Escolar Documentos
Profissional Documentos
Cultura Documentos
ESTRATÉGIA NACIONAL DE
SEGURANÇA CIBERNÉTICA
2016-2021
1
Sumário
APRESENTAÇÃO .................................................................................................... 4
PREFÁCIO ............................................................................................................. 5
2. INTRODUÇÃO .................................................................................................... 8
AMEAÇAS .............................................................................................................10
Cibercriminosos ........................................................................................... 10
Estados e ameaças patrocinadas por Estados .............................................11
Terroristas ....................................................................................................11
Hacktivistas ..................................................................................................12
“Script Kiddies” ............................................................................................ 12
VULNERABILIDADES ............................................................................................. 14
Um leque cada vez mais variado de dispositivos conectados .....................14
Falta de higiene cibernética e cumprimento de normas ............................. 14
Falta de capacitação e conhecimentos ........................................................14
Sistemas legados sem patch de correção ....................................................15
Disponibilidade de recursos de hacking ......................................................15
CONCLUSÕES .......................................................................................................15
2
5. DEFENDER ....................................................................................................... 22
6. DISSUADIR ...................................................................................................... 34
7. DESENVOLVER................................................................................................. 40
9. INDICADORES.................................................................................................. 49
3
APRESENTAÇÃO mais capaz de inovar com maior agilidade.
Haverá, ainda, um esforço para direcionar jovens
O Reino Unido está entre os países mais mentes promissoras ao mundo da segurança
digitalizados do mundo. Atualmente, nossa cibernética.
prosperidade depende, em grande medida, da
capacidade de proteger as nossas tecnologias, A ameaça cibernética afeta toda a sociedade e,
dados e redes contra uma infinidade de ameaças. por isso, queremos ressaltar que todos terão um
papel a desempenhar em nossa resposta
Todavia, os ataques cibernéticos estão cada vez nacional. É por isso que esta estratégia
mais frequentes, sofisticados e prejudiciais representa um exercício inédito de transparência.
quando bem-sucedidos. Por isso estamos O debate do tema não pode mais continuar a
tomando ações decisivas para proteger tanto a portas fechadas.
nossa economia quanto a privacidade de nossos
cidadãos. A verdade é que a ameaça cibernética não pode
ser completamente eliminada. A tecnologia
Nossa Estratégia Nacional de Segurança digital somente funciona por ser aberta, e essa
Cibernética traça um plano para que a Grã- abertura traz consigo um risco. O que podemos
Bretanha se torne um país confiante, capaz e fazer é reduzir a ameaça a um nível que garanta a
resiliente em um mundo digital em rápida nossa permanência na vanguarda da revolução
evolução. digital. Esta estratégia traça o caminho nesse
sentido.
Ao longo de um horizonte de cinco anos, será
investido £ 1,9 bilhão na defesa dos nossos Philip Hammond,
sistemas e infraestruturas, na dissuasão dos Ministro da Fazenda
nossos adversários e na capacitação de toda a
sociedade – desde as maiores empresas até o
cidadão.
Ben Gummer,
Ministro do Gabinete e Tesoureiro-Mor
5
1. SUMÁRIO EXECUTIVO o setor público devem ter os conhecimentos e a
capacidade de se defenderem.
1.1. A segurança e a prosperidade do Reino Unido
no futuro se sustentam em bases digitais. O • DISSUADIR O Reino Unido não será alvo fácil
desafio da nossa geração consiste na construção para qualquer forma de agressão no ciberespaço.
de uma sociedade digital ao mesmo tempo Devemos detectar, entender, investigar e frustrar
próspera e resiliente às ameaças cibernéticas e as ações hostis empreendidas contra o país,
munida dos conhecimentos e das estruturas perseguindo e levando a juízo os infratores.
necessárias para maximizar as oportunidades e Devemos dispor de meios para promover ações
controlar os riscos. ofensivas no ciberespaço, se assim optarmos.
7
2. INTRODUÇÃO
2.1. As tecnologias da informação e comunicação 2.6. Na elaboração desta nova estratégia, o
evoluíram ao longo das duas últimas décadas, governo teve como base as realizações, objetivos
passando hoje a integrar praticamente todos os e premissas da primeira estratégia nacional
aspectos de nossas vidas. O Reino Unido é uma quinquenal de segurança cibernética, lançada em
sociedade digitalizada, o que enriquece a nossa 2011. O governo investiu £ 860 milhões ao longo
economia e o nosso cotidiano. desse período, e temos orgulho do que foi
alcançado. As políticas, instituições e ações
2.2. A transformação gerada por essa desenvolvidas nos últimos cinco anos
digitalização gera novas dependências. Nossa contribuíram para consolidar o Reino Unido como
economia, a administração pública e a garantia um dos principais atores mundiais em segurança
de serviços essenciais passaram a depender da cibernética.
integridade do ciberespaço e das infraestruturas,
sistemas e dados que a sustentam. A perda da 2.7. São bases sólidas já estabelecidas.
confiança pública nessa integridade Entretanto, a persistência e criatividade daqueles
comprometeria os benefícios dessa revolução que tentam nos ameaçar, a extensão das
tecnológica. vulnerabilidades e as deficiências em nossas
estruturas e defesas obrigam novos avanços para
2.3. Grande parte dos hardwares e softwares acompanhar a evolução das ameaças. Será
originalmente desenvolvidos para viabilizar este necessária uma abordagem holística se
ambiente digital interconectado priorizou a quisermos garantir efetivamente nossos
eficiência, o custo e a conveniência ao usuário, interesses cibernéticos. Nossa determinação em
mas nem sempre teve em conta a segurança ampliar os investimentos e intervenções tem por
desde sua concepção. Agentes maliciosos, ou base as seguintes premissas:
seja, Estados hostis, organizações criminosas ou
terroristas e indivíduos, podem explorar essa • a dimensão e a natureza dinâmica das
brecha deixada entre a conveniência e segurança. ameaças cibernéticas, bem como a nossa
Sanar essas deficiências é hoje uma prioridade vulnerabilidade e dependência, implicam que
nacional. a manutenção do modelo existente não será,
por si só, suficiente para preservar a nossa
2.4. A expansão da Internet para além dos segurança;
computadores e aparelhos celulares, fazendo-se • a abordagem de confiar ao mercado a tarefa
hoje presente em outros sistemas ciberfísicos ou de promover a higiene cibernética não
“inteligentes”, estende a ameaça de exploração produziu transformações com a agilidade e
remota para diversas novas tecnologias. Os na escala necessárias. Assim, cabe ao
sistemas e tecnologias atualmente essenciais em governo exercer liderança nesse sentido e
nosso cotidiano, como redes de energia, sistemas intervir mais diretamente, trazendo sua
de controle do tráfego aéreo, satélites, influência e recursos para enfrentar as
tecnologias médicas, instalações industriais e ameaças cibernéticas;
semáforos, estão conectados à Internet e, • o governo não poderá, isoladamente,
portanto, sujeitos a possíveis interferências. contemplar todos os aspectos da segurança
cibernética da nação. É necessária uma
2.5. A Estratégia Nacional de Segurança (NSS) de abordagem integrada e sustentável, em que
2015 reafirmou a ameaça cibernética como a população, o setor privado e outros
sendo um risco de 1° Nível aos interesses do parceiros da sociedade e da administração
Reino Unido. A NSS expressa a determinação do pública cumpram plenamente suas
governo britânico em enfrentar as ameaças respectivas funções no processo de garantir a
cibernéticas e “adotar medidas rigorosas e segurança de nossas redes, serviços e dados;
inovadoras, próprias de um líder mundial em • o Reino Unido necessita de um setor de
segurança cibernética”. Esta Estratégia Nacional segurança cibernética pujante e de uma mão
de Segurança vem cumprir esse compromisso.
8
de obra que possa acompanhar, e se
antecipar, à evolução das ameaças. • o nosso diagnóstico atualizado do contexto
estratégico, incluindo as ameaças atuais e
ESCOPO DA ESTRATÉGIA emergentes: quem representa a ameaça
2.8. Esta estratégia visa, de um lado, orientar as mais grave aos nossos interesses e os
políticas do governo e, do outro, oferecer uma recursos à sua disposição;
visão coerente e persuasiva aos setores público e • uma análise das vulnerabilidades e sua
privado, à sociedade civil, ao meio acadêmico e à evolução nos últimos cinco anos;
população em geral. • a visão do governo para a segurança
cibernética em 2021 e as premissas-chave
2.9. A estratégia abrange todo o Reino Unido. O para alcançar essa meta, incluindo princípios
governo do Reino Unido atuará na aplicação da orientadores, atribuições e
estratégia em todos os territórios do Reino Unido responsabilidades, e como e onde a
e, no que tanger aos assuntos descentralizados, intervenção do governo fará a diferença;
trabalharemos em estreita articulação com os • como pretendemos colocar a nossa política
governos regionais em sua aplicação na Escócia, em prática: definição das áreas em que o
País de Gales e Irlanda do Norte (respeitando as governo exercerá liderança e aquelas em que
três jurisdições legais separadas e os quatro esperamos atuar em parceria com terceiros;
sistemas educacionais existentes no Reino e
Unido). No caso de as propostas apresentadas na • como pretendemos avaliar o progresso face
estratégia se referirem a assuntos de aos objetivos estabelecidos.
competência regional, a sua implementação será
acordada, conforme for o caso, com os referidos
governos em conformidade com os respectivos
acordos de delegação de competências.
Terroristas
Estados e ameaças patrocinadas por Estados
3.11. Grupos terroristas ambicionam promover
atividades cibernéticas prejudiciais ao Reino
3.7. São frequentes as tentativas de Estados e
Unido e seus interesses, embora sua capacidade
grupos patrocinados por Estados de penetrar nas
técnica seja atualmente considerada baixa.
redes do Reino Unido a fim de obter vantagens
Todavia, o impacto dessas atividades de baixo
políticas, diplomáticas, tecnológicas, comerciais e
nível técnico contra o Reino Unido tem sido
estratégicas, tendo como principal foco os
desproporcionalmente elevado: ataques simples
setores de administração pública, defesa,
de defacement e doxing (prática que consiste em
finanças, energia e telecomunicações.
“vazar” na Internet informações acessadas por
hacking) permitem aos grupos terroristas e seus
3.8. A capacidade e o impacto desses programas
apoiadores chamar a atenção da imprensa e
cibernéticos são variados. Os países mais
intimidar suas vítimas.
avançados continuam a ampliar suas capacidades
em ritmo acelerado, integrando serviços de
criptografia e anonimização entre seus recursos, “O uso que terroristas fazem da Internet para
a fim de permanecerem encobertos. Embora seus propósitos não equivale a ciberterrorismo.
tenham a capacidade técnica de lançar ataques No entanto, ao se fazerem cada vez mais
sofisticados, muitas vezes é possível atingirem presentes no ciberespaço, e dada a
seus objetivos com o uso de recursos e técnicas disponibilidade do crime cibernético na
básicas contra alvos vulneráveis, uma vez que as modalidade de serviço, é possível supor que
defesas de suas vítimas são fracas. estariam em condições de lançar ataques
cibernéticos”
3.9. Poucos Estados detêm capacidade técnica ENISA Threat Landscape 2015
para representar uma séria ameaça à segurança e
prosperidade geral do Reino Unido. No entanto, 3.12. A avaliação atual é de que ataques
são muitos os Estados que vêm desenvolvendo terroristas físicos, e não cibernéticos, continuarão
programas cibernéticos sofisticados capazes de a ser priorizados pelos grupos terroristas no
representar uma ameaça aos interesses do Reino futuro imediato. À medida que uma geração cada
Unido no futuro próximo. Muitos Estados vez mais informatizada se envolve com o
interessados em desenvolver a capacidade de extremismo, podendo dividir conhecimentos
espionagem cibernética podem adquirir técnicos aprimorados, é possível prever uma
ferramentas prontas voltadas à exploração de escalada de atividades disruptivas de baixa
redes de computadores, para então adequá-las à sofisticação (defacement ou DDoS) contra o Reino
espionagem. Unido. Também aumentará a probabilidade de
surgirem atores extremistas solitários e
3.10. Além da ameaça de espionagem, um habilidosos, assim como o risco de que
pequeno número de atores estrangeiros hostis já organizações terroristas procurem atrair pessoas
desenvolveu e fez uso da capacidade cibernética do meio para o terrorismo. É provável que os
11
grupos terroristas utilizem a capacidade se tornam vítimas de engenharia social, podendo,
cibernética que lhes esteja a dispor para desavisadamente, conceder acesso às redes de
conseguir o máximo efeito possível. Assim, até sua organização ou seguir instruções em boa-fé,
mesmo um aumento moderado de sua beneficiando o criminoso fraudador.
capacidade pode constituir uma ameaça O risco cibernético geral para uma organização
significativa ao Reino Unido e aos seus interesses. proveniente de ameaças internas não se limita ao
acesso não autorizado a sistemas de informação
e seus conteúdos. São igualmente importantes os
Hacktivistas controles de segurança física que protegem esses
sistemas contra o acesso indevido ou contra o
extravio de dados sigilosos ou informações
3.13. Os hacktivistas são grupos descentralizados
proprietárias em diferentes tipos de mídias. Da
e preocupados com as questões da atualidade.
mesma forma, uma sólida cultura de segurança,
Formam e selecionam seus alvos em resposta ao
atenta à ameaça representada por funcionários
que entendem ser injustiças, introduzindo o
descontentes, por fraude no ambiente de
caráter de justiceirismo em muitos de seus atos.
trabalho e por espionagem industrial e outras
Enquanto a maioria das atividades cibernéticas
formas de espionagem, é um elemento
dos hacktivistas caracterizam-se pela perturbação
fundamental para uma abordagem holística da
(defacement de sites ou DDoS), os hacktivistas
segurança.
mais habilidosos têm sido capazes de causar
prejuízos maiores e mais duradouros às suas
vítimas. “Script Kiddies”
Sistemas legados sem patch de correção 3.23. O Reino Unido criou políticas e instituições
que fortaleceram suas defesas e tiveram êxito em
3.21. Muitas organizações localizadas no Reino mitigar algumas das ameaças enfrentadas no
Unido continuarão a usar sistemas legados ciberespaço.
vulneráveis até o próximo processo de
modernização de TI. Os softwares nesses 3.24. No entanto, ainda não estamos um passo à
sistemas muitas vezes utilizam versões mais frente da ameaça. Embora a natureza e as
antigas e sem patch de correção. Essas versões motivações dos atores cibernéticos maliciosos
mais antigas frequentemente apresentam que temos de combater sejam em grande parte
vulnerabilidades que cibercriminosos procuram as mesmas, o volume de malwares e o número
por possuírem ferramentas capazes de explorá- de atores maliciosos cresceu rapidamente.
las. Outro problema é o uso por parte de algumas Aumentou-se a capacidade de nossos adversários
organizações de softwares não suportados, para mais tecnicamente competentes, um número
os quais não existem patches publicados. seleto de estados e cibercriminosos de elite.
Nosso desafio coletivo consiste em garantir que
“Recentemente, analisamos 115.000 dispositivos nossas defesas sejam evoluídas e ágeis o bastante
Cisco na Internet e nos ambientes de clientes para enfrentá-los, reduzir a capacidade de ataque
como uma forma de chamar a atenção para os de atores maliciosos e tratar das causas das
riscos de segurança da infraestrutura envelhecida vulnerabilidades descritas acima.
atual e da falta de atenção com as correções de
falhas de vulnerabilidades... Descobrimos que
106.000 dos 115.000 dispositivos apresentavam
vulnerabilidades conhecidas no software que
executavam.”
Cisco 2016 Annual Security Report
15
4.4. Em busca desses objetivos, empreenderemos
4. NOSSA RESPOSTA NACIONAL AÇÕES INTERNACIONAIS e exerceremos a nossa
influência através do investimento em parcerias.
Conduziremos a evolução global do ciberespaço
4.1. Para mitigar as diversas ameaças que
ao encontro dos nossos interesses econômicos e
enfrentamos e salvaguardar nossos interesses no
de segurança.
ciberespaço, precisamos de uma abordagem
estratégica que norteie todas as nossas ações
coletivas e individuais no domínio digital durante PRINCÍPIOS
os próximos cinco anos. Esta seção define nossa
visão e abordagem estratégica. 4.5 Em sua busca desses objetivos, o governo terá
como diretrizes os seguintes princípios:
16
• não aceitaremos riscos significativos ao dessas informações revolucionou suas atividades.
público e ao país como um todo em razão da Entretanto, essa transformação tecnológica veio
falta de tomada de medidas por parte de acompanhada da responsabilidade de proteger
empresas e organizações para controlar as os ativos que eles detêm, manter os serviços que
ameaças cibernéticas; prestam e dotar os produtos que comercializam
• trabalharemos em estreita colaboração com de um nível adequado de segurança. O cidadão e
os países que partilham da nossa visão e cuja o consumidor, bem como a sociedade em geral,
segurança se sobreponha com a nossa, esperam que as empresas e organizações tomem
reconhecendo que as ameaças cibernéticas todas as medidas cabíveis para proteger os seus
ignoram fronteiras. Também teremos uma dados pessoais e que a resiliência, ou seja, a
ampla atuação junto a parceiros capacidade de suportar e se recuperar de
internacionais visando influenciar a incidentes, seja incorporada nos sistemas e
comunidade global, reconhecendo o valor de estruturas dos quais dependem. As empresas e
grandes coligações; e organizações também devem entender que, caso
• a fim de garantir que as intervenções do sejam vítimas de um ataque cibernético, serão
governo causem um impacto significativo na responsabilizadas civilmente pelas
segurança e resiliência cibernética do país, consequências.
procuraremos definir, analisar e apresentar
dados diagnósticos do estado da segurança Governo
cibernética coletiva e do grau de
cumprimento de nossos objetivos
4.9. O dever primordial do governo consiste em
estratégicos.
defender o país dos ataques de outros Estados,
proteger os cidadãos e a economia contra
ATRIBUIÇÕES E RESPONSABILIDADES prejuízos e criar os meios em âmbito nacional e
internacional para proteger os nossos interesses,
4.6. A garantia da segurança do ciberespaço salvaguardar os direitos fundamentais e levar os
nacional exigirá um esforço coletivo. Cada um de criminosos à justiça.
nós tem um papel importante a desempenhar.
4.10. Em sua qualidade de detentor de um
Indivíduos volume significativo de dados e prestador de
serviços, o governo toma medidas rigorosas para
a salvaguarda de seus ativos de informação.
4.7. Seja como cidadãos, funcionários ou
Outra atribuição importante do governo é o de
consumidores, sempre tomamos medidas
orientar e informar a população e as
práticas para garantir a segurança dos bens que
organizações sobre as medidas necessárias para
valorizamos no mundo físico. No mundo virtual,
se protegerem na Internet e, quando necessário,
devemos fazer o mesmo. Devemos cumprir nossa
definir as normas a serem seguidas por empresas
responsabilidade pessoal por tomar todas as
e organizações-chave.
medidas cabíveis para proteger não apenas os
nossos equipamentos físicos, ou seja, aparelhos
4.11. Embora os setores-chave da economia
de celular e outros dispositivos, mas também os
estejam em mãos privadas, cabe ao governo, em
dados, softwares e sistemas que nos trazem
última instância, assegurar a resiliência nacional
liberdade, flexibilidade e conveniência em nossas
e, em conjunto com seus parceiros na
vidas privadas e profissionais.
administração pública, a manutenção dos
serviços e funções essenciais de governo.
Empresas e organizações
Promovendo a transformação: o papel do
4.8. As empresas, as organizações dos setores mercado
público e privado e outras instituições detêm
dados pessoais, prestam serviços e operam
sistemas no domínio digital. A conectividade
17
4.12. A Estratégia de 2011 e o Programa Nacional cooperação entre os setores público e privado e
de Segurança Cibernética procuraram estimular a assegurar o intercâmbio de informações entre
busca de resultados e o aumento da capacidade ambos. O governo assumirá um papel de
cibernética tanto no setor público quanto no liderança, sempre em consulta com a iniciativa
privado, recorrendo ao mercado para estimular privada, na definição das boas práticas de
os comportamentos corretos. Esperava-se que as segurança cibernética e na sua implementação.
pressões econômicas e os incentivos promovidos
pelo governo seriam capazes de garantir um 4.16. O governo trará melhorias significativas na
investimento privado adequado em segurança segurança cibernética nacional ao longo dos
cibernética, estimular os fluxos de investimento próximos cinco anos. Este programa ambicioso e
no setor e promover a formação de profissionais transformador terá como foco as quatro áreas
qualificados no tema. principais a seguir:
• Alavancas e incentivos. O governo investirá
4.13. Muito foi alcançado. Nos últimos cinco para maximizar as potencialidades de um setor
anos, em toda a economia e na sociedade em cibernético verdadeiramente inovador. Para isso,
geral, houve uma maior conscientização dos será dado apoio a start-ups e serão feitos
riscos e das ações necessárias para mitigar os investimentos em inovação. Também
riscos cibernéticos. Mas a combinação das forças procuraremos identificar e atrair talentos
de mercado com incentivos do governo mostrou- precocemente no sistema de ensino, além de
se insuficiente, por si só, para assegurar os nossos desenvolver rotas mais claras para uma profissão
interesses de longo prazo no ciberespaço com a que precisa de melhor definição. O governo
celeridade necessária. Muitas redes, inclusive em também utilizará todos os meios disponíveis,
setores críticos, ainda não são seguras. O incluindo o futuro Regulamento Geral da
mercado ainda não valoriza, e portanto não Proteção de Dados (GDPR), para elevar os
controla, o risco cibernético adequadamente. São padrões de segurança cibernética em toda a
muitas as organizações que ainda sofrem com economia, inclusive, se necessário, através da
violações até mesmo no nível mais básico. São regulamentação.
poucos os investidores dispostos a arriscar-se a • Maior inteligência e fiscalização com foco na
apoiar os empresários do setor. São poucos os ameaça. As agências de inteligência, o Ministério
formandos e outros profissionais com da Defesa, a polícia e a Agência Nacional de
competências adequadas sendo formados pelo Criminologia, em articulação com agências
sistema de ensino superior. internacionais parceiras, redobrarão seus
esforços para identificar, antecipar e coibir
4.14. O mercado ainda tem um papel a atividades cibernéticas hostis por parte de atores
desempenhar e, a longo prazo, produzirá um estrangeiros, cibercriminosos e terroristas. Essa
impacto maior do que o governo jamais atuação contribuirá para melhorias na aquisição e
conseguiria. No entanto, a urgência da ameaça exploração de inteligência, permitindo obter
enfrentada pelo Reino Unido e a expansão das inteligência preventiva sobre a intenção e a
vulnerabilidades do nosso ambiente digitalizado capacidade de nossos adversários.
exigem do governo maiores ações no curto prazo. • Desenvolvimento e aplicação de tecnologias
em parceria com o setor privado, incluindo
Promovendo a transformação: um papel mais medidas de Defesa Cibernética Ativa, a fim de
amplo para o governo aprofundar a compreensão das ameaças, reforçar
a segurança dos sistemas e redes dos setores
público e privado no Reino Unido diante dessa
4.15. O governo deve, portanto, ditar o ritmo do
ameaça, além de coibir atividades maliciosas.
processo de atendimento às necessidades
• Centro Nacional de Segurança Cibernética
nacionais em segurança cibernética. Somente o
(NCSC). O governo criou um órgão central para a
governo será capaz de fazer uso de seus recursos
segurança cibernética a nível nacional. A esse
de inteligência e outros necessários para
órgão caberá responder a incidentes cibernéticos
defender o país das ameaças mais sofisticadas.
nacionais, atuar como voz autorizada e centro de
Somente o governo poderá promover a
18
referência em segurança cibernética, bem como
prestar serviços customizados de suporte e
assessoria a repartições públicas, administrações
regionais, reguladores e empresas. O NCSC será
responsável por analisar, detectar e entender as
ameaças cibernéticas, bem como contribuir com
seus conhecimentos em segurança cibernética
em apoio aos esforços envidados pelo governo
para promover a inovação, fomentar uma
indústria de segurança cibernética dinâmica e
estimular o desenvolvimento de competências
em segurança cibernética. De forma inédita para
um órgão público desta natureza, o NCSC está
vinculado ao GCHQ e, portanto, possui acesso aos
conhecimentos de ponta e capacidades sensíveis
dessa organização, valorizando o apoio a ser
oferecido à economia e à sociedade em geral.
Será responsabilidade de cada departamento do
governo aplicar de forma eficaz as orientações
recebidas sobre segurança cibernética.
19
CENTRO NACIONAL DE SEGURANÇA CIBERNÉTICA desde aqueles que afetam organizações isoladas
até os ataques nacionais em grande escala;
Inaugurado em 1° de outubro de 2016, o Centro • divulgar informações sobre as atitudes que
Nacional de Segurança Cibernética (NCSC) podem ser adotadas por organizações do setor
representa uma oportunidade única para a público e privado para lidar com questões de
construção de parcerias em segurança segurança cibernética, facilitando o intercâmbio
cibernética entre o governo, a iniciativa privada e de informações sobre ameaças cibernéticas; e
a população, contribuindo para o fortalecimento • prestar consultoria setorial especializada ao
da segurança online no Reino Unido. O Centro governo e a setores críticos, como os de
será responsável pela resposta a incidentes telecomunicações, energia e finanças, assim
cibernéticos e servirá como referência em como orientações e diretrizes de segurança
segurança cibernética no país. De forma inédita, cibernética aplicáveis em geral.
haverá uma interação direta entre setores-chave
e a equipe do NCSC, permitindo o acesso aos O NCSC oferece os meios para viabilizar muitos
melhores serviços de consultoria e suporte dos elementos desta estratégia. Reconhecemos
relacionados à proteção de redes e sistemas que, com o desenvolvimento do NCSC, seu foco e
contra ameaças cibernéticas. suas estruturas terão de se adaptar aos novos
desafios e aos aprendizados acumulados.
O NCSC atua como:
20
PLANO DE IMPLEMENTAÇÃO
21
5.1. DEFESA CIBERNÉTICA ATIVA
5. DEFENDER
5.1.1. A Defesa Cibernética Ativa (Active Cyber
5.0.1. Os elementos do eixo DEFENDER visam Defense – ACD) consiste em adotar medidas de
assegurar que as redes, dados e sistemas do segurança capazes de fortalecer uma rede ou
Reino Unido, nas esferas pública, econômica e sistema e torná-lo mais robusto contra ataques.
privada, sejam resilientes e protegidos contra Em um contexto não governamental, a Defesa
ataques cibernéticos. Jamais será possível deter Cibernética Ativa geralmente se refere à atuação
todos os ataques cibernéticos, assim como não é de analistas de segurança cibernética no
possível deter todos os crimes. No entanto, diagnóstico das ameaças às suas redes e na
trabalhando em conjunto com a população, formulação e implementação de medidas
instituições de ensino, universidades, empresas e proativas de combate ou defesa contra essas
outros governos, podemos construir camadas de ameaças. No contexto desta estratégia, o
defesa capazes de reduzir de forma significativa a governo optou por aplicar o mesmo princípio
nossa exposição a incidentes cibernéticos, numa escala maior: utilizará seus conhecimentos,
proteger os nossos bens mais preciosos e estruturas e influência para revolucionar a
permitir que todos convivam e prosperem no segurança cibernética nacional face às ameaças
ciberespaço. A promoção da cooperação entre cibernéticas. A “rede” a ser defendida, neste
Estados e das boas práticas de segurança caso, é todo o espaço cibernético nacional. As
cibernética também é do interesse da nossa atividades propostas representam um plano de
segurança coletiva. ação defensivo, baseando-se na experiência do
NCSC como autoridade técnica nacional para
5.0.2. O governo adotará medidas para garantir responder a ameaças cibernéticas ao Reino Unido
que cidadãos, empresas, organizações e a um nível macro.
instituições públicas e privadas tenham acesso às
informações necessárias para se defenderem. O Objetivos
Centro Nacional de Segurança Cibernética atua
como fonte unificada de inteligência e 5.1.2. Nas ações de Defesa Cibernética Ativa, o
informações sobre ameaças à segurança governo terá como objetivo:
cibernética, permitindo oferecer consultoria
individualizada sobre defesa cibernética e • tornar o Reino Unido um alvo muito mais
responder com agilidade e eficácia a incidentes difícil de ser atingido por atores patrocinados
de grande dimensão no espaço cibernético. O por Estados e cibercriminosos, aumentando a
governo trabalhará em parceria com a iniciativa resiliência das redes do país;
privada e com parceiros internacionais na • derrotar a vasta maioria dos malwares de alto
definição de boas práticas de segurança volume/baixa sofisticação nas redes do Reino
cibernética para os setores público e privado, Unido, bloqueando a comunicação promovida
para os nossos sistemas e serviços mais essenciais pelos malwares entre os hackers e suas
e para a economia em geral. A segurança será vítimas;
incorporada na concepção de todos os novos • aprimorar e aumentar o alcance e a escala das
sistemas da administração pública e sistemas estruturas do governo destinados a deter
críticos. As agências policiais devem manter ameaças criminosas graves patrocinadas por
estreita colaboração com a iniciativa privada e Estados ou promovidos por cibercriminosos;
com o Centro Nacional de Segurança Cibernética, • proteger o tráfego na Internet e de telefonia
fornecendo informações dinâmicas de contra a tomada de controle por atores
inteligência sobre ameaças criminais que maliciosos;
permitam ao setor privado defender-se da • robustecer as infraestruturas críticas e os
melhor maneira, e emitindo orientações e serviços ao cidadão contra ameaças
padrões de segurança para sua proteção. cibernéticas; e
• frustrar o modelo de negócios de
cibercriminosos de todos os tipos,
22
desmotivando-os e reduzindo os prejuízos • atuação conjunta com empresas de
provocados por seus ataques. telecomunicações no bloqueio de ataques de
malware. Essa atuação se dará pela restrição
Abordagem do acesso a domínios ou sites específicos de
origem de malwares. Essa técnica é conhecida
5.1.3. Na busca por tais objetivos, o governo como bloqueio/filtragem de DNS (Domain
pretende: Name System);
• combate a atividades de phishing com uso de
• trabalhar em parceria com a iniciativa privada, “spoofing” de domínio (envio de e-mails que
sobretudo as operadoras de parecem ser de determinado remetente
telecomunicações, para dificultar oficial, como um banco ou órgão público, mas
significativamente o ataque a serviços e que na realidade são golpes) com a
usuários de Internet no Reino Unido e reduzir implantação de um sistema-padrão de
de forma expressiva a possibilidade de haver verificação de e-mails nas redes
impactos prolongados em função de ataques governamentais, e incentivo à prática no setor
no Reino Unido. Essa atuação deve incluir privado;
esforços de combate às práticas de phishing, o • promoção das melhores práticas de segurança
bloqueio de domínios e endereços IP através de organizações multi-participadas de
maliciosos, além de outras medidas para deter governança da Internet, como a Internet
os ataques com malwares. Incluirá também Corporation for Assigned Names and Numbers
medidas para proteger as infraestruturas de (ICANN), que coordena o Domain Name
telecomunicações e de encaminhamento do System (DNS), a Internet Engineering Task
Reino Unido; Force (IETF) e o European Internet Regional
• ampliar a escala e a capacidade do GCHQ, do Registry (RIPE), bem como diálogo com partes
Ministério da Defesa e da Agência Nacional de interessadas no Fórum de Governança da
Criminologia para deter ameaças cibernéticas Internet (IGF) das Nações Unidas;
mais graves ao Reino Unido, incluindo • atuação junto aos órgãos policiais no sentido
campanhas promovidas por cibercriminosos de proteger os cidadãos britânicos de ataques
sofisticados e atores estrangeiros hostis; e cibernéticos promovidos a partir de
• proteger com maior eficácia os sistemas e infraestruturas desprotegidas no exterior;
redes governamentais, ajudar o setor privado • implementação de controles para garantir a
a reforçar a segurança da cadeia de segurança do tráfego de Internet para os
fornecimento das infraestruturas críticas, órgãos públicos, impedindo seu
tornar o ecossistema de softwares mais seguro reencaminhamento ilícito por atores
e implantar proteções automatizadas nos maliciosos; e
serviços públicos virtuais disponibilizados ao • investimento em programas do Ministério da
cidadão. Defesa, da NCA e do GCHQ para fortalecer a
capacidade dessas organizações de responder
5.1.4. Sempre que possível, essas iniciativas serão e desarticular as atividades cibernéticas de
realizadas conjuntamente ou por meio de elevada gravidade praticadas por criminosos e
parcerias com a iniciativa privada. Em muitos patrocinadas por Estados e que tenham como
casos, a concepção e implementação caberiam à alvo as redes britânicas.
iniciativa privada, competindo ao governo os
processos fundamentais de apoio, assessoria e O desenvolvimento dessas intervenções técnicas
orientação conceitual. deve acompanhar a evolução das ameaças,
garantindo que a população e as empresas do
5.1.5. O governo também realizará ações Reino Unido estejam sempre protegidas contra a
específicas para a implementação dessas maioria dos ataques cibernéticos em larga escala.
medidas, dentre elas:
Avaliação dos resultados
23
5.1.6. O êxito do governo em estabelecer um prova de conceito, assim como no ambiente de
programa eficaz de Defesa Cibernética Ativa será produção em 2015, sendo verificadas
avaliado a partir dos avanços alcançados em vulnerabilidades graves em carros, dispositivos
busca dos seguintes resultados: médicos, entre diversos outros. Os fabricantes
devem priorizar a segurança para reduzir o risco
• dificultação de ações de “phishing” por meio de graves consequências pessoais, econômicas e
de defesas em grande escala contra a sociais”.
utilização de domínios maliciosos e uma Symantec, Relatório de Ameaças à Segurança na
proteção antiphishing mais ativa, e Internet 2016
dificultação do uso de outras formas de
comunicação, como “vishing” e spoofing de 5.2.2. O governo está bem posicionado para
SMS, em ataques de engenharia social; assumir um papel de liderança no uso dessas
• bloqueio de uma proporção muito maior das novas tecnologias para fortalecer a proteção de
comunicações de malwares e artefatos sistemas próprios, contribuir para a construção
técnicos associados a ataques e exploração da segurança na cadeia de suprimentos do setor
cibernética; privado, proteger o ecossistema de softwares e
• o tráfego de Internet e de telecomunicações fornecer proteções automatizadas aos cidadãos
no Reino Unido apresentar uma que acessem os serviços públicos online. O
vulnerabilidade significativamente menor a governo deve testar e implementar novas
reencaminhamento por atores maliciosos; tecnologias que integrem proteções
• fortalecimento expressivo da capacidade de automatizadas nos produtos e serviços públicos
resposta do GCHQ, das Forças Armadas e da online. Sempre que possível, devem ser
NCA diante de graves ameaças patrocinadas oferecidas tecnologias similares ao setor privado
por Estados e criminosos. e à população.
24
• Serão adotadas novas tecnologias de benefícios, tanto em termos de segurança
segurança cibernética no governo, quanto em relação à experiência global do
estimulando as administrações regionais a usuário.
fazer o mesmo, a fim de reduzir os riscos
percebidos de sua adoção. Tal adoção servirá 5.2.6. O governo também buscará novas formas
como prova de conceito, demonstrando os de incentivo ao mercado, criando classificações
benefícios à segurança das novas tecnologias e de segurança para novos produtos para que o
técnicas. Também contribuirá para inserir a consumidor tenha informações claras sobre os
segurança como elemento central no produtos e serviços que lhe ofereçam maior
desenvolvimento de novos produtos, segurança. O governo buscará, ainda, novas
eliminando oportunidades para a exploração formas de vincular essas classificações aos órgãos
criminosa e protegendo, desta forma, o existentes ou aos que venham a ser criados,
usuário final. assim como novos meios de alertar os
consumidores antes que lancem alguma ação
5.2.5. Para isso, pretende-se: online capaz de comprometer sua segurança.
5.3.3. O governo continuará a inserir mais de seus 5.3.7. Ao NCSC caberá formular orientações de
serviços no meio eletrônico, para que o Reino segurança cibernética que acompanhem a
Unido se torne de fato um país “digital por evolução das ameaças e o desenvolvimento de
padrão”. O Government Digital Service (GDS), o novas tecnologias. Serão tomadas medidas para
Crown Commercial Service (CCS) e o NCSC serão garantir que as organizações governamentais
responsáveis por assegurar que todos os novos tenham fácil acesso a informações sobre ameaças
serviços digitais desenvolvidos ou contratados para que possam entender seus próprios riscos
pelo governo também sejam “seguros por cibernéticos e tomar medidas adequadas a
padrão”. respeito.
5.3.4. As redes públicas são altamente complexas 5.3.8. Continuaremos a fortalecer as redes
e, em muitos casos, ainda integram sistemas enquadradas nas classificações de risco mais
legados, assim como softwares comercias para os elevadas para salvaguardar as comunicações mais
quais os fornecedores deixaram de oferecer sigilosas do governo.
suporte. Será garantido que não haja riscos a
descoberto oriundos de sistemas legados e 5.3.9. Os sistemas de saúde e assistência social
softwares não suportados. apresentam desafios únicos no contexto da
26
segurança cibernética. O setor emprega cerca de Avaliação dos resultados
1,6 milhão de pessoas em mais de 40 mil
organizações, cada uma com recursos e 5.3.11. O êxito do governo em proteger suas
estruturas de segurança da informação muito redes, sistemas e dados será avaliado a partir dos
distintos. O National Data Guardian, voltado à avanços alcançados em busca dos seguintes
Saúde e Assistência Social, definiu novos padrões resultados:
de segurança de dados para o setor na Inglaterra,
além de um novo modelo do termo de • o governo conhecer profundamente o nível
consentimento/não consentimento ao de risco à segurança cibernética em todo o
fornecimento de dados por pacientes. O governo governo e no setor público em geral;
atuará junto às organizações de saúde e de • todas as repartições públicas e outros órgãos
assistência social na implementação dessas protegerem-se proporcionalmente ao seu
normas. nível de risco e segundo um padrão mínimo
definido para o setor público;
“A Grã-Bretanha é líder mundial em segurança • as diversas repartições da administração
cibernética, mas com a escalada das ameaças, o pública e o setor público em geral serem
novo Centro de Operações de Segurança resilientes e capazes de responder com
Cibernética será fundamental para garantir que eficácia a incidentes cibernéticos, mantendo
nossas Forças Armadas possam continuar a suas funções e se recuperando com rapidez;
operar com segurança. O aumento do orçamento • as novas tecnologias e serviços digitais
de defesa permitirá ficar à frente dos nossos implantados pelo governo serem dotados de
adversários no ciberespaço, além de contemplar segurança cibernética integrada por padrão;
investimentos em recursos convencionais” • o governo ter conhecimento e mitigar
Michael Fallon, ativamente todas as vulnerabilidades
Secretário de Defesa, abril de 2016 conhecidas da Internet nos sistemas e
serviços públicos; e
• todos os fornecedores do governo
5.3.10. A segurança cibernética é vital para nossa
atenderem às normas de segurança
defesa. Nossas Forças Armadas dependem de
cibernética definidas.
sistemas de informação e comunicação tanto no
Reino Unido quanto em suas operações mundo
afora. As infraestruturas e o pessoal do Ministério
da Defesa (MoD) estão entre os principais alvos 5.4. PROTEÇÃO ÀS INFRAESTRUTURAS CRÍTICAS
de ataques. Os sistemas de defesa são NACIONAIS E OUTROS SETORES PRIORITÁRIOS
frequentemente alvo de ataques de criminosos,
serviços de inteligência estrangeiros e outros
atores maliciosos que visam a exploração de seu Contexto
pessoal, a interferência em suas atividades e
operações, e o corrompimento e furto de 5.4.1 A segurança cibernética de determinadas
informações. Serão intensificadas as ações de organizações do Reino Unido é de particular
conscientização, detecção e resposta a ameaças importância, uma vez que um ataque cibernético
cibernéticas através da criação de um Centro de bem-sucedido a essas organizações teria maior
Operações de Segurança Cibernética (CSOC) impacto na segurança nacional do país. Esse
dotado de tecnologias cibernéticas defensivas de impacto pode ter influência no cotidiano dos
última geração para proteger o ciberespaço do cidadãos britânicos, na estabilidade e na força da
Ministério da Defesa e tratar de ameaças. O CSOC economia britânica, ou na reputação e imagem
atuará em estreita articulação com o NCSC na internacional do país. Nesse grupo de empresas e
superação dos desafios de segurança cibernética organizações dos setores público e privado estão
enfrentados pelo Ministério da Defesa, aquelas representativas das infraestruturas
contribuindo para o fortalecimento da segurança críticas (IEC) nacionais e que prestam serviços
cibernética nacional. essenciais à nação. Garantir a segurança e
resiliência das IEC contra ataques cibernéticos
27
será uma prioridade para o governo. Esse grupo empresas mais importantes do Reino Unido,
também inclui outras empresas e organizações, incluindo as IEC, tenham segurança e resiliência
além das IEC, que exijam um maior nível de adequada face aos ataques cibernéticos. Nem o
suporte. São elas: governo nem outros órgãos públicos assumirão a
responsabilidade de controlar esses riscos a favor
• as joias da nossa coroa econômica: as do setor privado, responsabilidade esta que recai
empresas mais bem-sucedidas do Reino na administração e nos operadores das
Unido e que sustentam a nossa força respectivas empresas. Entretanto, o governo está
econômica futura pelo valor de sua produção comprometido em dar apoio e garantias de
científica e propriedade intelectual; segurança proporcionais à ameaça enfrentada
• empresas e organizações detentoras de por essas empresas e organizações e às possíveis
dados: não apenas organizações que detêm consequências de ataques.
grandes quantidades de dados pessoais, mas
também aquelas que detêm dados sobre “A segurança cibernética é fundamental para
cidadãos vulneráveis no país e no exterior, viabilizar a inovação e o crescimento. Com a
como entidades filantrópicas; criação de organizações específicas e adoção de
• alvos mais sujeitos a ameaças: como veículos uma abordagem centrada nos riscos à segurança
de comunicação, uma vez que ataques a cibernética, as organizações poderão voltar suas
essas organizações podem prejudicar a atenções às oportunidades e à exploração. A
reputação do Reino Unido, a confiança confiança nas empresas atuantes no segmento de
pública no governo ou a liberdade de Internet das Coisas (IoT), e que apoiam e
expressão; protegem o consumidor e seus dispositivos
• as empresas que formam a base da móveis pessoais (desde aparelhos de celular até
economia digital: empresas prestadoras de dispositivos médicos, aparelhos inteligentes e
serviços digitais que viabilizam o comércio carros inteligentes), é um importante diferencial
eletrônico e a nossa economia digital e que competitivo e deve ser priorizado.”
dependem da confiança dos consumidores
nos seus serviços; e EY, Pesquisa Global da Segurança da Informação
• organizações que, através das forças do 2015
mercado e por serem autoridades no
assunto, sejam capazes de exercer influência
Nossa abordagem
sobre a economia global e fortalecer a
segurança cibernética, como seguradoras,
5.4.4. Cabe às organizações e a administração das
investidores, reguladores e consultorias.
empresas garantir a segurança de suas redes.
Devem identificar seus sistemas críticos e avaliar
5.4.2. É preciso fazer mais para proteger esses
periodicamente sua vulnerabilidade diante da
elementos vitais da nossa economia e apoiar as
constante evolução tecnológica e das ameaças.
organizações que exercem forte influência sobre
Devem investir em tecnologia e em seus
as demais. Nossas IEC, tanto no setor privado
colaboradores para reduzir as vulnerabilidades
quanto no público, continuam sendo alvo de
nos sistemas atuais e futuros e em sua cadeia de
ataques. Nesses e em outros setores prioritários,
suprimentos, mantendo um nível de segurança
ainda não há uma conscientização e controle
cibernética proporcional ao risco. Também
adequado do risco cibernético, enquanto as
devem contar com estruturas previamente
ameaças continuam a se diversificar e proliferar.
testadas para responder a um eventual ataque.
No caso das IEC, devem atuar de forma
Objetivo
colaborativa com órgãos governamentais e
reguladores para assegurar que o risco
5.4.3. O Governo do Reino Unido deve atuar, em
cibernético seja adequadamente controlado e,
colaboração com as administrações regionais e
caso não seja, intervir no interesse da segurança
outras autoridades competentes, quando for o
nacional.
caso, a fim de garantir que as organizações e
28
5.4.5. Portanto, caberá ao governo entender o • ofereça, quando associado ao apoio efetivo
nível de segurança cibernética nas IEC e adotar do governo, uma vantagem competitiva para
medidas para intervir, quando necessário, para o Reino Unido.
promover melhorias de interesse nacional.
5.4.9. Muitos de nossos setores industriais já são
5.4.6. Nesse sentido, compete ao governo: regulamentados em matéria de segurança
cibernética. No entanto, temos de garantir a
• difundir aos atores do setor privado tomada de medidas adequadas em toda a
informações sobre ameaças acessíveis economia, inclusive nas IEC, para gerir os riscos à
somente ao governo, para que possam segurança cibernética.
antecipar-se a elas;
• emitir diretrizes sobre o controle de riscos Avaliação dos resultados
cibernéticos e, em parceria com o setor
privado e o meio acadêmico, definir boas 5.4.10. O êxito do governo em proteger nossas
práticas de segurança cibernética; IEC e outros setores prioritários será avaliado a
• incentivar a introdução de recursos de partir dos avanços alcançados em busca dos
segurança de ponta para a proteção das IEC, seguintes resultados:
como instalações de treinamento,
laboratórios de testes, normas de segurança • o governo conhecer o nível de segurança
e serviços de consultoria; e cibernética nas IEC e adotar medidas para
• realizar simulados junto às IEC para auxiliá- intervir, quando necessário, para promover
los na gestão de riscos cibernéticos e melhorias de interesse nacional.
vulnerabilidades. • nossas empresas e organizações mais
importantes estarem conscientizadas quanto
5.4.7. O NCSC será responsável por fornecer ao nível da ameaça e adotarem práticas
esses serviços às empresas e organizações mais proporcionais de segurança cibernética.
críticas do Reino Unido, inclusive às IEC. Para isso,
atuará em parceria com departamentos do
governo e reguladores, aos quais caberá 5.5. MUDANÇA DE COMPORTAMENTO NA
assegurar que os riscos cibernéticos sejam POPULAÇÃO E NAS EMPRESAS
gerenciados em seus setores segundo os padrões
exigidos por interesses nacionais.
5.5.1 O sucesso da economia digital no país
depende da confiança das empresas e da
5.4.8. Será também atribuição do governo
população nos serviços eletrônicos. O governo do
assegurar a adoção de um marco regulatório
Reino Unido tem atuado junto ao setor privado e
adequado para a segurança cibernética, que:
outros segmentos do setor público para
aumentar a conscientização e compreensão das
• garanta que o setor privado atue para se
ameaças. O governo também proporcionou à
proteger das ameaças;
população e às empresas o acesso a alguns dos
• tenha por objeto os resultados almejados e
recursos necessários para sua proteção. Embora
seja suficientemente flexível, evitando que se
existam muitas organizações que já atuam com
torne obsoleto diante da evolução das
excelência na proteção cibernética e na prestação
ameaças ou que vise apenas o cumprimento
de serviços online, estando algumas entre as
legal, e não a boa gestão dos riscos;
líderes mundiais no tema, – a maioria das
• tenha a agilidade necessária para fomentar,
empresas e da população ainda não pratica uma
mas não protagonizar, o crescimento e a
gestão adequada dos riscos cibernéticos.
inovação;
• esteja harmonizado com os regimes de
outras jurisdições, de modo que as empresas “No ano passado, o custo médio das violações de
britânicas não sejam oneradas por uma segurança em grandes empresas foi de £ 36.500.
abordagem fragmentada e heterogênea; e Nas pequenas empresas, o custo médio foi de £
29
3.100. 65% das grandes organizações relataram existência de um marco regulatório adequado
ter sofrido ao menos uma violação de segurança para gerir os riscos cibernéticos não tratados pelo
da informação no ano passado e, dessas, 25% mercado. Nesse âmbito, o governo recorrerá a
sofreram uma violação pelo menos uma vez por instrumentos como o GDPR para elevar os
mês. Quase sete entre dez ataques envolveram padrões de segurança cibernética e proteger o
vírus, spywares ou malwares que poderiam ter cidadão.
sido evitados com a adoção do programa Cyber
Essentials, do governo do Reino Unido.” 5.5.5. A população e as organizações do Reino
2016 Government Cyber Health Check and Cyber Unido terão acesso às informações,
Security Breaches Survey conhecimentos e recursos necessários à sua
proteção. Para promover a transformação
Objetivo necessária nos comportamentos de segurança da
população, haverá uma comunicação
5.5.2. Nosso objetivo visa garantir que a harmonizada e coerente de orientações de
população e as organizações, segurança cibernética, tanto por parte do
independentemente de seu porte ou do setor, governo quanto por parte de seus parceiros. Ao
tomem medidas adequadas para protegerem a si NCSC caberá publicar orientações técnicas nesse
e aos seus clientes contra os danos causados por sentido. Estas deverão refletir as prioridades e as
ataques cibernéticos. práticas dos setores público e privado, devendo
também ser claras, facilmente acessíveis e
Nossa abordagem coerentes, além de acompanhar a evolução das
ameaças. A polícia trabalhará em estreita
5.5.3. Será atividade do governo difundir colaboração com o setor privado e o NCSC,
orientações para a proteção da economia. divulgando informações atualizadas de
Aperfeiçoaremos a forma de divulgação dessas inteligência sobre ameaças criminais, apoiando o
orientações para maximizar seus efeitos. Para a setor privado para que este possa se defender
população, o governo recorrerá a autoridades no contra ameaças, e mitigando o impacto de
assunto para aumentar o alcance, credibilidade e ataques contra vítimas no Reino Unido.
relevância da nossa mensagem. Serão formuladas
orientações que sejam fáceis de aplicar e Avaliação dos resultados
relevantes para os usuários no ponto de acesso
aos serviços e de exposição aos riscos. Serão 5.5.6. O êxito do governo em proteger nossas IEC
envolvidas as Administrações Regionais e outras e outros setores prioritários será avaliado a partir
autoridades, conforme apropriado. dos avanços alcançados em busca dos seguintes
resultados:
5.5.4. Para as empresas, nossa atuação se dará
através de organizações como seguradoras, • o nível de segurança cibernética da economia
reguladores e investidores capazes exercer britânica ser igual ou superior ao das
influência nas empresas para que adotem economias avançadas comparáveis;
práticas adequadas de gestão de riscos • o número, a gravidade e o impacto dos
cibernéticos. Nesse sentido, destacaremos os ataques cibernéticos bem-sucedidos contra
nítidos benefícios do ponto de vista econômico e empresas no Reino Unido se reduzir como
o custo do risco cibernético na avaliação de consequência das melhorias em higiene
formadores de opinião. Procuraremos melhor cibernética; e
entender os fatos que impediram muitas • serem registradas melhorias na cultura de
organizações de se protegerem adequadamente. segurança cibernética no Reino Unido, fruto
Munidos dessas informações, trabalharemos em da maior conscientização das organizações e
parceria com organizações, como entidades de da população sobre os níveis de risco
normatização, para irmos além da mera cibernético e as medidas de higiene
conscientização e convencer as empresas a cibernética que devem tomar para geri-los.
agirem a respeito. Também será assegurada a
30
garante a proteção contra a grande maioria das
ameaças mais comuns na Internet.
CYBER AWARE
A campanha Cyber Aware, anteriormente
denominada Cyber Streetwise, traz à população
as diretrizes necessárias para se protegerem de
cibercriminosos. Mensagens dirigidas, veiculadas
por meio das redes sociais e peças publicitárias,
em parceria com a iniciativa privada, promovem:
CYBER ESSENTIALS
31
especializado prestado por militares da ativa ou
5.6. TRATANDO DE INCIDENTES E ENTENDENDO A reservistas. Embora o governo se comprometa a
AMEAÇA prestar todo o apoio possível com os meios à sua
disposição, cabe salientar a importância da
atuação do próprio setor privado, da sociedade e
da população para assegurar sua segurança
5.6.1. A expectativa é de haver aumento na
cibernética básica.
incidência e na gravidade dos incidentes
cibernéticos que atingem organizações nos
Objetivos
setores público e privado. Portanto, é preciso
definir a forma como os setores privado e público
5.6.4. Dentre os nossos objetivos, destacam-se os
devem interagir com o governo na ocorrência de
seguintes:
um incidente cibernético. O nível de apoio a ser
oferecido pelo governo do Reino Unido para cada
• o Governo adotará uma metodologia
setor, tendo em conta sua maturidade
harmonizada e integrada no tratamento de
cibernética, deve ser claramente definido e
incidentes, a partir de uma melhor
compreendido. A coleta e divulgação pelo
compreensão e conhecimento das ameaças e
governo de informações sobre ameaças deve ser
ações promovidas contra o país. Será de
feita de forma e com agilidade adequada aos
fundamental importância a atuação do NCSC
diversos tipos de organização. O setor privado, o
como viabilizador do processo, assim como a
governo e a população têm atualmente acesso a
parceria com o setor privado, as polícias e
diversas fontes de informação, orientação e
outros órgãos, autoridades e agências
assistência em matéria de segurança cibernética.
públicas;
Esse acesso deve ser simplificado.
• O NCSC deve definir processos claros para a
comunicação de incidentes, adaptados ao
5.6.2. Devemos assegurar que a atuação do
perfil da vítima; e
Governo, tanto na resposta a incidentes quanto
• Devemos atuar para prevenir os incidentes
na divulgação de diretrizes, não ocorra de forma
cibernéticos mais comuns, adotando
isolada, mas sim em parceria com o setor
estruturas eficazes de difusão de
privado. Nossos processos de tratamento de
informações para instruir o planejamento
incidentes devem utilizar uma abordagem
“pré-incidente”.
holística, baseada no aprendizado e no
intercâmbio de técnicas de mitigação com nossos
Nossa abordagem
parceiros. A articulação com outras equipes de
resposta a emergências informáticas (Computer
5.6.5. Cabe à administração das organizações e
Emergency Response Teams – CERTs) e com
das empresas, tanto do setor público quanto do
nossos aliados também continuará a ser parte
privado, garantir a segurança de suas redes e
integrante das atividades de resposta e
realizar exercícios de simulação de seus planos de
tratamento de incidentes.
resposta a incidentes. Na ocorrência de um
incidente de grande dimensão, o processo de
5.6.3. O tratamento de incidentes ainda é um
tratamento de incidentes adotado pelo governo
processo fragmentado entre os diversos
deve contemplar os três elementos de um
departamentos governamentais, pelo que a
incidente cibernético: as causas precursoras, o
presente estratégia prevê a criação de uma
próprio incidente e a resposta pós-incidente.
abordagem unificada. O NCSC será responsável
por oferecer um serviço de resposta a incidentes
5.6.6. Para que o tratamento de incidentes seja
eficiente e eficaz, coordenado pelo governo.
eficaz tanto para o governo quanto para o setor
Na ocorrência de um incidente cibernético de
privado, atuaremos de forma colaborativa na
grande dimensão, as Forças Armadas estarão
revisão e definição do escopo da resposta do
aptas a prestar assistência, seja de forma
governo, intensificando a cooperação. Será
convencional, tratando do impacto físico do
ampliado o plano nacional de exercícios
incidente, ou sob a forma de apoio cibernético
32
cibernéticos, a partir da nossa melhor
compreensão e conhecimento das ameaças,
aprimorando o apoio oferecido a parceiros dos
setores público e privado.
33
um meio de dissuadir os ataques que dependem
6. DISSUADIR da exploração de vulnerabilidades.
39
7.1.2. Esse cenário exige uma rápida intervenção
7. DESENVOLVER do governo para tratar da atual escassez e
desenvolver uma estratégia coerente de longo
prazo que, a partir dessas intervenções, contribua
7.0.1. O eixo DESENVOLVER desta estratégia
para sanar o déficit de competências. No entanto,
define como o Reino Unido pretende adquirir e
há de se reconhecer que esse esforço, para que
consolidar os recursos e estruturas necessárias
cause um impacto profundo, deverá ser
para se proteger da ameaça cibernética.
colaborativo, contando com a contribuição de
diversos atores e influenciadores nas
7.0.2. O Reino Unido necessita de profissionais de
administrações regionais, no setor público, nas
segurança cibernética mais talentosos e
instituições de ensino e acadêmicas e no setor
qualificados.O governo pretende tomar medidas
privado.
imediatas para preencher a crescente lacuna
entre a procura e oferta de profissionais de
Objetivo
segurança cibernética, trazendo novo fôlego para
esta área de educação e ensino. Trata-se de um
7.1.3. É ambição do governo assegurar a
objetivo de transformação a longo prazo cuja
formação interna dos melhores talentos em
consecução se iniciará no âmbito desta
segurança cibernética, além de financiar
estratégia, mas que deve continuar além do
intervenções específicas a curto prazo que
horizonte de 2021. Uma mão de obra qualificada
contribuam para tratar do déficit de profissionais
é a força vital de qualquer ecossistema de
específicos. Também serão definidos e
segurança cibernética que pretenda assumir uma
desenvolvidos os conhecimentos em segurança
posição de liderança mundial. Caberá a esse
cibernética necessários para que toda a
ecossistema assegurar que as start-ups
população e a mão de obra do país estejam aptos
cibernéticas tenham êxito no mercado e recebam
a exercer atividades online com segurança.
os investimentos e o apoio necessários. Embora
essa inovação e vigor econômico somente
7.1.4. Para isso, serão necessárias ações nos
possam emanar do próprio setor privado, o
próximos vinte anos, e não apenas nos próximos
governo atuará no apoio ao seu desenvolvimento
cinco. Será definido um conjunto de ações
e na promoção do setor de segurança cibernética
coordenadas e de longo prazo necessárias para
junto ao mercado mundial. É necessário que
que o governo, o setor privado, as instituições de
exista um segmento de pesquisa científica
ensino e o meio acadêmico possam garantir a
dinâmica e pujante para viabilizar a formação de
formação permanente de profissionais de
profissionais altamente qualificados e para que as
segurança cibernética competentes, que
novas ideias se traduzam em produtos de ponta.
cumpram os padrões definidos e preencham as
qualificações necessárias para exercer sua
profissão com aptidão e segurança.
7.1. FORTALECIMENTO DA CAPACITAÇÃO EM
SEGURANÇA CIBERNÉTICA 7.1.5. Também será tratado o déficit de
qualificação na Defesa. Atuaremos para atrair
7.1.1. O Reino Unido deve tratar das questões para o serviço público especialistas cibernéticos
sistêmicas centrais do déficit de competências que sejam altamente qualificados e aptos a
cibernéticas: a falta de jovens interessados em manter a nossa segurança nacional. Seu rol de
ingressar na profissão; a escassez de especialistas conhecimentos deve incluir a compreensão do
em segurança cibernética; a falta de exposição impacto do ciberespaço nas operações militares.
aos conceitos de segurança cibernética e da
informação em cursos de computação; a falta de Nossa abordagem
professores devidamente qualificados; e a falta
de definição de rotas de formação e de carreira 7.1.6. Será proposta e implementada uma
para a profissão. estratégia autossustentável de capacitação que, a
partir das iniciativas existentes, contribua para
40
integrar a segurança cibernética no sistema O grupo atuará de forma colaborativa com órgãos
educacional. Com isso, será possível dar similares no Reino Unido.
continuidade à evolução do ensino de informática
e incorporar a segurança cibernética no currículo. 7.1.9. Paralelamente a esse trabalho, o governo
Todo estudante de ciências da computação e investirá em uma série de iniciativas que
tecnologias digitais deve aprender os introduzam melhorias imediatas e tragam
fundamentos da segurança cibernética e poder subsídios para a formulação da estratégia de
trazer esses conhecimentos para o mercado de capacitação de longo prazo. Dentre essas
trabalho. No âmbito desses esforços, também iniciativas, destacam-se:
será abordada a desigualdade de gênero nas
profissões cibernéticas, assim como a • a criação de um programa voltado às escolas,
necessidade de atrair profissionais de origens visando promover uma transformação no
mais diversas, a fim de contribuir para uma maior ensino e na formação especializada em
diversificação do nosso banco de talentos. segurança cibernética para jovens talentos
Atuaremos em estreita colaboração com as na faixa etária de 14 a 18 anos (envolvendo
Administrações Regionais para promover uma atividades em sala de aula, atividades após o
abordagem harmonizada em todo o Reino Unido. período escolar com orientadores
especialistas, projetos desafiadores e cursos
7.1.7. Serão definidas com maior clareza as de verão);
atribuições e responsabilidades dos setores • criação de programas de aprendizagem de
público e privado, e sua possível evolução no nível superior nos setores de energia,
tempo. O governo do Reino Unido e as finanças e transportes, preenchendo as
administrações regionais desempenham um lacunas de competências existentes em áreas
importante papel na criação de um ambiente essenciais;
propício para a formação de competências em • criação de um fundo de reciclagem de
segurança cibernética e para atualização do profissionais já ingressados no mercado de
sistema de ensino conforme a evolução das trabalho e que demonstrem elevada aptidão
necessidades do governo e da iniciativa privada. para a profissão de segurança cibernética;
Os empregadores também têm uma • identificação e apoio a cursos de graduação e
responsabilidade importante no sentido de pós-graduação em segurança cibernética, e
definir claramente suas necessidades e capacitar identificação e preenchimento de lacunas de
e desenvolver seus colaboradores e os jovens competências especializadas, reconhecendo
recém ingressados na profissão. O setor privado o papel fundamental desempenhado pelas
tem um papel importante no desenvolvimento de universidades na formação de profissionais;
rotas de formação e de carreira atraentes aos • apoio à acreditação da formação de
jovens, em parceria com universidades, entidades professores em segurança cibernética. Este
profissionais e entidades de classe. trabalho servirá para capacitar professores e
outros docentes em segurança cibernética,
7.1.8. Reconhecendo ser coletivo o desafio além de definir a metodologia de acreditação
representado pelo déficit de competências, será externa desses profissionais;
criado um grupo consultivo de capacitação • desenvolvimento da profissão de segurança
formado por representantes do governo, cibernética, revestindo-a do status de “Royal
empregadores, entidades profissionais, Chartered” até 2020 e formando um corpo
instituições de ensino e meio acadêmico, de profissionais de excelência em segurança
fortalecendo a articulação entre estes setores- cibernética no setor, o qual servirá como
chave. Caberá ao grupo contribuir para a referência para orientar, influenciar e
formulação de uma estratégia de longo prazo que subsidiar as políticas nacionais sobre o tema;
acompanhe a evolução desse vasto domínio que • criação de uma Academia de Defesa
são as ciências digitais, assegurando que as Cibernética como centro de excelência para
questões relativas à segurança cibernética formação e exercícios de segurança
estejam alinhadas e contempladas na estratégia. cibernética no Ministério da Defesa e no
41
setor público em geral, tratando das contínuo de não profissionais de segurança
necessidades de formação especializada e de cibernética, abrangendo todo o mercado de
ensino em geral; trabalho; e
• desenvolvimento de oportunidades de • o Governo e as Forças Armadas terem acesso
colaboração nas áreas de formação e ensino a especialistas cibernéticos capazes de
entre governo, Forças Armadas, iniciativa preservar a segurança e a resiliência do Reino
privada e meio acadêmico, bem como Unido.
estruturas para a manutenção e aplicação
dos conhecimentos adquiridos; e 7.2. ESTÍMULO AO CRESCIMENTO NO SETOR DE
• atuação junto ao setor privado para expandir SEGURANÇA CIBERNÉTICA
o programa CyberFirst, identificando e
formando um banco diversificado de jovens
7.2.1. Nossa moderna economia digital requer
talentos para defender a nossa segurança
um setor de segurança cibernética inovador e
nacional; e
pujante. As empresas de segurança cibernética
• inclusão da segurança cibernética e
do Reino Unido oferecem tecnologias líderes de
tecnologias digitais nos cursos relacionados
mercado, além de serviços de formação e
oferecidos pelo sistema de ensino, desde o
consultoria aos setores privado e público. Mas,
ensino primário até a pós-graduação,
por mais que Reino Unido detenha posição de
estabelecendo padrões de excelência,
liderança no setor, enfrenta uma concorrência
melhorando a qualidade e construindo uma
feroz para permanecer à frente. Há também
base sólida para o avanço no tema.
barreiras a serem superadas pelo governo. Ainda
que as empresas e instituições de ensino e
Por ser o ensino um aspecto descentralizado no
pesquisa do Reino Unido sejam capazes de
Reino Unido, algumas dessas iniciativas
desenvolver tecnologias de ponta, algumas
acontecerão predominantemente na Inglaterra.
necessitam de apoio para desenvolver os
No entanto, atuaremos em colaboração com as
conhecimentos comerciais e empresariais
Administrações Regionais para promover uma
necessários para obterem êxito no mercado.
abordagem harmonizada nos sistemas de ensino
Existem lacunas de financiamento que impedem
do país.
o crescimento e expansão de PMEs em novos
mercados e territórios. Os produtos e serviços
Avaliação dos resultados
mais inovadores, capazes de contribuir para nos
manter à frente das ameaças, enfrentam
7.1.10. O êxito do governo em fortalecer a
dificuldade em encontrar clientes dispostos a
capacitação em segurança cibernética será
serem os primeiros a adotarem as soluções.
avaliado a partir dos avanços alcançados em
Superar esses desafios exige que o governo, o
busca dos seguintes resultados:
setor privado e o meio acadêmico trabalhem
juntos de forma efetiva.
• existirem rotas efetivas e claras para o
ingresso na profissão de segurança
Objetivo
cibernética, que sejam atraentes para
pessoas de diversas origens;
7.2.2. O governo fomentará a criação de um setor
• até 2021, a segurança cibernética ser
de segurança cibernética inovador, próspero e
ensinada efetivamente como parte
em crescimento no Reino Unido, formando um
integrante dos cursos relacionados, desde o
ecossistema em que:
ensino primário até a pós-graduação;
• a segurança cibernética ser amplamente
• as empresas de segurança possam ter êxito e
reconhecida como profissão estabelecida,
obter os investimentos necessários para o
com trajetórias de carreira bem definidas, e
seu crescimento;
ser revestida do status de “Royal Chartered”;
• as melhores mentes do governo, do meio
• integração de conhecimentos adequados em
acadêmico e do setor privado possam atuar
segurança cibernética no desenvolvimento
42
de forma colaborativa para estimular a eficazes para sanar esses problemas. Para isso, é
inovação; e preciso facilitar os negócios entre empresas
• os clientes do governo e do setor privado menores e a administração pública. É preciso
tenham a confiança e estejam preparados também que o governo seja menos avesso ao
para adotar serviços de ponta. risco de testar e utilizar novos produtos. Será
uma solução vantajosa para ambas as partes: o
Nossa abordagem governo,que poderá contar com os melhores
serviços disponíveis no mercado, e as tecnologias
7.2.3. Para isso, pretende-se: inovadoras, que terão um cliente disposto a
adotá-las antecipadamente, facilitando a
• comercializar a inovação no meio acadêmico, captação de investimentos e a expansão da base
oferecendo capacitação e consultoria nesse de clientes. Todas as esferas do governo,
sentido aos acadêmicos; inclusive as Administrações Regionais, serão
• criar dois centros de inovação que fomentem incentivadas a adotar abordagens similares.
o desenvolvimento de produtos cibernéticos
de ponta e a criação de novas e dinâmicas “Queremos criar um ecossistema cibernético
empresas de segurança cibernética, os quais propício à proliferação de start-ups cibernéticas e
formarão a base de um conjunto de que permita que obtenham os investimentos e o
iniciativas destinadas a dar às start-ups o apoio necessário para conquistar negócios
apoio que necessitam para conquistar seus mundo afora, além de formar um pipeline de
primeiros clientes e atrair novos inovação que canalize ideias entre o setor
investimentos; privado, o setor público e o meio acadêmico”.
• destinar parte dos £ 165 milhões do Fundo
de Defesa e Inovação Cibernética (Defence Matt Hancock,
and Cyber Innovation Fund) para financiar a Ministro de Estado da Cultura e Assuntos Digitais
contratação de produtos e serviços
inovadores em defesa e segurança;
Avaliação dos resultados
• disponibilizar instalações de teste onde as
empresas possam desenvolver seus
7.2.5. O êxito do governo em fomentar o
produtos, além de uma metodologia que
crescimento do setor de segurança cibernética
agilize a avaliação da próxima geração de
será avaliado a partir dos avanços alcançados em
produtos e serviços de segurança cibernética,
busca dos seguintes resultados:
proporcionando ao consumidor maior
confiança em seu uso;
• crescimento anual acima da média do setor
• utilizar os conhecimentos coletivos
cibernético do Reino Unido;
adquiridos pela Parceria Público-Privada para
• aumento significativo do investimento em
o Crescimento Cibernético, a fim de orientar
empresas embrionárias;
futuras intervenções de crescimento e
• adoção pelo governo de tecnologias de
inovação;
segurança cibernética mais inovadoras e
• auxiliar empresas de todos os portes em seus
eficazes.
esforços de expansão e acesso aos mercados
internacionais; e
• promover a adoção de normas
internacionalmente aceitas que viabilizem o 7.3. PROMOÇÃO DA CIÊNCIA E DA TECNOLOGIA
acesso ao mercado do Reino Unido. DE SEGURANÇA CIBERNÉTICA
7.2.4. O peso dos contratos públicos também 7.3.1. O forte setor de ciência e tecnologia do
será utilizado para estimular a inovação. O Reino Unido e suas pesquisas de ponta sustentam
governo enfrenta alguns dos maiores desafios e sua posição de liderança global em segurança
maiores ameaças de segurança cibernética. cibernética. Para preservar e consolidar a
Podemos, e devemos, buscar as soluções mais reputação do Reino Unido como líder mundial em
43
pesquisa de ponta, nossas instituições de tecnologia que o governo, o setor privado e o
pesquisa devem continuar a atrair as mentes meio acadêmico consideram importantes e as
mais brilhantes no campo da segurança lacunas na atual capacidade tecnológica do país.
cibernética. Para isso, devem ser criados centros
de excelência que atraiam os cientistas e 7.3.6. O governo continuará a oferecer
pesquisadores mais capacitados e dinâmicos, e financiamento e apoio aos Centros Acadêmicos
devem ser intensificadas as parcerias entre meio de Excelência, instituições de pesquisa e Centros
acadêmico, governo e setor privado. Nesse de Formação Doutoral. Também será criado um
âmbito, o governo terá um papel de fomentador novo instituto de pesquisa em uma área de
e articulador dessas colaborações. O sucesso importância estratégica. Serão financiados, ainda,
nesses esforços se manifestará na criação de um pesquisas em áreas onde sejam identificadas
ecossistema autossustentável que permita que as lacunas na Estratégia de Ciência e Tecnologia
ideias, e as pessoas, circulem entre os três Cibernética a ser publicada. Dentre as principais
setores de forma mutuamente benéfica. áreas a serem consideradas, destacam-se: análise
de big data; sistemas autônomos; sistemas de
Objetivo controle industrial de alta confiabilidade;
sistemas ciberfísicos e a Internet das Coisas;
7.3.2. Até 2021, o Reino Unido consolidará sua cidades inteligentes; verificação automatizada de
posição como líder mundial em ciência e sistemas; e ciência da segurança cibernética.
tecnologia cibernética. Através de parcerias
flexíveis entre universidades e o setor privado, a 7.3.7. O governo continuará a patrocinar
produção científica será traduzida em produtos e estudantes de doutorado nos Centros
serviços de sucesso comercial. O Reino Unido Acadêmicos de Excelência, ampliando o número
deve manter sua reputação de excelência em de britânicos com conhecimentos cibernéticos
inovação, inclusive nas áreas que estão entre especializados.
suas grandes vocações, como o setor financeiro.
7.3.8. Serão mantidas parcerias com órgãos como
Nossa abordagem Innovate UK e com os Conselhos de Pesquisa, a
fim de promover a colaboração entre setor
7.3.3. Para isso, o governo incentivará a privado, governo e meio acadêmico. Para
colaboração, modelos inovadores e flexíveis para subsidiar essas parcerias, serão analisadas as
o financiamento de pesquisas, e a melhores práticas relacionadas a classificações de
comercialização da produção científica. O segurança e serão identificados especialistas com
governo fará com que os aspectos humanos e credenciamento de segurança, incluindo
comportamentais do crime cibernético recebam a acadêmicos. Dessa forma, até mesmo os
devida atenção e que não apenas os sistemas trabalhos que envolvam interação entre o espaço
técnicos, como também os processos de negócios público e o sigiloso poderão ocorrer da forma
e estruturas organizacionais, sejam contemplados mais colaborativa possível.
na ciência e tecnologia cibernética.
7.3.9. O governo lançará e financiará um “grande
7.3.4. Essas ações contribuirão para a criação de desafio” que consistirá em identificar e fornecer
produtos, sistemas e serviços que sejam “seguros soluções inovadoras para alguns dos problemas
por padrão”, que contemplem os aspectos de mais urgentes na segurança cibernética. A
segurança desde sua concepção, e que exijam a CyberInvest, uma nova parceria público-privada
escolha deliberada do usuário de desabilitar os de apoio à pesquisa em segurança cibernética de
recursos de segurança. ponta e à proteção do Reino Unido no
ciberespaço, fará parte da nossa estratégia na
7.3.5. Será publicada uma Estratégia de Ciência e construção de parcerias entre o meio acadêmico,
Tecnologia Cibernética após ampla consulta junto governo e iniciativa privada.
a parceiros e outras partes interessadas. Nela
serão identificadas as áreas de ciência e Avaliação dos resultados
44
• identificar lacunas nos trabalhos atuais e
7.3.10. O êxito do governo em promover a ciência coordenar os trabalhos entre disciplinas a fim
e tecnologia em segurança cibernética será de desenvolver uma abordagem holística de
avaliado a partir dos avanços alcançados em monitoramento do horizonte da segurança
busca dos seguintes resultados: cibernética;
• promover uma melhor integração dos
• aumento significativo do número de aspectos técnicos da segurança cibernética
empresas britânicas capazes de comercializar com as ciências comportamentais;
com êxito a produção científica cibernética, e • apoiar o monitoramento rigoroso do
redução das lacunas identificadas na mercado do crime cibernético, visando
capacidade de pesquisa em segurança identificar novas ferramentas e serviços que
cibernética do Reino Unido, através de viabilizem a transferência tecnológica para
medidas eficazes para preenchê-las; e estados hostis, terroristas ou criminosos;
• o Reino Unido ser considerado um líder • analisar tecnologias emergentes de controle
global em pesquisa e inovação em segurança de processos conectados à Internet;
cibernética. • antecipar-se às vulnerabilidades associadas
às moedas digitais; e
7.4. MONITORAMENTO EFETIVO DO HORIZONTE • monitorar as tendências do mercado
relacionadas às tecnologias de
telecomunicações, desenvolvendo defesas
7.4.1. O Governo deve assegurar que os
precoces contra futuros ataques previstos.
processos de decisão acompanhem a evolução
cibernética, geopolítica e tecnológica. Para isso, é
7.4.4. Reconhecemos que o monitoramento de
preciso fazer uso efetivo de um amplo processo
horizonte ultrapassa o aspecto técnico,
de monitoramento e análise do horizonte.
englobando também as dimensões política,
Precisamos investir na antecipação às futuras
econômica, legislativa, social e ambiental. A
ameaças e às mudanças no mercado que possam
segurança cibernética é apenas um dos aspectos
afetar nossa resiliência cibernética nos próximos
que um monitoramento de horizonte eficaz é
cinco a dez anos. Precisamos de programas de
capaz de abordar. Portanto, nas atividades de
monitoramento de horizonte que gerem
monitoramento de horizonte nessas outras áreas
recomendações para subsidiar a política
das políticas públicas, devem ser levadas em
governamental atual e futura e o planejamento
conta eventuais repercussões na segurança
de nossos programas.
cibernética.
Objetivo
7.4.5. Também devemos assegurar que a
formulação de políticas cibernéticas siga uma
7.4.2. O governo assegurará que seja feita uma
abordagem baseada em evidências, considerando
avaliação rigorosa do risco cibernético, e que essa
as avaliações de todas as fontes disponíveis. Essas
avaliação seja integrada nas políticas de
fontes podem incluir, por exemplo:
segurança cibernética e outras políticas
tecnológicas, juntamente com análises de “todas
• evidências técnicas específicas, por exemplo,
as fontes” (all-source) e outras evidências
sobre a Internet das Coisas ou a futura
disponíveis. Serão consolidadas as análises de
participação de materiais avançados no
horizonte da área de segurança nacional e de
mercado; e
outras áreas para assegurar uma avaliação
• tendências estratégicas e sociais
holística dos desafios e oportunidades
internacionais e seu impacto na esfera
emergentes.
cibernética.
Nossa abordagem
7.4.6. Devemos assegurar que a segurança
cibernética seja contemplada no âmbito da Célula
7.4.3. Nesse sentido, pretende-se:
de Análise de Tecnologias e Inovações
45
Emergentes (Emerging Technology and
Innovation Analysis Cell – ETIAC), órgão
interministerial a ser criado para identificar
ameaças e oportunidades tecnológicas relevantes
para a segurança nacional, e que o espaço
cibernético seja objeto das análises realizadas nas
atuais estruturas de monitoramento de
horizonte, inclusive nas análises do Government
Futures Group (GFG) e do Grupo Consultivo da
Secretaria do Gabinete para Monitoramento de
Horizonte (Cabinet Secretary’s Advisory Group on
horizon scanning – CSAG).
46
econômico e sustentando a segurança nacional
8. AÇÃO INTERNACIONAL do país. Nesse sentido, o Reino Unido continuará
a: defender o modelo multi-participado de
governança da Internet; opor-se à localização de
8.1. Nossa prosperidade econômica e bem-estar
dados; e atuar na capacitação de nossos
social dependem cada vez mais da abertura e
parceiros para fortalecer sua segurança
segurança de redes que se estendem além das
cibernética. Para reduzir as ameaças ao Reino
nossas fronteiras. É fundamental que
Unido e aos nossos interesses, muitos dos quais
trabalhemos em estreita colaboração com
têm origem no exterior, procuraremos influenciar
parceiros internacionais para assegurar a
os processos de decisão dos atores envolvidos em
continuidade de um espaço cibernético livre,
cibercriminalidade, espionagem cibernética e
aberto, pacífico e seguro, e que continue a
atividades cibernéticas destrutivas, e daremos
proporcionar esses benefícios. A tendência é que
continuidade à construção de estruturas de
essas parcerias se tornem ainda mais importantes
cooperação internacional.
a partir da integração dos próximos bilhões de
usuários na Internet.
Nossa abordagem
8.2. A cooperação internacional em questões
8.4. Para isso, pretende-se:
cibernéticas tornou-se uma parte fundamental do
debate mundial sobre economia e segurança.
• fortalecer e adotar uma compreensão
Trata-se de uma área das políticas públicas que
consensual daquilo que constitui
vive uma rápida evolução, sem que haja uma
comportamento responsável por parte dos
visão internacional unificada sobre o tema. O
Estados no espaço cibernético;
Reino Unido e seus aliados têm tido algum êxito
• consolidar o consenso de que o direito
na implantação de um sistema internacional
internacional se aplica no ciberespaço;
regulamentado: houve consenso de que o direito
• continuar a promover a definição de normas
internacional se aplica no espaço cibernético; que
voluntárias, não vinculativas, de
os direitos humanos também se aplicam no
comportamento responsável dos Estados;
espaço cibernético da mesma forma que fora
• apoiar a propositura e implementação de
dele; e houve amplo consenso de que a
medidas para fortalecer a confiança;
abordagem multi-participada é a melhor forma
• ampliar a nossa capacidade de desarticular e
de tratar das complexidades da governança da
levar os criminosos atuantes no exterior à
Internet. No entanto, com as crescentes
justiça, principalmente em jurisdições que
divergências quanto à melhor forma de abordar o
apresentam dificuldade de fiscalização;
desafio de conciliar a segurança nacional com os
• contribuir para a criação de um ambiente
direitos e liberdades individuais, o consenso
que permita que as nossas agências policiais
mundial, se é que existe, permanece frágil.
trabalhem em conjunto para eliminar os
espaços em que cibercriminosos possam agir
“Devemos atuar em âmbito internacional para impunes;
chegar a um consenso quanto às normas • promover a resiliência do espaço cibernético,
necessárias para garantir a futura segurança e influenciando as normas técnicas
prosperidade do Reino Unido no ciberespaço”. internacionais que regem as tecnologias
Boris Johnson, emergentes (incluindo a criptografia),
Secretário de Relações Internacionais tornando o espaço cibernético mais seguro
em sua concepção, e promovendo as
melhores práticas adotadas no mercado;
Objetivos • atuar para desenvolver abordagens comuns
entre países que partilham da mesma visão
8.3. O Reino Unido almeja preservar a longo em áreas como criptografia robusta, que têm
prazo um espaço cibernético livre, aberto, implicações transfronteiriças;
pacífico e seguro, impulsionando o crescimento
47
• contribuir para a capacitação de terceiros propiciam uma plataforma neutra para a
para o enfrentamento das ameaças ao Reino colaboração com parceiros internacionais.
Unido e aos nossos interesses no exterior;
• continuar a apoiar nossos parceiros no Avaliação dos resultados
desenvolvimento de sua segurança
cibernética: tendo em vista que dividimos o 8.6 O êxito do governo em promover seus
mesmo espaço cibernético, seremos interesses internacionais em matéria de
coletivamente mais fortes se cada país segurança cibernética será avaliado a partir dos
reforçar suas defesas; avanços alcançados em busca dos seguintes
• garantir que a OTAN esteja preparada para resultados:
os conflitos do século XXI, que terão como
palco não apenas o campo de batalha, como • fortalecimento da colaboração internacional,
também o espaço cibernético; reduzindo as ameaças cibernéticas ao Reino
• atuar junto aos nossos aliados para assegurar Unido e aos seus interesses no exterior;
que a atuação da OTAN seja tão eficaz no • definição consensual daquilo que constitui
espaço cibernético quanto o é em terra, no comportamento responsável por parte dos
ar e no mar; e Estados no espaço cibernético;
• garantir que o “London Process”, uma série • reforço da segurança cibernética dos nossos
de conferências internacionais sobre o parceiros internacionais; e
espaço cibernético, continue a promover um • consolidação do consenso internacional
consenso internacional no sentido de um quanto aos benefícios de um espaço
espaço cibernético livre, aberto, pacífico e cibernético livre, aberto, pacífico e seguro.
seguro.
50
segurança cibernética em toda a economia e na
10. CONCLUSÃO: SEGURANÇA CIBERNÉTICA sociedade.
ALÉM DE 2021
10.4. Mesmo no cenário mais otimista, alguns dos
desafios enfrentados pelo Reino Unido no
10.1. A rápida evolução do meio cibernético trará
domínio cibernético, seja pela sua dimensão ou
constantemente novos desafios em função dos
por sua complexidade, podem exigir um prazo
avanços tecnológicos e das tentativas de nossos
superior a cinco anos para serem superados.
adversários de explorá-los. Nesse contexto, esta
Contudo, esta estratégia estabelece os meios
estratégia visa assegurar a existência de um
para transformar a nossa segurança no futuro e
conjunto de políticas, instrumentos e recursos
salvaguardar a nossa prosperidade na era digital.
que garantam uma resposta rápida e flexível a
cada novo desafio que surgir.
51
ANEXO 1: SIGLAS O CPNI mantém parcerias sólidas com
organizações do setor privado inseridas na
infraestrutura nacional, criando um ambiente de
confiança onde possa haver um intercâmbio de
CCA– Centre for Cyber Assessment (Centro de
informações em benefício de todos. As relações
Análise Cibernética). Vinculado ao NCSC, realiza
diretas são ampliadas por uma rede estendida
análises de ameaças cibernéticas a serviço do
que abrange outras repartições públicas e
governo britânico, dando subsídios à formulação
organizações de serviços profissionais.
de políticas.
DDoS – Distributed Denial of Service (Ataque
CERT – Computer Emergency Response Team
Distribuído de Negação de Serviço). Inundação de
(Equipe de Resposta a Emergências Informáticas).
um sistema de informação com um número de
solicitações superior ao que é capaz de suportar,
CERT-UK – Equipe de Resposta a Emergências
impedindo o acesso de usuários autorizados.
Informáticas no Reino Unido.
GCHQ – Government Communications
CESG– Autoridade técnica nacional para
Headquarters; centro para atividades de
asseguração de informações no Reino Unido.
inteligência de sinais do governo e autoridade
Oferece um serviço especializado, independente,
técnica cibernética nacional (Cyber National
de pesquisa e inteligência em segurança da
Technical Authority – NTA).
informação para o governo do Reino Unido.
TIC – Tecnologias da Informação e das
IEC– Infraestrutura Crítica. Elementos críticos da
Comunicações.
infraestrutura (ativos, instalações, sistemas,
redes ou processos e os trabalhadores essenciais
MD – Ministério da Defesa
responsáveis por sua operação ou manutenção)
cuja perda ou comprometimento possa causar:
OTAN – Organização do Tratado do Atlântico
Norte.
a. grandes impactos prejudiciais à
disponibilidade, à integridade ou ao
NCA – Agência Nacional de Combate ao Crime
fornecimento de serviços essenciais,
(National Crime Agency); departamento
incluindo serviços cuja integridade, se
governamental não ministerial.
comprometida, possa resultar em
fatalidades ou acidentes de grande
NCSC– National Cyber Security
proporção – considerando os impactos
Centre.
econômicos ou sociais significativos;
e/ou
OSCE– Organização para a Segurança e a
Cooperação na Europa.
b. impactos significativos na segurança
nacional, na defesa nacional ou no
PME – Pequenas e médias empresas.
funcionamento do Estado.
53
Resiliência cibernética – capacidade geral dos Domain Name System (DNS) – sistema de
sistemas e organizações de resistir a eventos nomeação para computadores e serviços de rede
cibernéticos e recuperar-se de eventuais danos com base em uma hierarquia de domínios.
causados.
Doxing– prática de pesquisar, ou hackear, as
Segurança cibernética – proteção aos sistemas informações cadastrais da vítima na Internet,
interligados (hardwares, softwares e para então publicá-las.
infraestruturas associadas), aos dados neles
contidos e aos serviços que disponibilizam, contra E-commerce – comércio eletrônico. Comércio
o acesso não autorizado, prejuízos ou uso realizado ou facilitado pela Internet.
indevido. Isso inclui prejuízos causados pelo
operador do sistema, seja intencional ou Criptografar – transformar criptograficamente os
acidentalmente, ao não seguir os procedimentos dados (chamados de “texto simples”) em “texto
de segurança ou ao ser manipulado para cifrado” para ocultar o significado original dos
provocar tais prejuízos. dados, evitando que sejam conhecidos ou
utilizados.
Desafio de Segurança Cibernética – competição
que incentiva interessados a testar suas Monitoramento de horizonte – análise
habilidades e a se interessar pela carreira de sistemática de informações para identificar
segurança cibernética. possíveis ameaças, riscos, questões e
oportunidades emergentes, permitindo uma
Espaço cibernético – a rede interdependente de melhor preparação e a inclusão de ações de
infraestruturas de tecnologia da informação, que mitigação e exploração no processo de
inclui a Internet, as redes de telecomunicações, formulação de políticas.
os sistemas informáticos, dispositivos ligados à
Internet e os processadores e controladores Tratamento de incidentes – gerenciamento e
incorporados. Pode se referir também ao mundo coordenação das atividades de investigação e
ou domínio virtual enquanto experiência ou tratamento da ocorrência, ou possível ocorrência,
conceito abstrato. de um evento cibernético adverso que possa
comprometer ou causar danos a um sistema ou
Ameaça cibernética – qualquer fato capaz de uma rede.
comprometer a segurança ou causar prejuízos
aos sistemas de informação e aos dispositivos Resposta a incidentes – atividades que tratam
ligados à Internet (incluindo hardwares, dos efeitos diretos de curto prazo de um
softwares e infraestruturas associadas), aos incidente, podendo também contribuir para a
dados neles contidos e aos serviços que recuperação no curto prazo.
disponibilizam, principalmente por meios
cibernéticos. Sistema de Controle Industrial (Industrial Control
System – ICS) – sistema de informação
Violação de dados – movimentação ou empregado no controle de processos industriais
divulgação não autorizada das informações que como manufatura, movimentação de produtos,
circulam em uma rede para um terceiro não produção e distribuição, ou no controle de ativos
autorizado a acessar ou visualizar essas de infraestrutura.
informações.
Internet das Coisas Industrial (Industrial Internet
Domínio – o nome de domínio indica a of Things – IIoT) – aplicação do conceito de
localização de uma organização ou outra Internet das Coisas às tecnologias de manufatura
entidade na Internet e corresponde a um e industriais.
endereço IP (Internet Protocol).
Insider– pessoa com acesso autorizado aos dados
e sistemas de informação de uma organização e
54
que pode representar uma ameaça cibernética,
seja intencional, acidental ou inconscientemente. Ransomware – software malicioso que impede o
acesso do usuário a seus arquivos, computador
Integridade – qualidade das informações precisas ou dispositivo até que pague um resgate.
e completas e que não tenham sido alteradas
acidental ou deliberadamente. Reconhecimento – fase de um ataque em que o
invasor reúne informações e mapeia as redes,
Internet – rede mundial de computadores que além de testá-las para identificar vulnerabilidades
oferece diversas facilidades de informação e de que possam ser exploradas e hackeadas.
comunicação, constituída de redes interligadas
que utilizam protocolos de comunicação Risco – possibilidade de que determinada ameaça
padronizados. cibernética explore as vulnerabilidades de um
sistema de informação, causando prejuízos.
Internet das Coisas – totalidade dos dispositivos,
veículos, edifícios e outros elementos dotados de Roteador – dispositivo responsável pela
sistemas eletrônicos, softwares e sensores que se interconexão de redes lógicas e encaminhamento
comunicam e intercambiam dados pela Internet. de informações para outras redes com base em
endereços IP.
London Process – conjunto de medidas
resultantes da Conferência de Londres sobre o Script kiddie – indivíduo com poucos
Ciberespaço em 2011. conhecimentos que utiliza scripts ou programas
prontos, encontrados na Internet, para realizar
Malware – software ou código malicioso. Os ataques cibernéticos, como defacements.
malwares incluem vírus, worms, trojans e
spywares. Segurança por padrão – meios para possibilitar o
uso seguro de tecnologias comerciais, em que a
Rede (de computadores) – conjunto de segurança é garantida por padrão para o usuário.
computadores hospedeiros (host) juntamente
com as sub-redes ou inter-redes através das quais Segurança na concepção (Secure by design) –
se comunicam. refere-se a softwares, hardwares e sistemas
projetados desde sua concepção para oferecerem
Capacidade ofensiva cibernética – emprego de segurança.
recursos cibernéticos para obstruir, negar,
degradar ou destruir redes de computadores e Spoofing de SMS – técnica que permite mascarar
dispositivos conectados à Internet. a origem de uma mensagem de texto SMS,
substituindo o número de origem (Sender ID) por
Patch – é o processo de atualização de softwares um texto alfanumérico. Pode serutilizada
para corrigir bugs e vulnerabilidades legitimamente por um remetente para substituir
seu número de celular por seu próprio nome, ou
Testes de penetração – atividades destinadas a pelo nome de sua empresa, por exemplo. Pode
testar a resiliência de uma rede ou instalação também ser empregada de forma ilegítima, por
contra hackers, atividades estas que são exemplo, para representar fraudulentamente um
autorizadas ou patrocinadas pela organização a terceiro.
ser submetida aos testes.
Engenharia social – técnicas utilizadas por
Phishing – uso de e-mails que aparentam ser de invasores para enganar e manipular as vítimas,
um remetente confiável para induzir os induzindo-as a executar uma ação ou revelar
destinatários a clicar em links maliciosos ou informações confidenciais.
anexos contaminados com malwares, ou a Essas ações geralmente consistem na abertura de
compartilhar informações sigilosas com terceiros uma página Web maliciosa ou de um anexo
desconhecidos. indesejado.
55
Trusted Platform Module (TPM) – padrão
internacional para criptoprocessadores seguros:
microprocessadores dedicados destinados a
proteger os hardwares pela integração de chaves
criptográficas nos dispositivos.
56
ANEXO 3: SÍNTESE DO PROGRAMA DE IMPLEMENTAÇÃO
Visão: que o Reino Unido seja um país seguro e resiliente às ameaças cibernéticas, próspero e confiante
no mundo digital.
57
causados ao Reino resposta a incidentes.
Unido, e de combater • Abordarmos as causas-raiz dos ataques a nível nacional, reduzindo
seus adversários a ocorrência de ataques repetidos às mesmas vítimas e setores.
cibernéticos.
4. Nossas parcerias com • Dificultação de ações de “phishing” por meio de defesas em DEFENDER
o setor privado em grande escala contra a utilização de domínios maliciosos e uma
matéria de defesa proteção antiphishing mais ativa, e dificultação do uso de outras
cibernética ativa formas de comunicação, como “vishing” e spoofing de SMS, em
contribuírem para ataques de engenharia social;
tornar ineficazes os • Bloqueio de uma proporção muito maior das comunicações de
ataques de phishing e malwares e artefatos técnicos associados a ataques e exploração
malware promovidos cibernética.
em grande escala. • O tráfego de Internet e de telecomunicações no Reino Unido ser
significativamente menos vulnerável a reencaminhamento por
atores maliciosos.
• Fortalecimento expressivo da capacidade de resposta do GCHQ,
das Forças Armadas e da NCA diante de graves ameaças
patrocinadas por Estados e criminosos.
5. O Reino Unido tornar- • A maioria dos produtos e serviços comerciais disponíveis no Reino DEFENDER
se um país mais Unido em 2021 contribuir para tornar o país mais seguro por
seguro pela promoção possuir recursos de segurança habilitados por padrão ou
de produtos e serviços integrados em sua concepção.
de tecnologia que • Os serviços públicos contarem com a confiança da população por
tenham a segurança serem implementados com o maior grau de segurança possível e
integrada em sua por estarem os níveis de fraude dentro de parâmetros de risco
concepção e aceitáveis.
habilitada por padrão.
6. As redes e serviços • O governo conhecer profundamente o nível de risco à segurança DEFENDER
públicos terem cibernética em todo o governo e no setor público em geral.
máxima segurança • Todas as repartições públicas e outros órgãos protegerem-se
desde sua proporcionalmente ao seu nível de risco e segundo um padrão
implementação mínimo definido para o setor público.
inicial. Os cidadãos • As diversas repartições da administração pública e o setor público
poderem utilizar os em geral serem resilientes e capazes de responder com eficácia a
serviços digitais do incidentes cibernéticos, mantendo suas funções e se recuperando
governo confiantes de com rapidez.
que suas informações • As novas tecnologias e serviços digitais implantados pelo governo
estão protegidas. terem segurança cibernética integrada por padrão.
• O governo ter conhecimento e mitigar ativamente todas as
vulnerabilidades conhecidas da Internet nos sistemas e serviços
públicos.
• Todos os fornecedores do governo atenderem às normas de
segurança cibernética definidas.
7. Todas as organizações • O governo conhecer o nível de segurança cibernética nas IEC e DEFENDER
no Reino Unido, adotar medidas para intervir, quando necessário, para promover
independente de seu melhorias de interesse nacional.
porte, adotarem uma • Nossas empresas e organizações mais importantes estarem
gestão eficaz de riscos conscientizadas quanto ao nível da ameaça e adotarem práticas
cibernéticos, tendo proporcionais de segurança cibernética.
por base as diretrizes • O nível de segurança cibernética da economia britânica ser igual
formuladas pelo NCSC ou superior ao das economias avançadas comparáveis.
e uma combinação • O número, a gravidade e o impacto dos ataques cibernéticos bem-
equilibrada de sucedidos contra empresas no Reino Unido se reduzir como
regulamentação e consequência da aplicação de normas de higiene cibernética.
incentivos. • Serem registradas melhorias na cultura de segurança cibernética
no Reino Unido, fruto da maior conscientização das organizações
e da população sobre os níveis de risco cibernético e as medidas
de higiene cibernética que devem tomar para geri-los.
8. Existir no Reino Unido • Crescimento anual acima da média do setor cibernético do Reino DESENVOLVER
um ecossistema Unido;
propício para o • Aumento significativo do investimento em empresas
58
desenvolvimento e embrionárias;
manutenção de um
setor de segurança
cibernética capaz de
atender às nossas
demandas de
segurança nacional.
9. O Reino Unido • Existirem rotas efetivas e claras para o ingresso na profissão de DESENVOLVER
manter, de forma segurança cibernética, que sejam atraentes para pessoas de
sustentável, uma diversas origens.
safra permanente de • Até 2021, a segurança cibernética ser ensinada efetivamente
profissionais como parte integrante dos cursos relacionados no sistema de
cibernéticos formados ensino, desde o ensino primário até a pós-graduação;
internamente para • A segurança cibernética ser amplamente reconhecida como
atender às demandas profissão estabelecida, com trajetórias de carreira bem definidas,
crescentes de uma e ser revestida do status de “Royal Chartered”.
economia cada vez • Integração de conhecimentos adequados em segurança
mais digital, tanto no cibernética no desenvolvimento contínuo de não profissionais de
setor público quanto segurança cibernética, em todo o mercado de trabalho.
no privado e na • O governo e as forças armadas terem acesso a especialistas
defesa. cibernéticos capazes de preservar a segurança e a resiliência do
Reino Unido.
10. O Reino Unido ser • Aumento significativo do número de empresas britânicas capazes DESENVOLVER
universalmente de comercializar com êxito as pesquisas científicas cibernéticas.
reconhecido como Redução das lacunas identificadas na capacidade de pesquisa em
líder mundial em segurança cibernética do Reino Unido, havendo medidas eficazes
produção científica na para preenchê-las.
área de segurança • O Reino Unido ser considerado um líder global em pesquisa e
cibernética, apoiada inovação em segurança cibernética.
por elevados níveis de
especialização no
setor privado e no
meio acadêmico.
11. O governo do Reino • Integração de processos interministeriais de monitoramento de DESENVOLVER
Unido planejar e se horizonte e de análise all-source na formulação de políticas
preparar para a cibernéticas.
adoção de políticas • O impacto da segurança cibernética ser considerado em todos os
que se antecipem a processos interministeriais de monitoramento de horizonte.
futuras tecnologias e
ameaças, tornando-se
um país “à prova do
futuro”.
12. As ameaças ao Reino • Fortalecimento da colaboração internacional, reduzindo as AÇÃO E INFLUÊNCIA
Unido e aos seus ameaças cibernéticas ao Reino Unido e aos seus interesses no INTERNACIONAL
interesses no exterior exterior;
serem reduzidas • Definição consensual daquilo que constitui comportamento
graças à consolidação responsável por parte dos Estados no espaço cibernético;
do consenso e da • Reforço da segurança cibernética dos nossos parceiros
capacidade internacionais; e
internacional de • Consolidação do consenso internacional quanto aos benefícios de
promover um espaço cibernético livre, aberto, pacífico e seguro.
comportamentos
responsáveis por
parte dos Estados em
um espaço cibernético
livre, aberto, pacífico
e seguro.
13. As políticas, • As responsabilidades do governo em matéria de segurança TRANSVERSAL
organizações e cibernética serem compreendidas e seus serviços serem
estruturas do governo acessíveis.
do Reino Unido serem • Nossos parceiros conhecerem as melhores formas de interação
59
simplificadas para com o governo em assuntos de segurança cibernética
garantir uma maior
coerência e eficácia da
resposta do país à
ameaça cibernética.
60