Escolar Documentos
Profissional Documentos
Cultura Documentos
LIVRO VERDE
SEGURANA CIBERNTICA NO BRASIL
Braslia - DF
2010
1
2
Presidente da Repblica
Luis Incio Lula da Silva
Vice-Presidente da Repblica
Jos Alencar Gomes da Silva
Secretrio Executivo
Antnio Srgio Geromel
Ministrio da Justia
Jorilson da Silva Rodrigues (Titular; Ministrio da Justia)
Carlos Eduardo Miguel Sobral (Suplente; Departamento da Polcia Federal)
Ministrio da Defesa
Capito de Fragata Alexandre Mariano Feitosa (Titular)
Capito de Fragata Cssio Alexandre Ramos (Suplente)
Comando do Exrcito
Tenente Coronel Jos Ricardo Souza Camelo (Titular)
Coronel Said Brando Sayd (Suplente)
Comando da Marinha
Capito de Fragata Valter Monteiro Junior (Titular)
Capito de Fragata Ricardo Brigatto Salvatore (Suplente)
Comando da Aeronutica
Coronel Adrian Nicolaiev Pereira dos Santos (Titular)
Major Cludio Ramos Cruz (Suplente)
3
Copyright 2010 Presidncia da Repblica. Permitida a reproduo sem fins
lucrativos, parcial ou total, por qualquer meio, se citada a fonte.
Organizadores
Raphael Mandarino Junior
Claudia Canongia
Colaboradores
Grupo Tcnico de Segurana Ciberntica GT SEG CIBER
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823l
CDD 658.4038
CDU 004.056.57
Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica.
4
APRESENTAO
5
Federal, direta e indireta. Tal diversidade enriqueceu e
propiciou diversas e significativas opinies, as quais, sem
sombra de dvida, fomentaro discusses e propostas de
melhorias sobre o assunto.
Recomendo, portanto, a leitura desta obra, cuja
publicao considero significativo incremento no arcabouo de
documentos que objetivam garantir a Segurana Nacional, e
convido-os a contribuir com propostas e sugestes para a
evoluo da mesma, visando formular, colaborativamente, a
Poltica Nacional de Segurana Ciberntica.
6
LISTA DE SIGLAS E ABREVIATURAS
7
GT Grupo de Tcnico
GT SEG CIBER Grupo Tcnico de Segurana Ciberntica
IBGE Instituto Brasileiro de Geografia Estatstica
ICCP Comittee for Information, Computer and
Communications
IEC International Engineering Consortium
ITU International Telecommunication Union
LDO Lei de Diretrizes Oramentria
MB Marinha do Brasil
MD Ministrio da Defesa
MJ Ministrio da Justia
MRE Ministrio das Relaes Exteriores
OCDE Organizao para Cooperao e
Desenvolvimento Econmico
OEA Organizao dos Estados Americanos
ONG Organizaes No Governamentais
ONU Organizao das Naes Unidas
PDE Plano de Desenvolvimento de Educao
PNSIEC Plano Nacional de Segurana das
Infraestruturas Crticas
PPP Parcerias Pblico-Privadas
REMJA Reunio de Ministros da Justia ou
Procuradores Gerais das Amricas
RNP Rede Nacional de Ensino e Pesquisa
TIC Tecnologia da Informao e Comunicaes
WPISP Working Party on Information Security and
Privacy
8
LIVRO VERDE
SEGURANA CIBERNTICA NO BRASIL
SUMRIO
APRESENTAO, 5
LISTA DE SIGLAS E ABREVIATURAS, 7
PREFCIO, 11
INTRODUO, 13
I. OBJETIVO, 17
I.1. MOTIVAO E PERSPECTIVAS, 17
I.1.1. Brasil um dos protagonistas iniciativas e fruns
internacionais, 20
I.2. COMPETNCIAS ESSENCIAIS, 26
I.2.1. Comparao Internacional:, 28
I.2.2. Comparao Intertemporal:, 28
I.2.3. Tendncias para 2020:, 29
9
IV. CONSIDERAES FINAIS, 49
GLOSSRIO, 53
BIBLIOGRAFIA CONSULTADA, 57
STIOS CONSULTADOS NA INTERNET, 63
10
PREFCIO
11
e principalmente o esforo de amplo trabalho participativo na
construo de senso comum e das premissas e diretrizes para
o Livro Branco: Poltica Nacional de Segurana Ciberntica.
Estamos certos de continuar contando com o apoio e a
contribuio dos especialistas no tema, tanto de rgos
governamentais federais, quanto das demais esferas de
governo, do setor privado, da academia, e do terceiro setor, na
consulta ora aberta1, para anlises e contribuies sobre os
pontos apresentados, e as diretrizes apontadas neste Livro
Verde: Segurana Ciberntica no Brasil, o qual serve de base
para a elaborao do almejado Livro Branco.
Registramos, por fim, os nossos profundos
agradecimentos a todos do GT SEG CIBER, do DSIC, da ABIN,
e do GSIPR, que apoiaram fortemente esta iniciativa, com
especial ressalva ao apoio e confiana do Sr. Ministro Chefe do
GSIPR, Jorge Armando Felix.
Claudia Canongia,
Assessora Tcnica do DSIC/
GSIPR, e pesquisadora
convidada do GSIPR no GT
SEG CIBER.
1
Portal DSIC http://dsic.planalto.gov.br
12
LIVRO VERDE
SEGURANA CIBERNTICA NO BRASIL
INTRODUO
13
Na nova conformao da Sociedade da Informao, vale
destacar os seguintes fenmenos:
a) Elevada convergncia tecnolgica;
b) Aumento significativo de sistemas e redes de
informao, bem como da interconexo e
interdependncia dos mesmos;
c) Aumento crescente e bastante substantivo de
acesso Internet e das redes sociais;
d) Avanos das tecnologias de informao e
comunicao (TICs);
e) Aumento das ameaas e das vulnerabilidades de
segurana ciberntica; e,
f) Ambientes complexos, com mltiplos atores,
diversidade de interesses, e em constantes e
rpidas mudanas.
Neste contexto, as estratgias internacionais no tema
apontam para o estabelecimento de parcerias e aes
colaborativas efetivas entre pases, que propicie a anlise, a
coordenao, e a integrao dos conhecimentos, permitindo,
alm da correlao entre tais conhecimentos, o entendimento
dos impactos que a convergncia e a interdependncia
existentes, e ainda por vir, tm e tero no futuro. H uma
tendncia de que tais esforos devam ser suportados por
macro-coordenao e governana bem estabelecidas, bem
como baseados em modelos efetivos e eficazes de
colaborao entre governo, setor privado e academia.
Ressalta-se a transversalidade2 e particularidade da
segurana ciberntica, bem como a tendncia mundial de
destacar as diretrizes estratgicas, os planos e as aes neste
tema, alm do interesse do Brasil em protagonizar tal tema nos
diferentes fruns internacionais, sendo reconhecidamente um
dos players na arena internacional.
Os desafios da segurana ciberntica so muitos, e
portanto, fundamental desenvolver um conjunto de aes
colaborativas entre governo, setor privado, academia, terceiro
setor, e sociedade, para lidar com o mosaico de aspectos que
perpassam a segurana ciberntica.
2
s. f.: 1. Qualidade do que transversal; 2. Direo transversal. 3. Jur.
Qualidade de ser colateral.
14
As ameaas naturais (por fora da natureza) ou
intencionais (sabotagens, crimes, terrorismo e guerra) ganham
uma conotao e dimenso muito maior quando se trata do uso
do espao ciberntico.
A construo de ambiente no Pas que permita
sistematizar a identificao, a monitorao, a minimizao e a
mitigao de riscos cibernticos, impulsionando o
desenvolvimento de aes preventivas, pr-ativas, reativas, e
de represso, a todo o tipo de ameaas, prescinde de Poltica
de Estado, visando assegurar e defender os interesses do pas
e da sociedade brasileira.
O desafio , portanto, de todos, premente, e requer
agilidade na formao de senso comum a fim de que o pas
cresa, em segurana, se apropriando dos benefcios da
Internet, rede global em mudana contnua, e minimizando
impactos negativos decorrentes de desastres ou de uso
malicioso da Rede.
Este Livro Verde: Segurana Ciberntica no Brasil
apresenta, assim, breve viso do pas, sem qualquer pretenso
de ser exaustivo, mas destacando alguns marcos recentes,
oportunidades e desafios, nos vetores: Poltico-estratgico,
Econmico, Social e Ambiental, CT&I3, Educao, Legal,
Cooperao internacional, e Segurana das Infraestruturas
Crticas.
E, finalmente, sinaliza potenciais diretrizes estratgicas
para cada vetor em anlise, como subsdios ao amplo debate
no mbito do governo e da sociedade em geral, visando
construo da Poltica Nacional de Segurana Ciberntica, a
qual se constituir no Livro Branco do Pas para enfrentamento
de tal temtica, reconhecidamente o grande desafio do sculo
XXI.
3
Cincia, Tecnologia e Inovao
15
16
LIVRO VERDE
SEGURANA CIBERNTICA NO BRASIL
I. OBJETIVO
17
telepresena, realidades virtuais), os raciocnios (inteligncia
artificial, modelizao de fenmenos complexos).
Segundo Pierre Levy, o espao ciberntico entendido
numa viso de inteligncia coletiva e mutante, totalmente
baseado em redes e trocas de saber, conforme citao a
seguir:
Pierre Levy - A emergncia do ciberespao e as
mutaes culturais
(http://www.sescsp.org.br/sesc/conferencias/subi
ndex.cfm?Referencia=168&ID=35&ParamEnd=9)
18
Em decorrncia de tais avanos tecnolgicos e da
velocidade com que os mesmos vm ocorrendo possvel
verificar um movimento acentuado de re-arranjo das
proposies das naes em termos de segurana e defesa. Tal
est sendo propiciado quer seja por meio da reviso e/ou
reforo de suas polticas, estratgias, e normas, quer seja pela
atualizao e/ou reformulao das competncias essenciais de
rgos chave de governo, visando principalmente criar as
condies necessrias de segurana e defesa do espao
ciberntico, notadamente no que diz respeito ao entendimento
das novas exigncias para a proteo de uma nao.
A Segurana Ciberntica, portanto, vem se
caracterizando cada vez mais como uma funo estratgica de
Estado, e essencial manuteno e preservao das
infraestruturas crticas4 de um pas, tais como Energia,
Transporte, Telecomunicaes, guas, Finanas, Informao,
dentre outras.
Em relao aos conceitos tanto de Segurana
Ciberntica quanto de Defesa Ciberntica, cabe colocar que
estes vm sendo construdos. Entende-se que o escopo de
atuao da Segurana Ciberntica compreende aspectos e
atitudes tanto de preveno quanto de represso. E para a
Defesa5 Ciberntica entende-se que a mesma compreende
aes operacionais de combates ofensivos.
Para fins deste Livro tomou-se como base, ento, a
seguinte conceituao, como ponto de partida, sobre
segurana ciberntica, qual seja: a arte de assegurar a
existncia e a continuidade da Sociedade da Informao de
uma Nao, garantindo e protegendo, no Espao Ciberntico,
seus ativos de informao e suas infra-estruturas crticas6.
4
Por infraestruturas crticas (IEC) entendem-se as instalaes, servios,
bens e sistemas cuja interrupo ou destruio, total ou parcial, provocar
srio impacto social, econmico, poltico, ambiental, internacional ou
segurana do Estado e da sociedade.
5
De acordo com o Glossrio das Foras Armadas (MD35-G-01;2007) o
termo defesa entendido como o ato ou conjunto de atos realizados para
obter, resguardar ou recompor a condio reconhecida como de
segurana, ou ainda, como reao contra qualquer ataque ou agresso
real ou iminente.
6
Conceito publicado na Portaria No. 45, Grupo Tcnico de Segurana
Ciberntica, de 08 de setembro de 2009, publicada no D.O.U. No. 172 de 09
19
um conceito abrangente, portanto, e maior que segurana em
TI, pois envolve pessoas e processos.
Fica em evidncia que a proteo efetiva das
infraestruturas crticas requer, comunicao em escala mundial,
coordenao e cooperao entre todas as partes interessadas.
Soma-se o fato de que os pases desenvolvidos vm
cada vez mais tratando do tema com bastante propriedade e
seriedade, notadamente aps o episdio de 11 de setembro de
2001, nos Estados Unidos. Cabe acrescentar que os resultados
das aes j empreendidas fazem parte de ampla discusso
em fruns internacionais ocorridas sistematicamente, desde
ento.
20
20/Nov/2009, contando na organizao, alm do
Governo brasileiro, anfitrio, por intermdio do GSIPR,
da OEA representada pelos seguintes fruns: Comit
Interamericano contra o Terrorismo Ciberntico (CICTE),
Comisso Interamericana de Telecomunicaes
(CITEL), e, Reunio de Ministros da Justia ou
Procuradores Gerais das Amricas (REMJA), o que
fortaleceu o papel do Brasil como um dos protagonistas
no tema;
A participao de representante do Brasil, do GSIPR, na
categoria de observador ad hoc no Working Party on
Information Security and Privacy - WPISP, e do
Comittee for Information, Computer and
Communications - ICCP, promovidos pela Organizao
para Cooperao e Desenvolvimento Econmico -
OCDE, realizados em Paris/Frana, em 2009 e 2010,
tambm merece destaque. Por ocasio da reunio de
2010, o Brasil apresentou proposta de realizao de
Estudo comparativo das estratgias nacionais de
segurana ciberntica; a qual foi plenamente aceita e,
para tanto, foi criado Grupo com presena de pases
voluntrios para tal finalidade. O Grupo presidido pelo
representante de Portugal na OCDE, e conta com a
participao dos seguintes pases: Portugal, EUA,
Coria, Austrlia, Japo, Espanha, e Brasil. O que reala
a competncia articuladora, de gesto, e tcnica do pas,
no tema;
Cabe citar, tambm, o evento Meridian Conference, um
encontro de alto nvel, com a participao de
especialistas e tomadores de deciso de governo,
atuantes nas questes de segurana das infraestruturas
crticas da informao e correlatas, que vem explorando
os benefcios e oportunidades de cooperao entre
21
governos, e promovendo frum de excelncia para
compartilhamento das melhores prticas mundiais, no
tema. Neste contexto, vale citar que o Reino Unido
introduziu o conceito de Meridiano e promoveu a 1
Conferncia em 2005, no ano seguinte ocorreu o
Meridian 2006 em Budapeste, e posteriormente, o
Meridian 2007 em Estocolmo, o Meridian 2008 em
Singapura, e o Meridian 2009 nos EUA. Este ltimo
evento contou pela 1. vez com a participao de pases
latino-americanos, tendo sido convidados alm do Brasil,
a Argentina, Barbados, e Chile, sendo que o Brasil foi o
nico pas latino americano com direito a voz,
representado pelo GSIPR, nos debates e trocas de
experincias;
Acrescenta-se, ainda, que dentre as posies dos
pases que integram o Group of Governmental Experts
(GGE) on Developments in the Field of Information and
Telecommunications in the Context of International
Security no mbito da Organizao das Naes Unidas
(ONU), grupo em que o Ministrio da Defesa (MD)
representa o Brasil desde sua criao, e no qual nas
reunies ocorridas em 2010, contou com a participao
do GSIPR, na qualidade de observador, foram
debatidos, nos ltimos anos, cerca de 35 itens, e
chegou-se ao consenso de aproximadamente 18, sendo
que dentre os itens considerados polmicos e para
futuras recomendaes, tem-se o de no proliferao de
armas de informao8 e o de liberdade de expresso. O
8
O Glossrio das Foras Armadas (MD35-G-01; 2007) no define arma de
informao, no entanto, define guerra de informao como conjunto de
aes destinadas a obter a superioridade das informaes, afetando as
22
texto final do GGE, com recomendaes de aes,
especialmente no campo da cooperao internacional no
tema segurana ciberntica, ser apresentado na
prxima Assemblia Geral da ONU, em novembro de
2010. O pas mais uma vez alcana reconhecimento e
valorizao no tema, em nvel internacional;
Finalmente, destaca-se a importncia para o pas de
construir as bases para o entendimento internacional
sobre a segurana ciberntica, especialmente sobre
crime ciberntico, o quanto antes, e contando com a
maior participao de rgos possvel. J entendido
por vrios pases que, atualmente, a Conveno de
Budapeste no atende as exigncias atuais de crimes
cibernticos, dado os avanos tecnolgicos ocorridos e
tampouco suficiente em termos da cooperao
internacional. Assim, como resultado da Conveno do
Crime Ciberntico, ocorrida no ano de 2010, em
Salvador/Brasil, foi emitida Declarao, consensada
pelos 158 pases sobre tal aspecto, o que abriu a
oportunidade de criao de grupo para tratar
globalmente a matria - crime ciberntico. Existe,
portanto, proposta em andamento de uma nova
Conveno, de carter global, a qual teria como ponto
de partida, a cooperao no mbito dos BRICS (Brasil,
23
Rssia, ndia, China e frica do Sul). Destaques que o
MRE, representante do Brasil neste frum, aponta:
9
International Telecommunication Union. Agncia sediada em Genebra,
Suia, cuja misso o crescimento e o desenvolvimento sustentado das
telecomunicaes e redes de informao, bem como facilitao de amplo
acesso e fortalecimento da Sociedade da informao. A ITU conta com 192
Estados-membros, e mais de 700 setores membros e afiliados.
10
Organization for Economic Co-operation and Development
24
reas que merecem maior reforo (relevantes): pesquisa
e desenvolvimento; avaliao de risco e monitoramento;
e atendimento s demandas de pequenas e mdias
empresas (PMEs).11
Urge formalizar, portanto, a estrutura da Segurana
Ciberntica no Pas, bem como apoiar e fortalecer suas
atividades, de forma a viabilizar e agilizar tanto a formulao de
polticas, normas e regulao, a pesquisa e o desenvolvimento
de metodologias e tecnologias, quanto cooperao
internacional e a implantao e promoo de uma macro-
coordenao que propicie a integrao de processos, visando
assegurar a disponibilidade, a integridade, a confidencialidade
e a autenticidade das informaes de interesse do Estado
brasileiro e da sociedade, bem como a resilincia de suas
infraestruturas crticas.
Destaca-se que a iniciativa na direo efetiva da criao
da Poltica Nacional de Segurana Ciberntica, cujo Livro
Verde de Segurana Ciberntica do Brasil serve de subsdio e
dever, na medida do possvel, ser precedida de anlises e
consensos construdos com a participao de stakeholders
para a viabilizao e otimizao do processo como um todo,
criando uma Agenda de Estado poltico-estratgica e tcnica.
Tal Agenda de Estado proporcionar conhecimentos
slidos e intercmbio de experincias que podero aprimorar o
trabalho colaborativo para tal finalidade, cuja dificuldade reside
na complexidade e dimenso do tema.
neste contexto, que se faz mister construir viso de
futuro e traar metas e datas alvo, para o alcance do objetivo,
qual seja, expressar potenciais diretrizes estratgicas, para o
estabelecimento da Poltica Nacional de Segurana Ciberntica.
11
SUND, Christine. Promoting a Culture of Cybersecurity. In.: ITU Regional
Cybersecurity Forum for Eastern and Southern Africa. Lusaka, Zambia. 25-
28 August 2008.
25
I.2. COMPETNCIAS ESSENCIAIS
12
ORGANIZATION FOR ECONOMIC CO-OPERATION AND
DEVELOPMENT (OECD) - Guidelines for the Security of Information
Systems and Networks: Towards a culture of security. (Adopted as a
Recommendation of the OECD Council at its 1037th Session on 25 July
2002). Paris: OECD. 2002. 28p. e, ORGANIZATION FOR ECONOMIC CO-
OPERATION AND DEVELOPMENT (OECD) COMMITTEE FOR
INFORMATION, COMPUTER AND COMMUNICATION POLICY (ICCP
Committee) OECD Recommendation of the Council on the Protection of
Critical Information Infrastructure. (Adopted as a Recommendation of the
OECD Council at its 1172th Session on 30 April 2008). Seoul/Korea. June.
2008.
26
instrumentos e/ou mecanismos de segurana da
informao e comunicaes;
Desenvolver e exercer macro-coordenao da
poltica e estratgia nacional de segurana
ciberntica, envolvendo cpula de governo e setor
privado;
Promover e exercer a macro-coordenao do
monitoramento e da avaliao de risco, baseados na
anlise das vulnerabilidades e ameaas das
infraestruturas crticas da informao, visando
proteger a economia e a sociedade contra altos
impactos;
Promover e exercer a macro-coordenao do
processo nacional de gesto de risco, orientando
desde aspectos da organizao, ferramenta(s), at
mecanismos de monitoramento, para a
implementao de uma estratgia nacional de gesto
de risco que compreenda:
a) Estrutura organizacional apropriada que
promova melhores prticas de segurana, e
que incluam preveno, proteo, resposta e
recuperao de ameaas naturais e
maliciosas; e,
b) Sistema de medidas que permita avaliar
continuamente o processo, o que inclui itens
de controle, nveis de maturidade, exerccios e
testes apropriados;
Promover e exercer a macro-coordenao da
capacidade de resposta incidentes em redes
computacionais, como as das equipes que atuam em
CERTs/CSIRTs, incluindo mecanismos de forte
cooperao e comunicao entre tais equipes;
Estreitar as relaes com o setor privado:
a) Estabelecendo parcerias pblico-privadas e
acordos de cooperao, com foco na gesto
de risco, tratamento de incidentes e
recuperao de sistemas e redes de
informao e comunicaes, e na gesto da
continuidade de negcios;
27
b) Estimulando o intercmbio regular de
informao, por meio do estabelecimento de
acordos com clusulas especficas para o
caso de conhecimentos sensveis ou
informaes classificadas;
Estimular e apoiar a acelerao da inovao da
segurana ciberntica por meio da pesquisa e do
desenvolvimento;
Promover a cooperao bilateral e multilateralmente,
em nvel regional e global, visando trocas de
experincias e fortalecimento das estratgias de
segurana ciberntica.
28
destacados sobre esta nova Sociedade da Informao, l
apresentados foram:
a) Convergncia de tecnologias, aumento
significativo de sistemas e redes de informao,
aumento crescente de acesso Internet, avanos
das tecnologias de informao e comunicao;
b) Aumento das ameaas e das vulnerabilidades,
apontando para a urgncia de aes na direo
da criao, manuteno e fortalecimento da
cultura de segurana;
c) Ambiente em constante, e rpidas mudanas; e,
d) Foras scio-tcnicas atuando em diferentes
frentes - medidas de incluso digital, acesso
amplo e irrestrito Rede, e, ambiente da Internet
no regulado vis a vis medidas de proteo dos
direitos de privacidade do cidado, de proteo
dos direitos de propriedade intelectual, de
segurana das informaes do Estado e da
sociedade, de regulao e controle da Internet.
29
indivduos; maior nmero de pessoas conectadas
globalmente; multiplicao de dispositivos e
aplicaes geradoras de trfego; maior
necessidade de classificao da informao;
3) O mundo sempre conectado: maior conectividade
entre as pessoas impulsionada por redes sociais
e outras plataformas de conectividade de
informao, e aumento de minerao de dados;
aumento das infraestruturas crticas nacionais e
da conectividade de servios pblicos;
4) Futuro das Finanas: aumento do uso do
comrcio eletrnico e de servios bancrios
online; desenvolvimento de modelos novos de
gesto, crescimento de novos modelos de
pagamento;
5) Regulamentao e Normas mais severas:
aumento da regulamentao relativa
privacidade; aumento das normas de Segurana
da Informao e Segurana Ciberntica;
globalizao e neutralidade das redes como
foras contrrias regulamentao e
normalizao;
6) Internets Mltiplas: censura; novas internets e
mais seguras, redes sociais fechadas; e,
7) Nova identidade e modelo de confiana:
identidade torna-se cada vez mais importante no
movimento do permetro de segurana da
informao e segurana ciberntica; novos
modelos de confiana para desenvolver relaes
entre pessoas.
Assim, a preocupao tanto com os contedos quanto
com o tipo de uso, e a respectiva segurana da Internet,
crescem em igual medida aos desenvolvimentos tecnolgicos e
ao nmero de usurios, observados, especialmente, ao longo
dos ltimos anos.
Vale por fim acrescentar que dentre os diversos e
crescentes movimentos e iniciativas mundiais em curso, no
sentido de entender e construir viso scio-tcnica e de futuro
sobre a segurana ciberntica, encontra-se em fase final de
consulta pblica o documento intitulado The Cybersecurity
30
Roadmap, estudo promovido pela Comisso Federal de
Comunicaes (FCC)13, conforme reproduo a seguir da
chamada localizada no stio da mesma:
"The Cybersecurity Roadmap will
establish a plan for the FCC to address
vulnerabilities to core Internet protocols and
technologies and threats to end-users,
including consumers, business enterprises,
including small businesses, public safety and
all levels of government. Cybersecurity is a
vital topic for the Commission because end-
user lack of trust in online experiences will
quell demand for broadband services, and
unchecked vulnerabilities in the
communications infrastructure could threaten
life, safety and privacy . The NBP originally
called for completion of the Cybersecurity
Roadmap within 180 days (e.g., September
13, 2010). In order to ensure a complete and
robust record in response to this Public
Notice, we anticipate completion of the
Cybersecurity Roadmap by November 2010.
(http://www.cybertelecom.org/security/fcc.htm)
13
FCC uma agncia do governo americano, estabelecida pelo
Communications Act, de 1934, sendo responsvel pela regulao das
comunicaes via rdio, televiso, sem fio, satlite e cabo, interestadual e
internacional.
31
32
II. VISO BRASIL: MARCOS RECENTES
POLTICO-ESTRATGICO
OPORTUNIDADES
Atores chave do governo federal com amplos conhecimentos no
tema, bem como participantes de diversas redes de contatos e
fruns, no pas e no exterior;
Reconhecimento internacional do pas como um dos
protagonistas em vrios temas globais, inclusive no tema
segurana ciberntica;
Gabinete de Crise institudo desde 2003, acionado por demanda
Presidencial, coordenado pelo GSIPR, e tendo atuado mais de
60 vezes at 2010, demonstrando capacidade de articulao
entre as diversas esferas de poder, e pronta resposta em casos
de extrema importncia e defesa nacional;
Criao da equipe de tratamento de incidentes em redes
computacionais do governo, CTIR Gov em 2004, no GSIPR;
Estratgia Nacional de Defesa - END (Decreto 6.703 publicado
em 2008);
Incluso do tema segurana ciberntica nos objetivos da
Cmara de Relaes Exteriores e Defesa Nacional CREDEN,
do Conselho de Governo (Decreto 7.009 publicado em 2009).
DESAFIOS
Crescente complexidade nas relaes e nos interesses dos
Estados;
Falta de clareza sobre a importncia e real dimenso da
problemtica direta e indiretamente correlacionada segurana
ciberntica, como tema de Estado, pela alta cpula de governo,
pensadores, e formadores de opinio;
33
Mltiplos atores de governo envolvidos, por vezes com
superposio de misses institucionais, e conseqente
deficincia no estabelecimento da governana;
Carncia de senso comum e de arcabouo conceitual da
segurana ciberntica, no pas;
Nvel ainda baixo de fluxo e intercmbio de informao entre as
equipes de tratamento de incidentes em redes computacionais
do governo e entre estas e as redes de inteligncia de governo;
Monitoramento do CTIR Gov aponta para cerca de 2 mil
tentativas de invaso maliciosa, por hora, detectadas nas 320
grandes redes do governo;
Extenso da capacidade da Defesa brasileira para abranger,
alm do espao convencional, o espao ciberntico;
Capacidades dissuasrias do pas abrangendo o espao
ciberntico.
ECONMICO
OPORTUNIDADES
Expectativa da taxa anual de crescimento em 2010 da ordem de
7,2%;
Brasil, Chile, Peru e Argentina vm liderando o crescimento na
utilizao de recursos da tecnologia da informao na Amrica
Latina em 2010;
Poltica nacional de Parcerias Pblico-Privadas (PPP) que
favorecem projetos de infraestruturas;
Potencial criao de emprego formal e renda no setor
ciberntico;
Criao do Comit Gestor da Internet (CGI) em 1995;
Criao de equipes de tratamento de incidentes em redes
computacionais no pas em 1997, como o CERT.br no CGI para
atender ao setor privado, e o CAIS na RNP para atender a rea
de pesquisa;
De acordo com o Instituto Brasileiro de Geografia Estatstica
(IBGE), o Brasil possua 67,9 milhes de usurios de Internet
em 2009; e em 2008, 55,9 milhes. Assim, em 2009, os
internautas representavam 41,7% da populao e, no ano
anterior, representavam 34,8%, o que demonstra curva
significantemente crescente de acesso Rede, no pas;
O Brasil transacionou US$ 8,7 milhes em vendas online em
2009, um aumento de 10,3% em relao a 2008. O Brasil
ocupava o 1 lugar no ranking latino-americano em volume de
34
vendas eletrnicas. Em termos globais, o mercado liderado
pelos EUA, com movimento anual de US$ 134,9 milhes;
seguido por Japo (US$ 51,2 milhes) e China (US$ 36,9
milhes), segundo dados da Convergncia Digital, de junho de
2010;
Sebrae patrocina circuito nacional de palestras, denominado
MPE Net, com o objetivo de levar informaes e conhecimentos
sobre ferramentas tecnolgicas e de comrcio eletrnico para
micro e pequenos empresrios de diversas regies do pas.
DESAFIOS
Cerca de 80% dos servios de rede so de propriedade e
operados pelo setor privado e por empresas internacionais;
Ausncia de oramento especfico para o desenvolvimento de
aes e atividades de segurana ciberntica em todas as
esferas de governo;
Ausncia de carreira especfica, de Estado, para atuao em
segurana ciberntica;
Necessidade de atualizao e ajustes da Poltica de
Desenvolvimento Produtivo (PDP), com vistas e inserir o setor
ciberntico dentre suas prioridades;
Indicadores do CERT.br destacam que, em 2009, os ataques
cibernticos mais freqentes foram: a) contra o usurio final:
fraudes, phishing, bots, spyware; b) do tipo fora bruta contra
servios de rede: SSH, FTP; c) contra infraestrutura crtica da
Internet: ataques DNS, d) contra protocolos de roteamento BGP;
e, e) ataques a aplicaes Web vulnerveis;
Crescimento da nova classe mdia brasileira, segundo Censo
2010 do IBGE, alcanando cerca de 53% da populao
brasileira, apresentando novas demandas de consumo e de
acesso.
SOCIAL e AMBIENTAL
OPORTUNIDADES
Potencial e maior uso das tecnologias de informao e
comunicaes na reduo de custos e melhorias de servios
pblicos e privados sociedade;
Matriz energtica limpa, caracterizada pela seguinte gerao de
energia eltrica, cujos dados de janeiro a setembro de 2010,
so: hidroeltrica (79.789 MW); termoeltrica (29.735 KW);
elica (794 KW); e, importada (5.850 MW); sendo que para
35
tanto, conta com infraestrutura do sistema nacional, interligado
98 mil Km;
Cidades digitais com projetos de ampliao da incluso digital,
por meio de telecentros e outras iniciativas;
A audincia das redes sociais no Brasil cresceu 51% no ltimo
ano. Em agosto de 2010, mais de 36 milhes de usurios de
Internet, com mais de 15 anos, visitaram uma rede social de
casa ou do trabalho, segundo pesquisa divulgada pela empresa
comScore.
DESAFIOS
Ausncia de conhecimento sobre as implicaes sociais
decorrentes do uso e aplicao de tcnicas biomtricas em
controle de acesso, tais como digitais, ris, DNA;
Projeo da evoluo da matriz energtica para 2020 aponta
para um crescimento de cerca de 45,8% do uso de fontes
renovveis, e 54,2% de uso de fonte no-renovvel em relao
aos dados do ano de 2007;
Elevada complexidade para a segurana ciberntica das
infraestruturas crticas do pas;
Insuficiente monitoramento e proteo dos recursos naturais do
pas, uma vez que tendncia mundial alerta tanto para a
chamada guerra pela gua quanto para a carncia de
alimentos, nos prximos anos;
Uso crescente da Internet por organizaes criminosas e pelo
narcotrfico;
crescente a incidncia de falhas e brechas de segurana nos
portais das redes sociais mais usadas no pas, Orkut, Facebook,
Twiter, YouTube. A falha mais comum a chamada de Cross-
site Scripting (XSS), um tipo de brecha que permite ao atacante
incluir um cdigo no site.
O IBGE prev um crescimento populacional ao redor de 1,3%
ao ano no final desta dcada, o que levar o pas a registrar, em
2050, uma pirmide etria com base estreita e topo mais alto, o
que significa baixa taxa de fecundidade e elevada expectativa
de vida;
Integrao do setor privado segurana ciberntica do pas.
36
CT&I
OPORTUNIDADES
336 instituies de C&T no pas com 85 mil doutores em seus
quadros, o caracteriza elevada capacidade de agregao de
valor a produtos, processos e servios;
Fundo Nacional de Desenvolvimento Cientfico e Tecnolgico
(FNDCT) atualmente 10 vezes superior ao que era em 2002,
com cerca de R$ 3 bilhes de reais de oramento em 2010, e
sem contingenciamento ;
Os investimentos em pesquisa e desenvolvimento, ao final de
2010, alcanaro 1,3% do PIB, o que um avano
considerando anos anteriores;
Universidades e Institutos de Pesquisa, ainda em nmero
modesto, porm, com excelncia acadmica, desenvolvem
atividades de monitorao de atividades maliciosas na Internet
brasileira, dentre as quais: anlise de riscos e testes de
penetrao; desenvolvimento seguro e anlises de
vulnerabilidades em aplicaes crticas; e, aplicaes
honeypots;
Universidades e Institutos de Pesquisa, ainda em nmero
modesto, porm de excelncia acadmica, tm P&D em
segurana da informao, em subreas tais como computao
forense, criptografia, biometria, dentre outras.
DESAFIOS
Nmero, ainda, insuficiente de grupos de pesquisa e
desenvolvimento de excelncia acadmica, com foco em
ferramentas e solues de segurana ciberntica, bem como, de
laboratrios de anlises de artefatos maliciosos;
Carncia de programa, em nvel nacional, que promova
sistematicamente o desenvolvimento tecnolgico e prospeco
em temas como inteligncia de sinais e de imagens, recursos
criptogrficos, segurana na computao em nuvem,
desenvolvimento seguro de software, segurana ciberntica, e
segurana das infraestruturas crticas;
Carncia de conhecimento, mapeamento, e prospeco de
tecnologias que apiem a segurana ciberntica do pas,
minimizando tanto suas vulnerabilidades quanto suas
dependncias tecnolgicas externas e hiatos tecnolgicos;
Carncia de linhas de fomento especficas ao desenvolvimento
de tecnologias crticas essenciais, de rotas e solues
tecnolgicas inovadoras, de desafios e/ou rupturas tecnolgicas
para a segurana ciberntica do pas, que contemplem uso dual;
37
Inexistncia de satlite geoestacionrio nacional;
Aes governamentais incipientes para estmulo ao setor
privado demandar e financiar pesquisa, desenvolvimento e
produo de solues de segurana ciberntica nas
universidades ou outros centros de excelncia;
Inexistncia de programa especfico que contemplo aes,
projetos e financiamentos governamentais que demandem
diretamente solues de segurana ciberntica nas
universidades ou outros centros de excelncia, por meio de
pesquisa, desenvolvimento e produo dessas solues.
EDUCAO
OPORTUNIDADES
Mudanas recentes na Constituio foram realizadas para dar
sustentao ao Plano de Desenvolvimento de Educao (PDE)
e refora aes do Ministrio da Educao e Cultura;
Formao e atualizao de professores para a educao bsica
tem sido foco da esfera federal, por exemplo, cita-se a criao
da Universidade Aberta do Brasil, com mais de 500 plos em
atividade;
Foram formados 10 mil e 12 mil doutores, respectivamente, em
2008 e 2009, e 37 mil e 40 mil mestres, respectivamente em
2008 e 2009, apontando para um crescimento na formao da
ps-graduao do pas;
Recursos humanos de alto nvel vm sendo formados para
atuao no tema ataque e defesa ciberntica, em rgos do
governo;
H competncias de recursos humanos formados no pas em
certificao digital, tratamento de incidentes em redes
computacionais, criptografia, segurana de rede corporativa,
dentre outras.
DESAFIOS
Nvel do ensino fundamental e mdio do pas, em escolas
pblicas e privadas, ainda fraco. Por exemplo, resultado
recente demonstra que permanncia na escola, equidade,
investimentos, desempenho, padres educacionais, e carreira
dos docentes, receberam notas entre regular e insatisfatrio no
1. Boletim da Educao no Brasil, organizado pela Fundao
Lemann e pelo Programa de Promoo da Reforma Educativa
na Amrica Latina e no Caribe (Preal);
38
Cerca de 80% dos mestres e doutores atuam na esfera pblica
e nas universidades, e apenas 20% encontram-se em atividades
no setor privado;
Carncia de educao e formao de cultura de segurana
ciberntica em todos nveis, bsico, fundamental, tcnico,
especializao, mestrado e doutorado;
Incipiente formao de tcnicos, especialistas, mestres e
doutores, para a pesquisa bsica e aplicada, bem como para a
produo de prottipos de segurana ciberntica;
Os currculos de ensino de nvel fundamental e mdio do pas
no abordam, obrigatoriamente, temas como segurana da
informao e correlatos, ainda que crianas e jovem faam uso
intenso da Internet, em particular das redes sociais.
LEGAL
OPORTUNIDADES
Competncia federal de segurana da informao no Gabinete
de Segurana Institucional da Presidncia da Repblica
GSIPR, desde 2003, Lei 10.683;
O Cdigo Penal do Brasil tem Artigos que atendem a
determinados crimes com uso de computador;
O Departamento de Polcia Federal tem cooperao policial
internacional com INTERPOL, EUROPOL, AMERIPOL, dentre
outras polcias, e atuam nos casos de crimes cibernticos
baseados no princpio da reciprocidade.
DESAFIOS
Ausncia de legislao nacional e internacional especfica de
segurana ciberntica, em especial contra crimes cibernticos;
Ausncia de regulao e mecanismos de certificao de
segurana ciberntica;
Diversidade de termos e respectivas definies, a serem
harmonizados, em nvel nacional e internacional.
COOPERAO INTERNACIONAL
OPORTUNIDADES
Tendncia crescente, apesar de ainda incipiente, de
multipolaridades, tendo a Rssia e o Brasil como exemplos de
tais movimentos;
39
Acordos bilaterais de cooperao em segurana da informao
e comunicao, formalizados, por exemplo, com a Espanha,
Rssia, Frana, e em negociao, por exemplo, com Itlia,
Israel, Luxemburgo, entre outros;
Reconhecimento internacional do Brasil, como um dos
protagonistas no tema segurana ciberntica;
Grupo de trabalho institudo em 2010, no mbito da ONU, para
elaborar proposta de uma nova Conveno, de carter global,
contra o crime ciberntico, sob a coordenao do Embaixador
do Brasil em Viena.
DESAFIOS
Alta complexidade dado a extenso Continental do pas;
Tendncia crescente nas relaes interncaionais de
bipolaridade entre EUA e China, inclusive na questo de
fronteira no ciberespao;
Ausncia de instrumentos internacionais especficos contra
crimes cibernticos para ao policial transfronteiras;
Articulao, ainda incipiente, em termos de definio de aes
transnacionais de segurana ciberntica, com foco em crimes
cibernticos;
A segurana ciberntica de uma nao se estende alm das
suas fronteiras fsicas, demandando aes conjuntas com
outros Estados.
OPORTUNIDADES
No Brasil, a criao do Plano Nacional de Segurana das
Infraestruturas Crticas (PNSIEC) prev o estabelecimento de
um processo integrado, por meio da criao de cultura de
segurana e proteo, em todas as esferas de poder, de
recursos humanos qualificados, equipamentos, instalaes,
conhecimentos, servios, rotinas, dados, informaes e
processos estratgicos, e busca estender o esforo das
iniciativas ao setor privado;
Os Grupos Tcnicos de Segurana das Infraestruturas Crticas
de Energia, Transportes, Comunicaes, gua, e Finanas,
criados no mbito da Cmara de Relaes Exteriores e Defesa
Nacional (CREDEN), bem como seus respectivos 11 subgrupos
tcnicos, envolvendo cerca de 100 especialistas, vm se
reunindo desde 2009, no sentido de apoiar o PNSIEC, e
40
consequentemente mitigar riscos e aumentar a resilincia das
mesmas;
O Grupo de Trabalho de Segurana das Infraestruturas Crticas
da Informao, criado no mbito do Comit Gestor de
Segurana da Informao e Comunicaes (CGSI), do
Conselho de Defesa Nacional (CDN), vem desenvolvendo
metodologias e instrumentos de apoio para, sistematicamente,
assegurar, acompanhar, avaliar e melhorar a segurana das
infraestruturas crticas da informao;
Existncia de equipes de resposta e tratamento de incidentes
em rede computacionais, com capacitao de excelncia e
reconhecimento no pas e no exterior, em que para atendimento
as redes da Administrao Pblica Federal tem-se o CTIR Gov,
para as redes privadas o CERT.br, e para as redes de pesquisa
o CAIS da RNP.
DESAFIOS
Falta de clareza e de identificao das interdependncias nas
infraestruturas crticas e entre infraestruturas crticas, e seus
respectivos graus de criticidade e impactos;
Ausncia de integrao das vrias polticas setoriais, iniciativas
e investimentos de segurana das infraestruturas crticas;
Movimentos tardios de definio de prioridades estratgicas da
Nao e harmonizao das estratgias, com foco na preveno;
Limitado leque das infraestruturas crticas nacionais j
priorizadas;
14
Crescentes riscos de ataques cibernticos a Sistemas SCADA ;
Insuficiente nmero de equipes de resposta e tratamento de
incidentes em rede computacionais nos vrios segmentos da
sociedade, bem como insuficiente nmero de especialistas com
competncia para desempenhar tais atividades.
14
o conjunto de software e hardware que permitem o controle de sistemas
industriais, como linhas de produo e processos de uma usina, e de
infraestruturas, como energia, gs, gua, tratamento de esgoto, entre
outras.
41
42
III. DIRETRIZES A SEREM
CONTEMPLADAS NA POLTICA
NACIONAL DE SEGURANA
CIBERNTICA
POLTICO-ESTRATGICO
43
ESTENDER a capacidade da Defesa do Pas para proteo da nao no
espao ciberntico;
INCREMENTAR a capacidade dissuasria da Defesa do Pas para fazer
frente a ameaa ciberntica.
ECONMICO
SOCIAL E AMBIENTAL
44
EDUCAO
MARCO LEGAL
CT&I
45
referncia para apoio s atividades estratgicas de segurana
ciberntica; c) priorize o desenvolvimento e a compilao de padres, de
metodologias, de tecnologias de ponta; e, d) fomente/ estimule a
utilizao da arquitetura de interoperabilidade e do e-PING na integrao
de sistemas de informao do governo, bem como o maior intercmbio
de informaes de incidentes computacionais entre as equipes
especializadas de governo, setor privado e academia, para as devidas
aes de preveno e represso contra ataques cibernticos;
ESTIMULAR E ARTICULAR o aporte de recursos financeiros especficos,
em programa a ser desenvolvido pelas Agncias federais e estaduais de
fomento em apoio CT&I, para o setor ciberntico;
ARTICULAR a aplicao de recursos do FUNTEL para o
desenvolvimento continuado de CT&I do setor ciberntico, especialmente
no que tange vertente da segurana;
FOMENTAR a demanda e financiamento, pelo setor privado, de
pesquisa, desenvolvimento e produo de solues de segurana
ciberntica nas universidades ou em outros centros de excelncia;
FINANCIAR E ADQUIRIR, das universidades ou de outros centros de
excelncia, solues de segurana ciberntica por meio de pesquisa,
desenvolvimento e produo dessas solues para atender demandas do
Estado.
COOPERAO INTERNACIONAL
46
ARTICULAR acordos internacionais de modo a potencializar a segurana
ciberntica do Pas, sua capacidade de defesa e dissuaso, alm do
aumento e atualizao das suas competncias essenciais.
47
48
IV. CONSIDERAES FINAIS
49
da Informao e Comunicaes (DSIC), que conta com a
expertise necessria bem como rede de contatos no pas e no
exterior, no tema. Este GT SEG CIBER, composto por
representantes, alm do GSIPR, dos Ministrios da Justia, da
Defesa, das Relaes Exteriores, e dos Comandos da Marinha;
do Exrcito e da Aeronutica; tem como objetivo propor
diretrizes e estratgias para a Segurana Ciberntica, no
mbito da Administrao Pblica Federal, uma misso
considerada de relevante interesse pblico e do Estado. H,
tambm, a oportunidade de que sejam convidados
especialistas, da academia e do setor privado, visando uma
construo participativa no mbito do citado GT. Este GT
expressa o ncleo central de atores chave que vm atuando no
tema, e por ser um GT no mbito da CREDEN, visa subsidiar
esta Cmara em seu processo decisrio, apontando diretrizes,
ora elencadas neste Livro Verde.
Vale destacar tambm, dentre a sustentao legal
necessria, que foi aprovado pelo Ministrio de Oramento,
Planejamento e Gesto, no mbito da Lei de Diretrizes
Oramentrias para o ano de 2010, a ampliao e o
fortalecimento da finalidade e da descrio da Ao 6232
Capacitao de Recursos Humanos em Segurana da
Informao e Comunicaes, no mbito do Programa de
Inteligncia (0641), a qual o GSIPR a unidade administrativa
responsvel, conforme a seguir:
FINALIDADE: Desenvolver aes de Segurana da
Informao e Comunicaes com vistas a fortalecer e
implementar mecanismos capazes de prover a
segurana do espao ciberntico brasileiro, em prol
do bem estar da sociedade e da soberania do
Estado.
DESCRIO: Desenvolvimento de estratgias,
normas e procedimentos; fortalecimento da proteo
da infraestrutura crtica da informao;
implementao e sistematizao da gesto e da
capacitao de recursos humanos; estmulo e
fortalecimento da pesquisa, desenvolvimento e
inovao; promoo e formalizao de cooperao
nacional e internacional; manuteno e reposio
dos equipamentos, mobilirios e softwares, no mbito
50
da Segurana da Informao e Comunicaes e da
Segurana Ciberntica.
No se pode deixar de registrar e colocar em evidncia,
como mais um importante e crucial passo na trilha da
segurana e da defesa ciberntica do pas, o Decreto N
6.703/2008 que aprova a Estratgia Nacional de Defesa (END),
a qual tem em sua dimenso o setor ciberntico tratado no que
se refere s tecnologias, capacitaes, parcerias estratgicas e
intercmbios com naes amigas, neste ltimo caso
particularmente com as naes do entorno estratgico
brasileiro e as da Comunidade de Pases de Lngua
Portuguesa; bem como reala tal setor ciberntico dentre os 3
(trs) setores estratgicos a serem tratados no mbito da citada
Estratgia pelo Ministrio da Defesa (MD) e Foras Armadas.
Finalmente, a segurana ciberntica vem sendo tratada
em nvel estratgico pelas Naes e vrios aspectos crticos
correlatos ao tema, como ciberguerra, ainda encontram-se em
fase de discusso e longe de consenso.
Neste sentido, vale reproduzir a seguir o comentrio final
que consta do relatrio FOI-R-2970-SE, de maro de 2010,
Emerging Cyber Threats and Russian Views on Information
Warfare and Information Operations, de Roland Heickero:
51
52
GLOSSRIO
53
Disponibilidade: Propriedade de que a informao esteja
acessvel e utilizvel sob demanda por uma pessoa fsica ou
determinado sistema, rgo ou entidade (IN 01 GSIPR, 2008).
54
Infraestruturas Crticas: Instalaes, servios, bens e
sistemas que, se forem interrompidos ou destrudos,
provocaro srio impacto social, econmico, poltico,
internacional ou segurana do Estado e da sociedade
(Portaria 45 GSI, 2009).
55
Segurana Ciberntica: Arte de assegurar a existncia e a
continuidade da Sociedade da Informao de uma Nao,
garantindo e protegendo, no Espao Ciberntico, seus ativos
de informao e suas infra-estruturas crticas (Portaria 45 SE-
CDN, 2009).
56
BIBLIOGRAFIA CONSULTADA
57
Nacional 2030. (colaborao da Empresa de Pesquisa
Energtica - EPE). Braslia: MME:EPE. Novembro, 2007. 254 p.
58
CSIS Commission on Cybersecurity for the 44th. Presidency.
CSIS_Washington. December. 2008. 88p.
59
NORMA COMPLEMENTAR NC 06 DSIC/ GSIPR. Estabelece
as Diretrizes para Gesto de Continuidade de Negcios, nos
aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta APF. Departamento de
Segurana da Informao e Comunicaes - Gabinete de
Segurana Institucional - Presidncia da Repblica. 7p.
Braslia, 2009
60
PRESIDNCIA. Presidncia da Repblica. Secretaria de
Assuntos Estratgicos (SAE). Ciclo de Palestras: Cincia e
Tecnologia (Ministro Sergio Rezende em 15/04/2010). Braslia:
SAE/PR. 2010. 36 p.
61
62
STIOS CONSULTADOS NA INTERNET
63