Escolar Documentos
Profissional Documentos
Cultura Documentos
E CAPACIDADE DE DEFESA
AULA 1
1 2
Conversa inicial
Contextualização e evolução da
cibersegurança e ciberdefesa como temática
de interesse para os governos e para a arena
Tecnologia da informação, Estados e Forças
das Forças Armadas
Armadas
Mapeamento resumido dos principais
Espaço cibernético no campo da segurança e
conceitos derivados do espaço cibernético
defesa nacional brasileira
Estrutura institucional do Brasil para a
Políticas, visões, estratégias e instituições
segurança e defesa cibernética
3 4
5 6
Ciberespaço como sendo um campo de interação
social e base de um desenvolvimento político,
econômico e de segurança
Domínio usado para geração de conflitos e
guerras Conceitos relevantes
Conjuntura do pós-Guerra Fria: novos temas
como riscos globais
Brasil: interesse pela segurança e defesa
cibernética principalmente nos governos
Lula (2003-2011), Dilma (2011-2016), Temer
(2016-2019) e Bolsonaro (2019-atualmente)
7 8
Conceitos relevantes
9 10
11 12
Guerra cibernética: conjunto de ações para
uso ofensivo e defensivo de informações
e sistemas de informações para negar,
explorar, corromper ou destruir valores Ativos de informação
do adversário baseados em informações, Infraestruturas críticas nacionais
sistemas de informação e redes de
Infraestrutura crítica de informação
computadores (Brasil, 2011)
Arena de controle político com o uso de
tecnologias da informação de comunicação
13 14
Ciberespaço: características do
Era da informação afeta a natureza dos
ambiente de conflitos na era da
informação conflitos armados
Inserção de conflitos em um contexto social,
político, geopolítico, econômico, ambiental e
científico-tecnológico mais amplo
15 16
17 18
Estrutura institucional da segurança e
defesa cibernética no Brasil
Descentralização
Estrutura institucional Segurança cibernética
da segurança e defesa
cibernética no Brasil Conselho de Defesa Nacional (CDN)
Câmara de Relações Exteriores e
Defesa Nacional (Creden)
Gabinete de Segurança Institucional
(GSI-PR)
19 20
21 22
Defesa cibernética
Ministério da Defesa
A atuação institucionalizada no
Sistema Militar de Defesa Cibernética ciberespaço
Centro de Defesa Cibernética (CDCiber)
Serviço Federal de Processamento de Dados
(Serpro)
23 24
A atuação institucionalizada no ciberespaço A guerra não é somente um ato político,
mas um verdadeiro instrumento político,
uma continuação das relações políticas, uma
Trabalho conjunto entre chefes de Estado,
realização delas por outros meios. A intenção
seus demais representantes, Forças Armadas
política é o fim, enquanto a guerra é o meio, e
e sociedade civil não se pode conceber o meio independente do
Políticas nacionais: proporcionar coerência fim. Em todas as circunstâncias, a guerra tem
ao emprego de diversos instrumentos, que ser considerada como um instrumento
incluindo os militares, em tempos de guerra político e não como uma coisa independente; é
cibernética e também de sua ausência somente desse ponto de vista que evitaremos
entrar em contradição com toda história da
Guia de operações em momentos necessários guerra (Clausewitz, 1979)
25 26
27 28
Na prática
Finalizando
2013, Edward Snowden: sistemas eletrônicos
e telefônicos do Brasil como alvos de
espionagem por parte dos Estados Unidos
29 30
Finalizando
31
CONVERSA INICIAL
2
Organização e violando uma rede não confidencial de e-mails. Da mesma forma,
em 2013, revelações sobre o sistema de espionagem global dos Estados Unidos
mostraram que até mesmo cidadãos e o governo brasileiro tinham sua
infraestrutura grampeada pelo país norte-americano.
Tais exemplos de acontecimentos não devem ser ignorados, pois são eles
que nos fazem refletir sobre o espaço cibernético não somente como um objeto
exclusivo e limitado às ciências da computação, como também de outras áreas
– inclusive da política, segurança e defesa nacional. Ao constatarmos que a
configuração do espaço cibernético pode afetar e ser afetada por fatores tanto
internos quanto externos, formas de ataque como as citadas acima evidenciam
o ciberespaço como sendo um campo de importância de interação social e base
de um desenvolvimento político, econômico e de segurança (Cruz Junior, 2013),
tendo a atenção dos Estados que possuem, agora, a opção de criar um controle
governamental e político e se proteger de possíveis ameaças.
Assim como em água, mar, terra e espaço, o mundo digital também se
torna um domínio usado para geração de conflitos e guerras como nas áreas
tradicionais em que o Estado atua, ainda que sem fronteiras estabelecidas,
tornando-o responsável por propelir decisões para o desenvolvimento de
estratégias de segurança e defesa cibernética (Deibert, 2002).
Essa intervenção do Estado no espaço cibernético também pode ser
explicada pela conjuntura do pós-Guerra Fria, em que a agenda de segurança
se ampliou em relação ao que já era discutido em níveis tradicionais (Buzan;
Hansen, 2010). Assim, novos fenômenos passaram a ser considerados como
ameaças aos Estados, entendendo novos temas como riscos globais. O contexto
de incerteza em nível estatal no qual que viviam os países, portanto, propiciou a
união das discussões de segurança, de defesa e do ciberespaço no plano
governamental deles.
No que tange ao Brasil, é possível observar o crescente interesse dos
setores governamentais pela segurança e defesa cibernética principalmente nos
governos Lula (2003-2010), Dilma (2011-2016), Temer (2016-2018) e Bolsonaro
(desde 2019), marcados pela criação de mecanismos, instituições e políticas
para garantir a segurança e a defesa do país no ciberespaço.
3
TEMA 2 – CONCEITOS RELEVANTES
4
uso, da organização e da relação de controle entre sistemas e componentes,
essenciais para troca de informações entre esses componentes, dentro de um
mesmo sistema e também entre o sistema e o ambiente (Silva, 2014). Com base
nessa definição, o espaço cibernético e a cibernética procuram ser incorporados
pelo Estado.
Os conceitos de cibersegurança (segurança cibernética) e ciberdefesa
(defesa cibernética) governamental apresentam diferenças se comparados entre
si, já que comportam uma esfera específica de ação do Estado no ciberespaço.
A cibersegurança contém a ação das Forças Armadas e ainda dos serviços de
informática, sendo então um conjunto de medidas que procura garantir o
bem-estar de um Estado e de seu funcionamento regular, seja no ciberespaço,
seja fora dele, desde que derivado de ações acometidas diretamente a ele
(Militão, 2014).
No Brasil, especificamente, a Secretaria de Assuntos Estratégicos do
governo brasileiro se refere à cibersegurança como proteção e garantia de
utilização de ativos de informação estratégicos, incluindo os que estão
conectados às infraestruturas críticas da informação, como redes de
comunicações e de computadores, bem como seus sistemas informatizados que
controlam as infraestruturas nacionais (Brasil, 2011). As atividades voltadas à
cibersegurança também abrangem a interação com órgãos públicos e privados
envolvidos no funcionamento das infraestruturas nacionais, especialmente os
órgãos da administração pública federal (Brasil, 2011).
Por sua vez, a ciberdefesa pode ser entendida como a realização de
missões de defesa nacional a fim de garantir a soberania do Estado no
ciberespaço em âmbito global (Militão, 2014). Ela diz respeito a determinado
conjunto de ações defensivas, exploratórias e ofensivas, no contexto do
planejamento militar, realizadas no espaço cibernético, com os objetivos de
proteger os sistemas de informação do Estado, obter dados para produzir
conhecimento de inteligência e causar consequências aos sistemas de
informação de possíveis inimigos. Em um contexto de preparo e
operacionalização militar, tais ações caracterizam uma guerra cibernética.
É essencial entender o conceito de cibersegurança e ciberdefesa, pois
com base neles é possível compreender como o termo guerra cibernética foi
cunhado. Por mais que não exista um consenso que possa definir o que seja a
guerra cibernética, o ciberespaço age como um pano de fundo para que se possa
5
imaginar que se trate de um conflito travado entre dois ou mais Estados, ou até
mesmo outros atores no ciberespaço (Silva, 2014). No Brasil, o entendimento do
Ministério da Defesa do que seja essa guerra se dá como sendo
7
um novo ambiente de conflitos que foi se consolidando desde o fim do século
XX. Dessa forma, a usual segregação de meios militares e não militares deixou
de ser opção razoável.
Concomitantemente, a fragmentação do poder, em todos os âmbitos da
atividade humana, tem alçado muitos atores não estatais a um papel de
destaque nesse campo de conflito. O ciberespaço apresenta um baixo preço
para que usuários possam explorá-lo, além de lhes dar a opção de se proteger
com total anonimato. Esses dois fatores levam o ambiente a conceder espaço
para uma assimetria de vulnerabilidades que permite ao usuário exercer o poder
mais facilmente do que em qualquer outro campo de domínio estatal, reduzindo
os diferenciais de poder entre o Estado e o usuário (NYE, 2010).
Nesse sentido, desde indivíduos agindo isoladamente ou pela ação do
Estado nos campos civil e militar, o espaço cibernético representa uma nova
arena de controle político com o uso de tecnologias da informação e de
comunicação (Senhoras et al, 2015). Tal pluralidade de atores faz intensificar a
materialização dos ciberconflitos pelas capacidades cibernéticas ofensivas,
defensivas, de espionagem e de inteligência (Healey, 2013).
9
Incidentes de Segurança para a Internet brasileira (CERT.br). Sua finalidade
inclui atuar como um centro de notificação de incidentes de segurança no Brasil,
fornecendo coordenação e suporte nos processos de resposta e incidentes
(CERT.br, 2016b).
Por outro lado, a responsabilidade quanto à defesa cibernética foi
atribuída ao Ministério da Defesa, com participação ativa do Exército Brasileiro.
A principal função é garantir a operação colaborativa em rede das três Forças,
assegurando o princípio da flexibilidade, que, para isso, necessita de uma
autonomia tecnológica. Como resultado disso, o Exército criou o Centro de
Defesa Cibernética (CDCiber), cujas atribuições mais significativas são proteger
os sistemas de informações e neutralizar quaisquer fontes de ataques
cibernéticos, procurando inibir possíveis ciberataques. O CDCiber integra o
Sistema Militar de Defesa Cibernética, que atua em cinco áreas de competência:
Doutrina, Operações, Inteligência, Ciência e Tecnologia e Capacitação de
Recursos Humanos.
Outro importante órgão que auxilia o governo federal no gerenciamento
de ativos no espaço cibernético é o Serviço Federal de Processamento de Dados
(Serpro), a maior empresa pública de prestação de serviços de Tecnologia da
Informação do Brasil. Criada em 1964, tinha como função original modernizar e
agilizar os sistemas de dados estratégicos da Administração Pública da União;
hoje, implementa tecnologias usadas por serviços de diversos órgãos públicos
federais, estaduais e municipais, inclusive os mais básicos. Atualmente,
administra dados extremamente sensíveis de todos os brasileiros, dada a
abrangência de suas atribuições.
10
sentido e se tornam efetivos quando são parte de um contexto mais amplo
(Visacro, 2018), o qual é determinado por políticas nacionais.
A política nacional é a responsável por proporcionar coerência ao
emprego de diversos instrumentos, incluindo os militares em operações de
ciberdefesa, em tempos de guerra cibernética e também de sua ausência. Uma
vez que o uso de poderios para a defesa nacional como um todo não se dá de
forma autônoma1 – ou seja, posto que o poder militar não está sujeito às suas
próprias leis e muito menos obedece a uma dinâmica isenta de nexo ou de
subordinação a uma orientação superior –, a política nacional é que vai guiar
toda a sua operação em momentos necessários.
Essa observação está relacionada com o pensamento de Carl von
Clausewitz, um importante teórico da guerra, que afirma que a guerra é um
fenômeno acima de tudo político:
11
Política de Defesa Cibernética, o Livro Branco de Defesa Nacional e a Doutrina
Militar de Defesa Cibernética. Mais adiante analisaremos os seus conteúdos
para entendermos como se dá a estrutura da defesa cibernética no Ministério da
Defesa.
NA PRÁTICA
FINALIZANDO
12
Tal aspecto poderia representar aos Estados uma ferramenta de destruição
global nas mãos de quem pretende desenvolver ações criminosas por meio do
ciberespaço, operando além das fronteiras geográficas e tornando-se, assim,
uma ameaça emergente. A fim de prevenir e gerenciar conflitos advindos do
ciberespaço, portanto, o Estado conta com as políticas nacionais, ferramentas
elaboradas com o trabalho conjunto entre chefes de Estado, seus demais
representantes, Forças Armadas e até mesmo a sociedade civil.
13
INDÚSTRIA MILITAR NACIONAL
E CAPACIDADE DE DEFESA
AULA 2
1 2
Conversa inicial
3 4
Elaborar um grande plano de defesa com foco Discurso pacifista versus orientações
em ações estratégicas de longo e médio de guerra
prazo Desenvolvimento das capacidades
Três setores estratégicos para a defesa defensivas como preparação para a guerra,
nacional: nuclear, espacial e cibernético mas também para orientar, organizar e
assegurar a autonomia operacional em
Setor cibernético possibilita às forças períodos de paz (Brasil, 2008)
militares atuar em rede e em tempo real
5 6
Respeito ao princípio da não interferência e
solução pacífica de conflitos
O setor cibernético na END
Projeção brasileira como líder regional
Uso da estratégia como uma ferramenta
política em tempos de paz
7 8
9 10
11 12
Criação do CDCiber
Simulador de guerra cibernética
Elaboração de um antivírus nacional
Desenvolvimento de um sistema de
Política de Defesa Cibernética
(PDC)
criptografia
Capacitação de militares para situações
críticas
Alinhamento documental obrigatório às
prioridades definidas pela END
13 14
15 16
17 18
Livro Branco de Defesa Nacional Fomento da base industrial de defesa e a
inovação
Lei Complementar n. 136/2010 Maior liberdade de atuação do governo brasileiro
e das Forças Armadas no espaço cibernético
Documento esclarecedor sobre atividades de
defesa Previsão de quatro ações
Atuação em rede para minimizar despesas, Construção de sede do CDCiber
aumentar produtividade, conferir efetividade e Aquisição da infraestrutura de apoio às
otimizar estruturas de informação e de operações
comunicação
Aquisição de equipamentos e capacitação de
Capacitação, inteligência, pesquisa, doutrina, recursos humanos
preparo e emprego operacional e de pessoal
Implantação dos projetos que estruturam o
Tema a ser enfrentado pelo Brasil Setor Cibernético Brasileiro
19 20
21 22
23 24
Defesa cibernética: conjunto de ações ofensivas, Princípios das militares
defensivas e exploratórias, realizadas no espaço
cibernético, no contexto de um planejamento Princípio do efeito
nacional de nível estratégico, coordenado e Princípio da dissimulação
integrado pelo Ministério da Defesa, com as
Princípio da rastreabilidade
finalidades de proteger os sistemas de
informação de interesse da defesa nacional, Princípio da adaptabilidade
obter dados para a produção de conhecimento Sistema Militar de Defesa Cibernética e CDCiber
de inteligência e comprometer os sistemas de
informação do oponente (Brasil, 2014) Coordenação em operações de guerra cibernética
(G Ciber)
Ameaça cibernética: causa potencial de um
incidente indesejado, que pode resultar em dano Planejada e conduzida, no nível do comando
ao espaço cibernético de interesse (Brasil, 2014) operacional conjunto
25 26
27 28
Na prática
29 30
Finalizando
Explorar o conteúdo da Estratégia Nacional de
Defesa, a Política de Defesa Cibernética, o Livro
Branco de Defesa Nacional e a Doutrina Militar
de Defesa Cibernética
Setor cibernético destacado nas políticas,
estratégias, tomada de decisão e investimento
Cooperação entre o governo e vários setores da
sociedade civil
Campo militar: cibernética já considerada um
novo campo de combate
31
CONVERSA INICIAL
3
TEMA 2 – O SETOR CIBERNÉTICO NA END
4
Tecnologia e Inovação, da Educação, do Planejamento, Orçamento e
Gestão, a Secretaria de Assuntos Estratégicos da Presidência da
República e o Gabinete de Segurança Institucional da Presidência da
República deverão elaborar estudo com vistas à criação da Escola
Nacional de Defesa Cibernética;
d) Desenvolver sistemas computacionais de defesa baseados em
computação de alto desempenho para emprego no setor cibernético e
com possibilidade de uso dual;
(e) Desenvolver tecnologias que permitam o planejamento e a
execução da Defesa Cibernética no âmbito do Ministério da Defesa e
que contribuam com a segurança cibernética nacional, tais como
sistema modular de defesa cibernética e sistema de segurança em
ambientes computacionais;
(f) Desenvolver a capacitação, o preparo e o emprego dos poderes
cibernéticos operacional e estratégico, em prol das operações
conjuntas e da proteção das infraestruturas estratégicas;
(g) Incrementar medidas de apoio tecnológico por meio de laboratórios
específicos voltados para as ações cibernéticas; e
(h) Estruturar a produção de conhecimento oriundo da fonte
cibernética. (BRASIL, 2012a, p. 94-95)
5
como tema central, a Política de Defesa Cibernética (PDC). Sua criação tem por
finalidade, no âmbito do Ministério da Defesa, orientar os planejamentos dos
diversos escalões no que diz respeito ao emprego da segurança e defesa
cibernética, necessário ao cumprimento da destinação constitucional e das
atribuições das Forças Armadas, respeitando-se as peculiaridades operacionais
e táticas (Brasil, 2012b).
O primeiro capítulo da PDC ressalta a importância do trabalho conjunto
da sociedade brasileira como um todo, comunidade acadêmica e setores público
e privado para a produção do conhecimento relacionado ao setor de defesa e
segurança cibernética; dessa forma, a eficácia das ações do Ministério da
Defesa pode ser maior. Contudo, o documento não especifica quais são os
agentes envolvidos diretamente na constituição dos setores cibernéticos no
governo.
Além disso, a PDC determina a Segurança da Informação e
Comunicações (SIC), também de responsabilidade do Departamento de
Segurança da Informação e Comunicações (DSIC – órgão vinculado ao GSI/PR),
como sendo a base da defesa cibernética. Ou seja, não há, segundo o
documento, meios de se realizar a defesa cibernética sem uma ação conjunta
com a atividades de segurança cibernética: “[...] f) a Segurança da Informação e
Comunicações (SIC) é a base da Defesa Cibernética e depende diretamente das
ações individuais; não há Defesa Cibernética sem ações de SIC [...]” (Brasil,
2012b, p. 11).
Quanto aos objetivos da PDC, o segundo capítulo afirma que são
orientados para assegurar o uso efetivo do ciberespaço pelas Forças Armadas
e impedir ou dificultar sua utilização contra os interesses da sociedade. O
documento também visa “definir os princípios básicos que norteiem a criação de
legislação e normas específicas para o emprego no setor cibernético” (BRASIL,
2012b, p. 13). Assim, é possível notar que a intenção é definir políticas
norteadoras para suas ações posteriores.
Como exemplo do referido, o quarto capítulo traz uma orientação para a
produção de conhecimento sobre defesa cibernética com a criação do Sistema
Militar de Defesa Cibernética (SMDC), citado também na Doutrina Militar de
Defesa Cibernética. Com sua criação, seriam determinados o desenvolvimento
e a atualização da PDC (Brasil, 2012b).
6
Sendo o primeiro documento do Ministério da Defesa especificamente
sobre a defesa e segurança do ciberespaço, a elaboração dele e do SMDC indica
e enfatiza a importância, para o órgão, de trabalhar no desenvolvimento de suas
próprias medidas de reconhecimento de ameaças, tomando como
responsabilidade o setor de defesa e segurança cibernética. Isso fica claro em
três de suas diretrizes, no quarto capítulo:
7
Nessa seção, o ambiente digital é abordado como sendo um novo campo
capaz de comprometer os sistemas de defesa brasileiros. Portanto, a presença
do governo brasileiro nesse espaço é prioridade para o LBDN, e sua proteção
deve ser composta pelas áreas de capacitação, inteligência, pesquisa científica,
doutrina, preparo e emprego operacional e de pessoal, ou seja, desenvolvimento
de peopleware.
Tal abordagem do LBDN ao ambiente digital dá ênfase à importância do
ciberespaço como um novo tema que deve ser enfrentado pelo Brasil e pelo
restante do mundo, influenciando o sistema internacional e, portanto, com
implicações para a soberania dos países (Brasil, 2012c). Entre os problemas
apresentados – drogas, escassez de recursos, desastres naturais e atos
terroristas, por exemplo –, o documento aponta soluções que podem residir na
operação da defesa cibernética.
O LBDN também incentiva o fomento da base industrial de defesa e a
inovação. Além disso, ressalta que o país precisa produzir componentes críticos
nacionais, de forma a garantir sua independência tecnológica (Brasil, 2012c).
Dessa forma, a defesa cibernética também consiste em um projeto de
desenvolvimento de aparatos tecnológicos.
Todos os investimentos para o setor cibernético citados pelo LBDN
consistem em garantir o seguinte objetivo:
8
tanto na área militar quanto em diferentes setores do governo e da
sociedade;
2. A aquisição da infraestrutura de apoio às operações;
3. A aquisição de equipamentos e capacitação de recursos humanos, bem
como as aquisições de soluções de hardware e software de defesa
cibernética; e
4. A implantação dos projetos que estruturam o Setor Cibernético Brasileiro,
ampliando assim a capacidade de resposta às ameaças. Tal aspecto, o
da capacidade militar de respostas no campo cibernético, é ponto que se
mostra importante durante todo o LBDN (Brasil, 2012c).
9
Figura 1 – Infográfico de objetivos do Projeto SisGAAz
10
do ciberespaço como atividade cada vez mais fundamental no âmbito das Forças
Armadas.
11
indesejado, que pode resultar em dano ao Espaço Cibernético de interesse”
(Brasil, 2014, p. 18).
Também no segundo capítulo, a Doutrina estabelece que as operações
militares, incluindo as realizadas no ciberespaço, guiam-se por princípios
relevantes: o Princípio do Efeito, que dita que as ações no ciberespaço devem
surtir vantagens estratégicas que afetem o mundo real; o Princípio da
Dissimulação, que defende o uso de medidas para mascarar as ações no
ciberespaço contra o sistema oponente; o Princípio da Rastreabilidade, que
favorece a adoção de medidas para detectar ações inimigas no ciberespaço; e
o Princípio da Adaptabilidade, que consiste na capacidade da defesa cibernética
de adaptar-se ao ciberespaço (Brasil, 2014).
Assim, as ações no ciberespaço devem ser guiadas pelos princípios
citados anteriormente; elas também são listadas pela Doutrina – o ataque
cibernético, a proteção cibernética e a exploração cibernética – e realizadas em
operações de guerra ou não guerra (Brasil, 2014).
O capítulo terceiro da Doutrina Militar de Defesa Cibernética vem para
desenhar a defesa do ciberespaço com base no Sistema Militar de Defesa
Cibernética, um conjunto de instalações, procedimentos e serviços para realizar
as atividades do setor. Como seu órgão central, está o Centro de Defesa
Cibernética (CDCiber), atuando em nível estratégico (Brasil, 2014). Contudo, o
documento deixa claro que a eficácia das ações depende da atuação
colaborativa da sociedade brasileira como um todo, da comunidade acadêmica,
dos setores públicos e privados e da base industrial de defesa, evidenciando a
importância da construção do tema de forma conjunta: “3.1.2 A eficácia das
ações de Defesa Cibernética depende, fundamentalmente, da atuação
colaborativa da sociedade brasileira, incluindo, não apenas o MD, mas também
a comunidade acadêmica, os setores público e privado e a base industrial de
defesa [...]” (Brasil, 2014, p. 25).
O quarto capítulo, por sua vez, configura alguns processos gerais de
coordenação em operações de guerra cibernética (G Ciber), como o nível de
planejamento e condução:
12
oficial superior com o Curso de Estado Maior ou equivalente. (Brasil,
2014, p. 29)
NA PRÁTICA
FINALIZANDO
1 2
Conversa inicial
3 4
5 6
Órgãos de consulta da Presidência da
República
7 8
9 10
11 12
Gabinete de Segurança Institucional da Gabinete de Segurança Institucional da
Presidência da República Presidência da República
13 14
15 16
17 18
CTIR.gov
19 20
21 22
Competências
Atuação em duas áreas
Planejar e executar ações relativas à
obtenção e à análise de dados para a produção Inteligência: atividade de obtenção e
de conhecimentos destinados ao presidente da análise de dados e informações, bem como
República de produção e difusão de conhecimentos
Planejar e executar a proteção de conhecimentos relativos a fatos e situações de imediata
sensíveis ou potencial influência sobre o processo
Avaliar ameaças, internas e externas, à ordem decisório, a ação governamental, a
constitucional salvaguarda e a segurança da
Promover o desenvolvimento de recursos sociedade e do Estado
humanos e da doutrina de Inteligência
23 24
Contrainteligência: atividade que objetiva
prevenir, detectar, obstruir e neutralizar a
inteligência adversa e ações de qualquer Casa Civil
natureza que constituam ameaça à
salvaguarda de dados, informações
e conhecimento de interesse da
segurança da sociedade e do Estado
25 26
27 28
29 30
Centro de Estudos, Resposta e Tratamento
de Incidentes de Segurança no Brasil
Atuar como centro de notificação de incidentes
de segurança no Brasil
Fornecer coordenação e suporte nos processos
de resposta e incidentes Na Prática
Apoio ao processo de recuperação após
incidentes, estabelecendo relações de
cooperação com outras entidade e ajudando a
desenvolver uma cultura de cibersegurança entre
os diversos setores da sociedade brasileira
Treinamento e conscientização
31 32
Na prática
33 34
Finalizando
35
CONVERSA INICIAL
2
Os três primeiros são responsáveis por cuidar dos trabalhos relacionados
à cibersegurança, e o Ministério da Defesa, da ciberdefesa. Essa divisão ocorre
porque, por exemplo, no ciberespaço, a defesa não pode ser realizada da
mesma maneira que em terra ou no mar. A presença de tropas ou tanques não
elimina ataques cibernéticos, mas pode contar com equipes de resposta a
incidentes para desenvolver sistemas de computador cada vez mais seguros.
Portanto, a defesa do ciberespaço não pode ser considerada passiva, mas deve
ser tida como uma medida contínua e preventiva, visando aumentar
continuamente a segurança da informação e da infraestrutura chave nacional.
Com relação à organização do setor público federal, as políticas voltadas
à cibersegurança são conduzidas e/ou assessoradas pelas instituições
elencadas na figura anterior e que serão discutidas nesta aula.
3
da República, fica claro que tais conceitos precisam ser desenvolvidos a fim de
que o governo possa aplicá-los por meio de suas várias agências, com o objetivo
de consolidar a estrutura do órgão e construir suas políticas sobre o ciberespaço
mais claramente.
Assim, dada sua importância estratégica, o CDN deve continuar sendo o
palco de decisões estratégicas relacionadas às ações de cibersegurança e
defesa (Canongia; Mandarino, 2010). Com efeito, essa função pode ser
efetivamente implementada apenas quando os debates sobre a territorialidade
do ciberespaço e a soberania nacional forem intensificados.
Além disso, ainda no âmbito do Conselho de Governo, o Decreto n. 4.801,
de 6 de agosto de 2003, instituiu a Câmara de Relações Exteriores e Defesa
Nacional (Creden). Ela também exerce o papel de assessoramento ao
presidente da República nos assuntos pertinentes às relações exteriores e de
defesa nacional. De acordo com o decreto, o objetivo da Câmara é desenvolver
políticas e diretrizes públicas sobre assuntos pertinentes às relações exteriores
e de defesa nacional, além de aprovar, promover a articulação e supervisionar a
implementação dos planos e ações estabelecidos no âmbito de ações cujo
escopo ultrapasse a competência de um único ministério (Brasil, 2003a).
O texto do decreto também enfatiza alguns tópicos que incluem seus
atributos, a saber: segurança da informação, segurança de infraestrutura crítica
e cibersegurança (Brasil, 2003a). É possível notar certa falta de rigor nessas
atribuições quando pode-se perceber que segurança da informação e segurança
das infraestruturas críticas são tratadas como questões separadas da segurança
cibernética. Pode-se dizer que a própria maneira como esses termos são
utilizados é sintomática de uma dificuldade em se compreender e se adaptar às
questões pertinentes ao ciberespaço.
5
Administração Pública Federal. Portanto, o desempenho pleno de suas funções
é essencial para melhorar a segurança das informações da APF e disseminar a
cultura de cibersegurança, definindo as regras que devem ser seguidas pelos
órgãos governamentais.
O Centro de Tratamento e Resposta a Incidentes Cibernéticos de
Governo (CTIR.gov), por sua vez, é gerenciado pelo DSIC. Ele notifica incidentes
cibernéticos e os analisa nos computadores da APF (CTIR.gov, [s.d.]). Além
disso, seus serviços também incluem resposta e suporte a esses eventos.
De fato, como o CTIR.gov gerencia informações em primeira mão sobre
ataques cibernéticos contra redes federais, é essencial avançar na identificação
de vulnerabilidades na APF. Tais informações podem ser usadas para
determinar tendências e métodos das atividades de ataque, o que pode propiciar
estratégias de prevenção apropriadas para toda a APF.
7
confiança que viabiliza a emissão de certificados digitais para identificação virtual
do cidadão.
O progresso do Brasil no estabelecimento e consolidação de redes que
podem emitir certificados digitais é fundamental para todos os setores da
sociedade. Isso ocorre porque tais certificados permitem que os arquivos sejam
enviados virtualmente e podem garantir a autenticidade deles e de seu autor.
Dessa forma, é possível assegurar que informações e documentos legais
importantes sejam enviados digitalmente de um canto a outro do país,
eliminando a necessidade de se enviarem documentos fisicamente, o que torna
muito lento o processamento de informações.
8
1. Liberdade, privacidade e direitos humanos: o uso da Internet deve
seguir os princípios da liberdade de expressão, privacidade pessoal e
respeito aos direitos humanos, e considerá-la a base da manutenção de
uma sociedade justa e democrática;
2. Democracia e governança cooperativa: a governança da Internet deve
ser conduzida de maneira transparente, multilateral e democrática e
requer a participação de todos os setores da sociedade para manter e
inspirar as características de sua criação coletiva;
3. Universalidade: a Internet deve ser universal para se tornar um meio de
desenvolvimento social e humano e contribuir para a construção de uma
sociedade inclusiva e não discriminatória, que beneficie todas as pessoas;
4. Diversidade: a diversidade cultural deve ser respeitada e mantida, e suas
expressões encorajadas, sem impor crenças, costumes ou valores;
5. Inovação: a governança da Internet deve promover o desenvolvimento
contínuo e a ampla disseminação de novas tecnologias e modelos de uso
e acesso;
6. Neutralidade da rede: Os privilégios de filtragem ou tráfego devem
obedecer apenas a padrões técnicos e éticos e não permitem formas
políticas, comerciais, religiosas, culturais ou quaisquer outras de
discriminação ou favor;
7. Inimputabilidade da rede: a luta contra o comportamento ilegal na
Internet deve alcançar a responsabilidade máxima, não o acesso e o
transporte, e sempre manter os principais princípios de defesa da
liberdade, privacidade e respeito pelos direitos humanos;
8. Função, segurança e estabilidade: é necessário manter ativamente a
estabilidade, segurança e funcionalidade da rede global por meio de
medidas técnicas que atendem aos padrões internacionais e incentivam
a adoção de boas práticas;
9. Padronização e interoperabilidade: a Internet deve se basear em
padrões abertos que permitam a interoperabilidade e a participação de
todos no seu desenvolvimento; e
10. Ambiente legal e regulatório: o ambiente legal e regulatório deve
manter a dinâmica da Internet como espaço de colaboração.
9
garantias constitucionais (como a liberdade de expressão) em um país marcado
pela necessidade de diversidade cultural na rede. Além disso, mantendo os
princípios de privacidade, esse manual também considera totalmente a
necessidade de combater o cibercrime. Obviamente não se trata de uma tarefa
fácil, pois muitas vezes é preciso analisar o fluxo de informações na investigação
sem contar que é muito difícil saber até que ponto essa interceptação é
necessária ou desrespeita a privacidade do cidadão.
Até o momento, todos os aspectos demonstraram a estrutura de
governança forte e bem pensada na Internet e prestaram total atenção à parte
de gerenciamento técnico, requerida para manter seu desenvolvimento nessa
direção.
10
NA PRÁTICA
11
FINALIZANDO
12
INDÚSTRIA MILITAR NACIONAL
E CAPACIDADE DE DEFESA
AULA 4
1 2
Conversa inicial
3 4
5 6
Sistema Militar de Defesa Cibernética Assegurar a capacidade de atuar em rede
(SMDC): conjunto de instalações, com segurança, bem como coordenar e
equipamentos, doutrina, procedimentos, integrar a proteção das infraestruturas
tecnologias, serviços e pessoal essenciais críticas da informação
para realizar as atividades de defesa no Promover a capacitação tecnológica do setor
espaço cibernético cibernético; contribuir para a gestão da
Assegurar o uso efetivo do ciberespaço, bem segurança da informação e comunicações; e
como impedir ou dificultar a sua utilização contribuir para a sensibilização da sociedade
contra interesses da Defesa Nacional acerca da relevância da defesa cibernética
7 8
Estrutura do SMDC
9 10
11 12
Nível estratégico - defesa cibernética
Estado Maior Conjunto das Forças Armadas
(EMCFA)
Nível político - segurança cibernética Comando de Defesa Cibernética (Com D Ciber)
Presidência da República Centro de Defesa Cibernética (CDCiber)
Gabinete de Segurança Institucional Comandos das Forças Armadas
13 14
NÍVEL
POLÍTICO
PRESIDÊNCIA DA REPÚBLICA
ÓRGÃO DA
PRESIDÊNCIA DA
COMITÊ GESTOR DA
INTERNET DO BRASIL
EMCFA: responsável por assessorar o Ministro
de Estado da Defesa na implantação e na
REPÚBLICA
(Segurança cibernética)
CENTRO DE
CENTRO DE TRATAMENTO DE
INCIDENTES DE
gestão do SMDC
TRATAMENTO DE
INCIDENTES DE SEGURANÇA DE REDE
MD SEGURANÇA DE REDE DE COMPUTADORES
DE COMPUTADORES
Ministérios
NÍVEL EMCFA
ESTRATÉGICO COMANDO DA
MARINHA
COMANDO DA
AERONÁUTICA
COMANDO DA
AERONÁUTICA
CDCiber (Defesa
Agências Gov
Instituições
Com D Ciber e CDCiber: atuam sob orientação
e supervisão do Ministério da Defesa, no nível
cibernética) Parceiras
ÓRGÃO (Defesa ÓRGÃO (Defesa
cibernética) cibernética) Dst Cj Def Cib
15 16
17 18
Estrutura do Com D Ciber CDCiber: organização responsável pela
orientação, supervisão e condução das
Estado-Maior Conjunto (EMCj): doutrina e atividades do SMDC
planejamento estratégico de emprego conjunto Encarrega-se da interação do MD com o GSI-PR
das Forças Armadas em Defesa Cibernética
No nível político, atua com o Comitê Gestor da
Centro de Defesa Cibernética (CDCiber): apoio Internet no Brasil (CGl.br), Centro de Tratamento
operacional do Comando do Exército e Resposta a Incidentes Cibernéticos de Governo
Departamento de Gestão e Ensino (DGE): (CTIRGov) e Centro de Estudos, Resposta e
atividades de gestão estratégica, ensino e Tratamento de Incidentes de Segurança no
capacitação de recursos humanos Brasil (CERT.br)
Escola Nacional de Defesa Cibernética Em caso de operações conjuntas, o CDCiber
(ENaDCiber) como centro polarizador de passa ao Controle Operacional do Estado-Maior
ensino e pesquisa de defesa cibernética Conjunto das Forças Armadas (EMCFA)
19 20
21 22
23 24
Nível de alerta
Significado/Interpretação
Cor Nome
• Aplicável quando as ameaças cibernéticas percebidas não afetam o Espaço Cibernético de interesse do MD
• Aplicável quando ações cibernéticas hostis afetam O Espaço Cibernético de interesse, sem comprometer as
infraestruturas críticas da informação.
afetam o ciberespaço, sem comprometer as
infraestruturas críticas da informação
• Aplicável quando houver a percepção de ameaças contra as infraestruturas críticas da informação.
Amarelo Médio • Probabilidade de concretização de ameaças cibernéticas entre média e alta, considerando o histórico.
•
•
•
Aplicável quando as ações cibernéticas hostis degradam alguma Infraestrutura Crítica da Informação.
Probabilidade de concretização de ameaças cibernéticas entre média e alta, considerando o histórico.
Infraestrutura critica da informação atingida, porém com possibilidade de restabelecimento das concisões
Amarelo – médio: ações hostis afetam o
ciberespaço, sem comprometer
Laranja Alto de segurança ou dos serviços em tempos aceitáveis para o cumprimento da missão.
• Infraestrutura crítica da informação atingida com impacto entre médio e alto, considerando o histórico.
• Aplicável quando as ações cibernéticas hostis exploram ou negam a disponibilidade das infraestruturas
críticas da informação.
Probabilidade de concretização de ameaças cibernéticas muito altas, considerando o histórico.
infraestruturas críticas
Vermelho Muito Alto • Infraestrutura crítica da informação atingida com impacto alto ou superior, considerando o histórico.
• Infraestrutura crítica da informação atingida, com possibilidade de restabelecimento da condição de
segurança ou dos serviços em tempos além dos aceitáveis para o da missão.
25 26
27 28
29 30
Na Prática
31 32
Finalizando
Ações concretas visando à potencialização da
ciberdefesa estão sendo implementadas
Sistema Militar de Defesa Cibernética (SMDC) é
Finalizando ferramenta importante para a realização das
ações do Ministério da Defesa
A consecução do SMDC constituiu condição
necessária para a defesa das infraestruturas
críticas nacionais contra ataques cibernéticos
Todo o esforço depende das ações cooperativas
com toda a sociedade brasileira
33 34
CONVERSA INICIAL
1
Dentro do conceito de geração de forças por meio do Planejamento Baseado em Capacidades
(PBC), o Exército Brasileiro define capacidade como a aptidão requerida de uma força ou
organização militar para que possa cumprir determinada missão ou tarefa. Uma nova capacidade
é gerada a partir do desenvolvimento de um conjunto de sete fatores determinantes, inter-
relacionados e indissociáveis: doutrina, organização (e processos), adestramento, material,
educação, pessoal e infraestrutura (Brasil, 2014b).
3
equipamentos, doutrina, procedimentos, tecnologias, serviços e pessoal
essenciais para realizar as atividades de defesa no espaço cibernético. O SMDC
tem por finalidade assegurar, de forma conjunta, o uso efetivo do espaço
cibernético pelas Forças Armadas, bem como impedir ou dificultar a sua
utilização contra interesses da defesa nacional. Além disso, cabe a ele assegurar
a capacidade de atuar em rede com segurança e coordenar e integrar a proteção
das infraestruturas críticas da informação de interesse da defesa nacional, que
são definidas pelo Ministério da Defesa (Brasil, 2014a).
De forma subsidiária, o SMDC deverá ser capaz de promover a
capacitação tecnológica do Setor Cibernético da Defesa em harmonia com a
Política de Ciência, Tecnologia e Inovação do Ministério da Defesa; contribuir
para a gestão da Segurança da Informação e Comunicações (SIC) no âmbito do
Ministério da Defesa e das Forças Armadas; e colaborar na sensibilização da
sociedade brasileira acerca da relevância da defesa cibernética, no âmbito da
defesa nacional (Brasil, 2014a).
4
• gerenciar os níveis de alerta cibernético, em situação de normalidade
institucional, crise ou conflito;
• atribuir a autoria e responder a ataques cibernéticos dirigidos ao espaço
cibernético que sejam do interesse do Ministério da Defesa e das Forças
Armadas;
• contribuir para a obtenção de vantagens estratégica, operacional ou
tática, a partir da realização de ações no domínio cibernético
sincronizadas com a operação militar em curso;
• efetivar a mobilização da capacidade cibernética nacional, sempre que
necessário;
• difundir conhecimentos de inteligência produzidos com base em dados
obtidos por meio da fonte cibernética; e
• gerenciar e empregar pessoal qualificado nas diversas atividades do
SMDC (Brasil, 2014a).
5
Figura 1 – Abrangência estrutural do Sistema Militar de Defesa Cibernética
6
Figura 2 – Estruturas e órgãos na concepção do Sistema Militar de Defesa
Cibernética
7
A consecução do SMDC, portanto, constitui condição necessária para a
defesa das infraestruturas críticas nacionais contra ataques cibernéticos, a qual
se insere na missão constitucional das Forças Armadas, com o apoio da
sociedade civil. Para isso, é imprescindível a realização de campanhas de
sensibilização e conscientização, expondo os prejuízos decorrentes de ataques
cibernéticos contra infraestruturas críticas nacionais, de modo que a sociedade
perceba que é vantajoso cooperar com o esforço nacional de defesa cibernética.
8
da Defesa com o GSI/PR, para fins de participação na segurança cibernética e
obtenção da indispensável cooperação dos setores público e privado e da
comunidade acadêmica no esforço nacional de defesa cibernética. A
organização interna do CDCiber em nível estratégico viabiliza o funcionamento
dos subsistemas e movimenta os processos internos que são capazes de
conceber o SMDC: Forças Armadas capazes de atuar no domínio cibernético,
com efetividade operacional.
No nível político, o CDCiber atua de forma colaborativa com o Comitê
Gestor da Internet no Brasil (CGl.br). Além disso, também estabelece parceria
técnica com o Centro de Tratamento e Resposta a Incidentes Cibernéticos de
Governo (CTIR.gov) e com o Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil (CERT.br), órgão do CGI.br (Brasil, 2014a).
Aprofundaremos os estudos sobre o CDCiber mais tarde.
Em caso de operações conjuntas, o CDCiber passa ao Controle
Operacional do Estado-Maior Conjunto das Forças Armadas (EMCFA), órgão do
Ministério da Defesa que centraliza a coordenação dos comandos das três
Forças Armadas, para coordenar e executar as ações cibernéticas ao nível
estratégico, além de integrá-las e acompanhá-las nos níveis operacional e tático.
Nesse nível, o Estado-Maior Conjunto será composto por elementos de defesa
cibernética tanto do Exército, como da Marinha e da Aeronáutica.
Cabe também destacar aqui os principais sistemas relacionados à defesa
nacional que o SMDC mantém integração (Brasil, 2014a):
9
e. Sistema de Controle do Espaço Aéreo Brasileiro (Sisceab), que tem como
objetivo proporcionar regularidade, segurança e eficiência do fluxo de
tráfego nos aeroportos e no espaço aéreo.
10
Quadro 1 – Níveis de Alerta Cibernético
11
adotados; concretização de ameaças existentes; e abrangência do impacto da
concretização de ameaças, segundo os mesmos critérios. Cada um dos níveis
de alerta demanda um conjunto de procedimentos correspondentes, os quais
devem atender às especificidades de cada Força Armada ou serem próprios para
o emprego pelo Ministério da Defesa e pelas Forças Armadas, nas atividades
diárias ou em operações conjuntas (Brasil, 2014a). Esses procedimentos devem
ser explicitados no planejamento da operação ou em publicações similares.
NA PRÁTICA
12
(CML) do Exército. Além do CDCiber, a Marinha, a Força Aérea e várias outras
agências de segurança pública federais, estaduais e municipais também se
envolveram nas operações.
A defesa cibernética requereu expressiva atenção no planejamento. Foi
montado o Departamento de Defesa Cibernética para realização do
monitoramento de ações de colocassem em risco setores controlados por
computadores conectados à Internet. Na prática, técnicos integrantes do
CDCiber, sediado em Brasília, trabalharam com a finalidade de evitar ataques
de hackers. Durante a conferência, ocorreram 124 eventos contra redes ou sites,
mas todos foram neutralizados pelos profissionais envolvidos na execução da
tarefa.
Para saber mais do planejamento de estratégias usado pelo CDCiber
durante o evento, pesquise sobre o plano de segurança realizado pelo Ministério
da Defesa para a Rio+20.
FINALIZANDO
13
INDÚSTRIA MILITAR NACIONAL
E CAPACIDADE DE DEFESA
AULA 5
1 2
Conversa inicial
3 4
5 6
Desenvolver sistemas computacionais de defesa
baseados em computação de alto desempenho
Desenvolver tecnologias que permitam o CDCiber e Rio+20: primeiro teste para o
planejamento e a execução da defesa cibernética departamento contra ataques cibernéticos
no âmbito do Ministério da Defesa
Com o sucesso da abordagem adotada pelo
Desenvolver a capacitação, o preparo e o CDCiber na Rio+20, o departamento passou a
emprego dos poderes cibernéticos operacional e efetivamente operacionalizar e gerir contra-
estratégico ataques a atentados virtuais que pudessem
Incrementar medidas de apoio tecnológico comprometer demais eventos
Estruturar a produção de conhecimento oriundo
da fonte cibernética
7 8
9 10
11 12
Instituído o Comando de Defesa Cibernética Estrutura do Com D Ciber
(Com D Ciber): comando conjunto do
Exército, Marinha e Aeronáutica Estado-Maior Conjunto (EMCj): doutrina e
planejamento estratégico de emprego conjunto
Planejar, orientar, coordenar e controlar as das Forças Armadas em Defesa Cibernética
atividades operacionais, doutrinárias, de
Centro de Defesa Cibernética (CDCiber):
desenvolvimento e de capacitação no âmbito apoio operacional do Comando do Exército
do Sistema Militar de Defesa Cibernética
Departamento de Gestão e Ensino (DGE):
Assegurar o uso efetivo do espaço cibernético atividades de gestão estratégica, ensino e
pelas Forças Armadas do Brasil e de impedir capacitação de recursos humanos
ou dificultar a sua utilização por inimigos
Escola Nacional de Defesa Cibernética
contra interesses da Defesa Nacional (ENaDCiber): polarizador de ensino e pesquisa
13 14
15 16
17 18
Primeira versão do Simoc entregue em 2012
Construção de um software simulador baseado
em ambiente virtual, destinado à didática
Novas funções de automatização e apoio ao
instrutor foram entregues no final de 2014
Uso de máquinas virtuais Aspectos técnicos do Simoc
Montagem de rede específica de simulação
Especificação de configurações em forma de
scripts para a criação da rede
Elementos modulares
Prover ferramenta para geração automática
de redes virtualizadas
19 20
21 22
23 24
Vantagens do Simoc
25 26
Desvantagens do Simoc
27 28
29 30
Detecção de 40 milhões eventos de
segurança, bloqueio de 23 milhões de
tentativas de ataque e mitigação de 223 Na Prática
ataques distribuídos de negação de serviço
Manter orçamento para defesa cibernética e
melhorar o CDCiber é fundamental para
controlar futuros ataques
31 32
Na prática
Finalizando
Vazamentos de mensagens do ex-ministro
Sergio Moro e do procurador Deltan Dallagnol
33 34
Finalizando
35
CONVERSA INICIAL
3
A equipe do CDCiber escalada para o evento foi composta por militares
das Forças Armadas e técnicos do Serviço de Repressão a Crimes Cibernéticos
(SRCC) e do Serviço Federal de Processamento de Dados (Serpro). A presença
da Polícia Federal também é um destaque, bem como a da Agência Brasileira
de Inteligência (Abin) e da Agência Nacional de Telecomunicações (Anatel).
Atividades como cruzamento de dados, verificação de antecedentes criminais e
apoio à efetividade ao controle e prevenção de danos no ciberespaço foram
realizadas.
Com o sucesso da abordagem adotada pelo CDCiber na Rio+20, e com o
desenvolvimento dos instrumentos de defesa, especialização, aperfeiçoamento,
capacitação dos oficiais alocados e dos resultados que se mostraram
satisfatórios, o departamento passou a efetivamente operacionalizar e gerir
contra-ataques a atentados virtuais que pudessem comprometer demais
eventos, adquirindo grande relevância entre as Forças Armadas. Contudo, o
CDCiber não possui função regulamentar, suas iniciativas são fundamentadas
nas diretrizes estabelecidas na END e na doutrina militar, sendo então mais
reverberadas no âmbito do Ministério da Defesa.
O Centro também possui estruturas que lhe são subordinadas. O Núcleo
do Comando da Defesa Cibernética (NuComDCiber) foi previsto pela Portaria n.
2.777/MD, de 27 de outubro de 2014, que dispôs que está na estrutura
regimental do Comando do Exército e conta, de acordo com o previsto na
legislação, com o exercício de militares das três Forças (Brasil, 2014). Nessa
portaria, também se encontra a criação da Escola Nacional de Defesa
Cibernética (ENaDCiber) na Estrutura Regimental do Comando do Exército,
subordinada ao CDCiber, que também conta com o exercício de militares da
Marinha, do Exército e da Aeronáutica. A Escola tem como meta capacitar para
o exercício de atividades de interesse do setor cibernético.
4
Tal fenômeno ocorre porque o CDCiber está ligado à estrutura do Exército
Brasileiro, conforme explicita a END, mas a área cibernética atualmente possui
forte abrangência na totalidade das três Forças – Exército, Marinha e
Aeronáutica. Dessa forma, a atribuição de liderança de defesa cibernética única
e exclusivamente ao Exército Brasileiro e a subordinação institucional de
militares das duas outras Forças podem ser vistas como contraproducente. O
programa nuclear, atribuído pela END à Marinha do Brasil, deve ser conduzido
por ela, uma vez que é a maior beneficiada direta do seu êxito, além de ter
adquirido experiência na área por décadas. O mesmo ocorre com o Programa
Espacial da Aeronáutica – é razoável que a Força Aérea seja a grande
responsável por sua condução, dada a natureza das pesquisas envolvidas.
Porém, a defesa cibernética não se limita a uma área de atuação. A observação
se sustenta porque cada unidade das Forças Armadas possui o próprio núcleo
de proteção cibernética, cuidando daquilo que lhe cabe.
Essa organização institucional também impacta o aperfeiçoamento dos
dispositivos de segurança e a adoção de procedimentos que minimizem a
vulnerabilidade dos sistemas de informação. Conforme a Estratégia Nacional de
Defesa explicita, o futuro das capacitações tecnológicas nacionais de defesa
depende tanto do desenvolvimento de um bom aparato tecnológico (ou seja, o
hardware) quanto da formação dos recursos humanos (o peopleware). Isso
significa que, para reduzir as fragilidades dos sistemas de defesa, é preciso
pensar em operadores capazes de atuar no espaço cibernético e também
desenvolver tecnologias que aumentem as capacidades brasileiras, sem
depender fortemente do compartilhamento de tecnologia estrangeira (Brasil,
2012).
Contudo, tal preparação dos recursos humanos não se limita às
formações, e o desenvolvimento do aparato tecnológico não está ligado apenas
aos operadores. A organização institucional da defesa cibernética e sua
atribuição a organismos específicos também é parte importante desse processo.
Tais críticas poderiam ser evitadas no caso de constituição de um
comando das ações cibernéticas dentro da estrutura do Estado-Maior Conjunto
das Forças Armadas, e não somente do Comando do Exército. Em outras
palavras, a defesa cibernética seria melhor beneficiada se houvesse um
comando com uma unidade autônoma, com representação de todas as três
Forças, subordinado unicamente ao Ministério da Defesa. A difusão do órgão em
5
todos os sistemas das Forças Armadas exigiria ações coordenadas e um nível
de decisão e formulação de estratégias mais elevado dentro da estrutura
institucional brasileira; ou seja, um comando assim organizado teria ascendência
sobre todas as Forças Armadas brasileiras. Com esse desenho, seria possível
contar com militares das três Forças, atuando em conjunto, coordenados e
integrados.
Pensando nisso, foi instituído o Comando de Defesa Cibernética (Com D
Ciber). Por ser um comando conjunto do Exército, Marinha e Aeronáutica, sua
missão é planejar, orientar, coordenar e controlar as atividades operacionais,
doutrinárias, de desenvolvimento e de capacitação no âmbito do Sistema Militar
de Defesa Cibernética; é, portanto, seu órgão central, com o objetivo de
assegurar o uso efetivo do espaço cibernético pelas Forças Armadas do Brasil e
de impedir ou dificultar a sua utilização por inimigos contra interesses da defesa
nacional.
O Com D Ciber está estruturado da seguinte forma (Caiafa, 2018):
6
TEMA 3 – SIMULADOR DE OPERAÇÕES DE GUERRA CIBERNÉTICA (SIMOC)
7
que viabiliza a virtualização de redes de computadores com o intuito de auxiliar
no treinamento dos alunos.
A primeira versão do Simoc foi entregue em 2012. O objetivo dessa
primeira fase foi a construção de um software simulador baseado em ambiente
virtual, destinado à didática, que atendesse às necessidades de especialização
de recursos humanos para executar ações de proteção cibernética e defesa
ativa. Após o emprego dele durante um, a Seção de Cibernética estabeleceu
novas funções de automatização e apoio ao instrutor, entregues no final de 2014
(Machado, 2017).
O Simoc foi desenvolvido com vistas a prover simulações virtualizadas, e
nesse sentido faz uso de máquinas virtuais. Estas devem ser selecionadas para
montar uma rede específica de simulação, e nessa tarefa é possível identificar
configurações em forma de scripts, que serão executados nas máquinas virtuais.
Nesse caso, todos os elementos usados nessa criação são modulares,
possibilitando a reutilização e facilitando a expansão do conteúdo disponível
(Machado, 2017).
Nesse contexto, o objetivo do Simoc é de prover uma ferramenta para
geração automática de redes virtualizadas, devendo ser viável a configuração
delas com suas máquinas e serviços de forma flexível e modular, permitindo
reúso de conteúdo.
8
os comandos de forma independente e concorrente (implementação em threads)
(Machado, 2017).
A arquitetura possui nove módulos:
9
5. Monitoramento em tempo real com a possibilidade de interferência do
instrutor durante a execução dos exercícios. Como exemplo, ele pode
pausar a simulação, adiantar, repetir uma situação, mudar parte do
cenário e modificar o nível de dificuldade do exercício;
6. Implementação do simulador conta com relativa segurança em sua
infraestrutura, seja para o acesso interno (administrador, instrutor,
alunos), seja para acessos externos;
7. O simulador pode ser acessado remotamente, permitindo a realização de
treinamento de militares em diferentes localidades.
10
cenários complexos e de licenças não gratuitas para as máquinas virtuais
(Machado; Regueira; Rezende, 2015).
11
ataque, mitigaram 223 ataques distribuídos de negação de serviço e impediram
milhares de malwares, operações de phishing e domínios falsos (Extra, 2016).
Naquela época, o CDCiber servia como um ponto de contato unificado
entre agências governamentais e empresas privadas em relação à defesa
cibernética de eventos e do país. A conexão com elementos externos e grandes
estruturas de monitoramento permitiu a ele reiterar seu significado estratégico,
receber e colaborar com informações de inteligência para a realização bem-
sucedida do evento.
Portanto, à medida que os investimentos em segurança cibernética
brasileira, principalmente por meio das Forças Armadas, continuam
aumentando, o país está cada vez mais preparado para receber eventos e se
proteger de ataques virtuais. Manter uma alocação específica de orçamento
voltado à defesa cibernética e melhorar o centro de defesa cibernética são
cuidados fundamentais para controlar futuros ataques.
NA PRÁTICA
12
FINALIZANDO
13
INDÚSTRIA MILITAR NACIONAL
E CAPACIDADE DE DEFESA
AULA 6
1 2
Conversa inicial
3 4
5 6
Governo eletrônico: aumento da eficiência da Serviço Federal de
administração pública mediante a exploração Processamento de Dados
dos recursos de TIC (Serpro)
Cidadão: capacitação e inclusão digital
7 8
9 10
11 12
Expresso V3
13 14
Resposta do governo federal contra a Expresso V3: parceria com a Caixa Econômica
Federal, a Empresa de Tecnologia e Informações
espionagem na rede em 2013 da Previdência Social (Dataprev), a Companhia
Práticas ilegais de interceptação das de Processamento de Dados do Estado do Rio
comunicações e dados de cidadãos, Grande do Sul (PROCERGS), a Companhia de
Tecnologia da Informação e Comunicação do
empresas e membros do governo brasileiro Paraná (Celepar), e a empresa de consultoria
foram considerados fatos graves e PROGNUS
incompatíveis com a convivência
Tecnologia nacional
democrática entre países amigos
Implantado em 14 unidades da administração
Determinação ao Serpro de implantação de pública federal
um sistema seguro de e-mails em todo o O software implantando no Ministério da
governo federal (Decreto n. 8135/2013) Defesa é a terceira versão da ferramenta
15 16
17 18
Estações de trabalho Rede
19 20
Desenvolvimento de software
21 22
Benefícios do software
Privatização do Serpro
Economia
Treinamento
Adaptabilidade
23 24
Privatização do Serpro Privatização do Serpro
25 26
27 28
Na prática
29 30
Finalizando
Serpro é uma das maiores e mais importantes
organizações públicas de tecnologia da
informação do país
Expresso V3: avanço na indústria nacional de
tecnologia e alternativa de proteção contra
ameaças externas
Software livre: visão estratégica para o
desenvolvimento e autonomia da tecnologia
nacional
Privatização
31
CONVERSA INICIAL
5
podem ter as próprias equipes internas de desenvolvimento e manutenção de
sistemas de TIC, além de poder contratar empresas como o Serpro e outros
fornecedores que deem esse suporte.
TEMA 3 – EXPRESSO V3
4.1 Estações
7
Firefox. Com o OpenOffice, os formatos de arquivo podem ser migrados para o
OpenDocument, que é um padrão aberto para documentos de texto, planilhas e
apresentações. O BrOffice torna possível visualizar e editar documentos criados
no MSOffice, mas, preferencialmente, estes são convertidos em um formato
aberto. Atualmente, o Serpro usa o BrOffice, a versão brasileira do OpenOffice.
Em seguida, o CEUL aprovou a distribuição do Fedora Core como um
sistema operacional Linux. Essas estações de trabalho receberam outro sistema
e começaram a executar no modo de inicialização dupla, permitindo que
Windows e Linux fossem usados na mesma estação.
4.2 Rede
8
economia de R$ 10 milhões com a compra de software proprietário (Miranda;
Vieira; Carelli, 2008).
Zope é um ambiente de publicação na web completamente orientado a
objetos; possui um banco de dados orientado a objetos (zodb), que é um
repositório de objetos de aplicativos. Todos os portlets armazenados ali se
tornam objetos (Miranda; Vieira; Carelli, 2008). A ferramenta permite integração
gratuita ou proprietária com a maioria dos bancos de dados do mercado, além
do fato de que é um servidor de aplicativos e servidor da web que pode ser
integrado ao apache da Microsoft ou ao Internet Information Services (IIS). Existe
uma estrutura de gerenciamento de conteúdo (cmf) projetada para promover a
criação de sites dinâmicos de gerenciamento de conteúdo (Miranda; Vieira;
Carelli, 2008).
O Plone, por sua vez, é um aplicativo do Zope que pode ser usado como
um portal com funções predefinidas e permite múltiplas formas de
personalização. Está totalmente integrado ao Zope, o que significa que herda
todos os mecanismos fornecidos por ele, como autenticação, segurança,
controle de versão e transação, além de sistemas de gerenciamento de conteúdo
(Miranda; Vieira; Carelli, 2008).
O Zope e o Plone são escritos em Python, linguagem livre de alto nível e
multiplataforma. Dessa forma, essas três ferramentas foram totalmente
integradas, o que simplifica o trabalho dos desenvolvedores de portais.
4.4.1 Economia
9
atualizações. Agora, é possível optar por usar o software livre para reduzir os
custos de licenciamento.
Depois que as instituições públicas começaram a adotar os softwares
livres, a economia do governo tendeu a se elevar gradualmente. Em certo
sentido, o plano do Serpro pode acelerar especificamente o processo de tomada
de decisões do Linux, porque a segurança do aplicativo foi comprovada na
prática e a empresa também pode fornecer suporte a outras instituições ou
empresas públicas que precisam dele (Miranda; Vieira; Carelli, 2008).
4.4.2 Treinamento
4.4.3 Adaptabilidade
10
A questão do software livre mais uma vez expande seu significado para
abranger a liberdade dos usuários, os quais devem ter o direito de tomar
decisões sobre o ciclo de vida e todos os outros problemas relacionados aos
produtos que possuem (Miranda; Vieira; Carelli, 2008).
NA PRÁTICA
11
partir de altos investimentos em tecnologia da informação feitos pelo Estado,
conseguem passar por esse órgão declarações de Imposto de Renda, emissão
de carteiras de habilitação, pagamento de benefícios aos cidadãos, registros
sobre veículos roubados ou furtados, além de informações da Agência Brasileira
de Inteligência (Abin), do sistema para comércio exterior e muitas outras
informações importantes do nosso país.
Levando em conta esse grande volume de dados que o Serpro realiza
trabalhos diários, a necessidade de desenvolvimento da indústria da tecnologia
no país e os princípios sobre o processo de tratamento de dados por parte dos
operadores, reflita: como a privatização poderá impactar a segurança da
informação dos cidadãos brasileiros e a formação da indústria de tecnologia
brasileira?
FINALIZANDO
Vimos nesta aula que o Serpro é considerado uma das maiores e mais
importantes organizações públicas de Tecnologia da Informação do país,
oferecendo serviços de tecnologia da informação e desenvolvendo diversas
soluções para o setor público.
Compreendemos também que a implantação, no Ministério da Defesa, do
Expresso V3, novo sistema de comunicação digital do governo federal, é um
passo significativo para o avanço na indústria nacional de tecnologia. Além disso,
o programa é uma alternativa para que o Estado possa se proteger de ameaças
externas. Com os eventos de espionagem cibernética em 2013, o governo
brasileiro sofreu grande impacto político e pensou sobre a necessidade de
manter a segurança das informações do país.
Com relação à escolha do uso de software livre, o Serpro possui uma
visão estratégica para o desenvolvimento e autonomia da tecnologia nacional
diante de possíveis restrições de fornecedores de softwares proprietários. Com
a adoção do software livre, a empresa busca a satisfação do cliente, mas não
apenas isso: também foca o avanço na eficiência e eficácia da prestação de
serviços aos cidadãos brasileiros.
12