.2. COMPETNCIAS ESSENCIAIS

Inicialmente, vale acompanhar as recomendaes da OECD12 aos pases membros, sobre segurana das infraestruturas crticas de informao, as quais so entendidas, em geral, como indicativos das competncias essenciais de segurana ciberntica, conforme apresentado a seguir: Definir a poltica e as normas especficas, com objetivos claros, no mbito do mais alto nvel de governo; Atuar como o rgo central de governo com competncia (responsabilidade e autoridade) para prover as melhores condies de implantao da poltica de segurana ciberntica e seus objetivos; Promover tanto a cultura de, quanto a educao em, segurana ciberntica; Promover mtua cooperao entre os stakeholders setor privado, agncia(s), terceiro setor, governo visando efetiva implantao da poltica nacional de segurana ciberntica; Atuar com transparncia assegurando delegao de competncia, ou seja, governana estabelecida, facilitando e fortalecendo a cooperao, em especial entre governo e setor privado; Rever sistematicamente a poltica, normas e respectivo(s) marco(s) legal(is), com especial ateno s ameaas e vulnerabilidades das infraestruturas crticas da informao de cada pas, buscando minimizar riscos e desenvolver novos
12

ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD) - Guidelines for the Security of Information Systems and Networks: Towards a culture of security. (Adopted as a Recommendation of the OECD Council at its 1037th Session on 25 July 2002). Paris: OECD. 2002. 28p. e, ORGANIZATION FOR ECONOMIC COOPERATION AND DEVELOPMENT (OECD) COMMITTEE FOR INFORMATION, COMPUTER AND COMMUNICATION POLICY (ICCP Committee) OECD Recommendation of the Council on the Protection of Critical Information Infrastructure. (Adopted as a Recommendation of the OECD Council at its 1172th Session on 30 April 2008). Seoul/Korea. June. 2008.

26

instrumentos e/ou mecanismos de segurana da informao e comunicaes; Desenvolver e exercer macro-coordenao da poltica e estratgia nacional de segurana ciberntica, envolvendo cpula de governo e setor privado; Promover e exercer a macro-coordenao do monitoramento e da avaliao de risco, baseados na anlise das vulnerabilidades e ameaas das infraestruturas crticas da informao, visando proteger a economia e a sociedade contra altos impactos; Promover e exercer a macro-coordenao do processo nacional de gesto de risco, orientando desde aspectos da organizao, ferramenta(s), at mecanismos de monitoramento, para a implementao de uma estratgia nacional de gesto de risco que compreenda: a) Estrutura organizacional apropriada que promova melhores prticas de segurana, e que incluam preveno, proteo, resposta e recuperao de ameaas naturais e maliciosas; e, b) Sistema de medidas que permita avaliar continuamente o processo, o que inclui itens de controle, nveis de maturidade, exerccios e testes apropriados; Promover e exercer a macro-coordenao da capacidade de resposta incidentes em redes computacionais, como as das equipes que atuam em CERTs/CSIRTs, incluindo mecanismos de forte cooperao e comunicao entre tais equipes; Estreitar as relaes com o setor privado: a) Estabelecendo parcerias pblico-privadas e acordos de cooperao, com foco na gesto de risco, tratamento de incidentes e recuperao de sistemas e redes de informao e comunicaes, e na gesto da continuidade de negcios;

27

b) Estimulando o intercmbio regular de informao, por meio do estabelecimento de acordos com clusulas especficas para o caso de conhecimentos sensveis ou informaes classificadas; Estimular e apoiar a acelerao da inovao da segurana ciberntica por meio da pesquisa e do desenvolvimento; Promover a cooperao bilateral e multilateralmente, em nvel regional e global, visando trocas de experincias e fortalecimento das estratgias de segurana ciberntica. I.2.1. Comparao Internacional: Economias desenvolvidas esto, exatamente neste momento, revisando ou lanando suas Estratgias nacionais de segurana ciberntica, como, por exemplo, EUA, Reino Unido, Japo, Espanha, Austrlia, dentre outras, incluindo as questes de proteo das infraestruturas crticas da Nao, com uma sinalizao forte do quanto h por fazer, principalmente em termos de cooperao internacional, legislao nacional e internacional, normalizao, e capacitao de recursos humanos especializados. O que no quer dizer que o tema no faa parte das agendas anteriores de fruns de governo, da iniciativa privada, das ONGs, nacionais e internacionais. As questes correlacionadas segurana ciberntica, em grande medida, tanto em termos de tecnologia quanto em termos de diretrizes, normalizao, metodologias e capacitao, ao longo dos ltimos anos, vinham sendo tratadas, mundialmente, no escopo da segurana da informao e comunicaes, inclusive no Brasil. I.2.2. Comparao Intertemporal: O nvel de preocupao da atualidade do que se refere ao espao ciberntico marcante, em que pontos a serem

28

destacados sobre esta nova Sociedade da Informao, l apresentados foram: a) Convergncia de tecnologias, aumento significativo de sistemas e redes de informao, aumento crescente de acesso Internet, avanos das tecnologias de informao e comunicao; b) Aumento das ameaas e das vulnerabilidades, apontando para a urgncia de aes na direo da criao, manuteno e fortalecimento da cultura de segurana; c) Ambiente em constante, e rpidas mudanas; e, d) Foras scio-tcnicas atuando em diferentes frentes - medidas de incluso digital, acesso amplo e irrestrito Rede, e, ambiente da Internet no regulado vis a vis medidas de proteo dos direitos de privacidade do cidado, de proteo dos direitos de propriedade intelectual, de segurana das informaes do Estado e da sociedade, de regulao e controle da Internet. I.2.3. Tendncias para 2020: importante apresentar o resultado divulgado do Roadmap que visualizou as foras motrizes que iro conformar o futuro da segurana da informao e segurana ciberntica at 2020, estudo que foi encomendado pela Cmara de Estratgia de Tecnologia, e elaborado em conjunto com a PricewaterhouseCoopers LLP, do Reino Unido. As seguintes 7 (sete) tendncias-chave foram levantadas: 1) Revoluo da Infraestrutura: aumento na penetrao da banda larga de alta velocidade e das redes sem fio; centralizao de recursos de computao e ampla adoo da computao em nuvem; proliferao de IPs e de dispositivos conectados; crescimento de interfaces de usurio, com surgimento de novas tecnologias, potencialmente disruptivas; 2) Exploso de Dados: maior compartilhamento de dados confidenciais entre as organizaes e 29

indivduos; maior nmero de pessoas conectadas globalmente; multiplicao de dispositivos e aplicaes geradoras de trfego; maior necessidade de classificao da informao; 3) O mundo sempre conectado: maior conectividade entre as pessoas impulsionada por redes sociais e outras plataformas de conectividade de informao, e aumento de minerao de dados; aumento das infraestruturas crticas nacionais e da conectividade de servios pblicos; 4) Futuro das Finanas: aumento do uso do comrcio eletrnico e de servios bancrios online; desenvolvimento de modelos novos de gesto, crescimento de novos modelos de pagamento; 5) Regulamentao e Normas mais severas: aumento da regulamentao relativa privacidade; aumento das normas de Segurana da Informao e Segurana Ciberntica; globalizao e neutralidade das redes como foras contrrias regulamentao e normalizao; 6) Internets Mltiplas: censura; novas internets e mais seguras, redes sociais fechadas; e, 7) Nova identidade e modelo de confiana: identidade torna-se cada vez mais importante no movimento do permetro de segurana da informao e segurana ciberntica; novos modelos de confiana para desenvolver relaes entre pessoas. Assim, a preocupao tanto com os contedos quanto com o tipo de uso, e a respectiva segurana da Internet, crescem em igual medida aos desenvolvimentos tecnolgicos e ao nmero de usurios, observados, especialmente, ao longo dos ltimos anos. Vale por fim acrescentar que dentre os diversos e crescentes movimentos e iniciativas mundiais em curso, no sentido de entender e construir viso scio-tcnica e de futuro sobre a segurana ciberntica, encontra-se em fase final de consulta pblica o documento intitulado The Cybersecurity 30

Roadmap, estudo promovido pela Comisso Federal de Comunicaes (FCC)13, conforme reproduo a seguir da chamada localizada no stio da mesma:
"The Cybersecurity Roadmap will establish a plan for the FCC to address vulnerabilities to core Internet protocols and technologies and threats to end-users, including consumers, business enterprises, including small businesses, public safety and all levels of government. Cybersecurity is a vital topic for the Commission because enduser lack of trust in online experiences will quell demand for broadband services, and unchecked vulnerabilities in the communications infrastructure could threaten life, safety and privacy . The NBP originally called for completion of the Cybersecurity Roadmap within 180 days (e.g., September 13, 2010). In order to ensure a complete and robust record in response to this Public Notice, we anticipate completion of the Cybersecurity Roadmap by November 2010.

(http://www.cybertelecom.org/security/fcc.htm)

13

FCC uma agncia do governo americano, estabelecida pelo Communications Act, de 1934, sendo responsvel pela regulao das comunicaes via rdio, televiso, sem fio, satlite e cabo, interestadual e internacional.

31

32

II. VISO BRASIL: MARCOS RECENTES

Este Livro Verde: Segurana Ciberntica no Brasil apresenta neste Captulo, breve viso do pas, sem qualquer pretenso de ser exaustivo, mas, apenas, colocando em destaque para reflexo, alguns marcos recentes no que se refere s oportunidades e aos desafios nos vetores: Polticoestratgico, Econmico, Social e Ambiental, CT&I, Educao, Legal, Cooperao Internacional, e Segurana das Infraestruturas Crticas, tendo como foco central a segurana ciberntica.
POLTICO-ESTRATGICO OPORTUNIDADES Atores chave do governo federal com amplos conhecimentos no tema, bem como participantes de diversas redes de contatos e fruns, no pas e no exterior; Reconhecimento internacional do pas como um dos protagonistas em vrios temas globais, inclusive no tema segurana ciberntica; Gabinete de Crise institudo desde 2003, acionado por demanda Presidencial, coordenado pelo GSIPR, e tendo atuado mais de 60 vezes at 2010, demonstrando capacidade de articulao entre as diversas esferas de poder, e pronta resposta em casos de extrema importncia e defesa nacional; Criao da equipe de tratamento de incidentes em redes computacionais do governo, CTIR Gov em 2004, no GSIPR; Estratgia Nacional de Defesa - END (Decreto 6.703 publicado em 2008); Incluso do tema segurana ciberntica nos objetivos da Cmara de Relaes Exteriores e Defesa Nacional CREDEN, do Conselho de Governo (Decreto 7.009 publicado em 2009).

DESAFIOS Crescente complexidade nas relaes e nos interesses dos Estados; Falta de clareza sobre a importncia e real dimenso da problemtica direta e indiretamente correlacionada segurana ciberntica, como tema de Estado, pela alta cpula de governo, pensadores, e formadores de opinio;

33

Mltiplos atores de governo envolvidos, por vezes com superposio de misses institucionais, e conseqente deficincia no estabelecimento da governana; Carncia de senso comum e de arcabouo conceitual da segurana ciberntica, no pas; Nvel ainda baixo de fluxo e intercmbio de informao entre as equipes de tratamento de incidentes em redes computacionais do governo e entre estas e as redes de inteligncia de governo; Monitoramento do CTIR Gov aponta para cerca de 2 mil tentativas de invaso maliciosa, por hora, detectadas nas 320 grandes redes do governo; Extenso da capacidade da Defesa brasileira para abranger, alm do espao convencional, o espao ciberntico; Capacidades dissuasrias do pas abrangendo o espao ciberntico.

ECONMICO OPORTUNIDADES Expectativa da taxa anual de crescimento em 2010 da ordem de 7,2%; Brasil, Chile, Peru e Argentina vm liderando o crescimento na utilizao de recursos da tecnologia da informao na Amrica Latina em 2010; Poltica nacional de Parcerias Pblico-Privadas (PPP) que favorecem projetos de infraestruturas; Potencial criao de emprego formal e renda no setor ciberntico; Criao do Comit Gestor da Internet (CGI) em 1995; Criao de equipes de tratamento de incidentes em redes computacionais no pas em 1997, como o CERT.br no CGI para atender ao setor privado, e o CAIS na RNP para atender a rea de pesquisa; De acordo com o Instituto Brasileiro de Geografia Estatstica (IBGE), o Brasil possua 67,9 milhes de usurios de Internet em 2009; e em 2008, 55,9 milhes. Assim, em 2009, os internautas representavam 41,7% da populao e, no ano anterior, representavam 34,8%, o que demonstra curva significantemente crescente de acesso Rede, no pas; O Brasil transacionou US$ 8,7 milhes em vendas online em 2009, um aumento de 10,3% em relao a 2008. O Brasil ocupava o 1 lugar no ranking latino-americano em volume de

34

vendas eletrnicas. Em termos globais, o mercado liderado pelos EUA, com movimento anual de US$ 134,9 milhes; seguido por Japo (US$ 51,2 milhes) e China (US$ 36,9 milhes), segundo dados da Convergncia Digital, de junho de 2010; Sebrae patrocina circuito nacional de palestras, denominado MPE Net, com o objetivo de levar informaes e conhecimentos sobre ferramentas tecnolgicas e de comrcio eletrnico para micro e pequenos empresrios de diversas regies do pas.

DESAFIOS Cerca de 80% dos servios de rede so de propriedade e operados pelo setor privado e por empresas internacionais; Ausncia de oramento especfico para o desenvolvimento de aes e atividades de segurana ciberntica em todas as esferas de governo; Ausncia de carreira especfica, de Estado, para atuao em segurana ciberntica; Necessidade de atualizao e ajustes da Poltica de Desenvolvimento Produtivo (PDP), com vistas e inserir o setor ciberntico dentre suas prioridades; Indicadores do CERT.br destacam que, em 2009, os ataques cibernticos mais freqentes foram: a) contra o usurio final: fraudes, phishing, bots, spyware; b) do tipo fora bruta contra servios de rede: SSH, FTP; c) contra infraestrutura crtica da Internet: ataques DNS, d) contra protocolos de roteamento BGP; e, e) ataques a aplicaes Web vulnerveis; Crescimento da nova classe mdia brasileira, segundo Censo 2010 do IBGE, alcanando cerca de 53% da populao brasileira, apresentando novas demandas de consumo e de acesso.

SOCIAL e AMBIENTAL OPORTUNIDADES Potencial e maior uso das tecnologias de informao e comunicaes na reduo de custos e melhorias de servios pblicos e privados sociedade; Matriz energtica limpa, caracterizada pela seguinte gerao de energia eltrica, cujos dados de janeiro a setembro de 2010, so: hidroeltrica (79.789 MW); termoeltrica (29.735 KW); elica (794 KW); e, importada (5.850 MW); sendo que para

35

tanto, conta com infraestrutura do sistema nacional, interligado 98 mil Km; Cidades digitais com projetos de ampliao da incluso digital, por meio de telecentros e outras iniciativas; A audincia das redes sociais no Brasil cresceu 51% no ltimo ano. Em agosto de 2010, mais de 36 milhes de usurios de Internet, com mais de 15 anos, visitaram uma rede social de casa ou do trabalho, segundo pesquisa divulgada pela empresa comScore.

DESAFIOS Ausncia de conhecimento sobre as implicaes sociais decorrentes do uso e aplicao de tcnicas biomtricas em controle de acesso, tais como digitais, ris, DNA; Projeo da evoluo da matriz energtica para 2020 aponta para um crescimento de cerca de 45,8% do uso de fontes renovveis, e 54,2% de uso de fonte no-renovvel em relao aos dados do ano de 2007; Elevada complexidade para a segurana ciberntica das infraestruturas crticas do pas; Insuficiente monitoramento e proteo dos recursos naturais do pas, uma vez que tendncia mundial alerta tanto para a chamada guerra pela gua quanto para a carncia de alimentos, nos prximos anos; Uso crescente da Internet por organizaes criminosas e pelo narcotrfico; crescente a incidncia de falhas e brechas de segurana nos portais das redes sociais mais usadas no pas, Orkut, Facebook, Twiter, YouTube. A falha mais comum a chamada de Crosssite Scripting (XSS), um tipo de brecha que permite ao atacante incluir um cdigo no site. O IBGE prev um crescimento populacional ao redor de 1,3% ao ano no final desta dcada, o que levar o pas a registrar, em 2050, uma pirmide etria com base estreita e topo mais alto, o que significa baixa taxa de fecundidade e elevada expectativa de vida; Integrao do setor privado segurana ciberntica do pas.

36

CT&I OPORTUNIDADES 336 instituies de C&T no pas com 85 mil doutores em seus quadros, o caracteriza elevada capacidade de agregao de valor a produtos, processos e servios; Fundo Nacional de Desenvolvimento Cientfico e Tecnolgico (FNDCT) atualmente 10 vezes superior ao que era em 2002, com cerca de R$ 3 bilhes de reais de oramento em 2010, e sem contingenciamento ; Os investimentos em pesquisa e desenvolvimento, ao final de 2010, alcanaro 1,3% do PIB, o que um avano considerando anos anteriores; Universidades e Institutos de Pesquisa, ainda em nmero modesto, porm, com excelncia acadmica, desenvolvem atividades de monitorao de atividades maliciosas na Internet brasileira, dentre as quais: anlise de riscos e testes de penetrao; desenvolvimento seguro e anlises de vulnerabilidades em aplicaes crticas; e, aplicaes honeypots; Universidades e Institutos de Pesquisa, ainda em nmero modesto, porm de excelncia acadmica, tm P&D em segurana da informao, em subreas tais como computao forense, criptografia, biometria, dentre outras.

DESAFIOS Nmero, ainda, insuficiente de grupos de pesquisa e desenvolvimento de excelncia acadmica, com foco em ferramentas e solues de segurana ciberntica, bem como, de laboratrios de anlises de artefatos maliciosos; Carncia de programa, em nvel nacional, que promova sistematicamente o desenvolvimento tecnolgico e prospeco em temas como inteligncia de sinais e de imagens, recursos criptogrficos, segurana na computao em nuvem, desenvolvimento seguro de software, segurana ciberntica, e segurana das infraestruturas crticas; Carncia de conhecimento, mapeamento, e prospeco de tecnologias que apiem a segurana ciberntica do pas, minimizando tanto suas vulnerabilidades quanto suas dependncias tecnolgicas externas e hiatos tecnolgicos; Carncia de linhas de fomento especficas ao desenvolvimento de tecnologias crticas essenciais, de rotas e solues tecnolgicas inovadoras, de desafios e/ou rupturas tecnolgicas para a segurana ciberntica do pas, que contemplem uso dual;

37

Inexistncia de satlite geoestacionrio nacional; Aes governamentais incipientes para estmulo ao setor privado demandar e financiar pesquisa, desenvolvimento e produo de solues de segurana ciberntica nas universidades ou outros centros de excelncia; Inexistncia de programa especfico que contemplo aes, projetos e financiamentos governamentais que demandem diretamente solues de segurana ciberntica nas universidades ou outros centros de excelncia, por meio de pesquisa, desenvolvimento e produo dessas solues.

EDUCAO OPORTUNIDADES Mudanas recentes na Constituio foram realizadas para dar sustentao ao Plano de Desenvolvimento de Educao (PDE) e refora aes do Ministrio da Educao e Cultura; Formao e atualizao de professores para a educao bsica tem sido foco da esfera federal, por exemplo, cita-se a criao da Universidade Aberta do Brasil, com mais de 500 plos em atividade; Foram formados 10 mil e 12 mil doutores, respectivamente, em 2008 e 2009, e 37 mil e 40 mil mestres, respectivamente em 2008 e 2009, apontando para um crescimento na formao da ps-graduao do pas; Recursos humanos de alto nvel vm sendo formados para atuao no tema ataque e defesa ciberntica, em rgos do governo; H competncias de recursos humanos formados no pas em certificao digital, tratamento de incidentes em redes computacionais, criptografia, segurana de rede corporativa, dentre outras.

DESAFIOS Nvel do ensino fundamental e mdio do pas, em escolas pblicas e privadas, ainda fraco. Por exemplo, resultado recente demonstra que permanncia na escola, equidade, investimentos, desempenho, padres educacionais, e carreira dos docentes, receberam notas entre regular e insatisfatrio no 1. Boletim da Educao no Brasil, organizado pela Fundao Lemann e pelo Programa de Promoo da Reforma Educativa na Amrica Latina e no Caribe (Preal);

38

Cerca de 80% dos mestres e doutores atuam na esfera pblica e nas universidades, e apenas 20% encontram-se em atividades no setor privado; Carncia de educao e formao de cultura de segurana ciberntica em todos nveis, bsico, fundamental, tcnico, especializao, mestrado e doutorado; Incipiente formao de tcnicos, especialistas, mestres e doutores, para a pesquisa bsica e aplicada, bem como para a produo de prottipos de segurana ciberntica; Os currculos de ensino de nvel fundamental e mdio do pas no abordam, obrigatoriamente, temas como segurana da informao e correlatos, ainda que crianas e jovem faam uso intenso da Internet, em particular das redes sociais.

LEGAL OPORTUNIDADES Competncia federal de segurana da informao no Gabinete de Segurana Institucional da Presidncia da Repblica GSIPR, desde 2003, Lei 10.683; O Cdigo Penal do Brasil tem Artigos que atendem a determinados crimes com uso de computador; O Departamento de Polcia Federal tem cooperao policial internacional com INTERPOL, EUROPOL, AMERIPOL, dentre outras polcias, e atuam nos casos de crimes cibernticos baseados no princpio da reciprocidade.

DESAFIOS Ausncia de legislao nacional e internacional especfica de segurana ciberntica, em especial contra crimes cibernticos; Ausncia de regulao e mecanismos de certificao de segurana ciberntica; Diversidade de termos e respectivas definies, a serem harmonizados, em nvel nacional e internacional.

COOPERAO INTERNACIONAL OPORTUNIDADES Tendncia crescente, apesar de ainda incipiente, de multipolaridades, tendo a Rssia e o Brasil como exemplos de tais movimentos;

39

Acordos bilaterais de cooperao em segurana da informao e comunicao, formalizados, por exemplo, com a Espanha, Rssia, Frana, e em negociao, por exemplo, com Itlia, Israel, Luxemburgo, entre outros; Reconhecimento internacional do Brasil, como um dos protagonistas no tema segurana ciberntica; Grupo de trabalho institudo em 2010, no mbito da ONU, para elaborar proposta de uma nova Conveno, de carter global, contra o crime ciberntico, sob a coordenao do Embaixador do Brasil em Viena.

DESAFIOS Alta complexidade dado a extenso Continental do pas; Tendncia crescente nas relaes interncaionais de bipolaridade entre EUA e China, inclusive na questo de fronteira no ciberespao; Ausncia de instrumentos internacionais especficos contra crimes cibernticos para ao policial transfronteiras; Articulao, ainda incipiente, em termos de definio de aes transnacionais de segurana ciberntica, com foco em crimes cibernticos; A segurana ciberntica de uma nao se estende alm das suas fronteiras fsicas, demandando aes conjuntas com outros Estados.

SEGURANA DAS INFRAESTRUTURAS CRTICAS OPORTUNIDADES No Brasil, a criao do Plano Nacional de Segurana das Infraestruturas Crticas (PNSIEC) prev o estabelecimento de um processo integrado, por meio da criao de cultura de segurana e proteo, em todas as esferas de poder, de recursos humanos qualificados, equipamentos, instalaes, conhecimentos, servios, rotinas, dados, informaes e processos estratgicos, e busca estender o esforo das iniciativas ao setor privado; Os Grupos Tcnicos de Segurana das Infraestruturas Crticas de Energia, Transportes, Comunicaes, gua, e Finanas, criados no mbito da Cmara de Relaes Exteriores e Defesa Nacional (CREDEN), bem como seus respectivos 11 subgrupos tcnicos, envolvendo cerca de 100 especialistas, vm se reunindo desde 2009, no sentido de apoiar o PNSIEC, e

40

consequentemente mitigar riscos e aumentar a resilincia das mesmas; O Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao, criado no mbito do Comit Gestor de Segurana da Informao e Comunicaes (CGSI), do Conselho de Defesa Nacional (CDN), vem desenvolvendo metodologias e instrumentos de apoio para, sistematicamente, assegurar, acompanhar, avaliar e melhorar a segurana das infraestruturas crticas da informao; Existncia de equipes de resposta e tratamento de incidentes em rede computacionais, com capacitao de excelncia e reconhecimento no pas e no exterior, em que para atendimento as redes da Administrao Pblica Federal tem-se o CTIR Gov, para as redes privadas o CERT.br, e para as redes de pesquisa o CAIS da RNP.

DESAFIOS Falta de clareza e de identificao das interdependncias nas infraestruturas crticas e entre infraestruturas crticas, e seus respectivos graus de criticidade e impactos; Ausncia de integrao das vrias polticas setoriais, iniciativas e investimentos de segurana das infraestruturas crticas; Movimentos tardios de definio de prioridades estratgicas da Nao e harmonizao das estratgias, com foco na preveno; Limitado leque das infraestruturas crticas nacionais j priorizadas; 14 Crescentes riscos de ataques cibernticos a Sistemas SCADA ; Insuficiente nmero de equipes de resposta e tratamento de incidentes em rede computacionais nos vrios segmentos da sociedade, bem como insuficiente nmero de especialistas com competncia para desempenhar tais atividades.

14

o conjunto de software e hardware que permitem o controle de sistemas industriais, como linhas de produo e processos de uma usina, e de infraestruturas, como energia, gs, gua, tratamento de esgoto, entre outras.

41

42

III.

DIRETRIZES A SEREM CONTEMPLADAS NA POLTICA NACIONAL DE SEGURANA CIBERNTICA

A Poltica Nacional de Segurana Ciberntica dever ter como uma de suas premissas, a sua construo a partir de viso multidisciplinar, interinstitucional, em que mltiplas competncias se complementam na soluo de problemas e na identificao de oportunidades. Nesta direo, para que a arte de assegurar a existncia e a continuidade da Sociedade da Informao da nao brasileira, garantindo e protegendo, no Espao Ciberntico, os ativos de informao e as infraestruturas crtica do pas, notadamente a de informao, seja eficaz e efetiva, e sem a pretenso de esgotar o assunto, indicam-se as seguintes diretrizes consideradas essenciais a serem desenvolvidas em prol da Poltica, para alcance da viso de futuro almejada, nos vetores destacados neste Livro:
POLTICO-ESTRATGICO CARACTERIZAR a segurana ciberntica como alta prioridade e de extrema urgncia para o pas, no curto prazo, implementando uma robusta estratgia nacional de segurana ciberntica; VALORIZAR E AMPLIAR as competncias nos diversos temas que perpassam a temtica da segurana ciberntica, e temas correlatos, como o de segurana das infraestruturas crticas da informao, no curto e mdio prazo; LANAR, no curto prazo, a Poltica Nacional de Segurana Ciberntica; CRIAR rgo central para macro-coordenao da Poltica Nacional de Segurana Ciberntica, no curto prazo; ESTABELECER programas de cooperao especficos entre Governo e Sociedade, bem como com outros Governos e a comunidade internacional, no curto, mdio e longo prazo; DESENVOLVER arcabouo conceitual da segurana ciberntica para o Estado brasileiro, no curto prazo;

43

ESTENDER a capacidade da Defesa do Pas para proteo da nao no espao ciberntico; INCREMENTAR a capacidade dissuasria da Defesa do Pas para fazer frente a ameaa ciberntica.

ECONMICO DUPLICAR, a partir de 2011 e sistematicamente a cada 2 (dois) anos, portanto no curto, mdio e longo prazo, os recursos financeiros alocados para a Segurana Ciberntica, em Subfuno especfica a ser criada para tal finalidade, na Lei de Diretrizes Oramentria (LDO), desde 2011, com vistas a criar robusta capacidade de posicionamento e de resposta da Nao frente s potenciais ameaas cibernticas; ELABORAR E PROMOVER a devida regulao do mercado, no mdio e longo prazo, por meio da adoo de padres e especificaes tcnicas, bem como de modelos de gesto, de acompanhamento, e de auditoria da segurana ciberntica; ESTREITAR parcerias e aes colaborativas com o setor privado, estimulando as parcerias pblicas privadas e as empresas estratgicas, promovendo o setor ciberntico no pas, no curto, mdio e longo prazo; APOIAR o segmento das micro, pequenas e mdias empresas do pas, em especial aquelas atuantes no comrcio eletrnico, de forma a promover a cultura da segurana ciberntica.

SOCIAL E AMBIENTAL PROMOVER E UTILIZAR as redes sociais da Internet em prol da criao e fortalecimento da conscincia nacional sobre segurana ciberntica, no curto, mdio e longo prazo; DESENVOLVER programa de incluso digital que incorpore conscincia situacional sobre ameaas cibernticas e segurana ciberntica, no curto e mdio prazo; DEFENDER os direitos de privacidade do cidado brasileiro, no curto, mdio e longo prazo; APOIAR o desenvolvimento da Internet no Brasil, promovendo poltica de acessibilidade com segurana do cidado; APLICAR polticas de incentivo para a integrao do setor privado segurana ciberntica do pas.

44

EDUCAO DESENVOLVER programa nacional de capacitao em segurana ciberntica e de recrutamento, que seja construdo a partir da viso interdisciplinar que o tema requer, no curto, mdio e longo prazo, nos nveis: bsico, tcnico, graduao, especializao, mestrado e doutorado; DESENVOLVER programa de conscientizao nacional no tema de forma a atingir, especialmente, no curto e mdio prazo, diferentes comunidades do pas, desenvolvendo material apropriado para os pblicos: infantil; de adolescentes e jovens; de baixa renda; da terceira idade; de educadores em todos os nveis de formao educacional; e, de gestores e legisladores pblicos, dentre outros segmentos a serem atendidos, no mdio e longo prazo; INCLUIR nos currculos de ensino de nvel fundamental e mdio do Pas a obrigatoriedade de temas como segurana da informao e correlatos.

MARCO LEGAL COLABORAR estritamente para a atualizao e por vezes para a construo do marco legal, nacional e internacional, contra ataques e crimes cibernticos, no curto e mdio prazo; PROTAGONIZAR a articulao e a elaborao de Conveno global, sobre crime ciberntico, no mbito da ONU, no curto e mdio prazo.

CT&I ARTICULAR E PROMOVER o fortalecimento da cincia e pesquisa bsica e aplicada, do desenvolvimento de tecnologias e metodologias, e da inovao em segurana ciberntica, e em temas correlatos. DESTACAR, dentre as prioridades de curto e mdio prazo, as atividades de pesquisa aplicada, testes e ensaios em laboratrio com tal finalidade, bem como a pesquisa, o desenvolvimento e a inovao (PD&I) no mbito do setor ciberntico (gesto de risco e de continuidade de negcio, recursos criptogrficos, biometria, informao e anlise de sinais e imagens, tratamento e resposta de incidentes em redes e sistemas computacionais, anlises e monitoramento de tendncias de malware, desenvolvimento de tecnologias cibernticas, dentre outras); AMPLIAR O ESFORO de padronizao/harmonizao do ambiente de segurana ciberntica por meio de programa especfico que: a) estenda a padronizao/harmonizao de especificaes de bens e servios, para o reforo de seu uso nas compras governamentais; b) crie modelos de

45

referncia para apoio s atividades estratgicas de segurana ciberntica; c) priorize o desenvolvimento e a compilao de padres, de metodologias, de tecnologias de ponta; e, d) fomente/ estimule a utilizao da arquitetura de interoperabilidade e do e-PING na integrao de sistemas de informao do governo, bem como o maior intercmbio de informaes de incidentes computacionais entre as equipes especializadas de governo, setor privado e academia, para as devidas aes de preveno e represso contra ataques cibernticos; ESTIMULAR E ARTICULAR o aporte de recursos financeiros especficos, em programa a ser desenvolvido pelas Agncias federais e estaduais de fomento em apoio CT&I, para o setor ciberntico; ARTICULAR a aplicao de recursos do FUNTEL para o desenvolvimento continuado de CT&I do setor ciberntico, especialmente no que tange vertente da segurana; FOMENTAR a demanda e financiamento, pelo setor privado, de pesquisa, desenvolvimento e produo de solues de segurana ciberntica nas universidades ou em outros centros de excelncia; FINANCIAR E ADQUIRIR, das universidades ou de outros centros de excelncia, solues de segurana ciberntica por meio de pesquisa, desenvolvimento e produo dessas solues para atender demandas do Estado.

COOPERAO INTERNACIONAL PROMOVER a cooperao bilateral e multilateralmente, em nvel regional e global, visando trocas de experincias e fortalecimento da estratgia nacional de segurana ciberntica; INSTITUCIONALIZAR no pas a autoridade nacional de segurana, no curto prazo, com vistas a oficializar e sistematizar o processo de credenciamento de rgos, entidades, empresas, e pessoas para intercmbio de informaes classificadas, entre governos; PROMOVER E ARTICULAR acordos de cooperao tcnica de segurana ciberntica, no curto, mdio e longo prazo; PROMOVER viso alinhada e consensada entre os atores-chave atuantes na segurana ciberntica, no curto, mdio e longo prazo, visando a definio de posicionamento estratgico do pas, no tema, em fruns, comits e colegiados internacionais; ESTABELECER programas de cooperao especficos entre Governo e Sociedade, bem como com outros Governos e a comunidade internacional, no curto, mdio e longo prazo;

46

ARTICULAR acordos internacionais de modo a potencializar a segurana ciberntica do Pas, sua capacidade de defesa e dissuaso, alm do aumento e atualizao das suas competncias essenciais.

SEGURANA DAS INFRAESTRUTURAS CRTICAS LANAR a Poltica Nacional de Segurana das Infraestruturas Crticas no curto prazo; CONHECER E MAPEAR o grau de vulnerabilidade do pas em relao aos seus sistemas de informao e as suas infraestruturas crticas de informao por meio de programa especfico, no mdio e longo prazo, que compreenda: a) a macro-coordenao do mapeamento dos ativos de informao das infraestruturas crticas; b) o apoio ao processo de auditoria de segurana das infraestruturas crticas da informao, definindo requisitos mnimos de segurana; e, c) a macro-coordenao e o desenvolvimento de sistema de monitoramento de ameaas cibernticas e divulgao de alertas de suporte s infraestruturas crticas; ELABORAR E/OU ADAPTAR metodologia, no mdio e longo prazo, para avaliaes de risco e de continuidade de negcio em segurana ciberntica, o que inclui dentre outras aes: a) identificar o grau de interdependncia dos servios das infraestruturas crticas do pas; b) desenvolver e/ou adaptar metodologia comum para avaliar as vulnerabilidades das infraestruturas crticas de informao, dos seus sistemas e de seus servios; e, c) conceber um sistema dinmico de medidas preventivas, prativas, e reativas contra ameaas e ataques cibernticos; DESENVOLVER PROGRAMA de capacitao de gestores atuantes nas infraestruturas crticas que contemple dentre outras competncias: anlise e gesto de riscos, segurana das infraestruturas crticas da informao, resilincia operacional e organizacional, monitoramento e resposta a ataques cibernticos.

47

48

IV. CONSIDERAES FINAIS

A presente proposio do Livro Verde Segurana Ciberntica no Brasil tem como principal objetivo, como se pode depreender tanto da argumentao quanto da lgica construtiva apresentada ao longo deste documento, a premente necessidade de construo de ambiente que propicie maior e melhor proteo do espao ciberntico do Estado brasileiro, e portanto, a formulao e lanamento da Poltica Nacional de Segurana Ciberntica, o que, no pas e no exterior, se traduz no lanamento do Livro Branco. A tendncia mundial caminha para a priorizao da Segurana Ciberntica e para o estabelecimento formal de rgo que centralize as competncias bsicas relacionadas ao tema, visando integrar esforos isolados e propiciar macrocoordenao no nvel da Nao, a exemplo das experincias americana, inglesa, australiana, coreana, dentre outras. A possibilidade de elaborao e lanamento da Poltica Nacional de Segurana Ciberntica conformar-se-ia como a situao ideal, considerando o cenrio atual vivido em termos das ameaas presentes e futuras no espao ciberntico, e as vulnerabilidades, seja no nvel organizacional seja no domstico. Outrossim, h uma diversidade de atores que j vm atuando no governo federal em prol da segurana ciberntica, em que a ttulo de exemplo cita-se o GSIPR (DSIC e ABIN), o MRE, o MJ (e o DPF), o MD, a MB, o EB, o COMAER, o que faz com que a proposio da Poltica fique ainda mais reforada, uma vez que a mesma, viabilizar o exerccio da macro-coordenao do tema, e propiciar a congruncia dos esforos e iniciativas entre os diferentes atores da citada rede, apoiada no senso comum e suas derivaes. Soma-se o fato de que a Portaria No. 45, publicada no D.O.U. No. 172 de 09 de setembro de 2009, institui Grupo Tcnico de Segurana Ciberntica (GT SEG CIBER), no mbito da Cmara de Relaes Exteriores e Defesa (CREDEN), sob a Coordenao do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR), e estabelece que tal Coordenao ser exercida pelo Departamento de Segurana 49

da Informao e Comunicaes (DSIC), que conta com a expertise necessria bem como rede de contatos no pas e no exterior, no tema. Este GT SEG CIBER, composto por representantes, alm do GSIPR, dos Ministrios da Justia, da Defesa, das Relaes Exteriores, e dos Comandos da Marinha; do Exrcito e da Aeronutica; tem como objetivo propor diretrizes e estratgias para a Segurana Ciberntica, no mbito da Administrao Pblica Federal, uma misso considerada de relevante interesse pblico e do Estado. H, tambm, a oportunidade de que sejam convidados especialistas, da academia e do setor privado, visando uma construo participativa no mbito do citado GT. Este GT expressa o ncleo central de atores chave que vm atuando no tema, e por ser um GT no mbito da CREDEN, visa subsidiar esta Cmara em seu processo decisrio, apontando diretrizes, ora elencadas neste Livro Verde. Vale destacar tambm, dentre a sustentao legal necessria, que foi aprovado pelo Ministrio de Oramento, Planejamento e Gesto, no mbito da Lei de Diretrizes Oramentrias para o ano de 2010, a ampliao e o fortalecimento da finalidade e da descrio da Ao 6232 Capacitao de Recursos Humanos em Segurana da Informao e Comunicaes, no mbito do Programa de Inteligncia (0641), a qual o GSIPR a unidade administrativa responsvel, conforme a seguir: FINALIDADE: Desenvolver aes de Segurana da Informao e Comunicaes com vistas a fortalecer e implementar mecanismos capazes de prover a segurana do espao ciberntico brasileiro, em prol do bem estar da sociedade e da soberania do Estado. DESCRIO: Desenvolvimento de estratgias, normas e procedimentos; fortalecimento da proteo da infraestrutura crtica da informao; implementao e sistematizao da gesto e da capacitao de recursos humanos; estmulo e fortalecimento da pesquisa, desenvolvimento e inovao; promoo e formalizao de cooperao nacional e internacional; manuteno e reposio dos equipamentos, mobilirios e softwares, no mbito 50

da Segurana da Informao e Comunicaes e da Segurana Ciberntica. No se pode deixar de registrar e colocar em evidncia, como mais um importante e crucial passo na trilha da segurana e da defesa ciberntica do pas, o Decreto N 6.703/2008 que aprova a Estratgia Nacional de Defesa (END), a qual tem em sua dimenso o setor ciberntico tratado no que se refere s tecnologias, capacitaes, parcerias estratgicas e intercmbios com naes amigas, neste ltimo caso particularmente com as naes do entorno estratgico brasileiro e as da Comunidade de Pases de Lngua Portuguesa; bem como reala tal setor ciberntico dentre os 3 (trs) setores estratgicos a serem tratados no mbito da citada Estratgia pelo Ministrio da Defesa (MD) e Foras Armadas. Finalmente, a segurana ciberntica vem sendo tratada em nvel estratgico pelas Naes e vrios aspectos crticos correlatos ao tema, como ciberguerra, ainda encon tram-se em fase de discusso e longe de consenso. Neste sentido, vale reproduzir a seguir o comentrio final que consta do relatrio FOI-R-2970-SE, de maro de 2010, Emerging Cyber Threats and Russian Views on Information Warfare and Information Operations, de Roland Heickero:
As emergentes ameaas cibernticas mostram o quanto preciso incrementar tanto a segurana da informao quanto a cooperao internacional no sentido de evitar ou reduzir efeitos negativos de operaes cibernticas antagnicas. O tema ameaa ciberntica deve ser resolvido em escala mundial, envolvendo o maior nmero de partes, de leis, e de agncias de todas as Naes. Convenes tm de ser reescritas uma vez que a guerra ciberntica confunde princpios como os da proporcionalidade, neutralidade e distino. As regras cibernticas necessitam ser melhor discutidas. (Heickero, R; 2010:55) - traduo do autor.

51

52

GLOSSRIO
Ameaa: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao (ABNT, 2005). Artefato malicioso: Qualquer programa de computador, ou parte de um programa, construdo com a inteno de provocar danos, obter informaes no autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores (NC 05 DSIC/GSIPR, 2009). Ativo de Informao: Meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso (Portaria 45 SE-CDN, 2009). Autenticidade: Propriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade (IN 01 GSIPR, 2008). Confidencialidade: Propriedade de que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado (IN 01 GSIPR, 2008). Continuidade de Negcios: Capacidade estratgica e ttica de um rgo ou entidade de se planejar e responder a incidentes e interrupes de negcios, minimizando seus impactos e recuperando perdas de ativos da informao das atividades crticas, de forma a manter suas operaes em um nvel aceitvel, previamente definido (NC 06 DSIC/GSIPR, 2009). Defesa: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a condio reconhecida como de segurana, ou ainda, reao contra qualquer ataque ou agresso real ou iminente. (Glossrio MD35-G-01;2007).

53

Disponibilidade: Propriedade de que a informao esteja acessvel e utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade (IN 01 GSIPR, 2008). Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR: Grupo de pessoas com a responsabilidade de receber, analisar e responder s notificaes e atividades relacionadas a incidentes de segurana em redes de computadores (NC 05 DSIC/GSIPR, 2009). Fonte de Risco: Elemento que, individualmente ou combinado, tem o potencial intrnseco para dar origem ao risco (ISO 31000, 2009). Gesto de riscos de segurana da informao e comunicaes: Conjunto de processos que permite identificar e implementar as medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos (NC 04 DSIC/GSIPR, 2009). Guerra de informao: Conjunto de aes destinadas a obter a superioridade das informaes, afetando as redes de comunicao de um oponente e as informaes que servem de base aos processos decisrios do adversrio, ao mesmo tempo em que garante as informaes e os processos amigos. (Glossrio MD35-G-01, 2007). Guerra ciberntica: Conjunto de aes para uso ofensivo e defensivo de informaes e sistemas de informaes para negar, explorar, corromper ou destruir valores do adversrio baseados em informaes, sistemas de informao e redes de computadores. Estas aes so elaboradas para obteno de vantagens tanto na rea militar quanto na rea civil. (Glossrio MD35-G-01, 2007). Impacto: Mudana adversa no nvel obtido dos objetivos do negcio (ABNT, 2008).

54

Infraestruturas Crticas: Instalaes, servios, bens e sistemas que, se forem interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico, internacional ou segurana do Estado e da sociedade (Portaria 45 GSI, 2009). Infraestruturas Crticas da Informao: Subconjunto de ativos de informao que afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade (Portaria 34 SE-CDN, 2009). Interdependncia: Relao de dependncia ou interferncia de uma infraestrutura crtica em outra, ou de uma rea prioritria de infraestruturas crticas em outra (Poltica Nacional de Segurana de Infraestruturas Crticas, 2010 aprovada na CREDEN, e ainda no sancionada pelo Presidente da Repblica). Resilincia: Poder de recuperao ou capacidade de uma organizao resistir aos efeitos de um desastre. (NC 06 DSIC/GSIPR, 2009) Capacidade de resistir a fatores adversos e de recuperar-se rapidamente. (Poltica Nacional de Segurana de Infraestruturas Crticas, 2010 aprovada na CREDEN, e ainda no sancionada pelo Presidente da Repblica). Risco: Efeito da incerteza nos objetivos (ABNT ISO GUIA 73, 2009). Riscos de segurana da informao: Possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a organizao (ABNT, 2008). Riscos de segurana da informao e comunicaes: Potencial associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da organizao. (NC 04 DSIC/GSIPR, 2009).

55

Segurana Ciberntica: Arte de assegurar a existncia e a continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no Espao Ciberntico, seus ativos de informao e suas infra-estruturas crticas (Portaria 45 SECDN, 2009). Segurana da Informao: Proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (PRESIDNCIA, 2000). Segurana da Informao e Comunicaes: Aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes (IN 01 GSIPR, 2008). Vulnerabilidade: Propriedade intrnseca de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma conseqncia (ISO 31000, 2009). Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organizao, os quais podem ser evitados por uma ao interna de segurana da informao (NC 04 DSIC/GSIPR, 2009).

56

BIBLIOGRAFIA CONSULTADA
ABNT. ABNT NBR ISO/IEC 27001:2006: Tecnologia da Informao : Tcnicas de Segurana da Informao: Sistemas de Gesto de Segurana da Informao : Requisitos. Rio de Janeiro, 2006. ABNT. ABNT NBR ISO/IEC 27002:2005: Tecnologia da Informao : Cdigo de Prtica para a Gesto da Segurana da Informao. Rio de Janeiro, 2005. ABNT. ABNT NBR ISO/EIC 27005:2008: Tecnologia da Informao : Tcnicas de Segurana : Gesto de Riscos de Segurana da Informao. Rio de Janeiro, 2008. BRASIL. Gabinete de Segurana Institucional da Presidncia da Repblica. Instituiu Grupos Tcnicos de Segurana de Infraestruturas Crticas (GTSIC). Portaria n 2, de 8 de fevereiro de 2008. Dirio Oficial da Unio, n 27, Pag. 1, 2008. BRASIL. Gabinete de Segurana Institucional da Presidncia da Repblica. Institui Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao, no mbito do Comit Gestor de Segurana da Informao - CGSI. Portaria n 34, de 5 de agosto de 2009. Dirio Oficial da Unio, n 149, Pag. 4, 2009. BRASIL. Gabinete de Segurana Institucional da Presidncia da Repblica. Institui Grupo Tcnico de Segurana Ciberntica, no mbito da Cmara de Relaes Exteriores e Defesa Nacional. Portaria n 45, de 8 de setembro de 2009. Dirio Oficial da Unio, n 172, Pag. 2, 2009. BRASIL. Lei N 10.683, de 28 de maio de 2003. Dispe sobre a organizao da Presidncia da Repblica e dos Ministrios, e d outras providncias. Disponvel em: www.planalto.gov.br. Acesso em out. 2010. BRASIL. Ministrio das Minas e Energia - MME. Secretaria de Planejamento e Desenvolvimento Energtico. Matriz Energtica

57

Nacional 2030. (colaborao da Empresa de Pesquisa Energtica - EPE). Braslia: MME:EPE. Novembro, 2007. 254 p. CABINET OFFICE. Cyber Security Strategy of the United Kingdom: safety, security and resilience in cyber space. (UK Office of Cyber Security (OCS) and UK Cyber Security Operations Centre (CSOC)). UK: TSO The Parliament Bookshop. June. 2009. 25p. CANONGIA, C. Anotaes tcnicas da autora durante o evento X Encontro Nacional de Estudos estratgicos: Rumo a 2022 Estratgias para a Segurana e o Desenvolvimento do Brasil. Braslia: Secretaria de Assuntos Estratgicos da Presidncia da Repblica. Setembro, 2010. CANONGIA, C. Relatrio Tcnico de participao no evento Workshop Hemisfrico Conjunto da OEA sobre o Desenvolvimento de uma Estrutura Nacional para Segurana Ciberntica. Rio de Janeiro: OEA: Comit Interamericano contra o Terrorismo Ciberntico (CICTE), Comisso Interamericana de telecomunicaes (CITEL), Reunio de Ministros da Justia ou Procuradores Gerais das Amricas (REMJA); e DSIC/GSIPR. Novembro. 2009. 11p. CANONGIA, C. Relatrio Tcnico de participao no evento I Seminrio de Defesa Ciberntica. Braslia: Ministrio da Defesa e Exrcito Brasileiro. Junho. 2010. 8p. CANONGIA, C. Relatrio Tcnico de participao no evento I Seminrio de Infraestruturas Crticas (IEC). Braslia: Ncleo de IEC/Sec. Exec./GSIPR. Agosto. 2010. 8p. CANONGIA, C e MANDARINO JUNIOR, R. Segurana Ciberntica: o desafio da nova Sociedade da Informao. Revista Parcerias Estratgicas. Braslia:Centro de Gesto e Estudos Estratgicos (CGEE); v.14; n.29; dezembro/2009; pg 21 - 46. CENTER FOR STRATEGIC AND INTERNATIONAL STUDIES. Securing Cyberspace for the 44th. Presidency: a report of the

58

CSIS Commission on Cybersecurity for the 44th. Presidency. CSIS_Washington. December. 2008. 88p. CREDEN. Cmara de Relaes Exteriores e Defesa Nacional, do Conselho de Governo: Resoluo n 2, de 24 de outubro de 2007. Braslia, 2007. CREDEN. Cmara de Relaes Exteriores e Defesa Nacional, do Conselho de Governo. Poltica Nacional de Segurana de Infraestruturas Crticas (PNSIC), Agosto. 2010. (ainda no sancionada pelo Presidente da Repblica) GLOSSRIO das Foras Armadas - MD35-G-01;2007. INSTRUO NORMATIVA IN 01 GSIPR. Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Gabinete de Segurana Institucional Presidncia da Repblica, 2008. 5p. Braslia. 2008. MANDARINO JUNIOR, R. Um Estudo sobre a Segurana e a Defesa do Espao Ciberntico Brasileiro. (monografia aprovada no Curso de Especializao em Gesto da Segurana da Informao e Comunicaes; orientador: Prof. Dr. Jorge Henrique Cabral Fernandes). Universidade de Braslia - UnB/ Departamento de Cincia da Computao - DCE:Braslia. Junho de 2009. pg. 29. NORMA COMPLEMENTAR NC 04 DSIC/ GSIPR. Diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes - GRSIC nos rgos e entidades da Administrao Pblica Federal. Departamento de Segurana da Informao e Comunicaes - Gabinete de Segurana Institucional Presidncia da Repblica. 6 p. Braslia, 2009. NORMA COMPLEMENTAR NC 05 DSIC/ GSIPR. Disciplina a criao de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos rgos e entidades da Administrao Pblica Federal. Departamento de Segurana da Informao e Comunicaes - Gabinete de Segurana Institucional Presidncia da Repblica. 7 p. Braslia, 2009. 59

NORMA COMPLEMENTAR NC 06 DSIC/ GSIPR. Estabelece as Diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Departamento de Segurana da Informao e Comunicaes - Gabinete de Segurana Institucional - Presidncia da Repblica. 7p. Braslia, 2009 ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD) - Guidelines for the Security of Information Systems and Networks: Towards a culture of security. (Adopted as a Recommendation of the OECD Council at its 1037th Session on 25 July 2002). Paris: OECD. 2002. 28p. ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD) COMMITTEE FOR INFORMATION, COMPUTER AND COMMUNICATION POLICY (ICCP Committee) OECD Recommendation of the Council on the Protection of Critical Information Infrastructure. (Adopted as a Recommendation of the OECD Council at its 1172th Session on 30 April 2008). Seoul/Korea. June. 2008. PRESIDNCIA. Presidncia da Repblica, Casa Civil, Subchefia para Assuntos Jurdicos: Decreto n 3.505, de 13 de junho de 2000. Braslia, 2000. PRESIDNCIA. Presidncia da Repblica, Casa Civil, Subchefia para Assuntos Jurdicos: Decreto n 4.553, de 27 de dezembro de 2002. Braslia, 2002. PRESIDNCIA. Presidente da Repblica: Decreto n 6.371, de 12 de fevereiro de 2008. Braslia, 2008. PRESIDNCIA. Presidncia da Repblica. Secretaria de Assuntos Estratgicos (SAE). Ciclo de Palestras: Educao (Ministro Fernando Haddad em 20/05/2010). Braslia: SAE/PR. 2010. 52 p.

60

PRESIDNCIA. Presidncia da Repblica. Secretaria de Assuntos Estratgicos (SAE). Ciclo de Palestras: Cincia e Tecnologia (Ministro Sergio Rezende em 15/04/2010). Braslia: SAE/PR. 2010. 36 p. PRESIDNCIA. Presidncia da Repblica. Secretaria de Assuntos Estratgicos (SAE). Ciclo de Palestras: Planejamento (Ministro Paulo Bernardo em 27/05/2010). Braslia: SAE/PR. 2010. 36 p. SUND, Christine. Promoting a Culture of Cybersecurity. In.: ITU Regional Cybersecurity Forum for Eastern and Southern Africa. Lusaka, Zambia. 25-28 August 2008. STEVENS, J. F. Information Asset Profiling: CMU Carnegie Mellon University, June 2005. 61 p. (CMU/SEI-2005-TN-021). Disponvel em: <www.cert.org/archive/pdf/05tn021.pdf>. Acesso em: julho, 2010. TECHNOLOGY STRATEGY BOARD TSB, PRICEWATERHOUSECOOPERS LLP. Revolution or evolution? Information Security 2020. UK: TSB: Pricewathercoopers. 2010. 44p.

61

62

STIOS CONSULTADOS NA INTERNET

Departamento de Segurana da Informao e Comunicaes dsic.planalto.gov.br Estratgia Nacional de Defesa - END https://www1.defesa.gov.br/eventos_temporarios/2009/estrategi a/arquivos/estrategia_defesa_nacional_portugues.pdf Federal Communications Commission - FCC: Cybersecurity http://www.cybertelecom.org/security/fcc.htm Government Information Security Articles GovInfoSecurity.com E-news www.govinfosecurity.com Governo Eletrnico - http://www.governoeletronico.gov.br Instituto Brasileiro de Geografia e Estatstica www.ibge.gov.br International Telecommunications Union ITU - www.itu.int Ministrio da Educao www.mec.gov.br Portal Convergncia Digital convergenciadigital.uol.com.br Secretaria de Assuntos Estratgicos Presidncia da Repblica: www.sae.gov.br The White House Blog - www.whitehouse.gov/blog/2010/ Valor online www.valoronline.com.br

63