(Dissertação) DOS SANTOS, PMR. PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

MINISTÉRIO DA DEFESA
EXÉRCITO BRASILEIRO
DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA
INSTITUTO MILITAR DE ENGENHARIA
PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA NUCLEAR
PEDRO MACIEL RODRIGUES DOS SANTOS
PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

BRASILEIRA
Rio de Janeiro
2019
PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

BRASILEIRA
Dissertação de Mestrado apresentada ao Programa de

Pós-Graduação em Engenharia Nuclear do Instituto
Militar de Engenharia, como requisito parcial para a
obtenção do título de Mestre em Ciências em Engenharia
Nuclear.
Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc.

Maj. Gladson Silva Fontes – D.Sc.
Rio de Janeiro
2019
©2019

Praça General Tibúrcio, 80 – Praia Vermelha
Rio de Janeiro – RJ CEP: 22290-270
Este exemplar é de propriedade do Instituto Militar de Engenharia, que poderá incluí-

lo em base de dados, armazenar em computador, microfilmar ou adotar qualquer
forma de arquivamento.
É permitida a menção, reprodução parcial ou integral e a transmissão entre bibliotecas

deste trabalho, sem modificação de seu texto, em qualquer meio que esteja ou venha
a ser fixado, para pesquisa acadêmica, comentários e citações, desde que sem
finalidade comercial e que seja feita a referência bibliográfica completa.
Os conceitos expressos neste trabalho são de responsabilidade do(s) autor(es) e

do(s) orientador(es).
Santos, Pedro Maciel Rodrigues dos

Projeto de segurança física em uma instalação nuclear
brasileira/ Pedro Maciel Rodrigues dos Santos. Rio de Janeiro,
2019.
196 f.:
Orientadores: João Claudio Batista Fiel; Gladson Silva Fontes.
Dissertação (Mestrado) – Instituto Militar de Engenharia,

Engenharia Nuclear, 2019.
1. Segurança Nuclear. 2. Proteção Física. 3. Segurança da

Informação. 4. Reatores Nucleares. 5. SMR. I. Fiel, João
Claudio Batista, orient. II. Fontes, Gladson Silva, orient. III.
Título.
PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO

NUCLEAR BRASILEIRA
Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em

Engenharia Nuclear do Instituto Militar de Engenharia, como requisito parcial para
obtenção do título de Mestre em Ciências em Engenharia Nuclear.
Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc.

Maj. Gladson Silva Fontes – D. Sc.
Apresentada em 06 de maio de 2019 à seguinte Banca Examinadora:
Ten. Cel. Profo. João Claudio Batista Fiel – D. Sc. do IME – Presidente
Maj. Profo. Gladson Silva Fontes – D. Sc. do IME – Orientador
Cel. R/1 Profo. Ronaldo Glicério Cabral – Ph. D. do IME
Profo. Sergio Gavazza – Ph. D. do IME
Maj. Profo. Marcos Paulo Cavaliere de Medeiros – D. Sc. do IME
Cristiane de Queiroz Oliveira – D. Sc. da CNEN
Rio de Janeiro
2019
À minha família, aos bravos cientistas e entusiastas
que lutaram e desenvolveram este tema, apesar das
dificuldades.
AGRADECIMENTOS
A Deus, que me guiou até aqui sem deixar retroceder ou vacilar.

Aos meus pais Conceição e Wagner, que trabalharam incansavelmente para me
dar suporte a fim de que eu pudesse chegar até aqui. Também à minha família pelo
apoio e por acreditarem em mim. Ao João, Lucia, Arthur e Vivica, que foram
fundamentais como alicerce familiar na minha jornada.
Ao Exército Brasileiro, ao Instituto Militar de Engenharia e à Seção de Engenharia
Nuclear pela oportunidade, pelo conhecimento e pela confiança ofertadas.
Ao Professor Ten. Cel. Fiel por ter acreditado no meu potencial de realizar este
trabalho e por sua ajuda nos momentos mais críticos, pelas inúmeras sugestões que,
sem sombra de dúvida, contribuíram para meu crescimento profissional.
Ao Professor Maj. Fontes, pelas sugestões que ajudaram a calcar este trabalho.
Ao Sr. Renato Alves Tavares, da Comissão Nacional de Energia Nuclear, por
compartilhar comigo sua experiência, fornecendo valiosos ensinamentos e
contribuições a este trabalho que permitiram o engrandecimento do mesmo.
Ao corpo docente da SE/7, em especial, aos meus professores Dr. Rex Nazaré
Alves, Cel. R/1 Cláudio Luiz de Oliveira, Dr. Domingos D’Oliveira Cardoso , Cel. R/1
Rudnei Karam Morales, Cel. R/1 Sérgio Gavazza e Dr. Sérgio de Oliveira Vellozo por
todas as lições que ensinaram dentro e fora da sala de aula. Ao Ten. R/1 De Andrade,
Viviane Sant’Anna e toda a equipe da SE/7, pelos inúmeros auxílios durante a jornada
deste Mestrado.
Aos amigos Lucas Santana, Pedro Hatherly, Marianna Maciel, Karenina
Amarante, João Ricardo Peixoto, André Alves e Kevin Tate, cuja amizade e paciência
durante esta jornada me permitiram chegar até aqui e realizar este sonho. Aos amigos
do Mestrado, em especial ao Eduardo, Paulo, Isis e Viviane, que me deram o prazer
de sua convivência nos momentos bons e nos percalços vividos na duração do curso.
E aos amigos da Escola de Química e do Curso InVest, que me incentivaram a iniciar
este Mestrado e à direção da Escola de Química, em especial o Prof. Dr. Eduardo
Mach Queiroz, estendo meus agradecimentos.
À todos, minha sincera gratidão.
“Pois nada vive na Terra que seja tão vil que não
tenha algum bem em especial para lhe doar;
e nada é tão bom que não possa ser mal-empregado
e, contrário à sua própria origem, chegar às raias do
abuso.”
Willliam Shakespeare
RESUMO
O presente estudo descreve a análise de um projeto de Segurança Física Nuclear

onde constam as três áreas: proteção física, segurança da informação e contabilidade
e controle de material nuclear. A referida análise foi feita através de uma abordagem
por desempenho, utilizando-se parâmetros probabilísticos de ameaça, dos
equipamentos, dos sistemas e das forças de resposta empregadas para prevenir,
dissuadir e deter atos mal-intencionados contra a integridade de instalações e de
materiais nucleares nelas contidos. A fim de manter a confidencialidade dos planos e
sistemas existentes atualmente em instalações reais, foi modelada uma instalação
fictícia, contemplando um reator avançado modular de pequeno porte do tipo PWR
integral (iPWR). Hoje, no mundo, utiliza-se uma abordagem de Proteção Física que
não se integra à Segurança Cibernética e nem à Contabilidade e Controle de Material
Nuclear. A utilização da abordagem por desempenho viabilizou identificar
vulnerabilidades do modelo em si, ante as interferências de cada uma das áreas da
Segurança Física Nuclear. Por meio deste estudo, pode-se visualizar que a influência
das demais áreas que compõem a Segurança Física precisa ser considerada para
que um projeto deste escopo seja eficiente.
Palavras-chave: Segurança Nuclear, Proteção Física, Segurança da Informação,

Reatores Nucleares, SMR.
ABSTRACT
This study describes the analysis of a nuclear security project, which includes its three
areas: physical protection, information security and nuclear material accounting and
control. This analysis was done through a performance-based approach, that uses
probabilistic parameters for threat, equipment, systems and also the response forces
used to prevent, dissuade and deter malicious acts against the integrity of nuclear
facilities and its materials contained therein. Once the plans and systems that currently
exist in real facilities must remain confidential, a hypothetical facility was developed,
contemplating a small modular reactor, an iPWR. Nowadays, the world uses an
approach that covers only Physical Protection, which is not integrated with cyber-
security and nuclear material accounting and control. The use of the performance-
based approach made it possible to identify vulnerabilities of the model itself, due to
the interferences of each of the areas of Nuclear Security. From the results obtained
by this study, it was possible to observe that the influence of the other areas of nuclear
security needs to be considered, in order for a project to be efficient.
Keywords: Nuclear Security, Physical Protection, Information Security, Nuclear

Reactors, SMR.
LISTA DE ILUSTRAÇÕES
Figura 2.1 - Tipos de adversários internos. ............................................................... 33

Figura 2.2 - Componentes da Segurança Física Nuclear. ......................................... 35
Figura 2.3 - Linha do Tempo de um Sistema de Proteção Física.............................. 48
Figura 2.4 - Relação entre Salvaguardas e Segurança Física. ................................. 62
Figura 3.1 - Visão geral do Processo DEPO ............................................................. 66
Figura 3.2 - Etapas do Processo DEPO .................................................................... 67
Figura 3.3 - Áreas de segurança em uma instalação nuclear. .................................. 70
Figura 3.4 - Envolvimento do titular em relação às capacidades do adversário. ....... 74
Figura 3.5 - Exemplo de caminho do adversário. ...................................................... 81
Figura 3.6: Linha do Tempo de um Sistema de Proteção Física. .............................. 82
Figura 3.7 - Sistema de Proteção Física não atua a tempo e o adversário completa
sua missão. ............................................................................................................... 83
Figura 3.8 - Limites característicos de Área de Balanço Material.............................. 93
Figura 3.9 - Inventários e fluxos conservativos em uma ABM. .................................. 94
Figura 4.1 - SMR configurado como um iPWR.......................................................... 98
Figura 4.2 - Modelo hipotético de instalação, o complexo RAMPeM ...................... 100
Figura 4.3 - Vista superior dos prédios do complexo RAMPeM .............................. 101
Figura 4.4 - Vista superior do prédio do reator do complexo RAMPeM .................. 102
Figura 4.5 - Vista lateral das Salas de Guarda e Entrada da Sala de Controle ....... 103
Figura 4.6 - Áreas vitais do complexo RAMPeM ..................................................... 106
Figura 4.7 - Áreas de Segurança do Complexo RAMPeM ...................................... 107
Figura 4.8 - Sensores de Infravermelho na Área Protegida do Complexo RAMPeM
................................................................................................................................ 111
Figura 4.9 - Vigilância humana na Área Vigiada da instalação ............................... 113
Figura 4.10 - Sistema de CFTV para a Área Protegida da Instalação ..................... 114
Figura 4.11 - Iluminação da Área Protegida da Instalação ...................................... 114
Figura 4.12 - Sistema de CFTV para o Prédio de Serviços do RAMPeM ............... 115
Figura 4.13 - Sistema de CFTV para o Prédio da Turbina do RAMPeM ................. 115
Figura 4.14 - Sistema de CFTV para o Prédio do Reator do RAMPeM .................. 116
Figura 4.15 - Controle de acesso ao complexo RAMPeM ....................................... 117
Figura 4.16 - Cerca de Áreas de Segurança. .......................................................... 119
Figura 4.17 - Cerca dupla separando as Áreas Vigiada e Protegida....................... 119
Figura 4.18 - DSA para ataque de sabotagem na Sala de Controle ....................... 124
Figura 4.19 - Probabilidades de Interrupção para todos os caminhos .................... 126
Figura 4.20 - Nova localização da Estação Secundária de Alarmes ....................... 127
Figura 4.21 - Probabilidades de Interrupção após a primeira melhoria ................... 129
Figura 4.22 - Diagrama de Sequência do Adversário após as quatro melhorias..... 131
Figura 4.23 - Probabilidades de Interrupção após quatro melhorias ....................... 132
Figura 5.1 - Impacto do apagamento do sistema de CFTV no DSA ........................ 138
Figura 5.2 - Probabilidades de Interrupção após o primeiro ataque ........................ 139
Figura 5.3 - Diagrama de Sequência do Adversário para o segundo ataque .......... 141
Figura 5.4 - Probabilidades de Interrupção após o segundo ataque ....................... 142
Figura 5.5 - Diagrama de Sequência do Adversário depois do terceiro ataque ...... 143
Figura 5.6 - Probabilidades de Interrupção após o terceiro ataque ......................... 144
Figura 5.7 - Diagrama de Sequência do Adversário após instalação de sensor
complementar.......................................................................................................... 146
Figura 5.8 - Probabilidades de Interrupção após instalação de sensor complementar
................................................................................................................................ 147
Figura 5.9 - Diagrama de Sequência do Adversário após o quarto ataque ............. 149
Figura 5.10 - Probabilidades de Interrupção após o quarto ataque......................... 150
Figura 5.11 - Diagrama de Sequência do Adversário após o quinto ataque ........... 152
Figura 5.12 - Probabilidades de Interrupção após o quinto ataque ......................... 153
Figura 6.1 - Áreas de Balanço Material do Complexo RAMPeM ............................. 155
Figura 6.2 - Organização Interna do Laboratório de Análise de Material Físsil ....... 156
Figura 6.3 - Porta giratória bancária. Fonte: www.jr.jor.br ....................................... 157
Figura 6.4 - Sistema de CFTV do Laboratório de Análise de Material Físsil ........... 158
Figura 6.5 - Armário de Estocagem de Material Físsil ............................................. 159
Figura 6.6 - Sistema de Alarme de Remoção de Material Físsil.............................. 159
Figura 6.7 - Diagrama de Sequência de Adversário Interno.................................... 161
Figura 6.8 - Diagrama de Sequência de Adversário após o sexto ataque .............. 162
LISTA DE TABELAS
Tabela 3.1 - Níveis da característica de Intensidade. ................................................ 87

Tabela 3.2 - Níveis da característica de Discrição. ................................................... 88
Tabela 3.3 - Níveis da característica de Tempo. ....................................................... 88
Tabela 3.4 - Níveis da característica de Organização. .............................................. 89
Tabela 3.5 - Níveis da característica de Conhecimento Cibernético. ........................ 89
Tabela 3.6 - Níveis da característica de Conhecimento em Segurança Física. ........ 90
Tabela 3.7 - Níveis da característica de Acesso. ...................................................... 90
Tabela 3.8 - Matriz Genérica de Ameaças Cibernéticas. .......................................... 91
Tabela 3.9 - Sistemas Cibernéticos típicos de Instalações Nucleares e seus Níveis de
Segurança Associados. ............................................................................................. 92
Tabela 4.1 - Identificação de áreas vitais do RAMPeM ........................................... 105
Tabela 4.2 - Ameaça Base de projeto fictícia para a instalação RAMPeM ............. 110
Tabela 4.3 - Descrição das Forças de Segurança .................................................. 121
Tabela 4.4 - Parâmetros de desempenho da força de resposta ............................. 122
Tabela 4.5 - Pontos Críticos de Detecção para os dezoito caminhos ..................... 125
Tabela 4.6 - Parâmetros de desempenho da força de resposta após a primeira
melhoria .................................................................................................................. 128
Tabela 4.7 - PCD após a primeira melhoria ............................................................ 128
Tabela 4.8 - Melhorias propostas para o SisPF ...................................................... 130
LISTA DE ABREVIATURAS E SÍMBOLOS
ABREVIATURAS
AP - Área Protegida
AVt - Área Vital
AVg - Área Vigiada
CCMN - Contabilidade e Controle de Material Nuclear
no - Número
RAMPeM - Reator Avançado Modular de Pequeno porte de Morobi
SisCCMN - Sistema de Contabilidade e Controle de Material Nuclear
SÍMBOLOS
[ax, bx, cx] - caminho de um adversário, percorrendo os elementos a x, bx e cx

s - segundo
cm - centímetros
h - hora
mm - milímetros
min - minuto
m - metro
kg - quilograma
C - Consequência radiológica de um ataque
PA - Probabilidade de ataque
PS - Probabilidade condicional de ataque bem-sucedido, dada a
tentativa
PD - Probabilidade de detecção
PI - Probabilidade de interrupção
PN - Probabilidade de neutralização
PE - Probabilidade de eficácia global
R - Risco
TD - Tempo de retardo
TG - Tempo de resposta da força de segurança
LISTA DE SIGLAS
ABP Ameaça-Base de Projeto
ACR Alta consequência radiológica
ADS Ativos Digitais Sensíveis
AIEA Agência Internacional de Energia Atômica
BM Balanço Material
CFTV Circuito Fechado de Televisão
CID Confidencialidade, Integridade e Disponibilidade
CNEN Comissão Nacional de Energia Nuclear
DEPO Design and Evaluation Process Outline
DSA Diagrama de Sequência de Adversário
ECA Estação Central de Alarmes
EIOM Evento Iniciador de Origem Mal-intencionada
ESA Estação Secundária de Alarmes
GV Gerador de Vapor
I&C Instrumentação e Controle
IAEA International Atomic Energy Agency
IAVt Identificação de Área Vital
IND Artefato nuclear improvisado
iPWR PWR do tipo integral
ITDB Incident and Trafficking Database
MBA Material Balance Area
MNC Material Não Contabilizado
NMAC Nuclear Material Accounting and Control

NRC Comissão Regulatória Nuclear dos Estados Unidos da América
NSS Nuclear Security Series
P&D Pesquisa e Desenvolvimento
PCD Ponto Crítico de Detecção
PWR Reator a Água Pressurizada
RDD Artefato de dispersão radiológica
RED Artefato de exposição à radiação
SisPF Sistema de Proteção Física
SMR Reator modular avançado de pequeno porte
SNL Sandia National Laboratories
TI Tecnologia da Informação
TIF Tomada de Inventário Físico

SUMÁRIO
1 INTRODUÇÃO ....................................................................................................... 20
1.1 Panorama Atual ................................................................................................. 20
1.2 Objetivos ........................................................................................................... 22
1.3 Metodologia ....................................................................................................... 23
1.4 Justificativa........................................................................................................ 23
1.5 Organização do Trabalho ................................................................................. 23
2 FUNDAMENTAÇÃO TEÓRICA ............................................................................. 25

2.1 Estrutura da Segurança Física Nuclear ........................................................... 26
2.1.1 Cooperação Institucional .................................................................................. 26
2.1.2 Área Regulatória .............................................................................................. 27
2.1.3 Área Não-Regulatória ....................................................................................... 28
2.2 Área Não-Regulatória ........................................................................................ 29
2.2.1 Eventos de Segurança Física Nuclear ............................................................. 29
2.2.1.1 Ameaças ...... ................................................................................................ 30
2.2.1.1.1 Adversários Internos................................................................................... 32
2.2.1.2 Táticas ......... ................................................................................................. 33
2.2.1.3 Alvos ............ ................................................................................................. 34
2.2.2 Atribuições da Segurança Física Nuclear......................................................... 34
2.2.2.1 Prevenção ..... ............................................................................................... 36
2.2.2.2 Detecção ...... ................................................................................................ 36
2.2.2.3 Resposta ...... ................................................................................................ 36
2.3 Área Regulatória da Segurança Nuclear ......................................................... 37
2.3.1 Regime de Segurança Física Nuclear .............................................................. 37
2.3.2 Segurança Física de Transportes .................................................................... 40
2.3.2.1 Princípios Básicos e Fundamentos ............................................................... 40
2.3.3 Proteção Física ................................................................................................ 41
2.3.3.1 Projeto de um Sistema de Proteção Física ................................................... 42
2.3.3.2 Características Necessárias a um Sistema de Proteção Física .................... 43
2.3.3.3 Risco em Segurança Nuclear ........................................................................ 43
2.3.3.4 Funções de um Sistema de Proteção Física ................................................. 46
2.3.3.4.1 Detecção ......... .......................................................................................... 46
2.3.3.4.2 Retardo ............ .......................................................................................... 47
2.3.3.4.3 Resposta ......... .......................................................................................... 47
2.3.3.5 Linha do Tempo de um Sistema de Proteção Física ..................................... 48
2.3.4 Segurança da Informação e Segurança Cibernética ........................................ 49
2.3.4.1 Segurança Computacional e Segurança da Informação ............................... 51
2.3.4.2 Plano de Segurança Computacional ............................................................. 52
2.3.4.3 Ataques Cibernéticos .................................................................................... 54
2.3.4.4 Ameaças Cibernéticas................................................................................... 56
2.3.4.5 Alvos Cibernéticos Potenciais ....................................................................... 57
2.3.5 Controle e Contabilidade de Material Nuclear .................................................. 59
2.3.5.1 Objetivos Primários da Contabilidade e Controle de Material Nuclear .......... 60
2.3.5.2 Funções da Contabilidade e Controle de Material Nuclear em Salvaguardas e
na Segurança Física ................................................................................................. 61
2.3.5.3 Elementos da Contabilidade e Controle de Material Nuclear ........................ 62
3 METODOLOGIA DO TRABALHO ......................................................................... 65

3.1 Introdução .......................................................................................................... 65
3.2 Projeto de Sistema de Proteção Física para uma Instalação Nuclear .......... 65
3.2.1 Processo DEPO ............................................................................................... 66
3.2.2 Definição de Requisitos .................................................................................... 68
3.2.2.1 Caracterização da Instalação ........................................................................ 68
3.2.2.2 Identificação de Alvos.................................................................................... 69
3.2.2.2.1 Identificação de Áreas Vitais ...................................................................... 71
3.2.2.2.1.1 Eventos Iniciadores ................................................................................. 72
3.2.2.3 Definição de Ameaças................................................................................... 73
3.2.2.3.1 Ameaça Base de Projeto (ABP) ................................................................. 73
3.2.2.3.1.1 ABP Aérea ......... ..................................................................................... 74
3.2.3 Projeto do Sistema de Proteção Física ............................................................ 75
3.2.3.1 Detecção ...... ................................................................................................ 75
3.2.3.1.1 Sistemas de Controle de Acesso ............................................................... 75
3.2.3.1.2 Sistemas de Alarme e Certificação de Intrusão .......................................... 76
3.2.3.1.3 Exibição, Avaliação e Comunicação de Alarmes ....................................... 76
3.2.3.2 Retardo ........ ................................................................................................. 78
3.2.3.2.1 Elementos e Barreiras Físicas .................................................................... 78
3.2.3.3 Resposta ...... ................................................................................................ 78
3.2.3.3.1 Elementos da Força de Resposta .............................................................. 78
3.2.3.3.2 Planejamento de Contingências ................................................................. 79
3.2.4 Avaliação do Sistema de Proteção Física ........................................................ 80
3.2.4.1 Diagrama de Sequência do Adversário ......................................................... 80
3.2.4.2 Análise de Caminhos..................................................................................... 81
3.2.4.2.1 Ponto Crítico de Detecção (PCD) ............................................................... 83
3.2.4.3 Análise de Neutralização ............................................................................... 85
3.2.4.4 Análise de Cenários ...................................................................................... 85
3.3 Projeto de Sistema de Segurança Computacional e Segurança da
Informação para uma Instalação Nuclear ............................................................. 86
3.3.1 Estratégia de Proteção do Sistema Cibernético ............................................... 91
3.4 Projeto de Sistema de Contabilidade e Controle de Material Nuclear para
uma Instalação Nuclear .......................................................................................... 93
4 PROJETO DE SISTEMA DE PROTEÇÃO FÍSICA PARA UMA INSTALAÇÃO

NUCLEAR ................................................................................................................ 95
4.1 Introdução .......................................................................................................... 95
4.2 Caracterização da Instalação ........................................................................... 95
4.2.1 Reator Avançado de Pequeno Porte de Morobi (RAMPeM) ............................ 96
4.2.1.1 Objetivo e Localização da Instalação ............................................................ 96
4.2.1.2 Condições Ambientais ................................................................................... 96
4.2.1.2.1 Topografia ...... ........................................................................................... 96
4.2.1.2.2 Vegetação e Vida Selvagem ...................................................................... 96
4.2.1.2.3 Barulho de Fundo ....................................................................................... 96
4.2.1.2.4 Clima e Tempo ........................................................................................... 97
4.2.2 Descrição Geral do Reator e da Segurança Tecnológica................................. 97
4.2.2.1 Reatores Modulares de Pequeno Porte ........................................................ 97
4.2.2.2 Reator Avançado Modular de Pequeno Porte de Morobi .............................. 98
4.2.2.3 Complexo RAMPeM ...................................................................................... 99
4.3 Identificação de Alvos..................................................................................... 104
4.3.1 Identificação de Áreas Vitais .......................................................................... 104
4.3.1.1 Cenário de Ataque Direto ............................................................................ 104
4.3.1.2 Cenários de Ataque Indireto ........................................................................ 104
4.3.2 Áreas de Segurança ....................................................................................... 107
4.4 Definição de Ameaças .................................................................................... 108
4.4.1 Ameaça-Base de Projeto Hipotética ............................................................... 109
4.5 Sistemas de Detecção de Intrusão ................................................................ 110
4.5.1 Sensores Internos, Externos e de Posição..................................................... 110
4.5.2 Avaliação de Alarmes ..................................................................................... 112
4.5.3 Comunicação e Visualização de Alarmes ...................................................... 116
4.5.4 Controle de Acesso ........................................................................................ 116
4.6 Elementos de Retardo..................................................................................... 118
4.7 Elementos de Resposta .................................................................................. 120
4.8 Avaliação do Sistema de Proteção Física ..................................................... 122
4.8.1 Diagrama de Sequência do Adversário .......................................................... 122
4.8.2 Análise de Múltiplos Caminhos e de Neutralização ........................................ 125
5 PROJETO DE SISTEMA DE SEGURANÇA CIBERNÉTICA EM UMA

INSTALAÇÃO NUCLEAR ...................................................................................... 133
5.1 Introdução ........................................................................................................ 133
5.2 Caracterização dos Sistemas Cibernéticos .................................................. 134
5.3 Definição de Ameaças .................................................................................... 135
5.4 Identificação de Alvos..................................................................................... 136
5.5 Análise de Cenários ........................................................................................ 136
5.5.1 Primeiro Ataque Cibernético........................................................................... 137
5.5.2 Segundo Ataque Cibernético.......................................................................... 139
5.5.3 Terceiro Ataque Cibernético ........................................................................... 142
5.5.4 Implantação de Sensores Complementares................................................... 145
5.5.5 Quarto Ataque Cibernético ............................................................................. 148
5.5.6 Quinto Ataque Cibernético ............................................................................. 150
6 PROJETO DE SISTEMA DE CONTABILIDADE E CONTROLE DE MATERIAL

EM UMA INSTALAÇÃO NUCLEAR ....................................................................... 154
6.1 Introdução ........................................................................................................ 154
6.2 Caracterização da Instalação ......................................................................... 155
6.3 Análise de Caminho ........................................................................................ 160
6.4 Análise de Cenário .......................................................................................... 161
6.4.1 Sexto Ataque Cibernético ............................................................................... 161
7 ANÁLISES, CONCLUSÕES E SUGESTÕES ..................................................... 164

7.1 Análises e Conclusões ................................................................................... 164
7.2 Sugestões ........................................................................................................ 165
REFERÊNCIAS BIBLIOGRÁFICAS ....................................................................... 167
APÊNDICES ........................................................................................................... 170
ANEXOS .. .............................................................................................................. 180

ANEXO A - CATEGORIZAÇÃO DE MATERIAL NUCLEAR ................................. 180
ANEXO B - DADOS DE PROBABILIDADES DE DETECÇÃO .............................. 182
ANEXO C - DADOS DE RETARDO DE COMPONENTES .................................... 185
ANEXO D - DADOS DE NEUTRALIZAÇÃO .......................................................... 196
20
1 INTRODUÇÃO
1.1 Panorama Atual
Segundo a Agência Internacional de Energia Atômica (AIEA), a Segurança

Nuclear tem suas bases afixadas em três áreas principais: a área específica para
materiais radioativos e nucleares de atividades e instalações (Área Regulatória), a
área específica para materiais radioativos e nucleares fora de controle regulatório
(Área Não-Regulatória) e as áreas comuns de segurança nuclear (Cooperação
Institucional). Apesar de sua complexidade, atualizações constantes são necessárias
para adaptação ao cenário global, local e atual. Isso envolve pessoas, padrões e
procedimentos, além de exigir estudo e elaboração de planos e/ou projetos de
adaptação na comunidade local – e nas localidades no entorno desta –, a fim de
melhor posicionar as capacidades de segurança nas ações de resposta.
O marco definitivo para a mudança dos paradigmas de segurança foram os
eventos de 11 de setembro de 2001, em Nova Iorque. Esta data alavancou uma rápida
e dramática reavaliação dos riscos de terrorismo em todas as suas formas – inclusive
o terrorismo político –, onde materiais nucleares e radiológicos, bem como a
segurança de instalações e sistemas cibernéticos estão inclusos. Para o ramo nuclear
tornou-se óbvio que o reforço na segurança nuclear é vital e, logo, não deve esperar
até que haja um evento que seja considerado um “divisor de águas”, para que sejam
realizadas melhorias, ressaltando-se o alto custo de colocar vidas em risco
(ELBARADEI, 2005).
Tal como em outros países, a segurança nuclear foi implementada no Brasil em
consonância com as diretrizes e padrões da AIEA, de acordo com a realidade social
do nosso país e de acordo com os critérios estabelecidos pelas regras da Comissão
Nacional de Energia Nuclear (CNEN), órgão regulador brasileiro.
Apesar de não ter histórico de ataques terroristas e não ser um alvo potencial do
terrorismo extremista, o Brasil vem se preparando e avançando no conhecimento dos
procedimentos de prevenção e resposta nos últimos anos.
Nosso país, com dimensões continentais, exige grandes esforços em relação à
sua segurança. Seu crescente destaque internacional, especialmente por ter sediado
21
grandes eventos – como a Copa do Mundo de 2014 e os Jogos Olímpicos de 2016 –

, tornou ainda mais evidente a importância do trabalho cooperativo com órgãos
nacionais e internacionais, confrontando e adaptando-se à realidade da sociedade em
que vivemos. Este trabalho apresenta um estudo sobre a implementação do
conhecimento da segurança nuclear na realidade brasileira, desenvolvendo e
compartilhando a promoção da educação em segurança nuclear, alinhada às
diretrizes e orientações da AIEA.
O risco de que materiais nucleares ou radioativos possam ser usados em atos
criminosos - ou intencionais não-autorizados - continua a ser considerado uma
ameaça para a segurança internacional. A crescente capacidade intelectual de
agentes criminosos no tocante à ataques cibernéticos reafirma a necessidade de um
investimento contínuo e imediato em segurança. Para tanto, reconhece-se que a
responsabilidade pela segurança nuclear depende inteiramente de cada Estado,
adicionado à consulta a AIEA e, principalmente, o trabalho integrado dos participantes
situados no entorno destes Estados. Logo, são necessários sistemas efetivos e
adequados para tal. Tais mecanismos são fundamentais para viabilizar o uso pacífico
da energia nuclear e fortalecer os esforços globais para combater o terrorismo nuclear.
(IAEA, 2013)
Entre o ano de 1993 e 2016, a ITDB – base de dados de tráfico ilícito da AIEA –
registrou em torno de 3068 incidentes confirmados envolvendo material nuclear e
radioativo, relatados pelas nações participantes. Destes incidentes confirmados, 270
incidentes pertencem ao chamado Grupo I, onde há informações suficientes para
determinar se estes estão relacionados a tráfico ou uso mal-intencionado. Deste total,
temos ainda 904 incidentes nos quais não há o suficiente para determinar a intenção
(Grupo II) e 1894 que não estão relacionados a tráfico ou uso mal-intencionado (Grupo
III). Observando-se somente o ano de 2016, 34 Estados relataram ao ITDB um total
de 189 incidentes, relativos aos três grupos. Tais dados são suficientes para concluir
que este tráfico continua a ocorrer (IAEA, 2016).
Apesar da maior parte dos incidentes de tráfico serem de material nuclear e a
maior parte dos materiais radioativos envolvidos exigirem preocupação limitada, o
número destes eventos é alarmante. Desta forma, as medidas de controle e
segurança nuclear e radiológica precisam ser constantemente melhoradas. Os
22
posteriores ataques terroristas, principalmente na Espanha e França, fazem com que

estas preocupações continuem na linha de frente. (ELBARADEI, 2005)
No ano de 1997, após o surgimento das primeiras denúncias de tráfico ilícito de
material nuclear e radioativo, a IAEA criou o Programa de Segurança de Material (em
inglês, “Security of Material Programme”). (IAEA, 2013)
Após os atentados de 11 de setembro, a Agência também criou o primeiro plano
abrangente de ação contra o terrorismo nuclear, aprovado em março de 2002 (IAEA,
2013).
O laboratório estadunidense de Sandia – em inglês, Sandia National Laboratories
(SNL) – executa atualmente para Sistemas de Proteção Física uma metodologia
baseada na abordagem por desempenho, denominada DEPO – acrônimo em língua
inglesa para Design and Evaluation Process Outline. Entretanto, o método utilizado
pelo referido instituto não considera segurança cibernética e nem contabilidade e
controle de material nuclear.
A necessidade de possuir abordagens eficazes e confiáveis para a segurança
nuclear são essenciais não apenas para detecção e resposta ao tráfico ilícito. Estas
abordagens são necessárias também no tocante à proteção de usinas nucleares,
reatores de pesquisa, aceleradores de partículas e matrizes de materiais nucleares e
radioativos.
Com a globalização, houve uma drástica alteração no cenário de segurança, onde
esta trouxe interdependência para a comunidade internacional, com movimentação
constante de pessoas, conhecimento e bens de consumo. Diante deste cenário de
comunicação e mercados globais, junto à escalada do terrorismo internacional, fica
evidente que é preciso ajustar os entendimentos e abordagens de segurança
nacionais e internacionais. (ELBARADEI, 2005)
1.2 Objetivos
O propósito deste trabalho é desenvolver um Projeto de Segurança Física Nuclear

estudando a interferência intrínseca das áreas que a compõem em uma instalação
nuclear hipotética brasileira, envolvendo eventos que abranjam as suas áreas e suas
potencialidades – tais como sabotagem, roubo, dentre outros – alertando a sociedade
23
aos riscos e orientando-a às ações de prevenção e detecção para os diversos tipos

de ameaças, seguindo as orientações disponibilizadas da AIEA.
1.3 Metodologia
Este trabalho visa aplicar a abordagem por desempenho estudando a influência

das áreas englobadas pela Segurança Física Nuclear, a fim de construir estratégias e
sistemas adequados à realidade brasileira, tendo em vista também as normas
nacionais ditadas pela Comissão Nacional de Energia Nuclear (CNEN), baseadas no
que é estabelecido pela Agência Internacional de Energia Atômica (AIEA). Para tal,
foi criado um modelo de instalação nuclear hipotético com o intuito de preservar a
confidencialidade dos planos de proteção física de instalações reais.
1.4 Justificativa
O Brasil por suas dimensões exige grandes desafios no tocante à sua segurança.
Soma-se a isto o destaque internacional, especialmente por ter sediado grandes
eventos, além de receber delegações de países que são alvos frequentes de ataques
terroristas.
Apesar de o Brasil não possuir histórico de eventos de segurança nuclear, o país
tem assistido nos últimos anos a uma crescente escalada da crise na segurança
pública, com destaque para o aumento do poderio do crime organizado. Outro ponto
relevante é o fato de que todas as atividades relacionadas à área nuclear são de
competência exclusiva da União (TAVARES, 2005). Desta forma, o estudo aqui
desenvolvido pode prover medidas eficazes e flexíveis em termos de sistemas de
segurança física, a fim de que estas melhorias propostas possam ser justificadas junto
ao contribuinte brasileiro.
1.5 Organização do Trabalho
Neste trabalho, tanto a metodologia quanto os fundamentos apresentados

apresentam como base os documentos produzidos pela Comissão Nacional de
24
Energia Nuclear (CNEN), a Agência Internacional de Energia Atômica e as

orientações produzidas pela mesma.
A estrutura do trabalho está descrita como se segue:
1. Introdução do trabalho, estabelecendo um panorama atual, a motivação, os
objetivos, justificativa, além do Estado da Arte, finalizando com a Organização do
Trabalho;
2. Fundamentação teórica do trabalho, com a descrição da definição e estrutura
do tema Segurança Nuclear, assim como dos princípios e modalidades de ações
dentro das três grandes áreas da Segurança Nuclear, as quais se dividem em
regulatória, não-regulatória e cooperação entre instituições. Também realizou-se uma
análise de tipos de eventos e potenciais ameaças, bem como os elementos requeridos
por um Plano de Segurança Nuclear;
3. Descrição da metodologia do trabalho, mostrando como foi feita a utilização do
processo DEPO ao longo do trabalho, através da concepção de uma instalação
hipotética, objeto de estudo deste trabalho;
4. Exibe o Projeto de Proteção Física da Instalação Nuclear hipotética criada,
detalhando as três macroetapas exigidas pelo processo DEPO: a definição de
requisitos, o projeto conceitual do sistema de proteção física e a avaliação do sistema;
5. Projeto de Segurança Cibernética e de Segurança da Informação, exibindo as
vulnerabilidades do sistema de proteção física projetado para a instalação hipotética,
diante de adversários com capacidades cibernéticas e propondo melhorias que
possam tornar a proteção mais robusta;
6. Projeto de Contabilidade e Controle de Material Nuclear, apresentando uma
análise de cenários com um adversário interno com intenção de promover pequenos
roubos sucessivos à instalação nuclear hipotética aqui modelada;
7. Por fim, a exposição das conclusões obtidas no decorrer do trabalho, apontando
desafios para a realização das etapas em instalações reais, bem como a proposição
de trabalhos futuros relativos ao tema de Segurança Física Nuclear.
25
2 FUNDAMENTAÇÃO TEÓRICA
A segurança nuclear compreende duas áreas, cuja diferenciação – em língua

inglesa – é dada pelos termos “safety” e “security” (IAEA, 2016). Até o presente
momento, ambas as áreas não possuem diferenciação quanto à nomenclatura em
Língua Portuguesa sendo tratadas como “segurança nuclear” (CNEN, 2015).
Convém ressaltar também que, de acordo com a Agência Internacional de Energia
Atômica (AIEA), não há uma distinção exata entre os termos “safety” e “security”, onde
a interação exata entre estas áreas depende do contexto (IAEA, 2016).
O termo security vem do Latim “securus”, que quer dizer “isento de perigo” (FARIA,
1962). De forma geral, a área de security está voltada para ações mal-intencionadas
ou negligentes de seres humanos, onde estas podem causar danos ou ameaçar a
outros seres humanos (IAEA, 2016). A security, portanto, é responsável pela
prevenção, detecção e resposta aos ataques criminosos ou atos intencionais não-
autorizados que envolvam ou estejam direcionados a materiais nucleares e
radiológicos, bem como instalações e atividades associadas.
Por outro lado, o termo safety vem do Latim “salvus” e quer dizer “intacto” (FARIA,
1962). A área de safety compreende a proteção das pessoas e do meio ambiente dos
riscos das radiações ionizantes, bem como a segurança das instalações e atividades
que originam tais riscos. Desta forma, a referida área compreende tanto os riscos da
radiação em situações normais, como aqueles que são consequência de incidentes
(IAEA, 2006).
O escopo de safety é intrínseco às atividades nucleares e são utilizadas análises
de segurança (ou risco) com viés probabilístico, com dados transparentes. Desta
forma, esta refere-se às características que limitam a plausibilidade da ocorrência de
danos, incidentes ou acidentes nucleares e radioativos, que podem levar a lesões
corporais e/ou ambientais - incluindo as características que atenuam as
consequências desses eventos potenciais. Em security englobam-se as ações mal-
intencionadas e com certo grau de confidencialidade, e utiliza-se o julgamento com
base em ameaças. Tal área engloba os aspectos que impedem
a posse não autorizada de instalações e materiais, nucleares e radioativos, bem como
26
qualquer atividade nuclear que não seja permitida, impedindo o seu controle ou que
seu controle seja adquirido incorretamente (IAEA, 2016).
As áreas de safety e security têm em comum o objetivo de proteger as pessoas,
a sociedade, as propriedades (públicas e/ou privadas) e o meio ambiente. As medidas
promovidas por ambas as áreas devem ser desenhadas e implementadas de forma
integrada, no sentido de promover uma sinergia entre ambas as áreas (IAEA, 2013).
A sinergia destas áreas pode ser observada quando da infraestrutura reguladora,
as disposições de engenharia na concepção e construção de instalações nucleares,
no controle de acesso a instalações nucleares e outras instalações, na categorização
de fontes radioativas, dentre outros inúmeros exemplos (IAEA, 2016).
Num primeiro momento, para fins de nomenclatura, seria possível traduzir “safety”
como “segurança tecnológica” e “security” como “segurança física” e esta será a
tradução adotada neste trabalho.
2.1 Estrutura da Segurança Física Nuclear
Conforme mencionado anteriormente, a segurança nuclear divide-se em três

áreas: regulatória, não-regulatória e cooperação entre instituições.
2.1.1 Cooperação Institucional
No tocante à área de cooperação institucional, a AIEA divide-a em cinco grandes

grupos, chamados de áreas comuns da segurança nuclear. A saber:
 Avaliação de ameaças: as agências responsáveis devem avaliar informações
de ameaças recebidas a fim de se tomar decisões em favor da segurança
 Desenvolvimento e capacitação de recursos humanos: as agências
responsáveis devem promover treinamentos especializados a fim de capacitar suas
equipes para agir em caso de emergências
 Assistência e cooperação internacional: os países devem estar unidos contra o
terrorismo, de forma que a cooperação seja estabelecida sempre que necessário
 Quadro legislativo e regulatório: leis bem definidas relacionadas a ataques
terroristas e posse de materiais de cunho nuclear devem reger os países, de forma
que as punições previstas sejam dignas das intenções e consequências do ato
27
 Segurança da Informação: qualquer informação relacionada a algum tipo de

ação envolvendo material nuclear ou radioativo deve ser tratada por aqueles que
entendem do assunto
2.1.2 Área Regulatória
Em relação à área regulatória, a AIEA divide-a em quatro grandes grupos,

específicos para materiais nucleares e radiológicos e suas atividades associadas. São
eles:
 Controle regulatório: refere-se à qualquer forma de controle institucional sobre
materiais nucleares e/ou radioativos, às instalações associadas ou atividades
associadas por qualquer autoridade competente. Este controle deve estar em
conformidade com o exigido pelas disposições legislativas e regulatórias relacionadas
à segurança tecnológica, segurança física ou salvaguardas (IAEA, 2010).
 Segurança de transporte: qualquer material de cunho nuclear ou radioativo
deve possuir monitoramento especializado em sua transferência.
 Segurança na operação de sistemas: deve ser assegurada confiabilidade de
funcionamento a qualquer equipamento utilizado na operação de sistemas que
envolvam materiais radioativos, incluindo a precisão dos seus resultados.
 Proteção Física:
o Instalações: deve ser proporcionado segurança a qualquer instalação
que envolva material nuclear ou radioativo contra ameaças eventuais que possam
colocar em risco ou inviabilizar o seu funcionamento.
o Pessoal: é necessária a proteção por meio de equipamento
especializado, além de se ter conhecimento das medidas a serem tomadas para
prevenir ou minimizar efeitos de um eventual ataque
o Planejamento para ações de cunho nuclear: um prévio planejamento da
linha de ação caso um ataque nuclear ocorra se faz necessário, pois, caso
contrário, dúvidas a respeito das tarefas de cada agência surgirão no momento.
28
2.1.3 Área Não-Regulatória
Antes de nos debruçarmos sobre a estrutura, cabe aqui uma elucidação sobre
alguns termos.
O termo “fora do controle regulatório” é usado para descrever uma situação na
qual os materiais nucleares e/ou radioativos estão presentes seja sem autorização
apropriada, seja em quantidade suficiente, de tal forma que deveriam estar sobre
controle regulatório, mas tal controle está ausente – ou por falha do controle
regulatório ou porque este jamais existiu (IAEA, 2010).
Neste mesmo escopo, existe ainda o termo “material fora do controle regulatório”
que refere-se à ausência do controle direto sobre um material pelo titular que é – ou
deveria ser – responsável pelo controle regulatório para tal material (IAEA, 2010). Aqui
entende-se por “titular” (do inglês, “authorized person”, “licensee” ou “operator”) (IAEA,
2012), o responsável legal pela instituição ou instalação para a qual a CNEN outorgue
uma licença, autorização ou qualquer outro ato administrativo de natureza semelhante
(CNEN, 2015).
O material pode, portanto, ser designado como “fora do controle regulatório”,
mesmo quando alguns aspectos do controle regulatório estão em vigor (IAEA, 2010).
Em relação à área não-regulatória, a AIEA divide-a em quatro grandes grupos,
específicos para materiais nucleares e radiológicos e suas atividades associadas. São
eles:
 Arquitetura de detecção: é necessário um planejamento para detecção de um
material suspeito ou localização de material desaparecido
 Arquitetura de resposta: é necessário um planejamento conjunto das agências
para responder a um eventual ataque.
 Gerenciamento da cena do crime: caso um ataque tenha ocorrido, o local deve
ser gerenciado por agências especializadas.
 Eventos de Grande Público: é necessária segurança reforçada em grandes
eventos públicos, uma vez que a densidade de pessoas é alta
29
2.2 Área Não-Regulatória
2.2.1 Eventos de Segurança Física Nuclear
A Agência Internacional de Energia Atômica define que “eventos de segurança

física nuclear” são todos os eventos que tenham implicações potenciais ou reais para
a segurança física nuclear (IAEA, 2013).
Tais eventos podem incluir quaisquer usos mal-intencionados de materiais
nucleares e/ou radioativos, bem como suas instalações e equipamentos associados.
Podemos listar alguns exemplos:
 tomada ilegal – via roubo, furto, etc.;
 tráfico;
 venda ou transferência não-autorizada;
 sabotagem de equipamentos, instalações ou de transporte;
 ataque cibernético.
Eventos de segurança física nuclear podem resultar no que a AIEA chama de
“atos mal-intencionados”. As publicações da Agência Internacional de Energia
Atômica (IAEA, 2011) descrevem estes como os atos ou tentativas deliberadas que
visam:
 remover material nuclear ou radioativo de controle autorizado – roubo, por
exemplo;
 ou um ato dirigido contra material nuclear ou radioativo – sabotagem, por
exemplo.
Estes atos visam colocar em risco os trabalhadores, o público e o meio ambiente
por exposição à radiação ou liberação ou dispersão de material radioativo, ou mesmo
para causar transtornos econômicos e sociais (IAEA, 2010). Como exemplos de atos
mal-intencionados, podemos listar:
 o roubo de um caminhão que transporta uma fonte de cobalto-60 para
teleterapia, saindo de um hospital para uma instalação de gerenciamento de lixo
radioativo;
 um adversário que acesse um irradiador de bolsas de sangue numa unidade
médica e utiliza explosivos convencionais para dispersar material radioativo;
30
 um hacker acessa plantas e manuais de equipamentos de uma usina nuclear,

com o intuito de sabotar ou facilitar um ataque.
Um dos riscos-chave no tocante à segurança física nuclear é a possibilidade que
adversários utilizem materiais nucleares ou radioativos para a elaboração de artefatos
que exponham pessoas à radiação, que dispersem material radioativo para o meio-
ambiente ou até mesmo criar uma explosão nuclear. Tais artefatos podem gerar
consequências socioeconômicas, de saúde e ambientais relevantes. Eles são
classificados como (IAEA, 2010):
 artefatos de exposição à radiação (em inglês, RED, acrônimo para radiation
exposure device): expõem o público intencionalmente à radiação;
 artefatos de dispersão radiológica (em inglês, RDD, acrônimo para radiological
dispersion device): espalham material radioativo utilizando explosivos convencionais
ou outros meios – conhecidos como “bombas sujas’;
 artefatos nucleares improvisados (em inglês, IND, acrônimo para improvised
nuclear device): resultam na formação de uma reação ou explosão nuclear.
Eventos de segurança física podem ser descritos como cenários que se
caracterizam por ameaças, táticas e alvos.
2.2.1.1 Ameaças
Uma ameaça à segurança física nuclear consiste em uma pessoa – ou grupo de

pessoas – que possuam motivação, intenção e capacidade para cometer atos mal-
intencionados (IAEA, 2010). Comumente, chamamos as ameaças também de
“adversários”.
Caracterizar um adversário permite avaliar o comportamento dele no futuro. Para
tanto, se faz necessário reunir um conjunto de informações sobre os adversários:
motivação, intenção e capacidades (IAEA, 2016). Garcia (2008) acrescenta ainda que
é necessário listar os objetivos – tendo como base os alvos potenciais – e as táticas
dos adversários. Mais à frente discutiremos sobre as táticas e alvos.
O termo “motivação” é usado para descrever o que leva um adversário a realizar
ou tentar executar um ato mal-intencionado (IAEA, 2008). Como exemplo de tipos de
motivação (IAEA, 2016), temos:
31
 financeira;
 pessoal;
 psicológica;
 política;
 ideológica;
 coercitiva.
Podemos dividir as intenções em (IAEA, 2016):
 causar dano ao público ou indivíduo específico;
 causar dano ao meio ambiente;
 causar prejuízos à economia;
 publicidade;
 ganhos pessoais (em geral, financeiros);
 perturbar a ordem política e/ou social.
No tocante às capacidades do adversário, temos (IAEA, 2016):
 recursos humanos;
o habilidades técnicas – tais como conhecimentos de engenharia, uso de
explosivos, experiências paramilitares, dentre outros;
o habilidades cibernéticas – utilizando, por exemplo, computadores e
sistemas automatizados para facilitar os ataques físicos;
o conhecimento – alvos potenciais, planos e procedimentos da instalação,
materiais nucleares e radiológicos com potencial para uso, dentre outros.
 organizacionais;
o tamanho do grupo – força de ataque, capacidade de coordenação e tipos
de suporte;
o táticas – para se evadir ou se evidenciar;
o organização estrutural – cadeia de comando e/ou se age em células
únicas ou múltiplas.
 financeira;
o fonte, quantidade e disponibilidade.
 equipamentos;
o armas – tipos, números, disponibilidade e improvisação;
o ferramentas – mecânicas, térmicas, manuais, eletrônicas, dentre outras.
32
 acesso ao alvo.
o transporte – público, privado, terrestre, marítimo, aéreo, quantidade,
disponibilidade, dentre outros;
o existência ou não de adversários internos;
o estrutura de apoio – simpatizantes locais, organização de apoio e
logística.
Adversários são classificados (GARCIA, 2008) em três grandes grupos:
 externos (do inglês, “outsiders”);
 internos (do inglês, “insiders”);
 externos em conluio com internos.
Adversários externos podem incluir terroristas, criminosos comuns, extremistas ou
hackers. Já os adversários internos são definidos como qualquer pessoa que tenha
conhecimento das operações ou dos sistemas de segurança física e que tenha acesso
livre à instalação ou às áreas de interesse.
2.2.1.1.1 Adversários Internos
De acordo com o Nuclear Security Series no 8 (IAEA, 2008), um adversário interno

pode estar em qualquer posição em uma instalação: desde o funcionário de nível mais
alto até o mais baixo.
Por conseguinte, adversários internos representam uma grave ameaça a uma
instalação, na medida em que estes podem explorar vantagens tais como: ter acesso
autorizado, ter autoridade e/ou ter conhecimento suficiente para que seja possível
para trair a confiança e contornar as medidas de segurança.
Adversários internos possuem três características que o distinguem dos outros:
 conhecimento do sistema, que pode ser usado para estar em vantagem;
 acesso autorizado à instalação, aos materiais ou aos sistemas de proteção
física, sem levantar qualquer suspeita de outros;
 e oportunidade de escolher a melhor hora para cometer um ato malicioso.
Um complicador na análise desse tipo de adversários, é o fato de que esta análise
é específica da instalação em voga, devido à ampla gama de tipos de instalações a
serem protegidas – por exemplo, reatores de pesquisa, usinas nucleares e outras
instalações do ciclo de combustível nuclear. Garcia (2008) aponta uma série de
33
estudos que indicam que adversários internos são os responsáveis pela maior parte
das brechas encontradas nos sistemas físicos e computacionais de segurança
nuclear.
Adversários internos podem ter motivações diferentes e podem ser classificados
em passivos ou ativos, violentos ou não-violentos, conforme o diagrama exibido na
figura 2.1 (IAEA, 2008).
Figura 2.1 - Tipos de adversários internos.

Adaptado de IAEA (2008).
Os passivos são não-violentos e sua participação limita-se ao fornecimento de

informações que possam auxiliar outros adversários a realizar ou tentar realizar um
ato mal-intencionado (IAEA, 2008).
Já os ativos estão dispostos não somente a fornecer informações, mas também
realizar ações. Neste caso, estes podem ser violentos ou não-violentos (IAEA, 2008).
Os adversários internos ativos não-violentos não estão dispostos a ser
identificados ou arriscam a chance de envolver forças de resposta. Em geral, limitam
suas atividades a adulteração da contabilidade e controle dos materiais, e também
dos sistemas de segurança física e tecnológica. Já os adversários internos ativos
violentos podem usar a força, independentemente disso aumentar suas chances de
sucesso; eles podem agir racional ou irracionalmente (IAEA, 2008). Este último tipo
de adversário é o mais difícil de se proteger, de acordo com Garcia (2008).
2.2.1.2 Táticas
Táticas são o conjunto de métodos utilizados pelo adversário para executar um

evento, incluindo-se a descrição do alvo pretendido. Entre as táticas listadas pela
Agência Internacional de Energia Atômica (IAEA, 2016), podemos listar:
34
 identificar o alvo pretendido;

 métodos para fabricação de artefatos, tais como RED, RDD e IND;
 métodos para sabotagem;
 utilização de adversários internos e de técnicas cibernéticas;
 métodos para aquisição de material;
 modalidades de transporte;
 métodos para evadir e/ou burlar a segurança.
2.2.1.3 Alvos
A AIEA entende como alvos os materiais nucleares e radiológicos, instalações e

atividades associadas, ou outros locais e objetos que tenham potencial para ser
explorados pelo adversário – como por exemplo, eventos de grande público, locais
estratégicos e informações confidenciais (IAEA, 2013).
Garcia (2008) divide os alvos em dois tipos:
 alvos primários: podem ser ativos físicos, dados eletrônicos, pessoas ou
quaisquer coisas que possam causar impacto na operação;
 alvos secundários: podem ser componentes da proteção física que possam ser
atacados a fim de diminuir a efetividade do sistema, facilitando um ataque.
2.2.2 Atribuições da Segurança Física Nuclear
Descrições e análises abrangentes de potenciais eventos de segurança nuclear

permitem projetar corretamente um conjunto de medidas de segurança (IAEA, 2016).
A AIEA entende que “medidas de segurança física nuclear” são aquelas que visam
prevenir que uma ameaça de segurança física nuclear se torne, concretamente, um
ato criminoso ou intencional não-autorizado que envolva ou esteja dirigido a materiais
nucleares ou radiológicos ou instalações e atividades associadas a estes. Ademais,
tais medidas têm em seu escopo detectar e responder aos eventos de segurança
física nuclear (IAEA, 2013).
O conjunto integrado de medidas de segurança nuclear forma o que a AIEA chama
de “sistema de segurança física nuclear”. Por fim, uma série de sistemas de segurança
35
nuclear sinergicamente interligados, formam o Regime de Segurança Nuclear (IAEA,

2012). Este regime será discutido posteriormente, na seção 2.3.1.
Os recursos da Segurança Física Nuclear têm como objetivo combater atos mal-
intencionados. Tanto os sistemas, quanto as medidas de segurança física nuclear
podem ser divididos em três componentes principais: prevenção, detecção e resposta,
sendo estas as atribuições supracitadas.
O diagrama na figura 2.2 ilustra a relação entre estes três componentes.
Figura 2.2 - Componentes da Segurança Física Nuclear.

36
2.2.2.1 Prevenção
As medidas de prevenção visam impedir o adversário de realizar uma tentativa ou

cometer um ato mal-intencionado. Estas são implementadas para prover dissuasão e
desestimular atos mal-intencionados. Elas podem incluir medidas de proteção física,
segurança da informação, checagem de antecedentes de pessoal, marcos legais de
governança para materiais nucleares e radiológicos – incluindo penalidades criminais
– além de capacidades de detecção e resposta que sejam visíveis – publicamente ou
não (IAEA, 2016).
2.2.2.2 Detecção
As medidas de detecção objetivam descobrir uma tentativa ou ato mal-

intencionado. No tocante a materiais sob controle regulatório, tais medidas têm como
função descobrir tentativas não-autorizadas de acessar instalações nucleares ou
radiológicas. Numa instalação, isto pode se fazer por meio da proteção física – através
de sensores de invasão, sistema de vídeo-vigilância, contabilidade de material, dentre
outros. Se o material deixa o controle regulatório por qualquer motivo – incluindo roubo
ou perda –, as medidas de detecção são necessárias para localizar o material. Para
materiais fora do controle regulatório, as medidas podem incluir, por exemplo,
instrumentação de detecção e alertas médicos em casos de suspeita de doenças ou
lesões causadas por radiação (IAEA, 2016).
2.2.2.3 Resposta
As medidas de resposta são aquelas projetadas para responder a casos de atos

mal-intencionados.
Aqui cabe uma observação: medidas de resposta não são o mesmo que medidas
de retardo. Medidas de retardo – tais como barreiras físicas – são aquelas que
impedem uma tentativa do adversário em obter acesso não-autorizado, remover ou
sabotar instalações nucleares ou radiológicas (IAEA, 2016).
37
Logo, se um adversário obtém sucesso quando pratica um ato mal-intencionado,

as medidas de resposta são usadas para executar as atividades listadas em planos
de emergência.
É fundamental reconhecer que as medidas de resposta para segurança física e
segurança tecnológica diferem na medida em que possuem objetivos distintos (IAEA,
2016).
2.3 Área Regulatória da Segurança Nuclear
2.3.1 Regime de Segurança Física Nuclear
Dentro do território de uma nação, a responsabilidade pela Segurança Física

Nuclear cabe inteiramente e somente ao Estado, que para isso, deve ter seu próprio
Regime de Segurança Física Nuclear (em inglês, “nuclear security regime”), adequada
à realidade do país. É importante reconhecer que uma segurança nuclear efetiva em
um Estado depende também da eficácia do Regime de Segurança Nuclear em outros
Estados (IAEA, 2013).
Em linhas gerais, um Regime de Segurança Nuclear deve abranger (IAEA, 2013):
 os dispositivos legais e regulatórios, bem como os sistemas administrativos e
medidas governamentais para a segurança dos materiais nuclear e radiológico, e das
instalações e atividades associadas;
 as instituições e organizações do Estado responsáveis pela garantia da
implementação dos dispositivos e sistemas mencionados;
 os sistemas de segurança nuclear e as medidas de segurança nuclear para
prevenção, detecção e resposta a eventos de segurança física nuclear.
A AIEA, através da publicação Nuclear Security Series n 20 (NSS 20), estabelece
o
12 (doze) elementos essenciais para o referido Regime, que devem ser

implementados na medida em que sejam, na prática, razoáveis e possíveis sob a ótica
da realidade de cada Estado. A implantação destes elementos, portanto, deve estar
em acordo com a realidade de cada Estado.
Os doze tópicos listados pela IAEA são os seguintes:
38
 Elemento essencial no 1: responsabilidade do Estado

 Elemento essencial no 2: identificação e definição das responsabilidades na
segurança nuclear
 Elemento essencial no 3: dispositivos legislativos e regulatórias
 Elemento essencial no 4: transporte internacional de materiais nucleares e
radioativos
 Elemento essencial no 5: infrações e penalidades, incluindo a criminalização
 Elemento essencial no 6: cooperação internacional e assistência
 Elemento essencial no 7: identificação e avaliação de ameaças à segurança
nuclear
 Elemento essencial no 8: identificação e avaliação de alvos e consequências
em potencial
 Elemento essencial n o 9: uso de abordagens baseadas em riscos
o
 Elemento essencial no 10: detecção de eventos de segurança nuclear

 Elemento essencial no 11: planejamento, preparação e resposta a um evento
de segurança nuclear
 Elemento essencial no 12: sustentar um regime de segurança nuclear
No tocante à responsabilidade do Estado, cabe aqui o que já foi dito previamente,
onde este é o único responsável pela implementação de um Regime adequado à
própria nação.
Os elementos essenciais nos 2 e 3 estão intrinsecamente interligados, na medida
em que as responsabilidades das autoridades competentes do Estado – no tocante à
segurança nuclear – incluem órgãos reguladores, controle de fronteiras e o
cumprimento da lei. Para tal, as responsabilidades de todos os indivíduos envolvidos
têm de estar claramente identificadas e definidas. Ainda de acordo com o elemento no
3, o Estado deve ter legislação e regulamentação apropriados, no intuito de garantir
que os órgãos reguladores tenham independência - administrativa e financeira - na
tomada de decisões quanto à segurança nuclear.
O elemento no 4 estabelece que compete também ao Estado a garantia de que
materiais nucleares e radioativos sejam adequadamente protegidos inclusive quando
do seu transporte internacional, até o momento em que esta responsabilidade seja
devidamente transferida para outro Estado.
39
O quinto elemento determina que o Regime de Segurança Nuclear deve definir

claramente que quaisquer atos criminosos ou intencionais não-autorizados contra a
segurança nuclear devem ser considerados ofensas ou violações à lei.
O elemento essencial no 6 prevê que haja cooperação e assistência entre os
Estados, diretamente ou através da IAEA ou de outras organizações internacionais.
Tal cooperação deve ocorrer, também, na forma de troca de experiências e
informações, onde as informações sensíveis ou sejam protegidas de forma adequada
e apropriada.
O disposto no no 7 garante que a identificação e avaliação de ameaças à
segurança nuclear compete ao Estado, sejam elas internas ou externas ao território,
dentro ou fora de sua jurisdição. Da mesma forma, o elemento essencial no 8
estabelece que os alvos em potencial dentro do Estado devem ser identificados e
avaliados para determinar se eles exigem proteção ou não contra ameaças à
segurança nuclear.
Consequentemente, o Regime de Segurança Nuclear deve utilizar-se de
abordagens de risco, incluindo a alocação de recursos em sistemas e medidas de
segurança nuclear, baseando-se nos conceitos de “abordagem gradual” e “defesa em
profundidade”, conforme estabelecido no elemento no 9.
De forma objetiva, o conceito de “defesa em profundidade” pode ser entendido
como uma série de camadas de sistemas e medidas de segurança nuclear. Tais
camadas sucessivas tem por finalidade a proteção de alvos sob ameaça. O conceito
de “abordagem gradual” consiste na aplicação de medidas de segurança nuclear que
sejam proporcionais às consequências potenciais de atos que tenham impactos
negativos na segurança nuclear.
Tais sistemas e medidas de segurança nuclear devem estar em vigor em todos
os níveis organizacionais adequados. Com isso, é possível detectar e avaliar os
eventos de segurança nuclear e, consequentemente, notificar as autoridades
competentes a fim de que se possam ser iniciadas ações de resposta adequadas
(elemento essencial no 10). O Regime também precisa assegurar (elemento essencial
no 11) que as autoridades competentes e o titular estejam preparados para responder
apropriadamente aos eventos em nível local, nacional e internacional. Por fim, o
elemento essencial no 12 determina que cada uma das autoridades competentes e o
40
titular, bem como outras organizações com responsabilidades sobre segurança

nuclear, contribuam com a sustentabilidade do Regime através das medidas cabíveis.
2.3.2 Segurança Física de Transportes
O transporte de materiais nucleares e radiológicos pode envolver risco, já que o

material está na fase mais vulnerável de seu ciclo de vida.
Essa vulnerabilidade se dá por dois motivos principais. Primeiramente, porque o
material está sendo transportado no domínio público, em vez de permanecer em uma
instalação segura. Segundo, porque se um veículo transportando material nuclear ou
radioativo for roubado, este poderá ser usado para atos maliciosos (IAEA, 2016).
Desta forma, uma operação de transportes pode ser considerada uma instalação
móvel, onde a área que circunda o modal de transporte se altera à medida em que
este se move ao longo da rota.
O sistema de segurança de transporte deve resultar em medidas destinadas a
proteger materiais nucleares e radioativos em trânsito e armazenamento temporário,
seguindo alguns princípios básicos.
2.3.2.1 Princípios Básicos e Fundamentos
A responsabilidade pela segurança do material radioativo, incluindo materiais

nucleares e fontes radioativas, cabe inteiramente ao Estado, conforme determina o
elemento essencial no 1 do Regime de Segurança Física Nuclear. Neste escopo inclui-
se, portanto, o transporte desses materiais.
A Nuclear Security Series no 9 (IAEA, 2008), estabelece um sistema de
categorização para medidas de segurança, que considera as propriedades e
quantidades de material radioativo sendo transportado. Ela recomenda ainda práticas
de gerenciamento prudentes para todas as remessas de material radioativo.
De acordo com a AIEA devem existir dois níveis de segurança do transporte
nuclear:
 nível básico de segurança: para todos os materiais radioativos avaliados com
quantidades limites superiores às das práticas de gerenciamento prudentes;
41
 nível aprimorado de segurança: material radioativo com um nível de

radioatividade considerado de alta consequência.
Decidir sobre os níveis de segurança, limites de categoria e medidas de segurança
para materiais nucleares e radioativos é um complexo e demanda um processo
detalhado. O processo pode ser simplificado em quatro etapas principais (IAEA,
2008):
 Estabelecer a base: primeiro, para material radioativo (que não seja material
nuclear), a autoridade competente precisa especificar se os limites de segurança
devem ser estabelecidos com base na quantidade por embalagem ou quantidade por
transporte. Isso ajudará a determinar a categoria apropriada.
 Considerações Particulares: para material nuclear, a autoridade competente
deve especificar se a sabotagem das remessas poderia resultar em consequências
radiológicas inaceitáveis e, em caso afirmativo, que medidas de segurança adicionais
são necessárias – a atratividade das remessas de material radioativo justifica medidas
de segurança adicionais.
 Diagramas decisórios: depois disso, autoridades competentes devem recorrer
a diagramas decisórios (diagramas de fluxo complexos) para determinar a categoria
apropriada de material nuclear e o nível de segurança de material radioativo. Isso
garante que todos os fatores necessários sejam levados em consideração, reduzindo
significativamente o risco de erro humano.
 Definindo a abordagem: por fim, a medida de segurança adequada deve ser
definida de acordo com a categoria da remessa.
2.3.3 Proteção Física
A proteção física de instalações nucleares e radiológicas tem como objetivos

gerais (IAEA, 2011) proteger contra roubo e sabotagem, localizar e recuperar material
perdido ou roubado e também mitigar as consequências radiológicas de uma
sabotagem.
A indústria nuclear estadunidense dispendeu o equivalente a 1 bilhão de dólares
na expansão dos sistemas de segurança de suas usinas nucleares (MURRAY e
HOLBERT, 2015). Os investimentos incluíram melhorias no treinamento e armamento
de suas forças de segurança, barreiras físicas adicionais, melhor vigilância e detecção
42
de invasores, fortes controles de acesso, implementação da proteção dos sistemas

computacionais da planta, além da melhoria na checagem de antecedentes dos
funcionários da planta.
Existem duas formas de prevenir um ato mal-intencionado, de acordo com Garcia
(2008):
 dissuadindo o adversário;
 ou neutralizando o adversário.
Dissuasão implica em implementar medidas de tal forma que o adversário seja
levado a supor que elas são muito difíceis de derrotar. Temos como exemplos
clássicos, a presença de guardas noturnos em estacionamentos, uso de sinalização
e barreiras físicas tais como barras em uma janela.
Desta forma, através da dissuasão, a instalação deixa de ser um alvo atraente e
o adversário abandona ou jamais tenta um ataque. Em geral, medidas de dissuasão
são implantadas sem nenhuma preocupação em acrescentar mais camadas de
proteção em caso de um evento de segurança nuclear. Desta forma, a dissuasão pode
até ser efetiva ao desencorajar eventuais ataques, mas é inútil se o adversário estiver
decidido a promover um ataque.
Por outro lado, um Sistema de Proteção Física (SisPF) robusto tem alto valor
dissuasório, na medida em que o sistema oferece também proteção à instalação em
caso de ataque (GARCIA, 2008). No entanto, é praticamente impossível medir o nível
de dissuasão e, com isso, torna-se difícil dar qualquer garantia que ela exista (SNL,
2018).
A outra forma de prevenir um ato mal-intencionado é pela neutralização do
adversário. Esta refere-se às ações tomadas pela força de resposta para impedir que
um adversário cumpra seu objetivo após iniciar um ato mal-intencionado contra uma
instalação. A neutralização, por sua vez, possui uma série de formas de ser avaliada,
através de suas funções primárias.
2.3.3.1 Projeto de um Sistema de Proteção Física
Um SisPF realiza seus objetivos por dissuasão ou por uma combinação de

funções primárias, que resultam numa provável neutralização do adversário. As
43
funções primárias de um sistema de proteção física são: detecção, retardo e resposta.

Nas subseções a seguir discutiremos alguns aspectos importantes delas.
2.3.3.2 Características Necessárias a um Sistema de Proteção Física
O objetivo de um SisPF é prevenir a sabotagem e/ou roubo de materiais nucleares

ou radiológicos presentes numa instalação. Um SisPF realiza seus objetivos por
dissuasão ou por uma combinação de detecção, retardo e resposta. Para tal, os
procedimentos do sistema de proteção física devem ser compatíveis com os
procedimentos da instalação (SNL, 2018).
Garcia (2008) afirma que um SisPF bem projetado possui três características. A
primeira delas é a defesa em profundidade. Esta é um conceito de projeto em que um
adversário deve ser obrigado a evitar ou derrotar vários dispositivos de proteção, em
sequência. Desta forma, os efeitos produzidos no adversário por um sistema que
tenha defesa em profundidade serão: o aumento da incerteza sobre o sistema para o
adversário, a exigência de ferramentas adicionais e preparações mais extensas antes
de atacar o sistema e a criação de etapas adicionais onde o adversário pode falhar ou
abortar a missão.
A segunda é a proteção equilibrada. Ela implica que, não importa quando, onde
ou como um adversário tenta atingir seu objetivo, ele encontrará elementos efetivos
do sistema de proteção física (GARCIA, 2008).
A terceira e última característica é a alta confiabilidade. Um sistema complexo
experimentará algumas falhas nos componentes durante sua vida útil. As causas de
falhas de componentes em um SisPF são inúmeras e variadas. Logo, embora seja
importante conhecer a causa da falha de um componente para restaurar o sistema à
operação normal, é mais importante que os planos de contingência sejam
implementados para que o sistema possa continuar a operar sem comprometer o
funcionamento da instalação (SNL, 2018).
2.3.3.3 Risco em Segurança Nuclear
O entendimento clássico da Engenharia sobre a definição de risco reside em um

modelo matemático elaborado nos anos 1970, que combina a frequência com a qual
44
o evento ocorre com a severidade do mesmo. Tal modelo pode ser enunciado pela
seguinte equação (SNL, 2018):
R = F∙S (2.1)
Onde:
R é o risco;
F é a frequência de ocorrência do evento e;
S é a severidade deste mesmo evento.
O resultado deste trabalho foi o desenvolvimento de um método conhecido como
Avaliação de Risco Probabilístico (ARP), largamente utilizado hoje em Segurança de
Processos.
Para a Segurança Física Nuclear, entretanto, utiliza-se um modelo numérico
bastante similar ao apresentado. Ele pode ser enunciado da seguinte forma (SNL,
2018):
R = P∙C (2.2)
Onde:
R é o risco;
P é a probabilidade de ocorrência de um dado evento de segurança física nuclear
e;
C é a consequência deste mesmo evento.
A probabilidade de ocorrência de um evento de segurança física nuclear depende,
segundo este modelo, da seguinte equação (SNL, 2018):
P = PA ∙ PS (2.3)
Onde:
P é a probabilidade de ocorrência de um dado evento de segurança física nuclear;
PA é a probabilidade de ocorrência de um ataque em uma instalação nuclear e;
PS é a probabilidade do ataque ser bem sucedido.
Na prática, este modelo nos indica que a probabilidade de um evento de
segurança física nuclear é, na verdade, a combinação de duas ocorrências.
Primeiramente, o ataque precisa acontecer (referente à variável P A). Se tal ato mal
intencionado ocorrer, este precisa ser bem-sucedido (referente à variável PS).
Agora, substituindo a equação 2.3 na equação 2.2, teremos que:
R = PA ∙ PS ∙ C (2.4)
45
Entretanto, uma análise mais aprofundada da Literatura sobre o tema revela

graves inconsistências na equação do risco de segurança física nuclear. Quando o
Professor Dr. Norm Rasmussen – criador da equação de ARP, enunciada na equação
2.1 – estudou a equação proposta para o risco em 2.4, ele concluiu que havia uma
série de problemas com a versão modificada.
A principal delas é o fato de que a suposição central na equação 2.1 é que as
falhas são aleatórias por natureza e os termos matemáticos – frequência e
consequência – são completamente independentes. Logo, as hipóteses que
originaram a equação 2.2 violam a fórmula original. Rasmussem recomendou,
portanto, concentrar esforços no que poderia ser medido: a eficácia do sistema de
proteção física na prevenção de ataques bem-sucedidos em instalações nucleares,
dada por PE (SNL, 2018).
De acordo com SNL (2018), a fórmula de risco de segurança física nuclear
proposta ressurge periodicamente em sua forma original em vários trabalhos, com
modificações a fim de torná-la uma fórmula condicional. Estudos mais recentes
continuam a identificar sérias desvantagens técnicas com o uso dessa fórmula, e
recomenda-se que ela não seja usada na segurança física nuclear (SNL, 2018).
SNL (2018) indica que, em caso de ocorrência de um ataque, o Sistema de
Proteção Física pode ou não ser efetivo, neutralizando assim o adversário. Assim
sendo, é possível enunciar a seguinte equação:
PE + PS = 1 (2.5)
Onde:
PE é a probabilidade de eficácia do Sistema de Proteção Física sob ataque e;
PS é a probabilidade do ataque ser bem sucedido.
Frequentemente, o termo PE é também chamado de probabilidade global do SisPF
(SNL, 2018). Este trabalho considera que a meta para o valor de PE é de 85% de
eficácia (PE = 0,85), conforme recomendado por SNL (2018).
De acordo com Garcia (2008), a eficácia de um SisPF é fruto do produto da
probabilidade de interromper-se o adversário pela probabilidade de neutralizá-lo,
assumindo-se que ambos são parte da função de resposta. Tal entendimento pode
ser dada através da equação a seguir:
PE = PI ∙ PN (2.6)
Onde:
46
PE é a probabilidade de eficácia do Sistema de Proteção Física sob ataque;

PI é a probabilidade de interrupção do adversário e;
PN é a probabilidade de neutralização do adversário.
2.3.3.4 Funções de um Sistema de Proteção Física
2.3.3.4.1 Detecção
Detecção em um SisPF consiste na descoberta de uma ação de um adversário –

interno ou externo –, seja esta ação ostensiva ou oculta (GARCIA, 2008).
Garcia (2008) aponta que, em geral, quando falamos em “probabilidade de
detecção” de um sensor, na prática estamos englobando dois parâmetros que medem
a eficiência nessa detecção, que são:
 a probabilidade de detectar uma ação adversária;
 e o tempo necessário para avaliar e reportar o alarme.
Também faz parte da função de detecção o que chamamos de “controle de
acesso”. O controle de acesso tem duas funções principais (GARCIA, 2008): permitir
a entrada de pessoal autorizado e também detectar a tentativa de entrada de pessoal
ou material não-autorizado e impedir sua entrada. A eficácia do referido controle pode
ser medidas através de (SNL, 2018):
 taxa de acertos (número de pessoas autorizadas permitidas acesso por
unidade de tempo);
 taxa de falsos positivos (taxa na qual pessoas não-autorizadas entram, por
meio de credenciais ou identificações falsas);
 taxa de falsos negativos (frequência com a qual pessoas autorizadas tem
acesso negado).
Garcia (2008) aponta ainda que a força de resposta também cumpre papel de
detecção. Guardas em locais fixos ou em ronda podem também podem desempenhar
um papel vital na detecção e avaliação de uma invasão. Da mesma forma, os
funcionários da instalação podem contribuir para a detecção.
Aqui cabe também uma elucidação sobre a diferença de dois atores citados
anteriormente, que tem papel importante em um SisPF: força de resposta e guardas.
De acordo com o Glossário de Segurança Nuclear (CNEN, 2015), a força de resposta
47
(ou força de segurança) corresponde ao pessoal equipado e treinado para garantir a

proteção física da unidade operacional e atender às situações de emergência. Esta
difere-se da força de apoio, termo esse que refere-se à Grande Unidade, a Unidade
ou Organização Militar das Forças Armadas ou Organização Militar das Forças
Auxiliares, previamente designada para apoiar na esfera de sua competência,
determinada unidade operacional submetida a uma situação de emergência. Ambas
diferem-se da definição de guarda, que segundo a norma CNEN NE-2.01 (CNEN,
2011) corresponde a indivíduo selecionado e treinado para a atividade de proteção
física, uniformizado e, preferencialmente, portando arma de fogo.
2.3.3.4.2 Retardo
A segunda função de um SisPF é o retardo, que, na prática, consiste em atrasar

o adversário durante seu ataque, antes que ele chegue ao alvo (GARCIA, 2008).
SNL (2018) estabelece dois tipos de elemento de retardo: passivos e ativos. Os
elementos de retardo passivos são aqueles que não dependem de sensores para que
sejam ativados, como por exemplo: cercas, paredes reforçadas, cadeados, muros e
portas. Já os elementos de retardo ativos são aqueles que dependem de sensores ou
acionamento manual, tais como: espumas de secagem e endurecimento rápido,
agentes fumígenos e agentes irritantes.
De acordo com Garcia (2018), as forças de resposta também podem atuar como
retardo, desde que estejam em posições fixas e bem protegidas.
A medida da eficiência do retardo é dada pelo tempo que o adversário – após a
detecção – leva para passar por cada elemento de retardo. Desta forma, elementos
de retardo só tem alguma validade se estes proverem tempo adicional para resposta
ao adversário, após ele ser detectado. Isso implica que um retardo que ocorre antes
da detecção é, na prática, uma dissuasão.
2.3.3.4.3 Resposta
A função de resposta consiste nas ações tomadas pela força de resposta para
impedir o sucesso do adversário (GARCIA, 2008). Num SisPF, responder a um ato
mal-intencionado consiste em três etapas: implantação, interrupção e neutralização
48
(SNL, 2018). A implantação corresponde às ações da força de resposta a partir do

momento em que uma comunicação de alarme é recebida até o momento em que a
força esteja em posição de neutralizar o adversário. A interrupção ocorre quando há
um número suficiente de pessoal no local apropriado e a tempo de interromper o
progresso do adversário. A neutralização ocorre quando ganha-se o controle físico do
adversário antes que o objetivo seja alcançado. A eficiência da resposta é dada pelo
intervalo de tempo entre a comunicação de alarme de adversário e a interrupção deste
mesmo adversário (GARCIA, 2008).
2.3.3.5 Linha do Tempo de um Sistema de Proteção Física
O tempo total de intrusão de um adversário é distinto do tempo total do Sistema

de Proteção Física (IAEA, 2016), conforme podemos observar na figura 2.3.
Figura 2.3 - Linha do Tempo de um Sistema de Proteção Física.

49
Na linha do tempo apresentada, temos nos eixos das abcissas intervalos de tempo
que são essenciais para entender os conceitos das funções de um SisPF, a saber:
 T0 ou tempo inicial de atuação do SisPF: representa o momento em que o
adversário é detectado (primeiro sensor acionado);
 TD ou tempo de detecção e certificação de intrusão: marca o intervalo de tempo
entre o momento em que o adversário é detectado, o alarme é avaliado e a intrusão
certificada (pode variar de segundos até minutos);
 TI ou tempo de interrupção do adversário pela força de resposta: uma vez que
a detecção ocorreu e o alarme foi avaliado, a resposta inicia seu trabalho interrupção
do adversário;
 TC ou tempo de conclusão do ato mal-intencionado: representa o tempo que o
adversário leva para completar sua tarefa.
O adversário começa sua tarefa em algum momento antes da ocorrência do
primeiro alarme, rotulado no diagrama como T 0. Como antes de T0 não há detecção,
este período de tempo é indeterminado.
Pela linha do tempo apresentada, vemos que o tempo total de um SisPF é dado
pelo intervalo de tempo entre T0 e TI. Desta forma, sabemos que para aumentar a
eficácia de um SisPF é colocar o valor de T0 o mais à esquerda possível no eixo das
abcissas, onde será possível detectar a ameaça mais cedo. Ainda em relação à
eficiência, também se faz necessário reduzir o intervalo de tempo entre T0 e TD, o que
implica que as forças de resposta terão sido comunicadas mais cedo. Outra medida
que aumenta a eficácia é a redução do intervalo entre TD e TI, que representa, na
prática, uma diminuição entre o tempo de mobilização da força de resposta e o tempo
de interrupção do adversário. Outra medida é dilatar ao máximo o intervalo entre TI e
TC, o que significa que o adversário foi neutralizado muito antes de levar a cabo seu
ato mal-intencionado.
2.3.4 Segurança da Informação e Segurança Cibernética
A segurança computacional – dentro do escopo da Segurança Física Nuclear –

visa impedir o acesso não autorizado a informações sensíveis em sistemas de
computadores (IAEA, 2016). Tais informações poderiam ser utilizadas a fim de facilitar
uma remoção não autorizada de material ou sabotar uma instalação. A sabotagem de
50
sistemas de computacionais necessários para segurança física e tecnológica,

especialmente em instalações nucleares, poderia levar a sérias consequências.
A AIEA entende que os termos “computadores”, “sistemas de computadores” e
“sistemas computacionais” referem-se à vasta gama de dispositivos de tecnologia da
informação (TI), comunicação, instrumentação e controle, dispositivos de
monitoramento de segurança, e sistemas de processamento de dados que constituem
elementos funcionais de uma instalação ou organização (IAEA, 2016). Isso inclui
componentes de alta complexidade – tais como computadores de mesa (desktops) –
e componentes de baixa complexidade, como sistemas embarcados e controladores
lógicos programáveis.
Em junho de 2010, foi descoberto no Irã um malware de computador, de nome
Stuxnet. O worm foi especificamente projetado para atacar o sistema operacional
SCADA, utilizado para controlar as centrífugas de enriquecimento de urânio iranianas.
Foi o primeiro vírus descoberto que espiona e reprograma sistemas industriais, sendo
inofensivo em computadores comuns, na medida em que funcionava apenas nas
referidas centrífugas. De acordo com a Siemens, fabricante do sistema, cada usina
possui sua própria configuração do sistema SCADA (MACLEAN, 2010).
Em resumo, entende-se por “computador” como qualquer componente digital
programável que possa ser suscetível a um comprometimento eletrônico (IAEA,
2016). Os termos “segurança de TI” e “segurança cibernética” serão considerados
sinônimos de “segurança computacional” ou “”segurança de computadores”, conforme
orientação da AIEA. Já o termo “Segurança da Informação” engloba de forma maior a
proteção de informações, em todas as suas formas (IAEA, 2016).
A AIEA entende como uma “ameaça cibernética” – do inglês, “cyber threat” – na
Segurança Física Nuclear tem como alvo os sistemas computacionais, a fim de
comprometê-los ou sabotá-los (IAEA, 2011). Esses ataques podem resultar nos
chamados eventos de segurança física nuclear, na medida em que esses sistemas
sejam abastecem funções de segurança tecnológica, segurança física, controle e
contabilidade de material, além de informações sensíveis e sistemas de
gerenciamento. Ainda no escopo da Segurança Computacional, os chamados atos
maliciosos gerados por ameaças cibernéticas são chamados de ataques cibernéticos
– do inglês “cyber-attack” (IAEA, 2011). Ataques cibernéticos visam informações
51
eletrônicas ou sistemas computacionais e tem por objetivo roubar, modificar ou

destruir um determinado alvo, através de acesso não-autorizado (IAEA, 2016).
Cabe aqui alguns esclarecimentos sobre os termos desta seção. De acordo com
SNL (2018), adversários cibernéticos utilizam, geralmente, três formas comuns de
códigos maliciosos: vírus, worms e ataques denial. Os vírus são programas
autoexecutáveis e autorreplicados, escritos para alterar a maneira como o computador
opera. Ocorrem sem a permissão ou conhecimento do usuário. Os vírus podem
infectar códigos executáveis, a memória, arquivos de programas e arquivos de dados.
Os worms são programas que se replicam de sistema para sistema sem o uso de um
arquivo. Os worms geralmente são incorporados em arquivos que viajam de um
computador para outro. Ataques denial ocorrem quando o tráfego de um computador
externo sobrecarrega o sistema, de modo que ele fica indisponível para usuários
autorizados. Existem ainda mecanismos como phishing que estimulam um usuário a
abrir um documento ou visitar um site que contenha códigos maliciosos e estão se
tornando extremamente comuns (IAEA, 2011).
2.3.4.1 Segurança Computacional e Segurança da Informação
A Segurança Computacional não deve ser entendida como uma área

individualizada, que preocupa-se somente com um software ou hardware. Ela é, na
verdade, um processo contínuo de defesa em profundidade, incluindo suas medidas
e controles de segurança (IAEA, 2016).
Assim sendo, ela requer múltiplas camadas de proteção – conforme exige uma
estratégia de defesa em profundidade. Com isso, é possível que ela cumpra as
funções de prevenção e mitigação. Assim, uma série de camadas de controles de
Segurança Computacional devem ser implementadas em uma organização (IAEA,
2016). As camadas de defesa são muito úteis, mas é necessário ter uma estratégia
para reforçar essas ideias. De forma geral, a estratégia de Segurança Computacional
divide seus componentes em três partes, conforme será discutido a seguir.
A primeira é a que envolve os chamados controles administrativos. Estes
controles são, na verdade, políticas, procedimentos e práticas projetadas para
proteger sistemas de computadores, por meio de comportamentos de pessoal. Em
52
linhas gerais, os controles administrativos especificam o que os funcionários devem

ou não fazer (IAEA, 2016).
A segunda parte é aquela que engloba os controles físicos. Estes compreendem
as barreiras físicas para a proteção de ativos computacionais e de suporte contra
danos físicos e acesso físico (IAEA, 2016). Como exemplo, temos cercas, sistemas
de proteção física, fechaduras, portas e proteções.
Por fim, temos a que abarca os controles técnicos. Esta parte, por sua vez,
compreende as soluções de hardware e software que objetivam proteger, detectar,
mitigar e recuperar-se de invasões ou atos mal intencionados – como, por exemplo,
firewalls, sistemas de detecção de invasão, software antivírus e controle de acesso
lógico (IAEA, 2016).
A Segurança Computacional é, conforme já mencionado, um processo contínuo.
Ela engloba outros três atributos em termos da proteção de informação e processos
digitais: confidencialidade, integridade e disponibilidade (IAEA, 2016). Estes atributos
são conhecidos como a “tríade CID”.
A confidencialidade concerne à proteção de informações e processos contra uma
exposição indesejada. A integridade garante que não ocorra criação ou modificação
não autorizada de informações. E, por último, a disponibilidade garantindo que as
informações e os processos estejam prontos quando necessário.
Por sua vez, conforme já mencionado, a Segurança da Informação diz respeito à
preservação da confidencialidade, integridade e disponibilidade de informações em
todas as formas. Ela classifica os diferentes tipos de informações sensíveis, bem como
designa seus respectivos controles de segurança (IAEA, 2016).
Desta forma, isto implica que a Segurança Computacional é um aspecto da
Segurança da Informação, porém voltada para a proteção de sistemas, redes e
sistemas digitais baseados em computadores (IAEA, 2016).
2.3.4.2 Plano de Segurança Computacional
O documento Nuclear Security Series No 17 (IAEA, 2011) conceitua sobre as

políticas e medidas de controle da Segurança Computacional que devem estar
presentes em uma instalação nuclear. O chamados Planos de Segurança
Computacional são implementados, na verdade, como uma conjunto de medidas de
53
controle (IAEA, 2016). Estes consistem em controles administrativos, técnicos e

físicos, estratégias abordadas na subseção anterior.
Os controles físicos e técnicos protegem as informações confidenciais contra
acesso não autorizado. No entanto, é um desafio para os titulares de uma instalação
controlar informações que foram acessadas por alguém que tinha autorização para tal
– como por exemplo, um novo funcionário que faz o download de um arquivo infectado
ou utiliza um pen drive infectado. A chave para este problema reside na vigilância,
aliada a uma resposta rápida (IAEA, 2016).
Na prática, isso implica que este tipo de ataque precisa ter sido previsto e, para
tanto, existir um Plano de Resposta a Incidentes de Segurança Computacional. A
resolução de um incidente, por meio de uma reação e contenção apropriadas ao
problema, constitui o que se chama de “resolução de incidente de segurança”. No
tocante à Segurança Computacional, portanto, o conceito de “resolução de incidentes”
refere-se à capacidade de detecção e resposta de problemas que ameaçam pessoas,
processos, tecnologias e instalações (IAEA, 2016).
Computadores e sistemas computacionais são utilizados em praticamente todas
as etapas do ciclo do combustível nuclear. Isso implica que os alvos potenciais para
atos mal intencionados são muitos e também bastante variados.
De forma geral, adversários tem como expectativa identificar um alvo ou ativo, a
fim de ganhar acesso não-autorizado, roubar informações sensíveis ou sabotar
sistemas (IAEA, 2016). No caso da área nuclear, uma potencial consequência de um
ataque cibernético é um risco inaceitável. Como alvos potenciais podemos citar
instalações de processamento e fabricação, a fim de cometer um roubo ou até mesmo
sabotar uma base de controladores computacionais, como no caso do worm Stuxnet.
Outro alvo potencial é o transporte de material nuclear e radioativo – incluindo o roubo
ou sabotagem de informações de rastreamento e das quantidades presentes.
Com frequência, a Indústria Nuclear buscou encontrar a Segurança de
Computacional isolando-se de sistemas de rede externos, como a Internet, formando
algo análogo a uma “ilha” imune a adversários externos (IAEA, 2016).
Entretanto, o atual cenário mostra que o isolamento, por si, só não configura uma
solução, mas também não condiz a realidade de muitos sistemas. Uma das principais
vantagens dos sistemas computacionais é que estes trouxeram a possibilidade de
integrar processos e trocar informações rapidamente, principalmente para a
54
Engenharia. No entanto, esses fluxos criam desafios para a Segurança

Computacional, na medida em que essas “zonas” dentro dos sistemas e redes de
computadores precisam se comunicar com segurança umas com as outras.
Existem domínios onde os ativos de informação são largamente utilizados: a
tecnologia da informação (TI) e a instrumentação e controle (I&C) – estes últimos
também chamados de “sistemas de controle industrial” (IAEA, 2016). Os sistemas de
computador e as redes que suportam as operações das instalações nucleares incluem
muitos sistemas não-padronizados de TI – seja na arquitetura, configuração ou
desempenho (IAEA, 2016). Ao entender o layout dos sistemas computacionais
necessários em usinas nucleares, os Estados podem adicionar medidas de segurança
adequadas para impedir a interceptação.
2.3.4.3 Ataques Cibernéticos
Os agentes de ameaça aos sistemas de computação em instalações nucleares e

variam enormemente em termos de habilidade, motivação, intenção e recursos, o que
torna seu enfrentamento particularmente difícil (IAEA, 2011). Na prática, isso reforça
o fato de que a Segurança Computacional não reside em possuir dispositivo mais
recente e moderno, mas sim no conceito de Defesa em Profundidade (IAEA, 2016).
Os ataques cibernéticos, de forma geral, podem comprometer as atribuições da
chamada “tríade CID” – confidencialidade, integridade e disponibilidade – das
informações presentes nos sistemas computacionais ou até mesmo os sistemas em
si (IAEA, 2016). Desta forma, estes ataques podem representar um risco de perda de
informações ou provocar uma incapacidade do sistema de desempenhar suas
funções. Ataques cibernéticos buscam explorar um ponto fraco do sistema – as
chamadas “vulnerabilidades” –, a fim de comprometer este (IAEA, 2016). Essas
vulnerabilidades podem se apresentar de várias formas: tecnológicas – como
softwares ou hardwares –, proteção física – como nos controles de acesso de pessoal
– ou em processos administrativos (IAEA, 2016).
No tocante à Segurança Física Nuclear, os sistemas mais relevantes são os
sistemas computacionais – os chamados “ativos digitais” – que são utilizados para
armazenar, processar, controlar e/ou transmitir informações sensíveis. Os referidos
ativos são conhecidos pelo termo “Ativos Digitais Sensíveis” ou apenas ADS – do
55
inglês, SDAs, acrônimo para Sensitive Digital Assets (IAEA, 2016). É importante
destacar que nem todas as informações são iguais em termos de sensibilidade e de
potencial de impacto para a segurança nuclear. Como exemplo de informações
sensíveis temos aquelas referentes a sistemas e planos de segurança física, à
movimentação de material nuclear durante o transporte e ao inventário de material
nuclear.
Os ataques cibernéticos dividem-se em três gradações. Estas gradações crescem
em termos de consequência, mas decrescem em termos de probabilidade de
ocorrência, conforme se verá a seguir.
A primeira gradação refere-se aos chamados ataques genéricos ou ataques não-
direcionados. Esses tipos de ataques incluem worms, denial, entre outros. Estes são
ataques cibernéticos genéricos e não são muito bem estruturados, nem são
necessariamente direcionados ao titular. Como resultado, eles resultam em
consequências muito pequenas, apesar de terem uma alta frequência de ocorrência
(IAEA, 2016).
O segundo tipo de ataque cibernético são os ataques direcionados, onde aqueles
em que indivíduos ou organizações são, de fato, o alvo pretendido. Para o público em
geral esse tipo de ataque tem, em geral, menor probabilidade de ocorrência. No
entanto, no tocante, à Segurança Física Nuclear, os funcionários e suas respectivas
organizações estão na linha de fogo direta para tais ataques (IAEA, 2016). Estes
ataques tem como atores mais comuns organizações criminosas que objetivam ganho
monetário, funcionários insatisfeitos motivados por vingança e também grupos
extremistas com motivações políticas. É menos provável que esses tipos de ataques
tenham um grande impacto e normalmente sejam evitados com soluções de TI, como
sistemas antivírus (IAEA, 2016).
Por último, temos a chamada operação cibernética estratégica ou ataques
persistentes avançadas. Este nível de ataque é, em geral, o menos provável de
ocorrer, mas tem o potencial de em termos de consequência. Normalmente, é
planejada por grupos de adversários que têm interesse no comprometimento
específico de uma organização ou instalação. Suas motivações podem ser ganho
econômico, o roubo contínuo de tecnologia (ou informações sensíveis) ou causar
perturbações em grande escala (IAEA, 2016). Tais ataques são normalmente
perpetrados por organizações com bons recursos que têm capacidade técnica e
56
tempo para desenvolver explorações personalizadas para um ataque potencialmente

sofrido (IAEA, 2016).
Existem caminhos de infecção de sistemas que são comuns para todos os tipos
de ataques cibernéticos citados anteriormente. Podemos citar, a título de exemplo,
quando alguém usa mídia móvel comprometida – conectando um pen drive ou
smartphone infectado a um computador da instalação –, ou ao clicar em um link para
um site malicioso ou até mesmo ao abrir um arquivo infectado no e-mail.
Vale destacar que existem outras formas nas quais seres humanos podem
promover ataques a sistemas de segurança computacional, além de softwares
maliciosos ou tecnologias computacionais: através de engenharia social.
A engenharia social é conceituada pela AIEA (2011) como uma forma não-técnica
de coletar ou atacar informações. A engenharia social depende da interação humana,
posto que neste caso as pessoas são manipuladas inadvertidamente, a fim de que
elas violem os procedimentos de segurança, por exemplo, divulgando informações ou
executando outras ações com impacto na segurança (IAEA, 2011). Em geral, essa
manipulação pode ocorrer enganando, chantageando, influenciando ou abusando da
confiança, para que as vítimas se comportem de uma forma que em geral não fariam.
Desta forma, até mesmo funcionários inocentes da instalação podem ser
considerados uma vulnerabilidade do sistema (IAEA, 2016).
Ataques cibernéticos podem ser combinados com ataques físicos para criar o que
é comumente conhecido como “ataque composto” – do inglês, blended attack (IAEA,
2016). Um exemplo é um comprometimento cibernético dos sistemas de controle de
acesso físico, a fim de permitir a entrada de pessoas não-autorizadas.
2.3.4.4 Ameaças Cibernéticas
O documento Nuclear Security Series no 13 (IAEA, 2011) elenca que os tipos de

sistemas computacionais que devem ser protegidos em uma instalação são aqueles
usados para proteção física, para segurança tecnológica e para a contabilidade e
controle de material nuclear.
Um dos elementos-chaves quando desenvolvemos proteções contra ataques em
potencial é entender a ameaça – também conhecida como adversário. Na Segurança
Física, este processo é conhecido como Avaliação de Ameaças e esta deve
57
considerar que o adversário tenha capacidades cibernéticas críveis – ou seja,

consistente com a avaliação realizada ou com a ameaça da base do projeto (IAEA,
2016).
A ameaça usa um conjunto de táticas, técnicas e procedimentos para explorar
sistemas computacionais. De forma geral, ameaças possuem características
definidas, em termos de motivações, capacidades, intenções e táticas. Tal como na
Proteção Física, as três primeiras características possuem uma gama de
possibilidades bastante similares. No caso da Segurança Computacional, elas irão
diferir em termos de táticas (IAEA, 2016). Dentre os exemplos que podemos citar
temos o roubo de informações pessoais – para um possível uso em extorsão ou
engenharia social –, ataques a fornecedores para obter documentações de projeto e
uso de phishing para ganhar acesso à rede (IAEA, 2011).
Os perfis das ameaças incluem uma gama de adversários, podendo eles ser
internos ou externos (IAEA, 2011):
 hackers recreativos (recreative hackers): indivíduo ou grupo que se propõe a
um ataque não para causar dano ou por motivações financeiras, mas para ganhar
fama ou notoriedade (seus ataques encaixam-se, em geral, na categoria dos não-
direcionados);
 ativistas cibernéticos (hacktivists) ou extremistas: grupos ou indivíduos que
infligem um ataque como forma de expressar suas agendas políticas ou sociais;
 funcionários insatisfeitos: adversários internos que, por uma série de razões,
estão infelizes no ambiente laboral e pretendem causar dano à organização, gerência,
colegas de trabalho, dentre outros;
 terroristas;
 crime organizado e;
 Estados ou Nações.
2.3.4.5 Alvos Cibernéticos Potenciais
A proteção de informações cibernéticas e, consequentemente, ativos digitais

tornou-se ainda mais importante com a integração de sistemas computacionais e
computadores em rede. Entender os adversários cibernéticos e as consequências dos
58
ataques começa com a compreensão dos alvos e sua importância para os SisPF e
instalações nucleares (SNL, 2018).
Sistemas computacionais podem ter associados a eles funções operacionais de
engenharia e de contabilidade, o que pode incluir criação, armazenamento,
processamento e/ou transmissão de informações sensíveis. De acordo com a AIEA
(2016), o impacto potencial da perda (ou manipulação) de informações sensíveis é
que estas podem ser utilizadas para dar suporte a um ataque cibernético ou um ataque
composto.
Outro alvo potencial são os sistemas de segurança física, que integram sistemas
de controles, monitoramento e alarmes. A perda ou manipulação destas funções de
segurança podem ter um grande impacto, na medida em que podem permitir que uma
ameaça ganhe acesso não-autorizado a uma instalação ou leve a cabo uma
sabotagem (IAEA, 2011).
Também configura um alvo potencial os sistemas de processos em uma planta,
responsáveis por monitorar, controlar e avaliar os processos da planta que poderiam
ser alvos de um ataque cibernético, tais como turbinas e a água de alimentação, por
exemplo. O impacto potencial da manipulação desses sistemas é que estes podem
dar apoio (direto ou indireto) à eventos de sabotagem (IAEA, 2011).
Por fim, também é apontado pela AIEA (2016) como alvo potencial os sistemas
de segurança tecnológica – aqueles ligados aos sistemas de instrumentação e
controle –, na medida em que estes tem papel significativo em funções, por exemplo,
como o resfriamento de emergência do núcleo, na remoção de calor, no isolamento
da contenção, na ventilação de emergência e no fornecimento emergencial de
energia. A manipulação desses sistemas tem alto impacto, na medida em que eles
podem dar apoio direto ou indireto a sabotagens (IAEA, 2016).
É possível ainda que um ataque cibernético seja direcionado à um funcionário da
instalação, a fim de ganhar um nível qualquer de acesso ou de informação. Neste
caso, temos os chamados “alvos humanos” ou “vetores humanos” e a metodologia se
dá através de engenharia social (IAEA, 2016).
59
2.3.5 Controle e Contabilidade de Material Nuclear
Em 2004, o Conselho de Segurança da ONU publicou a Resolução 1540 (ONU,

2004), que trata da preocupação com a não-proliferação de armas de destruição em
massa e estabelece uma série de obrigações para todos os países membros. Tais
obrigações estabelecem que os países que compõem a Organização das Nações
Unidas devem desenvolver e manter medidas apropriadas de Proteção Física para
contabilizar e tornar seguros os materiais nucleares que estejam em produção, em
uso, estocados ou sendo transportados.
Um sistema de Contabilidade e Controle de Material Nuclear – conhecido pela
sigla em inglês “NMAC”, acrônimo em inglês para Nuclear Material and Accounting
Control – é um conjunto de medidas integradas que tem a função de fornecer
informações, controlar e garantir a presença de determinado material nuclear. Isto
inclui os sistemas necessários para estabelecer e rastrear inventários de materiais
nucleares, controlar o acesso e detectar perdas ou desvios de material nuclear e,
também, assegurar a integridade de tais sistemas e medidas (IAEA, 2016).
A contabilidade de material nuclear engloba as medidas para rastrear material
nuclear recebido, manipulado, produzido, transportado, transferido, realocado, usado
ou armazenado em uma determinada instalação (IAEA, 2016).
Já o controle de material nuclear engloba medidas administrativas e técnicas que
devem ser aplicadas a fim de assegurar que tal material não seja mal utilizado ou
removido de seu local designado, sem aprovação e/ou sem contabilidade adequada
(IAEA, 2016).
Na prática, contabilidade e controle estão fortemente ligados (IAEA, 2016). Sem
um controle efetivo, o material nuclear não pode ser devidamente contabilizado. Sem
contabilidade, o material nuclear não pode ser controlado adequadamente.
O sistema de Contabilidade e Controle de Material Nuclear (CCMN), juntamente
com outros sistemas da instalação – tais como a proteção física –, faz parte do sistema
de segurança física de uma instalação nuclear.
O sistema de CCMN contribui para a Segurança Nuclear, proporcionando a
detecção oportuna de atividades não autorizadas e auxiliando também na
investigação destes eventos. Cabe aqui estabelecer que a Agência Internacional de
Energia Atômica entende que uma “detecção oportuna” é aquela detecta em tempo
60
hábil qualquer remoção não autorizada de material nuclear e fornece dissuasão contra
estas ações (IAEA, 2015).
Um SisPF é projetado principalmente para impedir o acesso a uma instalação
nuclear e seu material nuclear por pessoas não autorizadas, adversários externos
neste caso (IAEA, 2016). O Sistema de CCMN (SisCCMN) ajuda a deter e também
detectar possíveis remoções ou uso indevido de materiais nucleares por pessoas
autorizadas, adversários internos neste caso (IAEA, 2016). Assim, ambos os sistemas
– SisCCMN e SisPF – necessitam ser implementados, operados de forma eficiente e
concomitantemente.
2.3.5.1 Objetivos Primários da Contabilidade e Controle de Material Nuclear
O documento Nuclear Security Series No 25-G (IAEA, 2015) estabelece quais são
os objetivos primários de um Sistema de Contabilidade e Controle de Material Nuclear.
O primeiro deles é manter e relatar informações que sejam precisas, oportunas,
completas e confiáveis sobre os locais, quantidades e características do material
nuclear que estejam sob posse da instalação. Também compete ao SisCCMN manter
o controle sobre o material nuclear para garantir a gestão do conhecimento, para,
desta forma, aumentar a capacidade de impedir e detectar uma remoção não
autorizada. Também é objetivo estabelecido pela AIEA que um SisCCMN forneça uma
base de investigação que permita solucionar sem demora quaisquer irregularidades.
Por fim, um sistema de CCMN deve fornecer informações úteis a fim de recuperar o
material nuclear perdido.
Para que um SisCCMN forneça uma detecção oportuna é necessário que este
seja capaz de auxiliar na detecção do uso indevido de um equipamento de
manipulação ou manuseio de material nuclear da instalação. Além disso, é preciso
também que seja capaz de detectar atividades de adversários internos que estejam
relacionadas ao material nuclear presente.
61
2.3.5.2 Funções da Contabilidade e Controle de Material Nuclear em

Salvaguardas e na Segurança Física
De forma geral, a Segurança Física tem a finalidade de proteger a área nuclear

contra atores não-estatais: criminosos e terroristas, principalmente com motivações
financeiras ou ideológicas/políticas (IAEA, 2016). Ela protege instalações, locais e
transportes contra atos de sabotagem e ameaças internas definidas pelo Estado.
A Segurança Física também tem como objetivo proteger materiais nucleares e
outros materiais radioativos contra a remoção não-autorizada durante o uso,
armazenamento ou transporte, onde deve recuperar e devolver material perdido.
As salvaguardas, por sua vez, devem assegurar à comunidade internacional que
os materiais e instalações nucleares são utilizados apenas para fins pacíficos. Na
prática, isso deve garantir que materiais nucleares não estão sendo desviados para
um programa armamentista (IAEA, 2016).
A seguir, é possível observar na figura 2.4 um fluxograma que resume como a
CCMN tem importância tanto para a Segurança Física quanto para as Salvaguardas
da AIEA.
Pela figura 2.4, é bastante claro que em uma instalação nuclear deve existir
apenas um único sistema de Contabilidade e Controle de Material Nuclear. As
salvaguardas fazem a implementação do CCMN para detectar e impedir o desvio de
materiais nucleares pelo Estado (IAEA, 2016). Já a Segurança Física utiliza a CCMN
– junto a outras melhorias – para detectar e impedir a remoção não autorizada de
materiais nucleares (num primeiro momento) por adversários internos (IAEA, 2016).
Todo Estado que é signatário do Acordo de Salvaguardas é obrigado a
estabelecer um sistema que controle e contabilize seu material nuclear (IAEA, 2016).
Desta forma, muitos dos registros de Contabilidade de Controle de Material Nuclear
que são usados nas salvaguardas também podem servir de base de dados para a
segurança física. Tanto as salvaguardas quanto a segurança física dependem desse
sistema para se proteger de uma ameaça de adversário interno.
62
Figura 2.4 - Relação entre Salvaguardas e Segurança Física.

2.3.5.3 Elementos da Contabilidade e Controle de Material Nuclear
De forma geral, a Segurança Física tem a finalidade de proteger um SisCCMN é

composto por uma série de elementos. Os elementos da CCMN incluem o
gerenciamento do referido sistema, registros, controle de qualidade das aferições,
controle da movimentação de material nuclear, detecção e investigação de
irregularidades, além de testes de desempenho do sistema (IAEA, 2016).
Alguns destes elementos são destinados ao controle, outros são voltados para
contabilidade, e alguns servem para ambos. A eficácia geral do sistema de CCMN
depende da eficácia destes elementos individualmente e como interagem entre si
(IAEA, 2016). Juntos, estes contribuem para a segurança física nuclear.
Os elementos individuais devem ser redundantes (IAEA, 2016). Na prática, isso
significa que a falha de um único elemento deve ser compensada através do uso de
outros elementos, evitando assim uma falha do sistema CCMN. As medidas de CCMN
usadas em instalações que possuem reatores podem diferir daquelas aplicadas em
fábricas de conversão ou de produção do elemento combustível.
Gerir um SisCCMN inclui o gerenciamento da estrutura, documentação e
procedimentos, funções e responsabilidades, controle de mudanças e dos
funcionários, além de prover treinamento (IAEA, 2016). Uma organização e
gerenciamento eficazes oferecem maior garantia de que o sistema é capaz de
detectar a remoção não autorizada de material nuclear na instalação, aumentando,
63
assim, a Segurança Nuclear. Os papéis e responsabilidades do responsável por

gerenciar a CCMN – bem como os funcionários relacionados – devem ser claramente
definidos e documentados (IAEA, 2016).
Para que um sistema de CCMN seja inteligível, este deve ter uma lista completa
de registros, onde devem estar documentadas todas as atividades que envolvam
material nuclear. Tais registros devem incluir registros contábeis de material, registros
operacionais, além de outros registros de apoio. As atividades incluídas nestes
registros da CCMN precisam incluir recibos, realocações dentro da instalação,
controle de estoque, inventário, uso e/ou envio de material, dentre outros (IAEA,
2016). É fundamental para a Segurança Física Nuclear que essas quantidades de
material – bem como sua respectiva localização – estejam atualizadas.
A checagem periódica destas quantidades é chamada de Tomada de Inventário
Físico (TIF) – conhecidas em inglês como PIT, acrônimo para Physical Inventory
Taking. Em uma TIF, a quantidade de material nuclear que consta nos registros
contábeis é comparada com a quantidade real de material nuclear (IAEA, 2016). A
frequência da TIF é estabelecida pelo Estado de acordo com os requisitos de
salvaguardas da AIEA.
Uma TIF envolve a preparação de uma lista de todos os itens de material nuclear
observados dentro da área onde a TIF é conduzido, onde se confirmará se todos os
itens de material nuclear listados nos registros contábeis estão de fato presentes. Ela
confirma a precisão dos registros contábeis e fornece evidências da eficácia do
sistema de CCMN, revelando se o material nuclear foi ou não removido. A TIF também
é utilizada para verificar se não há itens presentes que não estejam listados nos
registros. Encontrar um item que não esteja listado nos registros pode expor
atividades não autorizadas ou evidenciar que o sistema de CCMN não é eficaz (IAEA,
2016). Em casos de alarme ou emergência, a TIF pode ajudar a resolver questões de
remoção não autorizada.
Todas as quantidades de material nuclear usadas nos registros contábeis devem
ser baseadas em medições (IAEA, 2016). Às vezes, quando medições diretas não são
possíveis, procedimentos de cálculo podem ser usados. Um exemplo é o cálculo das
variações no material nuclear presente combustível irradiado após usado em um
reator.
64
Um programa de medição fundamental deve ser desenvolvido para aferições de

material nuclear, quer esteja ele em poder da instalação, quer ele tenha sido recebido,
produzido, enviado, armazenado, descartado ou removido do estoque (IAEA, 2016).
As medições são usadas tanto para contabilidade – fornecendo dados para
registros contábeis (as chamadas medições contábeis) –, quanto para controle –
verificando-se registros contábeis, por exemplo, ao receber material nuclear (as
chamadas medições de verificação) (IAEA, 2016).
É de responsabilidade da instalação manter um sistema de medições que garanta
que todas as quantidades documentadas de material nuclear sejam baseadas em
medições confiáveis e sejam conduzidas utilizando equipamento adequado.
Devem ser mantidos controles apropriados para assegurar o conhecimento das
quantidades de material nuclear e para deter e detectar a remoção não autorizada de
materiais nucleares, por exemplo, através de vigilância ou via Dispositivo Indicador de
Violação (DIV) – chamados em língua inglesa de Tamper Indicator Device ou pela
sigla correspondente TID (IAEA, 2016).
Um programa de controle de qualidade de medição deve ser usado para garantir
a exatidão e precisão das medições.
65
3 METODOLOGIA DO TRABALHO
3.1 Introdução
De forma geral, as informações referentes aos planos de segurança física de

instalações nucleares – bem como suas plantas detalhadas – são classificadas como
sigilosas. Desta forma, para que seja possível propor um Plano de Segurança Física
robusto, este trabalho modelará uma instalação nuclear fictícia.
Um plano de Segurança Física de uma instalação nuclear deve envolver:
 Projeto de Sistema de Proteção Física
 Projeto de Sistema de Controle e Contabilidade de Material Nuclear
 Projeto de Sistema de Segurança da Informação e Segurança Cibernética
As seções subsequentes tratarão das metodologias a serem aplicadas em cada
um desses projetos que comporão o Plano de Segurança Física de uma instalação
nuclear.
3.2 Projeto de Sistema de Proteção Física para uma Instalação Nuclear
Nesta etapa do trabalho utilizaremos uma técnica conhecida como Processo

DEPO – acrônimo, em inglês, de Design and Evaluation Process Outline – e, suas
macroetapas, em linhas gerais, seguem o fluxograma descrito na figura 3.1.
O processo DEPO oferece uma sequência de etapas – divididas dentro de três
macroetapas – que sistematizam a definição de requisitos e os objetivos de um SisPF.
Este conjunto de etapas também oferece, além do projeto em si, formas de avaliar se
este é satisfatório ou não.
66
Figura 3.1 - Visão geral do Processo DEPO
3.2.1 Processo DEPO
Conforme o diagrama citado anteriormente, projetar e avaliar um SisPF envolve

três macroetapas: determinar os requisitos do SisPF, para depois projetá-lo e, enfim,
avaliá-lo. Se o sistema for satisfatório, enfim teremos um Sistema de Proteção Física.
67
Se forem identificadas vulnerabilidades no SisPF, este deve ser projetado novamente,

até que os objetivos iniciais sejam atendidos.
Figura 3.2 - Etapas do Processo DEPO
Cada uma dessas macroetapas é dividida em etapas bem definidas, onde juntas
compõem o processo DEPO. Cada uma dessas etapas, bem como seu
sequenciamento estão no diagrama presente na figura 3.2. Nas subseções a seguir
exploraremos mais a fundo cada uma das etapas e suas respectivas macroetapas.
68
3.2.2 Definição de Requisitos
3.2.2.1 Caracterização da Instalação
Ao projetar um novo Sistema de Proteção Física (SisPF) – ou atualizar um já

existente –, a primeira etapa deve ser caracterizar a instalação a ser protegida
(GARCIA, 2008). Para tanto, é necessário compreender o que está sendo protegido,
bem como o meio ambiente onde a instalação está inserida. Tal estudo deve ser
realizado antes que qualquer decisão em relação ao nível de proteção necessário
possa ser tomada.
De acordo com Garcia (2008) frequentemente essa etapa, que é crucial, acaba
por ser negligenciada. Quando isso ocorre, geralmente, ou os sistemas de segurança
são projetados para superproteger um componente não-essencial ou estes falham na
proteção adequada de uma parte vital da instalação. No caso de um sistema
superprotegido, a consequência pode ser a elevação do custo do projeto a patamares
enormes. Além disso, os possíveis resultados de proteção inadequada podem ser
desastrosos. Logo, é indispensável que uma instalação seja totalmente compreendida
em termos de restrições, desempenho esperado, operações, bem como as
circunstâncias de sua existência.
Ao caracterizar uma instalação, informações sobre tantos aspectos diferentes da
instalação quanto possível devem ser obtidas e revisadas (SNL, 2018). Embora isso
possa parecer uma tarefa difícil no início, há várias áreas de interesse especial que
podem servir de base para esse esforço de coleta de dados (GARCIA, 2008). As
principais áreas de investigação para caracterização de instalações incluem:
 condições físicas da planta
 tipo de operações da instalação
 políticas e procedimentos corporativos das instalações
 requisitos regulatórios
 marcos legais
 considerações de segurança de processos
 metas e objetivos corporativos
69
3.2.2.2 Identificação de Alvos
Identificar alvos é, na prática, avaliar o que deve ser protegido sem levar em conta
a ameaça ou a dificuldade em realizar a proteção física. No entanto, não é nem um
pouco prático – e às vezes sequer é possível – proteger todos os ativos de uma
instalação. Um sistema de segurança física efetivo é aquele que contempla um
número mínimo, porém completo, de ativos (GARCIA, 2008).
Para instalações nucleares, a identificação de alvos inclui quatro etapas, na ordem
em que se segue (SNL, 2018):
 compreender as políticas de segurança aplicáveis;
 identificar materiais e sistemas que devem ser protegidos contra roubo ou
sabotagem;
 identificar níveis de categorização (consequências);
 e listar os alvos.
A AIEA sugere que, ao selecionar os alvos potenciais, que os critérios desta
seleção se baseiem nas consequências indesejáveis que se querem evitar (IAEA,
2016).
Garcia (2008) lista algumas destas consequências supracitadas:
 perda de vidas;
 roubo de material ou informações sensíveis (espionagem industrial);
 danos ambientais decorrentes da liberação de material perigoso – seja este
material roubado ou sabotado;
 interrupção no fornecimento de infraestrutura crítica, como água, energia ou
telecomunicações;
 prejuízo no desempenho operacional;
 ambiente de trabalho sujeito à violência, extorsão ou chantagem;
 danos estruturais às edificações;
 danos à imagem, reputação ou confiabilidade;
 responsabilidade legal.
A AIEA estabelece que a identificação de materiais e sistemas deve ser o primeiro
fator ao determinarmos medidas de proteção física contra remoção não-autorizada.
Os materiais presentes em uma instalação nuclear podem ser classificados de acordo
com as normativas da Agência Internacional de Energia Atômica, conforme disposto
70
no documento Nuclear Security Series no 13 (IAEA, 2011). A classificação supracitada

pode ser encontrada no Anexo A deste trabalho. Neste anexo também podemos
encontrar a categorização estabelecida na norma CNEN NE-2.01 (CNEN, 2011), que
segue o proposto pela AIEA.
Com base nessa categorização, a Agência Internacional de Energia Atômica
coloca que devem ser erguidas barreiras físicas entre três zonas: vigiada, protegida e
vital (IAEA, 2011).
Murray e Holbert (2015) nos ilustram um exemplo básico de como essas áreas de
segurança se desenham na figura 3.3 a seguir.
Figura 3.3 - Áreas de segurança em uma instalação nuclear.

Adaptado de Murray & Holbert (2015)
Os materiais nucleares das categorias I, II e III devem estar dentro do que

chamamos de Área Vigiada (AVg) – tradução recorrente para o termo em inglês
“limited access area” (CNEN, 2011). Devem ser tomadas providências para detectar
intrusões em uma AVg e ter forças de resposta suficientes para tratar de um evento
de segurança nuclear (IAEA, 2011).
Os materiais nucleares das categorias I e II devem estar dentro de uma área de
segurança interna à uma Área Vigiada (AVg), chamada de Área Protegida (AP). Uma
AP deve estar localizada dentro de uma área de acesso limitado. O perímetro da Área
Protegida deve ser equipado com uma barreira física e detecção de intrusão (IAEA,
2011).
71
Os materiais de categoria I devem, por fim, estar dentro de uma terceira área de
segurança interna à uma AP, chamada de Área Vital (AVt). Uma Área Vital deve
fornecer uma camada adicional à AP no tocante à detecção, controle de acesso e
retardo contra uma intrusão. As AVt devem ser adequadamente protegidas e
equipadas com alarmes.
Além disso, devem estar dentro de uma ou mais AVt todo e qualquer material
nuclear cuja quantidade que, se dispersada, poderia levar a “altas consequências
radiológicas” – termo conhecido em inglês como HRC, acrônimo para “high
radiological consequences”.
Com efeito, ressalta-se que o termo “alta consequência radiológica” (ACR) indica
uma gama de consequências radiológicas relativamente severas resultantes de
grandes instalações nucleares, tais como usinas nucleares (IAEA, 2012). O nível de
proteção para áreas vitais especificado é semelhante ao exigido na NSS no 13 para
impedir o roubo de materiais nucleares de categoria I.
Dentro de uma área vital devem estar – além de materiais de categoria I e os ACR
– um conjunto mínimo de equipamentos, sistemas, ou dispositivos necessários para
impedir os ACR. Todas as medidas que forem projetadas na instalação para fins de
segurança devem ser levadas em conta ao identificar áreas vitais (IAEA, 2012).
3.2.2.2.1 Identificação de Áreas Vitais
Conforme discutido previamente neste trabalho, os principais eventos de

segurança nuclear são roubo e sabotagem. Logo, a identificação de áreas vitais é um
passo importante no processo de proteção contra a sabotagem.
A identificação de área vital (IAVt) é o processo de identificação das áreas em
uma instalação nuclear em torno da qual a proteção será fornecida a fim de prevenir
ou reduzir a probabilidade de sabotagem. Entretanto, a função e a estrutura de uma
instalação podem ser complexas e, com isso, escolher os componentes e áreas da
que serão protegidos como AVt não é uma tarefa óbvia (GARCIA, 2008).
O documento Nuclear Security Series no 16 (IAEA, 2012) indica que uma IAVt
deve seguir uma série de etapas, descritas como se segue.
 coletar informações que serão inputs no processo IAVt (tais como:
características do local e das instalações, identificação dos inventários de materiais
72
nucleares e outros materiais radioativos, para determinar se a sabotagem pode levar

a ACRs);
 identificar quaisquer eventos iniciadores de origem mal-intencionada (EIOMs)
que possam levar indiretamente a ACRs;
 identificar quaisquer EIOMs que excedam a capacidade dos sistemas de
mitigação;
 identificar sistemas, estruturas e componentes para mitigar cada EIOM. Para
cada EIOM que não exceda a capacidade do sistema de mitigação, identifique as
funções de segurança necessárias para mitigar o EIOM, os sistemas, estruturas e
componentes que executam as funções de segurança e os critérios de sucesso para
os sistemas;
 desenvolver um modelo lógico de sabotagem que identifique as combinações
de eventos (dispersão direta, EIOMs que excedem a capacidade do sistema de
mitigação e EIOMs associadas à desativação do sistema de mitigação) que levariam
a ACRs;
 elimine do modelo lógico de sabotagem quaisquer eventos que a ameaça
assumida não tenha a capacidade de executar;
 identifique os locais (áreas) nos quais a dispersão direta, EIOMs e outros
eventos no modelo lógico de sabotagem podem ser realizados. Substitua os eventos
no modelo lógico de sabotagem por suas áreas correspondentes.
 resolva o modelo lógico da área de sabotagem para identificar as combinações
de locais que devem ser protegidos;
 selecione o conjunto de áreas vitais que será protegido para evitar sabotagem
levando a ACRs.
3.2.2.2.1.1 Eventos Iniciadores
Cabem aqui algumas elucidações sobre “eventos iniciadores”, termo citado na

seção anterior e que pertence ao do escopo da segurança tecnológica. Eventos
iniciadores são eventos que levam a ocorrências operacionais previstas e a condições
de acidentes postulados (CNEN, 2015). De forma geral, para cada um dos eventos
iniciadores que ocorrerem na vida útil da usina, os sistemas de controle irão
73
compensar os seus efeitos sem a necessidade de desligamento do reator ou de

qualquer outra demanda nos sistemas de segurança.
A análise de segurança tecnológica se preocupa com os efeitos potenciais de
todos os transientes concebíveis (ou previstos) que possam ocorrer como resultado
de falhas operacionais – como erros humanos, pequenas falhas de instrumentação
ou outros equipamentos – ou falhas mecânicas sérias, de diferentes tipos.
O termo “transiente”, refere-se a um evento no qual os parâmetros físicos que
caracterizam um processo – tais como, temperatura e/ou pressão – variam com o
tempo. Transientes podem ser causados por adição ou remoção de veneno, aumento
ou diminuição da carga elétrica no gerador da turbina, ou também condições de
acidente. Os transientes estão na categoria de eventos de segurança tecnológica
onde – apesar de ter alta frequência de ocorrência no tempo de vida na usina – tem
baixa severidade em termos de consequência. Entretanto, vale frisar que um
transiente não é o mesmo que um acidente, que tem baixa frequência e alta
severidade.
3.2.2.3 Definição de Ameaças
3.2.2.3.1 Ameaça Base de Projeto (ABP)
Um princípio fundamental de proteção física é que esta deve basear-se na

realidade de cada Estado. A Nuclear Security Series no 13 (IAEA, 2011) define uma
avaliação de ameaças deve descrever as motivações, intenções e capacidades dos
adversários. A partir desses dados reunidos, é possível definir uma “ameaça base de
projeto” (em inglês chamado de DBT, “design basis threat”), a ABP.
Este conceito foi criado – já nos idos de 1979 – pela NRC estadunidense
(acrônimo de Nuclear Regulatory Commission, ou em tradução livre do inglês,
Comissão Regulatória Nuclear dos Estados Unidos da América). A NRC define como
ABP terrestre, por exemplo, como sendo um grupo suicida fortemente armado e
treinado, que se utiliza de veículos e explosivos (MURRAY e HOLBERT, 2015).
O diagrama a seguir, na figura 3.4, ilustra o envolvimento do titular da instalação
à medida em que as capacidades do adversário aumentam.
74
Figura 3.4 - Envolvimento do titular em relação às capacidades do adversário.

Adaptado de IAEA (2016)
Adversários com baixas capacidades podem, geralmente, ser combatidos pelo

titular. Quanto mais sofisticadas se tornam as capacidades, maior a necessidade de
envolver outras autoridades governamentais, como por exemplo forças policiais,
serviços médicos e Forças Armadas. A ABP representa, portanto, o limite para o qual
a proteção física é projetada e avaliada. Existem ainda algumas proteções inerentes
dos Sistemas de Proteção Física contra capacidades dos adversários que estão fora
da ABP, podendo estas ser efetivas ou não.
Desde 1991, a NRC exige também os chamados exercícios de força (force-on-
force exercises, em inglês). Nessa inspeção, cada planta passa por um ataque
simulado dentro do escopo da ABP a fim de testar as capacidades de resposta desta,
com as respectivas avaliações de desempenho. (NRC, 2003). Em algumas usinas
nucleares dos Estados Unidos, chegam a estar disponíveis cerca de 8.000 agentes
de segurança para contenção de ameaças terrestres (MURRAY e HOLBERT, 2015).
3.2.2.3.1.1 ABP Aérea
Após os eventos de 11 de setembro de 2001 em Nova Iorque, a NRC

estadunidense passou a considerar a possibilidade de um ataque aéreo à uma
instalação nuclear. Desta forma, o Electric Power Research Institute (EPRI) preparou
um relatório em 2002 (EPRI, 2002), onde simulou os efeitos de um possível ataque.
Uma descrição dos métodos de análise pode ser encontrada em Murray & Holbert
(2015). Os resultados desta simulação concluíram que o prédio de contenção não foi
75
violado e nenhuma parte da aeronave – um Boeing 767, na referida simulação –

invadiu o prédio. Outras unidades da planta também se mantiveram a salvo.
O estudo da EPRI é consistente com os que a NRC conduz – segundo ela própria
– e os casos de ataques aéreos não resultariam em nada além de um acidente
industrial com grandes custos, mas sem nenhuma liberação de radiação no meio
ambiente (TVA, 2011).
3.2.3 Projeto do Sistema de Proteção Física
3.2.3.1 Detecção
3.2.3.1.1 Sistemas de Controle de Acesso
O termo “controle de entrada” é definido (GARCIA, 2008) como o equipamento

físico utilizado para a movimentação de pessoas e/ou material dentro de uma dada
área.
De acordo com Garcia (2008), um sistema de controle de entrada efetivo é aquele
que permite a movimentação de pessoas autorizadas e materiais para dentro e para
fora de uma instalação, ao mesmo tempo que detecta (e possivelmente retarda)
entradas não-autorizadas de pessoas e também de contrabando – tais como armas,
explosivos, ferramentas não permitidas, entre outros ativos críticos. Além disso, o
sistema de controle de entrada de um objetiva fornecer informações à força de
resposta para facilitar a avaliação e resposta.
Segundo SNL (2018), a verificação de identidade é baseada em combinações de
um ou mais dos três critérios de identificação dos indivíduos, a saber:
 algo que a pessoa conheça (uma senha, por exemplo);
 algo que a pessoa tenha (por exemplo, credenciais, crachás ou cartões) e;
 algo único para o indivíduo (um traço físico que seja possível de ser medido,
como impressões digitais).
Sistemas de controle de entrada são designados para uso em áreas protegidas e
áreas vitais. Além disso, o controle de entrada é frequentemente usado em outras
áreas para a proteção de informações ou ativos sensíveis.
76
3.2.3.1.2 Sistemas de Alarme e Certificação de Intrusão
Os sistemas de certificação de intrusão consistem em um conjunto – onde todos

devem trabalhar juntos – composto por (GARCIA, 2008):
 sensores de invasão internos e externos;
 avaliação de alarme de vídeo;
 controle de entrada e;
 sistemas de comunicação de alarme.
Garcia (2008) define como “certificação de intrusão” a detecção de uma pessoa
ou veículo que tenta obter entrada não-autorizada a uma área sob proteção.
Ao projetar um sistema de detecção de intrusão, o responsável deve ter um
conhecimento profundo das características operacionais, físicas e ambientais da
instalação a ser protegida (SNL, 2018). Além disso, ele precisa estar totalmente
familiarizado com o espectro de sensores disponíveis, a fim de fazer a escolha mais
adequada.
Os sensores internos de invasão são os meios de proteção física mais eficazes
contra um adversário interno. A Nuclear Security Series no 13 (IAEA, 2011) afirma que
as áreas internas precisam estar sob constante vigilância toda vez que houver
pessoas presentes. Desta forma, vigilância e monitoramento de áreas internas são as
principais funções dos sensores de intrusão internos.
3.2.3.1.3 Exibição, Avaliação e Comunicação de Alarmes
O princípio-chave de um SisPF é que uma detecção não está completa sem a

correta avaliação (GARCIA, 2008). A avaliação oportuna otimiza a probabilidade de
uma avaliação correta, permitindo, portanto, o início da força de resposta (e, assim,
diminuindo o tempo de resposta).
Garcia (2008) esclarece que existem uma importante distinção entre a detecção
e a avaliação. A detecção notifica que um possível evento de segurança física nuclear
está ocorrendo, ao passo que a avaliação consiste em determinar se o evento é, de
fato, um ataque ou se não passa de um alarme falso.
A avaliação de alarmes pode ser realizada através equipamento de vídeo – os
chamados Circuitos Fechados de Televisão, os CFTV –, a força de resposta ou uma
77
combinação de ambos. SNL (2018) afirma que, se o sistema de avaliação de alarmes

de CFTV não estiver operável, a força de resposta deve ser capaz de avaliar alarmes
a partir de torres ou através de patrulhamento.
O sistema de avaliação de alarmes deve ser projetado como um componente do
sistema de detecção de intrusão. Isso implica que as interações entre o sistema de
CFTV, sensores de intrusão e sistema de exibição precisam estar sendo consideradas
no projeto (SNL, 2018).
Assim, um projeto de sistema de avaliação de alarmes deve otimizar as operações
de todos os componentes, a fim de que o referido sistema seja capaz de operar
durante condições não ideais – sejam elas geradas pelo ambiente ou pelo adversário.
Os principais componentes principais de um Sistema de Avaliação de Alarme de
CFTV são (SNL, 2018):
 câmera e lente para converter uma imagem óptica da cena física em um sinal
elétrico;
 monitores de vídeo para converter um sinal elétrico para uma cena visual;
 sistema de iluminação para iluminar o local do alarme uniformemente com
intensidade suficiente para a câmera e lente;
 sistema de transmissão para conectar as câmeras remotas aos monitores de
vídeo locais;
 equipamento de comutação de vídeo para conectar sinais de vídeo de várias
câmeras a monitores e gravadores de vídeo;
 sistema de gravação de vídeo para que se registre de um evento e;
 controlador de vídeo para fazer a interface entre o sistema do sensor de alarme
e o sistema de avaliação de alarmes.
Um sistema de comunicação e exibição de alarmes é o responsável por transmitir
sinais de alarme de dispositivos e sistemas eletrônicos para uma estação de
monitoramento e exibir estas informações para um operador (SNL, 2018).
Garcia (2008) estabelece que três objetivos para sistemas de comunicação e
exibição de alarmes. O primeiro deles é coletar e exibir dados de sistemas de alarme
(detecção de intrusão), sistemas de controle de entrada e sistemas de gerenciamento
de vídeo (avaliação e vigilância). Outro objetivo é prover a interface homem/máquina,
fornecendo o status geral do sistema de segurança da instalação e o mecanismo para
78
inputs do operador. Por fim, estes sistemas devem ser responsáveis pelo suporte de
comunicação para os guardas, forças de resposta e para pessoal de emergência.
3.2.3.2 Retardo
3.2.3.2.1 Elementos e Barreiras Físicas
Embora o papel do retardo em um SisPF seja fácil de definir, a implementação de

barreiras não é uma tarefa simples.
Nesse sentido, SNL (2018) afirma que barreiras tradicionais – tais como como
cercas com concertinas, portas trancadas, janelas gradeadas, paredes de alvenaria,
dentre outros – não são susceptíveis de retardar um pequeno grupo de adversários
devidamente equipados e dedicados por um período de tempo significativo.
Por outro lado, um sistema de barreiras físicas pode ser alocado ou aprimorado,
a fim de fornecer tempos de retardo que sejam realmente efetivos.
A presença de múltiplas barreiras de diferentes tipos ao longo de todos os
possíveis caminhos atrapalha o progresso de um adversário, na medida em que ele
precisará estar equipado com uma série de diferentes ferramentas e habilidades para
remover a barreira. A localização de barreiras ao lado ou depois dos alarmes de
detecção pode auxiliar uma avaliação precisa e na resposta aos adversários. Outras
medidas possíveis consistem em colocar mais barreiras físicas perto do alvo e realizar
testes de desempenho nas respetivas barreiras.
Assim sendo, as barreiras devem ser escolhidas com base no objetivo do
adversário (SNL, 2018).
3.2.3.3 Resposta
3.2.3.3.1 Elementos da Força de Resposta
SNL (2018) distingue os papéis das forças de guarda e das forças de resposta.
Guardas são definidos como pessoas que executam tarefas rotineiras relacionadas à
segurança: controle de acesso a áreas de segurança, patrulhamento de rotina,
avaliação de alarmes, operação de uma central de alarmes, escolta de material
79
nuclear em movimento ou escolta de pessoal dentro de uma área de segurança. Já

as forças de resposta são pessoas – dentro ou fora da instalação – que estão
armadas, adequadamente equipadas e treinadas para evitar uma tentativa de
remoção não autorizada de material nuclear ou um ato de sabotagem.
Entretanto, cada Estado pode implementar as funções de guardas e forças de
resposta de maneira diferente. O Brasil, de acordo com a Norma CNEN NE 2.01
(CNEN, 2011), na nomenclatura relativa à “força de resposta” coloca que esta é
composta por “guardas”, sendo estes últimos um conjunto de indivíduos treinados,
uniformizados e portando arma de fogo.
As duas estratégias primárias de força de resposta são contenção e negação. As
guardas e a força de resposta devem ser adequadamente equipadas e treinadas com
base no ABP ou na avaliação de ameaças. Como as funções de guarda e resposta
são desempenhadas por pessoas, programas contínuos de treinamento são
essenciais para que se obtenha um desempenho eficaz (SNL, 2018).
3.2.3.3.2 Planejamento de Contingências
O documento Nuclear Security Series no 13 (IAEA, 2011) recomenda que as

instalações devem possuir Planos de Contingência, definidos como um conjunto
preestabelecido de ações para resposta a atos não-autorizados – indicativos de
tentativa de remoção não autorizada ou sabotagem.
Tais planos devem estar preparados para combater os atos maliciosos de forma
eficaz e para fornecer uma resposta apropriada por guardas ou forças de resposta.
Eles devem ser preparados e adequadamente exercidos por todos os titulares e
autoridades envolvidas. Isso implica que tanto o Estado, quanto o titular da instalação
devem estabelecer um plano de contingência. O operador deve iniciar seu plano de
contingência após a detecção e avaliação de qualquer ato malicioso.
80
3.2.4 Avaliação do Sistema de Proteção Física
3.2.4.1 Diagrama de Sequência do Adversário
Depois de estabelecer os objetivos de um sistema de Proteção Física (SisPF) e

desenvolver – ou melhorar – o projeto deste, é necessário analisar a eficiência do
SisPF, ou seja, verificar se ele cumpre seus objetivos (GARCIA, 2008).
Adversários realizam seu objetivo movimentando-se em um certo caminho pela
instalação e, derrotando assim elementos do Sistema de Proteção Física (SisPF)
encontrado ao longo do caminho. Dessa forma, o Diagrama de Sequência do
Adversário (DSA) funciona como uma representação gráfica que ajudar a avaliar a
eficácia do SisPF em uma instalação (GARCIA, 2008).
Ele identifica os caminhos que os adversários podem seguir para realizar
sabotagem ou roubo. Para um SisPF específico e uma ameaça específica, o caminho
mais vulnerável (ou o caminho com menor eficácia do SisPF) pode ser determinado.
Este caminho estabelece a eficácia global (PE) de um sistema de Proteção Física.
SNL (2018) estabelece um conjunto de três etapas básicas para criar um DSA:
 Modelar a instalação, separando-a em áreas físicas adjacentes, divididas em
camadas de proteção, que controlam o movimento entre as áreas;
 Definir camadas de proteção, em termos de elementos de caminho – portas,
cercas, superfícies –, entre as áreas físicas e;
 Atribuir probabilidade de detecção (PD) e tempos de retardo para cada
elemento de caminho e área física.
A figura 3.5 ilustra um exemplo (SNL, 2018) de um DSA, onde um adversário
deseja destruir uma bomba em uma área de alta segurança:
81
Cerca de Área Protegida
Área Protegida
Porta de Acesso ao Edifício
Interior do Edifício
Porta da Sala de Bombas
Área Vital
Alvo de sabotagem:
bomba de resfriamento
Figura 3.5 - Exemplo de caminho do adversário.
Adaptado de SNL (2018)
3.2.4.2 Análise de Caminhos
Um caminho do adversário é uma sequência ordenada por tempo de elementos

de caminho, áreas e alvo que o adversário deve concluir para obter roubo ou
sabotagem (SNL, 2018).
Voltemos à linha do tempo de um Sistema de Proteção Física, exibida na figura
3.6.
82
Figura 3.6: Linha do Tempo de um Sistema de Proteção Física.

Para que um Sistema de Proteção Física cumpra seu objetivo, o adversário

precisa ser interrompido em tempo hábil. Ou seja, o tempo necessário para a
interrupção do adversário (TI) deve ser menor que o tempo necessário para o
adversário concluir seu objetivo (TC).
O “Princípio de Detecção Oportuna” é calcado no conceito de que a detecção só
irá contribuir para a segurança efetiva se o tempo que o adversário levar depois da
primeira detecção exceder o tempo total do SisPF (SNL, 2018).
A figura 3.7 mostra que a detecção nas duas últimas oportunidades ocorre tarde
demais para conseguir a interrupção. Desta forma, essas duas oportunidades de
detecção não são oportunas, ao contrário das duas primeiras oportunidades.
83
Figura 3.7 - Sistema de Proteção Física não atua a tempo e o adversário completa sua
missão.
Adaptado de SNL (2018).
Ambas as linhas do tempo de SisPF exibidas nesta seção mostram a importância

do conceito de Probabilidade de Interrupção (PI). PI é definida como a probabilidade
de que a detecção ocorra cedo o suficiente na linha do tempo do SisPF, a fim de que
haja tempo suficiente para mobilização e resposta da força de resposta, antes que a
força adversária possa completar sua missão (SNL, 2018).
Em linhas gerais, PI é a probabilidade de que a detecção ocorra em oportunidade
que seja detectável a tempo.
3.2.4.2.1 Ponto Crítico de Detecção (PCD)
Garcia (2008) define que o Ponto Crítico de Detecção é aquele onde há um retardo
ao longo do caminho do adversário imediatamente maior ou igual ao tempo da força
de resposta, o que permite a ela atuar em tempo suficiente para interromper e
neutralizar um adversário.
84
Desta forma, a Probabilidade de Interrupção (PI) pode ser entendida também

como a probabilidade de o adversário ser detectado em uma oportunidade antes ou
no ponto de crítico de detecção (PCD) (SNL, 2018).
Logo, o cálculo da Probabilidade de Interrupção (PI) se utilizará da probabilidade
cumulativa de detecção nos pontos anteriores ao PCD – eventos independentes e
mutuamente exclusivos (SNL, 2018). Garcia (2008) apresenta o cálculo da
probabilidade de interrupção pela equação 3.1:
𝑚
PI = 1 − ∏(1 − PD𝑖 ) (3.1)

𝑖=1
Onde:
PI é a Probabilidade de Interrupção em um dado caminho;
𝑚 é o número total de elementos de detecção ao longo do caminho de interesse
e;
PD𝑖 é a probabilidade de detecção fornecida pelo 𝑖-ésimo elemento anterior ao
PCD.
Após o PCD outros níveis de detecção não são relevantes, porque não contribuem
para a eficiência do SisPF. No entanto, os tempos de retardo fornecidos por pelas
barreiras físicas é de extrema importância, posto que aumenta o tempo disponível
para atuação da força de resposta. Assim sendo, a soma dos valores de retardo após
o PCD deve ser superior ao tempo de atuação da força de resposta (SNL, 2018).
Garcia (2008) enuncia este somatório pela equação 3.2:
𝑚
TR = ∑ T𝑖 > TG (3.2)
𝑖=1
Onde:
TR é o Tempo de Retardo restante após o PCD;
𝑚 é o número total de elementos de detecção ao longo do caminho de interesse;
T𝑖 é tempo de retardo fornecido pelo 𝑖-ésimo elemento e;
TG é o tempo de atuação da força de resposta.
SNL (2018) conclui que, para que seja possível calcular a Probabilidade de
Interrupção (PI) de um determinado caminho, é necessário que se calcule
primeiramente o tempo de resposta da força de segurança (T G). A seguir – partindo-
se do alvo –, deve-se somar todos os tempos de retardo (T𝑖 ), até que este valor seja
maior ou igual a TG. Com isso, o PCD se localizará na oportunidade de detecção
85
imediatamente após o ponto onde TR excede TG. Por fim, sabendo-se onde está o
PCD, é possível calcular o valor de PI.
3.2.4.3 Análise de Neutralização
O sistema de Proteção Física em uma instalação nuclear é formado pelas funções

de detecção, retardo e resposta, onde o propósito da função de resposta é tornar o
adversário incapaz de completar seu objetivo. A medida de eficácia da resposta é a
chamada de Probabilidade de Neutralização (PN) (GARCIA, 2008), onde após a
interrupção, a força de resposta deve usar os meios necessários para impedir que os
adversários completem seu objetivo, neutralizando-os.
Como a resposta é parte integrante de um sistema de Proteção Física, então é
possível concluir que a Probabilidade de Neutralização é, antes de tudo, um
componente da eficácia geral de um SisPF.
Métodos simples para análise de PN podem exigir apenas dados sobre o número
de pessoas e tipos de armas em ambos os lados, juntando-se o tempo em que
diferentes pessoas de cada lado estão em batalha. Por outro lado, modelos mais
complexos como simulações, podem exigir uma quantidade significativa de dados
(SNL, 2018).
3.2.4.4 Análise de Cenários
Avaliar a neutralização – e, por conseguinte, a eficácia geral de um SisPF –,

requer detalhes sobre como o ataque adversário é conduzido. A análise de cenários
concentra-se em criar um conjunto representativo de cenários ataque adversários,
simulando a interação entre os adversários e o SisPF, da forma mais realista possível
(SNL, 2018). Assim, várias linhas de tempo são necessárias, e não apenas uma, como
no caso da análise de caminhos.
Os cenários selecionados devem ser realistas para um adversário e restritas o
que foi determinado na ABP, e cobrindo a gama de vulnerabilidades potenciais vistas
no SisPF (GARCIA, 2008). Embora a qualidade da análise de caminhos possa cair
quando um caminho vulnerável é perdido, a qualidade da análise de cenários pode
86
sofrer tanto porque as vulnerabilidades são negligenciadas na formulação de cenários

quanto porque cenários realistas e irreais são simulados contra o SisPF.
SNL (2018) estabelece as etapas necessárias para que uma análise de cenários
é confiável e abrangente, por meio de uma abordagem sistemática, a saber:
(i) Identificar as principais questões a serem abordadas pela análise de cenários;
(ii) Identificar os principais indicadores de desempenho no estudo e classificá-los
que são controláveis dentro do estudo ou não;
(iii) Coletar os dados necessários, incluindo dados de teste de desempenho,
informações da análise de caminhos e planos e procedimentos de segurança
detalhados.
(iv) Com base nas informações coletadas nas etapas (i) até (iii), utilizar uma
abordagem formal para criar um conjunto de cenários com especialistas – ou uma
abordagem informal quando esses especialistas não estiverem disponíveis.
(v) Avaliar a probabilidade de eficácia (PE) em relação aos cenários
representativos com especialistas ou através de uma ou mais simulações e;
(vi) Documentar os resultados e as conclusões, juntamente com as descrições
dos cenários.
3.3 Projeto de Sistema de Segurança Computacional e Segurança da

Informação para uma Instalação Nuclear
Para entender como adversários podem atacar sistemas cibernéticos, é preciso

entender, primeiramente, quais são elementos que compõem os sistemas
computacionais da instalação (SNL, 2018). Isso decorre do fato de que uma grande
variedade de medidas de proteção pode ser aplicada a sistemas de informação para
aumentar a segurança desses sistemas (SNL, 2018).
Os sistemas computacionais relacionados à segurança física nuclear se
concentram principalmente em sistemas de controle de entrada, de voz e de
infraestrutura de comunicações. Na prática, eles incluem aqueles usados para
conectar e monitorar sensores, auxiliar na avaliação de alarmes, sistemas de dados
associados ao controle de entrada, bem como as informações relacionadas ao SisPF
e ao SisCCMN (SNL, 2018). Os equipamentos associados a essas funções também
são ativos que exigem proteção física.
87
SNL (2018) desenvolveu um conjunto de modelos genéricos para adversários

cibernéticos, onde um conjunto comum de características é utilizado a fim de
descrever os adversários cibernéticos em termos de comprometimento e recursos.
A característica de intensidade é baseada no comprometimento do adversário
com o ataque ou na determinação do mesmo para atingir os objetivos deste ato. Os
níveis representativos de intensidade podem ser classificados como “alto”, “médio” ou
“baixo” e podem ser descritos conforme apresentado na tabela 3.1 a seguir.
Tabela 3.1 - Níveis da característica de Intensidade.

NÍVEL SIGLA DESCRIÇÃO
O adversário está disposto a sacrificar a vida dos membros

Alto A do grupo, é altamente motivado para atingir metas – não
importando o obstáculo – e aceita todas as consequências
O adversário está disposto a ter um membro do grupo

Médio M preso, capturado ou encarcerado e aceita algumas
consequências negativas
O adversário não está disposto a arriscar ser flagrado ou

Baixo B capturado, seu grupo não se colocará em risco e não
querem aceitar possíveis consequências negativas
Ainda no arcabouço do comprometimento, existe a característica da discrição. Ela

é interpretada como o grau de ocultação necessário para que o adversário atinja seus
objetivos. Desta forma, isso implica que sem manter algum nível de discrição não for
mantida, a meta do adversário não será passível de conclusão. Os níveis
representativos de discrição podem ser classificados como “alto”, “médio” ou “baixo”
e podem ser organizados conforme apresentado na tabela 3.2 a seguir.
88
Tabela 3.2 - Níveis da característica de Discrição.

A discrição deve ser mantida pois, em caso contrário, o

Alto A
objetivo do adversário não será alcançado.
Uma perda de discrição absoluta pode ser tolerada ou total

Médio M
discrição não pode ser alcançada devido a outras restrições
A discrição não é necessária antes da execução, ou não é

Baixo B
considerada importante pelo adversário
A última das características relativas ao comprometimento é o tempo. A

característica de tempo refere-se ao tempo total que o adversário tem disponível. Ele
inicia quando o adversário começa o planejamento, desenvolvimento e implantação
de um ataque cibernético e é contado até a execução real de um ataque cibernético.
Os níveis representativos de tempo tem sua organização descrita conforme
apresentado na tabela 3.3 a seguir.
Tabela 3.3 - Níveis da característica de Tempo.

NÍVEL DESCRIÇÃO
Quantidade significativa de tempo de espera disponível

Décadas
(utilizado para casos a longo prazo)
Anos Até vários anos disponíveis
Apenas alguns meses estão disponíveis (possivelmente

Meses
devido à mudança de tecnologia)
Pouco tempo dedicado ao planejamento, desenvolvimento

Semanas
e implementação (utilização de software pronto para uso)
Passaremos agora para as características que se referem aos recursos

disponíveis. A primeira dessas características é a organização do corpo técnico dos
adversários. Essa característica representa o tamanho da parte técnica do time de
adversários. No caso de ataques cibernéticos, é possível que os ataques venham de
mais de um sistema (SNL, 2018). Quanto maior a organização, maior a probabilidade
89
de existir uma estrutura organizacional.. Os níveis representativos de organização tem

sua descrição conforme apresentado na tabela 3.4 a seguir.
Tabela 3.4 - Níveis da característica de Organização.

NÍVEL DESCRIÇÃO
Centenas Em grande escala, com boas intercomunicações
Muitos pequenos grupos com comunicação frouxa,

Dezenas de dezenas
informações limitadas entre grupos
Pequenos grupos de trabalho trabalhando de forma

Dezenas
independente
Alguns Indivíduos trabalhando independentemente

A próxima característica dentro do escopo dos recursos é a de conhecimentos

cibernéticos. Ela considera o nível de conhecimento cibernético (teórico e prático)
possuído pelo adversário. Inclui habilidades, programas de treinamento e programas
de pesquisa internos à organização, mas não inclui os chamados “hackers de aluguel”
– hackers contratados e que não pertencem ao time de adversários; prática bastante
comum por parte de agências de inteligência, crime organizado ou extremistas
(GOLDSTEIN, 2015). Os níveis representativos de conhecimento cibernético podem
ser classificados como “alto”, “médio” ou “baixo” e podem ser organizados conforme
apresentado na tabela 3.5 a seguir.
Tabela 3.5 - Níveis da característica de Conhecimento Cibernético.

Todos os níveis de conhecimento e habilidades; mantém

Alto A um programa de treinamento ou programa de pesquisa e
desenvolvimento em Segurança da Informação
Mistura de praticantes, capacidade de educação interna de

Médio M baixo nível e alguma pesquisa e desenvolvimento (P&D)
limitados
Habilidade mínima com tecnologia da informação,

Baixo B conhecimentos em códigos limitado, sem treinamento ou
programa de pesquisa e desenvolvimento (P&D)
90
Ainda voltados dos recursos dos adversários, temos a característica de

conhecimentos em Segurança Física. Ela baseia-se no nível de conhecimento (prático
e teórico) de Segurança Física que o time do adversário detém. SNL (2018) deixa
claro que essa característica aqui avaliada deve ser compatível com a Ameaça Base
de Projeto (ABP) da Proteção Física. Os níveis representativos de conhecimento em
Segurança Física podem ser classificados como “alto”, “médio” ou “baixo” e podem
ser organizados conforme apresentado na tabela 3.6.
Por fim, – ainda no escopo de recursos – temos a característica de acesso. Esta
representa a contribuição de um adversário interno para a ameaça cibernética. Os
níveis representativos de acesso podem ser classificados como “alto”, “médio” ou
“baixo” e são organizados conforme apresentado na tabela 3.7.
Tabela 3.6 - Níveis da característica de Conhecimento em Segurança Física.

Todos os níveis de conhecimento e habilidades; mantém

Alto A um programa de treinamento ou programa de pesquisa e
desenvolvimento em Segurança Física
Baixo conhecimento de Segurança Física e alguma

Médio M capacidade limitada para conduzir pesquisa e
desenvolvimento (P&D)
Habilidade mínima com tecnologia de sensores,

Baixo B conhecimentos em eletrônica limitados, sem treinamento ou
programa de pesquisa e desenvolvimento (P&D)
Tabela 3.7 - Níveis da característica de Acesso.

Adversários tem acesso físico por serem funcionários ou

Alto A por cooptação de um adversário interno, a fim de obter
acesso direto ou ilimitado
Acesso físico de curto prazo, disponível por meio de

Médio M chantagem, coerção ou invasão (tem acesso indireto ou
limitado)
Acesso estará disponível somente se ocorrer uma

Baixo B
oportunidade não programada
91
Assim, esses atributos e níveis representativos foram combinados na Matriz

Genérica de Ameaças Cibernéticas, exibida na tabela 3.8.
Oito níveis ou categorias de ameaças foram definidas com base na análise dessas
características por SNL (2018).
Embora variações possam ocorrer em uma mesma característica, a maior parte
dos adversários cibernéticos pode ser descrita por uma dessas oito categorias.
Tabela 3.8 - Matriz Genérica de Ameaças Cibernéticas.

PERFIL DA AMEAÇA
NÍVEL
COMPROMETIMENTO RECURSOS
DA
Pessoal Conhecimento
AMEAÇA
Intensidade Discrição Tempo Acesso
Técnico Cibernético Segurança
Anos até
1 A A Décadas
Centenas A A A
Dezenas
Anos até
2 A A Décadas
de M A M
dezenas
Dezenas
Meses até
3 A A Anos
de A M M
dezenas
Semanas
4 M A até Meses
Décadas A M M
Semanas
5 A M até Meses
Décadas M M B
Semanas
6 M M até Meses
Alguns M M B
Meses até
7 M M Anos
Dezenas B B B
Dias até
8 B B Semanas
Alguns B B B
3.3.1 Estratégia de Proteção do Sistema Cibernético
A estratégia hoje existente para a proteção de um sistema cibernético é a

aplicação da abordagem gradual baseada em níveis e zonas de segurança, de acordo
com documento Nuclear Security Series No 17 (IAEA, 2011).
92
Os níveis de segurança representam graus de proteção de segurança exigidos.

Cada nível tem diferentes conjuntos de medidas de proteção para satisfazer os
requisitos de segurança específicos dessa camada (SNL, 2018).
As zonas são um conceito lógico e físico para agrupar a administração do sistema
de computadores, a comunicação e a aplicação de medidas de proteção. Cada zona
terá um nível de segurança associado a ela. Entretanto, cada nível de segurança pode
ter várias zonas associadas a ele (SNL, 2018).
Quanto mais baixo o nível da zona, mais rigorosos serão os requisitos. As medidas
requeridas por cada um dos níveis estão listadas no referido NSS-17G, publicado pela
AIEA em 2011. Neste mesmo documento, a Agência Internacional de Energia Atômica
sugere que, para instalações nucleares, estes níveis de segurança cibernética se
desenhem conforme resumido na Tabela 3.9.
Tabela 3.9 - Sistemas Cibernéticos típicos de Instalações Nucleares e seus Níveis de

Segurança Associados.
SISTEMA IMPACTOS NA SEGURANÇA NÍVEL DE
CIBERNÉTICO COMPUTACIONAL SEGURANÇA
Proteção do Reator  Perda de integridade de 1

software e/ou dados críticos de
segurança
Controle de Processos  Perda de disponibilidade de 2
função.
 Perda de disponibilidade e
integridade dos sistemas de acesso
Controle de acesso da
à instalação 2
Proteção Física
 Perda de confidencialidade
dos dados de acesso à instalação
Autorização de
Perda de integridade de dados e da
funcionamento e ordem 4
disponibilidade do sistema.
de funcionamento
Perda de confidencialidade,
Gerenciamento de
disponibilidade e integridade de 4
dados
dados
Perda de confidencialidade,
E-mail 5
integridade e disponibilidade
Adaptado de IAEA (2011)
93
Entretanto, para outros sistemas computacionais de uma instalação nuclear – tais

como alarmes de intrusão –, a NSS-17G não sugere os níveis de segurança que
seriam necessários.
Garcia (2008) afirma que aplicar a metodologia de abordagem por desempenho
para a Segurança Computacional é uma evolução natural do Processo DEPO em si,
na medida em que pode prover maior segurança para o sistema como um todo.
3.4 Projeto de Sistema de Contabilidade e Controle de Material Nuclear para

uma Instalação Nuclear
O projeto e implementação eficazes de um sistema de CCMN requerem que seja

estabelecida, na instalação nuclear, um conjunto de áreas específicas para fins de
contabilidade e controle, conhecidas como Áreas de Balanço Material (ABM) –
conhecidas como MBAs, acrônimo em inglês para Material Balance Areas.
As Áreas de Balanço Material formam a base para a contabilidade e controle para
todo o material nuclear na instalação (IAEA, 2015). Uma ABM podem ser uma ou mais
salas relacionadas, um ou mais edifícios relacionados, uma unidade operacional –
como um laboratório ou oficina de produção – ou uma instalação nuclear inteira.
Nas ABMs, a checagem do inventário físico de material nuclear é realizada
periodicamente, no intuito de se estabelecer a quantidade de material nuclear e seus
fluxos, se houverem, a chamada Tomada de Inventário Físico (TIF) já comentada
anteriormente neste trabalho. Por questões de segurança e a fim de aumentar o
controle, uma ABM para Segurança Física é geralmente menor que uma de
Salvaguardas (SNL, 2018). A figura 3.8, a seguir, exemplifica tal diferença.
Figura 3.8 - Limites característicos de Área de Balanço Material.

94
Conforme já enunciado teste trabalho, em uma ABM, os inventários e fluxos de

materiais devem ser conservativos, onde o que entra é igual ao que sai. Uma
representação esquemática desse balanço é exibida na figura 3.9, a seguir:
Figura 3.9 - Inventários e fluxos conservativos em uma ABM.

Desta forma, SNL (2018) enuncia a Equação de Balanço Material, dada por:
Inventário Inventário Transferências Transferências
BM = ( )−( )+( )−( ) (3.3)
Inicial Final de Entrada de Saída
Onde BM significa Balanço Material.
O termo BM também é referenciado como Diferença de Inventário – do inglês,
Inventory Difference (ID) – ou também Material Não-Contabilizado – do inglês,
Material Unaccounted For (MUF). Em língua inglesa, o termo mais utilizado é este
último (MUF) (SNL, 2018).
O Material Não Contabilizado (MNC) é, na prática, a diferença entre a quantidade
de material que deve estar na Área de Balanço Material (com base nos registros
contábeis) e a que está lá de fato, conforme estabelecido pela Tomada de Inventário
Físico. O valor de MNC deve ser igual a zero (SNL, 2018).
Um valor de MNC diferente de zero – seja ele positivo ou negativo –, portanto,
deve ser investigado a fim de determinar tal desvio. Em termos práticos, um MNC
diferente de zero pode ser a primeira indicação de que houve remoção não autorizada
por parte de um adversário interno. Quando uma Tomada de Inventário Físico não
programada é realizada, devido a uma condição de alarme, os resultados do cálculo
do valor de Material Não-Contabilizado fornecem informações sobre se ocorreu ou
não tal remoção.
95
4 PROJETO DE SISTEMA DE PROTEÇÃO FÍSICA PARA UMA INSTALAÇÃO

NUCLEAR
4.1 Introdução
Neste capítulo, desenvolveremos um Projeto de Proteção Física para uma

instalação nuclear hipotética, aqui chamado de RAMPeM. Para tal, seguiremos as três
etapas do Processo DEPO, largamente discutidas no Capítulo 3: a definição de
requisitos, o projeto do SisPF e a avaliação do SisPF.
4.2 Caracterização da Instalação
De acordo com a Agência Internacional de Energia Atômica, as plantas,

procedimentos e informações de instalações reais são classificadas como
“informações sensíveis” e precisam ter classificação de sigilo (IAEA, 2013).
Assim sendo, a forma encontrada de superar essa dificuldade foi através da
modelagem de uma instalação nuclear que abriga um reator modular de pequeno
porte – conhecido pela sigla em língua inglesa SMR, acrônimo para Small Modular
Reactor.
Este reator será instalado em uma cidade fictícia brasileira de nome Morobi –
“azul”, em tupi (BARBOSA, 1951). A cidade de Morobi, é uma cidade de fronteira em
meio à uma floresta tropical, onde o fornecimento de energia elétrica é precário e
depende de geradores abastecidos a diesel.
A densidade da floresta onde Morobi está inserida é um complicador na defesa e
patrulhamento desta região de fronteiras, posto que não há como fornecer energia
elétrica por cabeamento até esta área. Morobi está a aproximadamente 1.000 km de
distância de Manaus e, atualmente, a chegada até a cidade se faz por via fluvial, posto
que um grande rio margeia a cidade.
O RAMPeM – Reator Avançado Modular de Pequeno Porte de Morobi –,
localizado no noroeste de Morobi, foi projetado para servir como principal fonte de
energia elétrica desta região de fronteira do Brasil.
96
4.2.1 Reator Avançado de Pequeno Porte de Morobi (RAMPeM)
4.2.1.1 Objetivo e Localização da Instalação
O Reator Avançado de Pequeno Porte de Morobi (RAMPeM) será operado dentro

de um aquartelamento do Exército Brasileiro, e abrigará, além das acomodações dos
oficiais que ali servirão, o prédio administrativo do reator, onde estarão estabelecidos
os pesquisadores e funcionários que ali trabalharem. O objetivo do RAMPeM é
fortalecer a defesa das fronteiras terrestres do país.
4.2.1.2 Condições Ambientais
4.2.1.2.1 Topografia
O RAMPeM se localizará em uma área de floresta tropical densa e não

desenvolvida na cidade de Morobi. Esta floresta está cravada em uma planície de 100
a 150 metros de altitude.
4.2.1.2.2 Vegetação e Vida Selvagem
A floresta possui a aparência, vista de cima, de uma camada contínua de copas

largas, situadas a aproximadamente 25 metros acima do solo.
A dificuldade para a entrada de luz pela abundância de copas faz com que a
vegetação rasteira seja muito escassa, bem como os animais que habitam o solo e
precisam desta vegetação. A maior parte da fauna é composta de animais que
habitam as copas das árvores.
4.2.1.2.3 Barulho de Fundo
Provenientes da vida selvagem.

97
4.2.1.2.4 Clima e Tempo
Equatorial, quente e úmido, com temperatura variando pouco durante o ano. As

chuvas são abundantes, com as médias de precipitação anuais variando de 1.500 mm
a 1.700 mm. O principal período chuvoso dura seis meses.
4.2.2 Descrição Geral do Reator e da Segurança Tecnológica
4.2.2.1 Reatores Modulares de Pequeno Porte
Neste trabalho, utilizou-se, como cerne da instalação nuclear, um reator modular

avançado de pequeno porte – também chamados de SMR (acrônimo em inglês para
Small Modular Reactor) –, sendo este reator hipotético.
Os reatores modulares de pequeno porte são reatores avançados que podem ser
parcialmente construídos em fábricas e transportados para o local final, na forma de
módulos.
Nos últimos anos, o interesse da área nuclear nesta classe de reatores vem
crescendo e ele se dá por um somatório de fatores, de acordo com Murray & Holbert
(2015). Eles são construídos para serem simples, seguros, com longo período de vida
útil e resistente à proliferação. Ademais, os SMRs tem capacidade também para
prover aquecimento urbano e dessalinização.
Em comparação a reatores de grande porte, esta classe de reatores necessita de
um investimento menor por utilidade e possui ainda possibilidade de aumento da
capacidade incremental, a fim de acompanhar um possível o crescimento da
demanda. Os SMRs também são mais compatíveis com o ambiente econômico que
surgiu após a crise de 2008, onde o crescimento da demanda energética foi suprimido
e a disponibilidade de capital de investimento tornou-se menor (MURRAY e
HOLBERT, 2015). Possuem ainda um período de construção mais curto – devido à
modularização – e simplicidade de design (ARENAZA, 2018).
Estes reatores avançados são mais adequados, por exemplo, para localidades
remotas e/ou nações com economia emergente, cujas necessidades energéticas não
ultrapassem o patamar de 1-GWe (MURRAY e HOLBERT, 2015).
98
Os SMRs, de forma geral, apresentam-se como um reator com configuração do

tipo PWR integral (iPWR). Um reator do tipo iPWR procura posicionar todo o seu
sistema de refrigeração dentro do vaso de pressão do reator, conforme a figura 4.1
exibe.
Figura 4.1 - SMR configurado como um iPWR.

Adaptado de Murray & Holbert (2015)
Esses vasos de pressão posicionam o núcleo do reator na parte inferior e os

geradores de vapor (GV) na parte superior, para que o reator seja capaz de promover
uma circulação de resfriamento natural (MURRAY e HOLBERT, 2015). A circulação
natural fica a cargo do “efeito chaminé”, onde o aquecimento do reator reduz a
densidade do refrigerante de tal forma que este sobe. Ao chegar em cima, o calor é
removido no GV, a densidade do refrigerante cai e a gravidade o leva para baixo, em
direção ao núcleo. A parte superior do vaso de pressão serve como pressurizador.
4.2.2.2 Reator Avançado Modular de Pequeno Porte de Morobi
O RAMPeM – Reator Avançado Modular de Pequeno Porte de Morobi – é do tipo

iPWR, possuindo combustível de urânio (UO2) enriquecido a aproximadamente 3% e
com vida útil estimada em quarenta anos. O vaso do reator tem aproximadamente dez
metros de altura e diâmetro aproximado de três metros. Este reator foi projetado para
99
ficar enterrado abaixo do nível do solo, como forma de elevar sua segurança
tecnológica em casos de emergência (IAEA, 2018). A capacidade elétrica dele é de,
aproximadamente, 30 MW(e), suficiente para os objetivos já descritos.
Possui ainda sistema primário integrado, circulação natural e é autopressurizado,
com sistemas de segurança passiva e ciclo de operação com duração de dezoito
meses, em média. Por sistemas de segurança passiva, entende-se o conjunto
formado por sistema de desligamento seguro, sistema de desligamento diverso, o
edifício de contenção, o sistema de injeção de média pressão, o sistema de
decaimento de calor de remoção, a válvula de alívio do vaso de pressão e o
equalizador de pressão de contenção.
O prédio da contenção do reator assemelha-se a outros SMRs em
desenvolvimento, como o CAREM (Argentina) e o NuScale (EUA). Em recentes
publicações da AIEA (IAEA, 2018) relativas a novas configurações de reatores
modulares, o prédio da contenção abriga – ao mesmo tempo – o vaso do reator e a
piscina de combustível usado, o que traz economia de espaço. O RAMPeM segue
este modelo.
A fim de aumentar a segurança tecnológica do RAMPeM, este também possuirá
2 (dois) conjuntos de bombas a diesel – ativadas em casos de emergência –, com
duplo circuito de refrigeração, totalizando 4 (quatro) bombas. O projeto do RAMPeM
determina que estas bombas ficarão acondicionadas dentro da área vital da
instalação.
4.2.2.3 Complexo RAMPeM
O complexo do RAMPeM será composto por três prédios:

 o prédio do reator (onde ficarão o vaso do reator, a piscina de combustível
queimado, os sistemas de segurança tecnológica e a sala de controle);
 o prédio das turbinas;
 e o prédio de serviços (onde se localizarão os escritórios, vestiários e a sala de
controle de emergência).
A disposição dos prédios, bem como suas dimensões, podem ser verificadas na
figura 4.2 que se segue.
100
Figura 4.2 - Modelo hipotético de instalação, o complexo RAMPeM
O acesso ao chamado “complexo RAMPeM” se dá através do portão indicado por

P1, para acesso de pedestres. Ele é guarnecido por dois guardas, estando ambos
armados. Neste portão realiza-se identificação visual de crachás de pessoas
autorizadas. Próximo ao portão P1 está – marcado com a sigla ESA – a Estação
Secundária de Alarmes e câmeras, onde também funciona o alojamento da guarda e
da força de resposta.
Existe ainda um portão P3, em geral fechado, para entrada e saída de carga e que
possui dois guardas, sendo também ambos armados.
A figura 4.3 a seguir exibe como estão dispostas as salas dentro de cada prédio.
As salas em azul pertencem ao prédio do reator, as salas em verde compõem o prédio
da turbina e as salas em vermelho são as que formam o prédio de serviços.
101
Figura 4.3 - Vista superior dos prédios do complexo RAMPeM
As siglas denominadas “TQn” representam torniquetes, onde n é o número que

identifica cada elemento. A sigla PR1 significa “Portaria do Prédio de Serviços do
RAMPeM” e a sigla PT1 indica o Portão de Carga do prédio das turbinas. A sigla S 1,
por sua vez, indica uma parede que divide o prédio das turbinas e o prédio do reator.
Para acessar quaisquer das áreas dentro do complexo RAMPeM – incluindo
prédio de reatores e prédio das turbinas –, é necessário passar antes pela portaria
PR1, ou seja, através do Prédio de Serviços. O portão de carga do prédio das turbinas
PT1 se abre somente se for necessária qualquer manutenção nas turbinas e com
expressa autorização do titular.
Agora olharemos mais detidamente o Prédio do Reator do complexo RAMPeM,
apresentado na figura 4.4 que se segue.
102
Figura 4.4 - Vista superior do prédio do reator do complexo RAMPeM
Uma vez que o combustível é usado no reator, ele produz altos níveis de radiação
e calor devido à deterioração dos produtos de fissão. Uma sabotagem no reator
poderia causar a ruptura de um número significativo de barras de combustível no
núcleo ou na piscina de combustível queimado. Tal evento poderia causar a liberação
de material radioativo de tal forma que excedesse os limites de ACRs estabelecidos
pela CNEN.
O controle do reator e do gerador de turbina pode ser feito a partir da Sala de
Controle (SC), que contém todos os equipamentos de instrumentação e controle
necessários para a inicialização, operação e desligamento em condições normais e
de acidentes.
O acesso à sala de controle é feito através de uma antessala, aqui chamada de
Entrada da Sala de Controle (ESC). Essa antessala tem o objetivo de controlar a
entrada no ambiente da sala de controle. Ao lado da ESC existe uma sala contígua, a
Sala de Guarda (SG). Nela está posicionado um soldado – armado com uma pistola
– que pode acompanhar, em monitores, as câmeras de CFTV dos corredores que
103
levam à Sala de Controle e outras áreas sensíveis. A SG possui janelas – com vidros
à prova de balas – que dão para o corredor de entrada, para o interior da ESC e para
o interior da Sala de Controle. A SG se assimila à uma “caixa de vidro”, conforme
exibido na figura 4.5.
Figura 4.5 - Vista lateral das Salas de Guarda e Entrada da Sala de Controle
Existe ainda uma sala de treinamento e uma sala de gerenciamento de crise, além
do Laboratório de Análise de Material Físsil.
A Sala de Baterias (SB) é a que fornece instrumentação de backup e poder de
controle. A Sala de Bombas de Emergência é a que hospeda os dois circuitos de
bombas a diesel, utilizados em casos emergenciais.
A Sala de Distribuição de Cabos (SDC), onde os cabos de instrumentação e
controle da sala de controle são direcionados para os instrumentos apropriados,
centros de controle de motores e outros equipamentos de controle.
A Sala de Relés SCRAM (SR), que abriga os componentes eletrônicos que
controlam o sistema de proteção do reator. Este sistema inclui o painel de
desligamento auxiliar, do qual o reator pode ser monitorado, controlado e desligado
com segurança, caso a sala de controle seja danificada ou indisponível.
Cabe aqui uma elucidação: o termo “SCRAM” quer dizer, em português,
“transiente esperado sem desligamento rápido” (CNEN, 2015). De acordo com o
Glossário de Segurança Nuclear (CNEN, 2015), um SCRAM é rotulado como um dos
“piores casos” de acidente – já previsto no projeto da instalação – e ocorre quando o
sistema de desligamento do reator falha durante um transiente esperado.
104
4.3 Identificação de Alvos
4.3.1 Identificação de Áreas Vitais
Devido à presença de material físsil presente no local para análise e garantia da

qualidade, o Laboratório de Análise de Material Físsil é considerado área vital da
instalação, sendo de categoria II conforme a categorização estabelecida pela AIEA e
pela CNEN – vide anexo A. O mesmo vale para a contenção do reator, que abriga o
vaso de pressão e a piscina de combustível queimado, com categoria I.
O RAMPeM foi analisado empregando a abordagem descrita na seção 3.2.2.2.
Essa abordagem identificou alguns conjuntos de áreas contendo equipamentos,
sistemas ou dispositivos, ou material nuclear que, se protegido, impediria a sabotagem
que, direta ou indiretamente, poderia levar a ACR.
4.3.1.1 Cenário de Ataque Direto
Um ataque de sabotagem direta seria aquele que danificaria a contenção do

prédio do reator e dispersaria o combustível presente no núcleo – e/ou no tanque de
combustível queimado. Para tanto, seria necessário adversário entrasse no Reator ou
no prédio da contenção e colocasse uma grande quantidade de explosivos adjacente
ao reator – e/ou adjacente ao tanque de combustível queimado.
4.3.1.2 Cenários de Ataque Indireto
O combustível no núcleo e na piscina de combustível queimado produzem uma

quantidade significativa de calor. Este calor é removido através do resfriamento da
água no reator e por outros sistemas de refrigeração descritos na seção 4.2.2.
A IAVt conduzida para o reator identificou combinações de equipamentos que
devem ser acessados para causar uma liberação radiológica com ACRs. Cada local
na tabela 4.1 a seguir faz parte de pelo menos uma combinação para causar
sabotagem. Assim, todas essas áreas devem ser protegidas para evitar a sabotagem
do reator.
105
Tabela 4.1 - Identificação de áreas vitais do RAMPeM

Evento Iniciador
Eventos que passam a ficar
Área Vital de Origem Mal-
deficientes
intencionada
Controle da energia da bateria dos

componentes do sistema de
segurança tecnológica
Sala de Baterias X Energia elétrica para sistemas de

injeção de segurança
Energia elétrica para sistema

auxiliar de alimentação de água
Sala de Distribuição de Cabos que controlam os sistemas

X
Cabos de segurança tecnológica
Sala de Bombas de Bombeamento do sistema auxiliar

X
Emergência de alimentação de água
Sistema de proteção do reator

Sala de Relés SCRAM X
(SCRAM)
LOCA (acidente Mitigação através dos sistemas de

de perda de injeção de segurança contra
refrigeração) LOCA
Sala de Controle
Transiente de
Mitigação através da alimentação
perda de água de
auxiliar de água
alimentação
Desta forma, é possível demarcar, na cor vermelha (figura 4.6), as áreas vitais no
interior do prédio do reator, conforme discutido nesta seção.
106
Figura 4.6 - Áreas vitais do complexo RAMPeM
É importante ressaltar que cada uma dessas áreas vitais pode estar envolvida em
muitos cenários de sabotagem. Isso quer dizer, na prática, que um adversário pode
danificar mais de um equipamento ou componente na área vital, dependendo das
outras áreas atacadas. Logo, é pouco prático determinar tempos de sabotagem para
cada uma as áreas vitais.
Assim, o SisPF precisa ser projetado de forma a impedir que um adversário
externo tenha acesso a qualquer uma das áreas vitais e impedir também que
adversários internos abusem de seu acesso a áreas vitais para cometer sabotagem.
107
4.3.2 Áreas de Segurança
Com base na identificação de alvos descrita na seção 3.2.2.2, definiremos as

áreas restantes – protegida e vigiada. As áreas protegidas e vigiadas serão
consideradas conforme exibido na figura 4.7.
Figura 4.7 - Áreas de Segurança do Complexo RAMPeM
A área protegida está destacada na cor vermelha, sendo a área cercada em torno
dos três prédios do complexo RAMPeM, com acesso somente pelos portões P2 e P4.
108
Já a área vigiada é a área destacada na cor laranja, englobando a área protegida e a

ESA, com acesso somente pelos portões P1 e P3.
4.4 Definição de Ameaças
As informações referentes a ameaças são classificadas como informações

sensíveis, por ser tratarem de informações de inteligência. Desta forma, optou-se
neste trabalho por postular algumas ameaças hipotéticas para a presente instalação,
mas dentro da realidade brasileira.
A primeira destas ameaças é a ameaça de ativistas ambientais. Em geral, são
compostas por organizações não-governamentais que estão interessadas em
desgastar a imagem do setor nuclear junto à sociedade, através de protestos e
divulgação de informações com pouco ou nenhum fundamento científico. A motivação
desta ameaça é ideológica e há alguma possibilidade de cooptar adversários internos.
Essa ameaça possui média probabilidade de ação e baixas capacidades, com
nenhum conhecimento em elementos de Proteção Física. A severidade de atos mal
intencionados envolvendo ativistas é considerada baixa, devido as consequências que
podem ser geradas.
Em seguida, temos a ameaça de espionagem industrial. Recentemente,
investigações conduzidas por agências de inteligência do Governo Federal mostraram
tentativas de invasão de computadores na instalação que abriga o RAMPeM.
Aparentemente, os hackers estavam interessados em roubar informações bancárias
dos funcionários da instalação através de phishing. A motivação desta ameaça é
econômica e há alta probabilidade de cooptar vetores humanos sem que estes saibam
disso. Essa ameaça possui alta probabilidade de ação e altas capacidades –
principalmente cibernéticas –, porém com médios conhecimentos em elementos de
Proteção Física. A severidade de atos mal intencionados envolvendo espionagem
industrial é considerada baixa, em termos de liberação radiológica.
Outra ameaça é a de crime organizado. Amedrontados com a possibilidade de um
patrulhamento ostensivo na região de fronteira – onde Morobi se localiza –, traficantes
de drogas e armas tem planejado sabotar a instalação, a fim de dificultar que as forças
de segurança do Estado desmontem seus aeroportos clandestinos e fechem rotas de
movimentação de contrabandos diversos. A motivação desta ameaça é econômica e
109
possuem probabilidade de cooptar adversários internos através de chantagem ou

extorsão. Essa ameaça possui alta probabilidade de ação e média capacidade, mas
um conhecimento médio em elementos de Proteção Física. A severidade de atos mal
intencionados envolvendo crime organizado é considerada alta, devido a
consequências como perda de vidas humanas, além de liberação radiológica em
decorrência do uso de explosivos nas áreas vitais.
Por fim, temos a ameaça de terrorismo. Fontes de inteligência e investigação do
Governo Federal apontam que foram recentemente confiscados alguns itens em um
esconderijo de um grupo terrorista político, localizado a menos de 600 km do
RAMPeM. No esconderijo haviam várias armas – automáticas e de assalto, além de
explosivos – e evidências de correspondência e comunicação com um grupo terrorista
estrangeiro. O conflito econômico e civil em um país vizinho fez com que muitos
refugiados – alguns dos quais suspeitos de serem terroristas – entrassem no Brasil.
Foram descobertos planos de um grupo terrorista político para atacar remessas de
material nuclear em um país vizinho. A vigilância de vários membros do grupo
terrorista mostra extensas viagens dentro e fora do país. Entrevistas com proprietários
e moradores indicaram que o grupo consistia de células com quatro a seis indivíduos.
A motivação desta ameaça é ideológica e econômica e há probabilidade de cooptar
adversários internos através de chantagem, ameaça ou extorsão. Essa ameaça
possui alta probabilidade de ação e alta capacidade, com alto conhecimento em
elementos de Proteção Física. A severidade de atos mal intencionados envolvendo
terroristas é considerada alta.
4.4.1 Ameaça-Base de Projeto Hipotética
Com base na estimativa de ameaças do item anterior, é possível postular uma

Ameaça Base de Projeto para o Reator Avançado Modular de Pequeno porte de
Morobi, conforme se segue na tabela 4.2:
110
Tabela 4.2 - Ameaça Base de projeto fictícia para a instalação RAMPeM

Ameaça
Características Ameaça retida Ameaça retida ABP
retida de
da Ameaça de Criminosos de Protesto (sabotagem)
Terroristas
Números de
4 10 >100 6
adversários
Arma longa
automática, Portáteis,
Armas Arma branca Fuzil, pistola
pistola, automáticas
granadas
Explosivos Dinamite Não Não Dinamite
Mecânicas e Mecânicas e Mecânicas e

Ferramentas Mecânicas
Elétricas Elétricas Elétricas
Terrestre e Terrestre e Terrestre e

Transporte A pé
Fluvial Fluvial Fluvial
Conhecimento Médio Alto Baixo Alto
Habilidades
Médio Alto Baixo Alto
técnicas
Habilidades
Nível 3 Nível 4 Nível 8 Nível 3
Cibernéticas
Financiamento Médio Médio Médio Médio
Conluio com
Sim Sim Não Sim
agentes internos
Estrutura de
Médio Médio Médio Médio
apoio
Dispostos a
Sim Não Não Sim
matar ou morrer
4.5 Sistemas de Detecção de Intrusão
4.5.1 Sensores Internos, Externos e de Posição
No perímetro que concerne à Área Vigiada são realizadas rondas pelos guardas
da força de segurança. Estas rondas são realizadas a intervalos regulares e tem por
função identificar visualmente alguma anormalidade nas barreiras físicas, no caso as
111
cercas de Área Vigiada e Protegida. A Norma CNEN NE-2.01 (CNEN, 2011) determina
que devem haver sinais e avisos adequados informando que se trata de uma área de
segurança, item este que é cumprido na instalação.
No interior da Área Protegida foram instalados sensores de infravermelho, na
parte interna da cerca dupla que envolve a referida área. Os sensores de
infravermelho foram posicionados de forma a não haver área sem cobertura, como
indica a Figura 4.8.
Figura 4.8 - Sensores de Infravermelho na Área Protegida do Complexo RAMPeM
Existe ainda um sensor magnético de abertura de porta, na porta de carga PT 1 do

prédio da turbinas. Os sensores magnéticos de abertura de portas estão também em
todos os torniquetes presentes no interior do complexo RAMPeM. SNL (2018) os
classifica como sensores de posição. Os torniquetes (TQn) podem ser vistos na figura
112
4.4. As probabilidades de detecção (PD) destes sensores podem ser encontradas na

tabela B-1 do Anexo B deste trabalho.
As câmeras do sistema de Circuito Fechado de Televisão (CFTV) também são
classificadas como sensores, mas a depender de sua localização podem ser
classificados como sensores externos – se estiverem fora do conjunto de prédios que
forma o complexo RAMPeM – ou sensores internos – se estiverem dentro complexo
RAMPeM. Na próxima subseção, o sistema de CFTV será tratado com maior
detalhamento.
4.5.2 Avaliação de Alarmes
A avaliação de alarmes é fruto da combinação de uma série de sensores e

também de vigilância humana. Na Área Vigiada, conforme já mencionado, são
realizadas rondas a pé em intervalos regulares por duplas de guardas – portando rádio
e botão de pânico –, conforme determinação da Norma CNEN NE-2.01 (CNEN, 2011).
Existem ainda um total de quatro torres de vigilância (marcadas com T1, T2, T3 e T4 na
figura 4.9), com um guarda em cada, equipadas com holofotes direcionais, rádio,
telefone fixo e botão de pânico.
Dentro de toda a Área Protegida (AP) é possível ainda encontrar o sistema de
Circuito Fechado de Televisão (CFTV), utilizado na certificação de intrusão de
sensores externos, internos e de posição. Existem no interior da AP, dois tipos de
câmeras: do tipo fixa e do tipo PTZ. Câmeras do tipo PTZ – acrônimo para pan-tilt-
zoom – são as que combinam três funcionalidades: pan, que refere-se à
movimentação horizontal (panorâmica) da câmera; tilt, ligada à movimentação vertical
da mesma e zoom, a capacidade de aproximar as imagens com o movimento da lente
Estas câmeras tem, neste trabalho, suas posições postuladas a fim de que seja
possível afirmar que não há pontos cegos em termos de cobertura de vídeo, conforme
se verá a seguir.
113
Figura 4.9 - Vigilância humana na Área Vigiada da instalação
Na Área Protegida, o CFTV é composto por um total de treze câmeras, onde dez
são fixas e três são PTZ, conforme a figura 4.10 exibe. As três câmeras PTZ estão
instaladas na frente da portaria do prédio de serviços PR1, na frente da ponte rolante
e à frente do portão de carga do prédio das turbinas PT1.
Para que a avaliação de alarmes seja satisfatória em períodos de baixa
luminosidade – em dias nublados ou à noite –, o projeto do SisPF deve garantir um
mínimo de 15 lux nas proximidades da cerca, da forma mais uniforme quanto possível
(SNL, 2018). Para tal, a iluminação foi instalada partindo do interior para o exterior,
como forma de criar junto a isso uma espécie de dissuasão para o adversário
(GARCIA, 2008). O arranjo da iluminação pode ser observado na figura 4.11.
114
Figura 4.10 - Sistema de CFTV para a Área Protegida da Instalação
Figura 4.11 - Iluminação da Área Protegida da Instalação

115
A exemplo do sistema de CFTV instalado na Área Protegida, também se projetou

o mesmo sistema para a área interna dos prédios. É importante esclarecer que as
figuras subsequentes exibirão somente o sistema de CFTV que tem maior relevância
para este trabalho, ou seja, aquelas que correspondem aos possíveis caminhos do
adversário pela instalação. Conforme dito nesta mesma seção, o sistema de CFTV foi
postulado para o RAMPeM de forma que o dimensionamento realizado não deixe
áreas sem cobertura.
Desta forma, o prédio de serviços – por onde entram todas as pessoas autorizadas
do RAMPeM – tem a seguinte configuração de CFTV, exibida na figura 4.12:
Figura 4.12 - Sistema de CFTV para o Prédio de Serviços do RAMPeM
Agora, o sistema de CFTV do prédio das turbinas, exibido na figura 4.13:
Figura 4.13 - Sistema de CFTV para o Prédio da Turbina do RAMPeM

116
Por fim, a cobertura de CFTV postulada para o prédio do reator, mostrado na

figura 4.14:
Figura 4.14 - Sistema de CFTV para o Prédio do Reator do RAMPeM
4.5.3 Comunicação e Visualização de Alarmes
Em toda instalação nuclear, é necessária a existência de uma estação central de

alarmes (indicada pela sigla ECA na figura 4.3), além de uma estação secundária de
alarmes (indicada pela sigla ESA na figura 4.9).
Assim sendo, o complexo RAMPeM cumpre também estas obrigatoriedades ao
posicionar a estação central de alarmes no interior no prédio de serviços – e, portanto,
dentro da Área Protegida – e a estação secundária de alarmes contígua ao alojamento
de guardas e próxima ao portão P1.
4.5.4 Controle de Acesso
Na Área Vigiada há dois portões de acesso. O primeiro é o portão P 1, portão que

faz o acesso de pedestres. Este portão é permanente vigiado por dois guardas, ambos
armados. Estes guardas tem a função de autorizar a entrada de pessoas autorizadas,
que devem estar munidas de crachá para verificação visual do mesmo e
117
posteriormente autorizar a entrada. Caso a pessoa não esteja devidamente

credenciada, um dos guardas deve fazer a identificação do indivíduo – inserindo seus
dados no sistema de controle de acesso – e solicitar a presença de um funcionário
que faça a escolta do visitante. Não há qualquer tipo de verificação ou revista na saída.
O portão P2 também é para entrada exclusiva de pedestres e guarnecido por dois
guardas armados. Neste portão serão emitidos crachás temporários de acesso de
visitantes, aos quais serão entregues somente quando da chegada do funcionário
acompanhante. O pessoal credenciado precisa apenas passar o crachá na catraca
com leitor de crachá, sem qualquer conferência. Não há qualquer tipo de verificação
ou revista na saída, exceto quando se trata de algum visitante, posto que ele deve
devolver o crachá.
O portão P3 é para entrada exclusiva de veículos de serviço ou de carga. Neste
portão há também dois guardas armados, que fazem a checagem visual do logotipo
ou matrícula do veículo. Caso o veículo não esteja devidamente credenciado, o
mesmo procedimento do portão P1 é adotado. No portão P4, outros dois guardas
armados fazem nova checagem visual. Se em qualquer um dos portões P 3 e P4 houver
algum movimento não-usual, então os guardas procedem à revista do veículo na
entrada. Na saída, o mesmo ocorre.
Ao chegar à portaria PR1 (figura 4.15), que dá entrada ao prédio de serviços, o
indivíduo é monitorado por uma câmera PTZ.
Figura 4.15 - Controle de acesso ao complexo RAMPeM

118
A portaria serve como uma outra área de controle de acesso. Dentro desta área,
se o indivíduo for um visitante, precisa se dirigir a um balcão onde existem dois
guardas (armados) dentro de uma sala envidraçada, que checarão novamente sua
credencial e seus dados. O vidro transforma esta sala em um “aquário” e permite aos
guardas que eles observem a movimentação tanto dos indivíduos que chegam, quanto
os que passam pelo scanner de raio-X e portal de detector de metais.
Se o indivíduo for um funcionário, ele não precisa passar pelo “aquário”. Em
seguida, o indivíduo deve passar seus pertences pelo detector de raio-X – operado
por um guarda armado – e passar por um detector de metais do tipo portal, controlado
por outro guarda armado. Se autorizado por ambos os guardas presentes, este pode
proceder ao torniquete TQ3.
Aqui cabe frisar que todos os torniquetes da instalação possuem controlador onde
é preciso que o funcionário passe o crachá e digite seu PIN, para que ele seja liberado.
Os crachás de visitante não exigem que o indivíduo digite um PIN, mas não dá direito
ao acesso à áreas além das administrativas, presentes no prédio de serviços. Para
exceções – onde é necessária a manutenção de equipamentos da instalação ou
fiscalização de órgãos competentes –, os crachás possuirão acesso diferenciado, a
ser programado na etapa do “aquário” e precisam ter a visita avisada e autorizada
previamente.
4.6 Elementos de Retardo
Tanto na Área Vigiada quanto na Área Protegida, a instalação dispõe uma cerca
de arame alambrado de 4mm com malha de 50mm, com estabilizadores, fixadas em
escoras e mourões curvos de concreto, com concertina na parte curva superior do
mourão (figura 4.16). Estas cercas são o que nos referimos como barreiras físicas.
119
Figura 4.16 - Cerca de Áreas de Segurança.

Fonte: redeconbarreiras.com.br
No entanto, na Área Vigiada esta cerca é simples, ao passo que na Área

Protegida, temos uma cerca dupla, com sete metros de distância entre as estruturas,
conforme representado na figura 4.17.
Figura 4.17 - Cerca dupla separando as Áreas Vigiada e Protegida
No tocante às barreiras estruturais, temos paredes, portas e teto. O projeto do

RAMPeM não prevê janelas em quaisquer localidades da instalação. Em praticamente
todas as dependências do complexo RAMPeM, o acesso é feito por torniquetes. A
exceção é a porta de carga do prédio da turbina (PT 1), que é um portão pesado
constituído por uma dupla camada de chapas de aço 19 mm e trancadas com dois
cadeados.
120
4.7 Elementos de Resposta
Tanto dentro das Estações Central de Alarmes (ECA) quando na Secundária

(ESA), existem dois guardas armados, responsáveis pela vigilância e pela certificação
de intrusão. A comunicação de alarmes é feita através de ramais telefônicos que se
comunicam entre si e com outras áreas do complexo. Em ambas as estações há
supervisores responsáveis pela coordenação das ações.
Os times da força de resposta estão em um total de nove pessoas, que possuem
botão de pânico, rádio, algemas, pistola e lanterna. Três destes respondedores estão
na ECA, outros três estão na ESA e há mais um na Entrada da Sala de Controle
(ESC). Há ainda fuzis na instalação, disponíveis apenas na ECA e na ESA.
Outros dois guardas da força de resposta fazem patrulhamento em um veículo
rondante na instalação. Esta viatura possui rádio para comunicação com a ECA e a
ESA, além dos rádios que os guardas já dispõem. Existe ainda um guarda – não
pertencente à força de resposta – posicionado entre a cerca dupla que separa a Área
Vigiada da Área Protegida.
Com base no apresentado neste trabalho nas seções anteriores, as forças de
segurança – dentre as quais se incluem a força de resposta – do complexo RAMPeM
podem ser listadas na tabela 4.3:
Em instalações reais, os dados de desempenho da força de resposta teriam de
ser proveniente de testes de desempenho conduzidos pelo titular da instalação (SNL,
2018).
Para que seja possível calcular o tempo de ação da força de resposta (TG) da
instalação hipotética aqui modelada, utilizamos dados presentes nas tabelas C-9 e C-
10 e também utilizamos os tempos postulados por Tavares (2018).
121
Tabela 4.3 - Descrição das Forças de Segurança

Local Função Quantitativo
Supervisor 1
1
(Comandante da Guarda)
ECA
Força de Resposta 3
Guardas 2
Supervisor 2
1
(Comandante da Força de Resposta)
ESA
Guardas 2
T1, T2, T3 & T4 Guardas de Torre 4
Área Vigiada (AVg) Força de Resposta (em 1 veículo rondante) 2
Cerca de Área Protegida

Guardas 1
(AP)
P1, P2, P3 & P4 Guardas 8
Entrada de pedestres no
Guardas 4
prédio de serviços (PR1)
Entrada da Sala de
Controle (ESC)
Total de respondedores 9
Total de forças de segurança presente na localidade 33
Os parâmetros da força de resposta do complexo RAMPeM podem ser

encontrados na Tabela 4.4, conforme exibido a seguir.
122
Tabela 4.4 - Parâmetros de desempenho da força de resposta

Descrição (tempo em segundos) Área Protegida
Tempo de ativação do alarme 1
Tempo de avaliação do alarme 45
Tempo de comunicação à força de resposta 18
Tempo de preparação da força de resposta 60
Tempo para o homem na ESC chegar à AP sob ataque 0
Tempo para o time na ESA chegar à AP sob ataque 105
Tempo para o posicionamento das forças 30
Total para um efetivo de 7 homens 259
Tempo médio para a patrulha chegar à AP sob ataque 35
Tempo para efetivo total da força de resposta de 9 homens 294
Logo, é possível depreender da tabela 4.4 que o tempo para ação da força de
resposta (TG) nesta instalação é de 294 segundos (TG = 294s).
4.8 Avaliação do Sistema de Proteção Física
4.8.1 Diagrama de Sequência do Adversário
O Diagrama de Sequência do Adversário (DSA) deve ser realizado para um

ataque de sabotagem na Área Vital do reator, conforme modelado na Ameaça Base
de Projeto. Numa primeira análise, ao observarmos a figura 4.6, nos parece ser
necessário construir vários diagramas, na medida em que existem várias áreas vitais.
Entretanto, um cenário modelado pela ABP precisa, antes de tudo, ser crível (SNL,
2018). Ao entrar no prédio do reator (figura 4.4) através do torniquete TQ6, o
adversário encontra uma série de salas que são consideradas Áreas Vitais. No
entanto, quanto mais distante for a sala que o adversário pretender atacar, maior
tempo ele precisa para completar sua ação. Um maior tempo para o adversário
123
completar sua ação significa, na prática, maior tempo de retardo e, por conseguinte,
maior tempo para a força de resposta interrompê-lo e neutralizá-lo.
A figura 4.4 nos mostra que a primeira sala possível de ser atacada é a Sala de
Controle. Isso implica, portanto, que montar um DSA para as outras áreas vitais –mais
distantes que a Sala de Controle – resultaria num esforço de cálculo desnecessário.
Neste sentido, é necessário descartar ainda a contenção do reator em si – que
abriga a piscina e o núcleo – pelo fato de estarem muitos andares abaixo do nível do
solo, assim como a sala de bombas de emergência. Devido ao fato de o adversário
se ver forçado a utilizar escadas ou elevadores para vários metros abaixo da
superfície, o tempo de retardo já se elevaria de forma exorbitante e recairíamos, mais
uma vez, em esforço de cálculo perdido.
Todavia, temos que uma análise mais atenta das plantas da instalação nos revela
que, se um adversário chegar ao complexo do RAMPeM, pode penetrar nele por dois
caminhos: através do prédio das turbinas ou via prédio de serviços.
Ambos os caminhos possuirão o mesmo número de pontos de detecção, quando
consideramos que o adversário pode explodir a parede S 1 – que divide os prédios da
turbina e do reator (figura 4.3) –, evitando assim os torniquetes que aumentariam seu
tempo de conclusão. Esta tática adversária é chamada por SNL (2018) de “salto” – do
inglês, “jump” – e deve ser prevista nos DSAs formulados pelo titular da instalação.
Vale frisar que a Ameaça Base de Projeto postulada na subseção 4.4.1 prevê que
o adversário está de posse de explosivos. Assim, não é possível descartar nenhum
dos caminhos.
Diante dessas considerações, é possível montar o Diagrama de Sequência do
Adversário para um ataque de sabotagem na Sala de Controle, conforme segue na
figura 4.18.
O Diagrama de Sequência do Adversário (DSA) foi completado com base nos os
dados de projeto formulados nas subseções anteriores e, onde os dados aplicáveis
foram buscados nos Anexos B e C.
Uma análise dos caminhos possíveis dos DSA nos mostra um total de dezoito
caminhos distintos.
124
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
4 AP Área Protegida
TD = 14
c1 c2
Portaria PD = 0,90 PD = 0,94
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
6 SV Prédio de Serviços
TD = 3
TB Prédio da Turbina
TD = 25
d1 d2
Torniquete PD = 0,90 Torniquete PD = 0,90
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
Torniquete PD = 0,90 PD = 0,50
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
10 RT Prédio do Reator
TD = 24
f1
Torniquete PD = 0,90
11 TQ6 TD = 18
PD = 0,90
12 AVt Interior da Área Vital
TD = 5
g1
13 TQ7 TD = 18
PD = 0,90
14 ESC Entrada da Sala de Controle
TD = 5
h1
Alvo: Sala P D = 0,50
15 de Controle TD = 70
Figura 4.18 - DSA para ataque de sabotagem na Sala de Controle

125
4.8.2 Análise de Múltiplos Caminhos e de Neutralização
A partir do tempo para ação da força de resposta (TG = 294 segundos) é possível
calcular o Ponto Crítico de Detecção (PCD), conforme exposto na equação 3.2. Em
resumo, os valores acumulados – partindo-se do alvo – dos tempos de retardo (TD)
encontrarão seu PCD no momento em que esse somatório ultrapassar o valor de TG.
Os resultados para os valores de PCD em cada um dos dezoito caminhos
encontrados está na tabela 4.5.
Tabela 4.5 - Pontos Críticos de Detecção para os dezoito caminhos

PONTOS DE DETECÇÃO
TG = 294 s 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 PCD
[a1 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b3,c 1,d1 ,e1,f1,g1,h1] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
via [a2 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
Prédio de [a2 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
Serviços [a ,b ,c ,d ,e ,f ,g ,h ] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
2 3 1 1 1 1 1 1
[a3 ,b1,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a3 ,b2,c 1,d1 ,e1,f1,g1,h1] 444 399 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a3 ,b3,c 1,d1 ,e1,f1,g1,h1] 507 462 339 325 182 179 161 158 140 116 98 93 75 70 0 4
[a1 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a1 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a1 ,b3,c 2,d2 ,e2,f1,g1,h1] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
via [a2 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
Prédio da [a2 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
Turbina [a ,b ,c ,d ,e ,f ,g ,h ] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
2 3 2 2 2 1 1 1
[a3 ,b1,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a3 ,b2,c 2,d2 ,e2,f1,g1,h1] 561 516 456 442 328 303 285 260 122 98 98 93 75 70 0 6
[a3 ,b3,c 2,d2 ,e2,f1,g1,h1] 624 579 456 442 328 303 285 260 122 98 98 93 75 70 0 6
De forma geral, temos que o PCD de cada um dos caminhos difere somente em
função de apenas um dos processos decisórios do adversário: se este vai optar por
seguir via prédio de serviços ou via prédio da turbina. Para a força de resposta, a
melhor opção seria que o adversário optasse pelo caminho através do prédio das
turbinas, na medida em que o número de oportunidades de detecção é maior.
Assim sendo, é possível partir para o cálculo das probabilidades de interrupção
(PI) de cada um dos dezoito caminhos. Conforme já discutido, as probabilidades de
126
interrupção devem ser calculadas (através da equação 3.1), utilizando-se as

probabilidades de detecção (PD) de cada nível de detecção, porém somente até os
respectivos PCDs. A tabela 4.5 nos dá que para nove caminhos que passam via prédio
de serviços, o PCD está no ponto 4. Para os caminhos restantes via prédio da turbina,
o PCD está no ponto 6. A tabela do Apêndice A exibe as memórias de cálculo para
obtenção dos valores de PI. Os resultados da análise multicaminhos podem ser
visualizados na figura 4.19.
Figura 4.19 - Probabilidades de Interrupção para todos os caminhos
Apesar de apresentar de o SisPF apresentar valores de PI superiores a 0,90, é

necessário verificar sua eficácia em termos de neutralização. Para tal, consideraremos
PI o valor mais baixo encontrado (SNL, 2018). Neste caso, o caminho [a3,b3,c1], com
PI = 0,92. O valor da probabilidade de neutralização (PN) encontrado na tabela D-1
(anexo D) para seis adversários contra nove respondedores é de 0,91. Logo, através
da equação 2.7, sabemos que a eficácia global de um SisPF (PE) é o produto das
variáveis PI e PN, e portanto, PE = 0,84. A meta de eficácia de um SisPF, conforme
abordado na subseção 2.3.3.3, é de 85% (ou seja, PE = 0,85) e, portanto, o SisPF
projetado não atende aos requisitos.
Desta forma, são necessárias melhorias. A primeira melhoria proposta é a troca
da localização da Estação Secundária de Alarmes (ESA), colocando-a dentro da Área
Protegida, conforme a figura 4.20 ilustra.
127
Figura 4.20 - Nova localização da Estação Secundária de Alarmes
Neste trabalho, postularemos que esta modificação do local onde está a ESA
ocorre sem prejuízo ou modificação aos sistemas já projetados até aqui – tais como
os sistemas de sensores externos, iluminação e CFTV.
O principal impacto desta melhoria é no valor de TG, conforme observado na
tabela 4.6.
Agora, o tempo para a força de resposta na ESA chegar à Área Protegida (AP)
sob ataque cai de 105 segundos para zero, na medida em que esta parte do time já
se encontra dentro de AP. Desta forma, o valor de T G cai de 194 segundos para 189s.
Esta mudança no tempo de ação da força de resposta (T G) afetará o valor do Ponto
Crítico de Detecção, conforme mostra a tabela 4.7.
128
Tabela 4.6 - Parâmetros de desempenho da força de resposta após a primeira melhoria

Descrição (tempo em segundos) Área Protegida
Tempo de ativação do alarme 1
Tempo de avaliação do alarme 45
Tempo de comunicação à força de resposta 18
Tempo de preparação da força de resposta 60
Tempo para o homem na ESC chegar à AP sob ataque 0
Tempo para o time na ESA chegar à AP sob ataque 0
Tempo para o posicionamento das forças 30
Total para um efetivo de 7 homens 259
Tempo médio para a patrulha chegar à AP sob ataque 35
Tempo para efetivo total da força de resposta de 9 homens 189
Tabela 4.7 - PCD após a primeira melhoria

129
É possível constatar, portanto, que para os caminhos que passam pelo prédio da
turbina, agora existem mais oportunidades de detecção, na medida em que o PCD
saiu do ponto 6 para o 8. Na prática, isso implica em uma diminuição do tempo
disponível para que o adversário complete sua missão.
Sendo assim, precisamos calcular agora os novos valores de PI após esta
melhoria. O Apêndice B exibe as memórias de cálculo para obtenção dos valores de
PI. Os resultados da análise multicaminhos após a primeira melhoria podem ser
visualizados na figura 4.21.
Figura 4.21 - Probabilidades de Interrupção após a primeira melhoria
No entanto, o pior valor de probabilidade de interrupção continua a ser o caminho

[a3,b3,c1], com PI = 0,92. Este resultado era previsível, na medida em que este caminho
pertence ao conjunto de rotas que passa pelo prédio de serviços, cujo PCD continuou
estagnado em 4. Vale ressaltar que esta melhoria não é, de todo, inútil. Isso porque,
na prática, não há como saber o caminho que o adversário irá tomar e a dilatação das
oportunidades de detecção é um dos nossos objetivos quando projetamos um SisPF.
Desta forma, seguimos com as melhorias. A figura 4.21 nos auxilia a saber onde
devemos executar essas ações. Pelos valores ali apresentados e pelos valores
encontrados no Apêndice A, os piores caminhos são aqueles que passam pelos itens
b1, b2 e b3.
130
Pelo Diagrama de Sequência do Adversário (figura 4.18), podemos concluir que

estes caminhos são os que conduzem à derrubada de todas as proteções da Área
Protegida (portão P2 de pedestres, portão P4 de carga e a cerca dupla da AP).
Logo, vamos propor melhorias para estes elementos, conforme se segue na
tabela 4.8. As probabilidades de detecção (PD) foram retiradas das tabelas B-1 e B-2,
presentes no Anexo B deste trabalho.
Tabela 4.8 - Melhorias propostas para o SisPF

SITUAÇÃO ATUAL MELHORIA PROPOSTA
ELEMENTO
Componente de Componente de
PD PD
Detecção Detecção
b1 Verificação do crachá e
Verificação do crachá 0,10 0,60
(portão P2) PIN
b2 Apresentar formulário
Checagem visual do
0,15 de autorização, além 0,70
(portão P4) logotipo e/ou matrícula
da checagem existente
b3 Instalar sensores de
Torre de observação e
0,07 vibração e campo 0,53
(cerca de AP) patrulhamento a pé
elétrico
A partir de agora, os indivíduos que passarem pelo portão P2 (pedestres)

precisarão digitar um PIN na catraca, além da mera apresentação de crachá. Por sua
vez, os veículos entrantes no portão P4 (portão de carga) precisarão apresentar
formulário de autorização específico para ter acesso permitido. Na cerca dupla de
Área Protegida serão instalados sensores de vibração e campo elétrico, além da
vigilância humana já existente.
Desta forma, o Diagrama de Sequência do Adversário terá nova configuração,
conforme exibido na figura 4.22.
Assim sendo, é necessário agora que se verifique se as melhorias propostas são
eficazes. Isto será feito conforme já executado anteriormente: calculando o valor de
PI e utilizando-o para obter a eficácia global do SisPF – que deve ser superior a 85%.
Os novos valores de PI, após a análise multicaminhos das quatro melhorias totais
propostas aqui, são exibidos na figura 4.23. O Apêndice C exibe as memórias de
cálculo para obtenção destes novos valores de PI.
131
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
TD = 24
f1
11 TQ6 TD = 18
PD = 0,90
TD = 5
g1
13 TQ7 TD = 18
PD = 0,90
TD = 5
h1
Figura 4.22 - Diagrama de Sequência do Adversário após as quatro melhorias

132
A partir de agora, temos que a menor probabilidade de interrupção (PI) é 0,96,

referente ao caminho [a3,b3,c1]. Multiplicando-se este valor pela probabilidade de
neutralização (PN = 0,91), teremos uma probabilidade global de eficácia do SisPF de
87% (PE = 0,87).
Assim sendo, na medida em que o valor de PE supera o valor de 85%, depreende-
se que o Sistema de Proteção Física projetado atende à meta.
Figura 4.23 - Probabilidades de Interrupção após quatro melhorias

133
5 PROJETO DE SISTEMA DE SEGURANÇA CIBERNÉTICA EM UMA

INSTALAÇÃO NUCLEAR
5.1 Introdução
De forma geral, adversários com capacidades cibernéticas podem realizar

ataques em quatro grandes áreas:
 Ataque aos sistemas vinculados à Proteção Física;
 Ataque aos sistemas vinculados à Segurança Tecnológica (Safety);
 Ataque aos sistemas vinculados ao Controle e Contabilidade de Material
Nuclear e;
 Ataque aos sistemas vinculados a Tecnologia da Informação (T.I.).
Conforme discutido na subseção 3.3.1, a estratégia de proteção de sistemas
cibernéticos sugerida pela AIEA (2011) é baseada num modelo de nível e zonas, onde
cada zona cibernética tem um nível de segurança associado a ela. Quanto mais baixo
for este nível, maiores precisam ser as medidas de segurança adotadas.
A NSS-17G recomenda (IAEA, 2011), por exemplo, que os sistemas ligados aos
controles de acesso da Proteção Física devem ser classificados como de nível 2.
Entretanto, para outros sistemas computacionais de uma instalação nuclear – tais
como os sensores utilizados neste trabalho –, a NSS-17G não sugere quais níveis de
segurança seriam necessários.
A aplicação da abordagem por desempenho (no nosso caso, o processo DEPO)
em Segurança Computacional é uma evolução natural do método já prevista por
Garcia em 2008.
O processo DEPO nos permite – como se verá – verificar quais sistemas tem
impacto relevante na Proteção Física, via uma análise simples de cenários. Logo,
poderá ser possível avaliar os níveis de proteção cibernética necessários às zonas
onde esses sensores estão ligados. Os sistemas que tiverem impacto relevante na
Proteção Física da instalação são chamados de “áreas vitais cibernéticas”.
Logo, a utilização da abordagem por desempenho pode ser uma ferramenta
bastante útil quando da identificação do nível de segurança computacional necessário
a um dado sistema.
134
5.2 Caracterização dos Sistemas Cibernéticos
SNL (2018) categoriza os elementos de detecção de intrusão em cinco tipos:

sensores externos, sensores internos, sensores de posição, sensores de cerca,
sensores de barreira e sensores aéreos. Já os elementos de detecção em controle de
acesso dividem-se em quatro: verificação de identificação, checagem de autorização
de acesso pessoal, regra das duas pessoas e checagem de autorização de veículos.
Cada um destes sensores deve estar ligado a sistemas de controle e, permitindo
assim uma correta avaliação dos alarmes. Exemplos dos tipos de componentes que
estão no escopo de cada um destes elementos podem ser encontrados nas tabelas
B-1 e B-2 do anexo B.
Não nos deteremos nos sistemas de controle de acesso à Proteção Física, neste
momento, na medida em que a Agência Internacional de Energia Atômica recomenda
desde 2011 (via NSS-17G) que estes sistemas sejam categorizados como nível 2.
As considerações feitas no capítulo 4 nos permitem dizer que no complexo
RAMPeM há quatro tipos de sensores de intrusão presentes: sensores externos,
sensores internos, sensores de posição e sensores de cerca.
Para os fins de análise deste trabalho, a organização destes sistemas foi
postulada conforme redigido a seguir.
O primeiro dos sistemas cibernéticos desta instalação é onde estão ligados os
sensores magnéticos de abertura de portas, classificados como sensores de posição
(SNL, 2018). Esta zona cibernética foi nomeada neste trabalho como “sistema de
sensores de posição”. Este sistema está ligado, em rede, às estações central e
secundária de alarmes.
O primeiro dos sistemas cibernéticos desta instalação é onde estão ligados os
sensores magnéticos de abertura de portas, classificados como sensores de posição
(SNL, 2018). Esta zona cibernética foi nomeada neste trabalho como “sistema de
sensores de posição”. Este sistema está ligado, em rede, às estações central e
O segundo dos sistemas cibernéticos do complexo RAMPeM é onde estão ligados
os sensores de infravermelho – na parte interna da Área Protegida – e também os
sensores de vibração e de campo elétrico instalados na cerca de Área Protegida.
135
Vale frisar que a classificação de SNL (2018) nos diz que os componentes de
vibração e campo elétrico são classificados como elementos dos chamados “sensores
de cerca”. Somente os sensores de infravermelho constituem os elementos
nominados “sensores externos”.
Entretanto, estes sensores estão localizados na parte externa dos prédios que
formam o complexo RAMPeM. Assim, esta zona cibernética foi agrega todos estes
sensores e é chamada de “sistema de sensores externos”. Este sistema – tal como o
sistema de sensores de posição – está ligado, em rede, às estações central e
Por fim, o último dos sistemas cibernéticos do RAMPeM é onde estão ligadas as
câmeras do Circuito Fechado de Televisão (CFTV). Cabe aqui ressaltar que a
classificação de SNL (2018) nos diz que os componentes de vídeo em uma instalação
podem ser classificados como “sensores internos” ou “sensores externos”, a depender
de onde estas câmeras se localizam.
No entanto, conforme discutido na seção 3.2.3.1.3, os elementos de CFTV –
juntamente com os de iluminação – compõem a avaliação de alarmes. Logo, são parte
importante da segurança de uma instalação, na medida em que permitirão comunicar
corretamente se a localidade está sob ataque ou não.
Assim, esta zona cibernética unifica estes sensores e é nomeada “sistema de
CFTV”. Este sistema está ligado, em rede, às estações central e secundária de
alarmes, além da Sala de Guarda – contígua à entrada da sala de controle, conforme
mostrado na figura 4.5.
5.3 Definição de Ameaças
O adversário tem suas capacidades cibernéticas descritas através da Ameaça

Base de Projeto (ABP) fictícia postulada neste trabalho. Na tabela 4.2 (vide subseção
4.4.1) é possível encontrar que o adversário tem suas capacidades cibernéticas
classificadas como sendo de nível 3.
A partir da Matriz Genérica de Ameaças Cibernéticas (SNL, 2018), presente na
tabela 3.8 deste trabalho, o conjunto de características cibernéticas deste adversário
pode ser definido da seguinte maneira:
136
 Intensidade: alta
 Discrição: alta
 Tempo: meses até anos
 Organização: dezenas de dezenas
 Conhecimento Cibernético: alto
 Conhecimento em Segurança Física: médio
 Acesso: médio
De acordo com a ABP postulada neste trabalho, o adversário planeja sabotar a
instalação. Assim, o adversário terá como tática o chamado “ataque composto” – já
conceituado na subseção 2.3.4.3 deste trabalho – onde ataques cibernéticos podem
ser combinados com ataques físicos.
Para um cenário de sabotagem, o adversário cibernético atacará os sistemas,
sabotando-os, de forma a dificultar a detecção do outro time de adversários que
pretende sabotar as áreas vitais físicas da instalação.
5.4 Identificação de Alvos
Os alvos cibernéticos desta instalação são as áreas vitais cibernéticas. Devido à

classificação de segurança de nível 2 – recomendada pela AIEA –, a primeira área
vital cibernética são os sistemas de controle de acesso do complexo RAMPeM.
No entanto, nos deparamos agora como uma dificuldade. Para o restante dos
sistemas desta instalação, não há como afirmar quais sistemas precisam de maiores
ou menores medidas protetivas computacionais, uma vez que não há orientação da
AIEA ou normas estabelecidas pela CNEN.
5.5 Análise de Cenários
O processo DEPO pode nos fornecer uma boa avaliação de quais sistemas tem
maior impacto na Segurança Física se um adversário intendesse sabotar um sistema,
a fim de viabilizar uma sabotagem em uma área vital física da instalação. Através da
abordagem por desempenho, podemos observar como os sistemas cibernéticos
sabotados impactam diretamente na detecção dos sensores e, consequentemente,
137
nas funções de resposta. Logo, para todos os componentes ligados ao sistema

apagado, a probabilidade de detecção (PD) associada cairá a zero.
Isso implica que, ao prevermos uma sabotagem de um sistema cibernético que
controla sensores do complexo RAMPeM, poderemos conferir os impactos desse
“apagamento” na eficácia global (PE) do SisPF.
Assim, executou-se neste trabalho a “derrubada” dos sistemas cibernéticos
postulados na seção 5.2, conforme veremos a seguir.
5.5.1 Primeiro Ataque Cibernético
O primeiro ataque composto promovido neste trabalho é a combinação de um

ataque de sabotagem à sala de controle – conforme estipulado na ABP – juntamente
com um ataque cibernético que apagará o sistema de Circuito Fechado de Televisão
(CFTV), a fim de facilitar a entrada dos seis adversários previstos.
Na prática, isso implica que o adversário cibernético apaga todas as câmeras da
instalação, responsáveis pela avaliação de alarmes. Logo, em lugares onde há estes
dispositivos, a probabilidade de detecção (PD) associada cairá a zero. O Diagrama de
Sequência do Adversário presente na figura 5.1 mostra onde estes apagamentos
ocorreram.
Um exame atento da figura 5.1 mostra que, em alguns lugares tais como os
corredores dentro dos prédios – pontos de detecção 6, 8 e 10 –, a probabilidade PD
caiu a zero. Isto ocorre porque os sistemas de CFTV eram as únicas formas de
detecção da presença do adversário nestas localidades específicas.
Entretanto, nos torniquetes, por exemplo, a probabilidade de detecção (PD) não
poderia cair a zero. Isso se dá pelo fato de que a detecção associada a estes
elementos inclui os sensores magnéticos de abertura de porta, além das câmeras de
vídeo. Estes sensores, conforme já dissemos, não estão incluídos no sistema de
CFTV e, portanto, continuam operantes no momento do ataque.
(PI) de cada um dos dezoito caminhos, agora sob ataque cibernético.
138
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,80
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,00 PD = 0,00
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,00 PD = 0,00
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,00
TD = 24
f1
11 TQ6 TD = 18
PD = 0,80
TD = 5
g1
13 TQ7 TD = 18
PD = 0,80
TD = 5
h1
Figura 5.1 - Impacto do apagamento do sistema de CFTV no DSA
Conforme já realizado no capítulo anterior, as probabilidades de interrupção

devem ser calculadas (através da equação 3.1), utilizando-se as probabilidades de
detecção (PD) de cada nível de detecção, indo somente até os respectivos pontos
críticos de detecção (PCD). Como o tempo de resposta da força de segurança (TG)
139
não foi alterado e nem houve remoção de quaisquer elementos de retardo, então os
valores de PCD se mantém, conforme exibido na tabela 4.7. A tabela do Apêndice D
exibe as memórias de cálculo para obtenção dos valores de PI. Os resultados da
análise multicaminhos podem ser visualizados graficamente na figura 5.2.
Figura 5.2 - Probabilidades de Interrupção após o primeiro ataque
A partir de agora, temos que a menor probabilidade de interrupção (P I) é 0,92,

84% (PE = 0,84), o que nos possibilita concluir que o sistema de Proteção Física voltou
a não atender à meta de 85% para o valor de PE.
É importante lembrar que o SisPF, antes das quatro melhorias propostas no
capítulo anterior, tinha também uma probabilidade global de eficácia igual à 84%, tal
como ocorre agora. A derrubada do sistema de CFTV praticamente inutiliza –
matematicamente – as melhorias feitas em termos de oportunidade de detecção.
Desta forma, é possível colocar que o sistema de circuito fechado de televisão
funciona como uma área vital cibernética.
5.5.2 Segundo Ataque Cibernético

140
O segundo ataque composto promovido é a combinação de um ataque de à sala

de controle juntamente com um ataque cibernético que derrubará o sistema de
sensores de posição.
Logo, o adversário cibernético apaga todos os sensores magnéticos de abertura
de portas. Assim, em lugares onde há estes dispositivos, a probabilidade de detecção
(PD) associada cairá a zero. O Diagrama de Sequência do Adversário presente na
figura 5.3 mostra onde estes apagamentos ocorreram.
Procedendo à análise da figura 5.3 temos que nos torniquetes ocorre o exato
oposto do exibido na subseção 5.5.1: apesar dos sensores de posição terem sido
derrubados, as câmeras de vídeo – pertencentes ao sistema de CFTV – continuam
operantes. Logo, a probabilidade de detecção (PD) não poderia cair a zero.
(PI) de cada um dos dezoito caminhos, agora sob um segundo ataque cibernético.
Novamente, o tempo de resposta da força de segurança (T G) não foi alterado e nem
houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice E exibe as memórias de cálculo para
visualizados graficamente na figura 5.4.
Neste novo ataque, temos que a menor probabilidade de interrupção (P I) é 0,96,
87% (PE = 0,87), o que nos possibilita concluir que o sistema de Proteção Física ainda
atende à meta de 85% para o valor de PE, mesmo sob ataque cibernético.
O SisPF, após as quatro melhorias propostas no capítulo anterior, tinha também
uma probabilidade global de eficácia igual à 87%, tal como ocorre agora. A derrubada
do sistema de sensores de posição, portanto, reforça a utilidade das melhorias feitas,
em termos de oportunidade de detecção.
Desta forma, é possível colocar que o sistema de sensores de posição não
funciona como uma área vital cibernética e exigirá um nível de segurança
computacional distinto do sistema de CFTV.
141
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
TD = 24
f1
11 TQ6 TD = 18
PD = 0,50
TD = 5
g1
13 TQ7 TD = 18
PD = 0,50
TD = 5
h1
Figura 5.3 - Diagrama de Sequência do Adversário para o segundo ataque

142
Figura 5.4 - Probabilidades de Interrupção após o segundo ataque
5.5.3 Terceiro Ataque Cibernético
Agora procederemos a um terceiro ataque composto: a combinação de um ataque

de sabotagem à sala de controle, juntamente com um ataque cibernético que apagará
o sistema de sensores externos.
Na prática, isso implica que o adversário cibernético derrubará tanto os sensores
de infravermelho quanto os sensores de vibração e campo elétrico, instalados na Área
Protegida do complexo RAMPeM. Mais uma vez, em lugares onde há estes
dispositivos, a probabilidade de detecção (PD) associada cairá a zero. O Diagrama de
ocorreram.
A figura 5.5 mostra que, nestes lugares, as probabilidades de detecção (PD) se
reduzem na medida em que restam, como detecção, as câmeras de vídeo e a
vigilância humana.
(PI) de cada um dos dezoito caminhos, agora sob um terceiro ataque cibernético.
143
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,07
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,80
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
TD = 24
f1
11 TQ6 TD = 18
PD = 0,90
TD = 5
g1
13 TQ7 TD = 18
PD = 0,90
TD = 5
h1
Figura 5.5 - Diagrama de Sequência do Adversário depois do terceiro ataque
Mais uma vez, o tempo de resposta da força de segurança (TG) não foi alterado e
nem houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice F exibe as memórias de cálculo para
144
obtenção dos valores de PI. Os resultados da análise multicaminhos podem ser vistos
na figura 5.6.
Figura 5.6 - Probabilidades de Interrupção após o terceiro ataque
Neste novo ataque, temos que a menor probabilidade de interrupção (PI) é 0,84,
76% (PE = 0,76), o que nos possibilita concluir que o sistema de Proteção Física já
não atende mais à meta de 85% para o valor de PE.
É importante recordar que o SisPF, antes das quatro melhorias propostas no
capítulo anterior, tinha uma probabilidade global de eficácia igual à 84%, valor
insuficiente junto à meta, porém superior à atual situação. Na prática, isto implica, que
diante deste apagamento, o sistema de proteção física – mesmo melhorado – torna-
se ainda menos eficiente do que no projeto original.
Por conseguinte, é possível colocar que o sistema de sensores externos funciona
como uma área vital cibernética que, no entanto, exigirá um nível de segurança mais
reforçado do que os sistemas atingidos no primeiro e segundo ataques.
145
5.5.4 Implantação de Sensores Complementares
Garcia (2008) afirma que um desempenho significativamente melhor do sistema

de sensores pode ser obtido através da seleção de diferentes sensores para uma
mesma linha de detecção.
Estes sensores, no entanto, precisam ser complementares, ou seja, devem ter
diferentes tecnologias de detecção, com diferentes probabilidades de detecção (P D).
Assim, as vulnerabilidades de cada sensor podem ser combinadas, a fim de aumentar
a eficiência dos sistemas de detecção de intrusão.
Como elevam o valor global de PD, os sensores complementares são a escolha
preferencial em casos que exijam maiores níveis de segurança (GARCIA, 2008). No
entanto, a implantação destes sensores pode elevar os custos de projeto de uma
instalação.
Na medida em que constatou-se que a instalação está vulnerável diante de um
ataque cibernético, este trabalho propõe a implementação de um sensor
complementar – além da elevação dos níveis de segurança computacional para os
sistemas vulneráveis. Isto justificaria a elevação em termos de custos, em favor do
reforço da Segurança Física do complexo RAMPeM. Ademais, conforme discutido na
seção 2.3.3.2, a instalação deste componente de detecção atende a uma das
características necessárias a um SisPF: a defesa em profundidade.
Assim sendo, instalou-se um sensor de micro-ondas, complementar ao sensor de
infravermelho presente na Área Protegida. O efeito da instalação deste sensor pode
ser observado do DSA da figura 5.7, no ponto de detecção no 4. Após a instalação
deste sensor, a probabilidade de detecção (PD) subiu de 0,90 para 0,99 no ponto 4.
Prosseguindo com nossa análise, partiu-se para o cálculo das probabilidades de
interrupção (PI) de cada um dos dezoito caminhos, agora com a instalação de sensor
complementar. Mais uma vez, o tempo de resposta da força de segurança (TG) não
foi alterado e nem houve remoção de quaisquer elementos de retardo, mantendo-se
assim os valores de PCD conforme a tabela 4.7. A tabela do Apêndice G exibe as
memórias de cálculo para obtenção dos valores de P I. Os resultados da análise
multicaminhos podem ser vistos na figura 5.8.
146
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,99
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
TD = 24
f1
11 TQ6 TD = 18
PD = 0,90
TD = 5
g1
13 TQ7 TD = 18
PD = 0,90
TD = 5
h1
Figura 5.7 - Diagrama de Sequência do Adversário após instalação de sensor complementar

147
Figura 5.8 - Probabilidades de Interrupção após instalação de sensor complementar
Neste novo cenário, temos que a menor probabilidade de interrupção (P I) é

aproximadamente 1,00, referente ao caminho [a3,b3,c1]. Multiplicando-se o valor
correspondente da tabela AP-7 pela probabilidade de neutralização (PN = 0,91),
teremos uma probabilidade global de eficácia do SisPF de 91% (PE = 0,91), o que nos
possibilita concluir que o sistema de Proteção Física atende à meta de 85% para o
valor de PE.
Desta forma, o sensor complementar, de fato, aumenta a eficácia global (PE),
conforme esperado por Garcia (2008), na medida em que houve aumento da
probabilidade de detecção (PD) em uma das oportunidades de detecção.
O sensor de micro-ondas instalado no complexo RAMPeM é classificado como
um tipo de sensor externo (SNL, 2018). Entretanto, encaixá-lo no sistema de sensores
externos, significaria inutilizar a melhoria proposta. A afirmação se justifica na medida
em que um adversário cibernético – ao apagar o sistema de sensores externos –,
apagaria não só os sensores existentes, como também o sensor complementar. Isto
levaria o SisPF de volta à eficácia global (PE) de 76% – abaixo da meta de 85%,
portanto – vista na subseção 5.5.3.
Assim sendo, postulou-se para o complexo RAMPeM, um novo um sistema
cibernético: o sistema de sensores complementares, que abrigará o sensor de micro-
ondas instalado.
Esta decisão em criar um novo sistema cibernético é reforçada pelo fato de que
um apagamento deste sistema de sensores complementares, levaria o sistema de
148
volta ao patamar de 87%, conforme apresentado no capítulo 4, após as quatro

melhorias. Ou seja, na prática, o sistema de proteção física continuaria apresentando
uma probabilidade global de eficácia (PE) superior à meta de 85%.
A partir do descrito nos parágrafos anteriores, é possível colocar que o sistema
de sensores complementares não funciona como uma área vital cibernética e exigirá
um nível de segurança computacional distinto dos sistemas de CFTV e de sensores
externos.
Entretanto, a robustez da implementação deste sensor só pode ser verificada, de
fato, se submetermos o sistema de Proteção Física aos mesmos ataques compostos
observados nas subseções anteriores.
Após os três ataques aqui promovidos, temos que os sistemas mais vulneráveis
são o sistema de CFTV e o sistema de sensores externos.
Assim sendo, promoveu-se neste estudo o apagamento desses sistemas
cibernéticos nos SisPF, mas desta vez com a presença do sensor complementar.
5.5.5 Quarto Ataque Cibernético
O quarto ataque composto promovido neste trabalho é a combinação de um

ataque de sabotagem à sala de controle juntamente com um ataque cibernético que
apagará o sistema de Circuito Fechado de Televisão (CFTV). A diferença deste
ataque composto para o primeiro ataque é a existência de um sistema de sensores
complementares.
Os apagamentos são os mesmos observados na subseção 5.5.1. O Diagrama de
ocorreram, desta vez sob a presença do sensor de micro-ondas.
(PI) de cada um dos dezoito caminhos, agora sob um quarto ataque cibernético.
149
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,53
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,00 PD = 0,00
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,00 PD = 0,00
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,00
TD = 24
f1
11 TQ6 TD = 18
PD = 0,80
TD = 5
g1
13 TQ7 TD = 18
PD = 0,80
TD = 5
h1
Figura 5.9 - Diagrama de Sequência do Adversário após o quarto ataque
Mais uma vez, o tempo de resposta da força de segurança (TG) não foi alterado e
nem houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice H exibe as memórias de cálculo para
150
obtenção dos valores de PI. Os resultados da análise multicaminhos podem ser vistos
na figura 5.10.
Figura 5.10 - Probabilidades de Interrupção após o quarto ataque
Neste quarto ataque, temos que a menor probabilidade de interrupção (PI) é 0,96,
76% (PE = 0,76), o que nos possibilita concluir que o sistema de Proteção Física já
não atende mais à meta de 87% para o valor de PE.
É importante recordar que o SisPF, após das quatro melhorias propostas no
capítulo 4, tinha uma probabilidade global de eficácia igual à 87%, tal qual observa-se
na atual situação. Na prática, isto implica que, diante deste apagamento, o SisPF com
sensor complementar tornou-se tão robusto quanto era antes, ao contrário do
observado no primeiro ataque.
5.5.6 Quinto Ataque Cibernético
O quinto ataque composto promovido é a combinação de uma sabotagem a sala

de controle juntamente com um ataque cibernético que derrubará o sistema de
sensores externos.
Os sistemas de sensores externos, conforme exposto na seção 5.2, abarcam os
sensores de infravermelho e os sensores instalados na cerca de Área Protegida. O
151
Diagrama de Sequência do Adversário presente na figura 5.11 mostra onde estes

apagamentos ocorreram, tal qual descrito na seção 5.5.3.
(PI) de cada um dos dezoito caminhos, agora sob um quinto ataque cibernético.
Novamente, o tempo de resposta da força de segurança (T G) não foi alterado e nem
houve remoção de quaisquer elementos de retardo, mantendo os valores de PCD
conforme a tabela 4.7. A tabela do Apêndice I exibe as memórias de cálculo para
visualizados graficamente na figura 5.12.
Neste novo ataque, temos que a menor probabilidade de interrupção (PI) é 0,94,
85% (PE = 0,85). Isto nos possibilita concluir que, com o sensor complementar, o
sistema de Proteção Física atende à meta de 85% para o valor de P E, mesmo sob
ataque cibernético.
152
Ponto de
Exterior
Detecção
a1 a2 a3
PD = 0,10 PD = 0,15 Cerca de PD = 0,07
1 Portão P 1
TD = 60
Portão P 3
TD = 60 AVg TD = 60
PD = 0,05
2 AVg Área Vigiada
TD = 45
b1 b2 b3
PD = 0,60 PD = 0,70 Cerca de PD = 0,30
3 Portão P 2
TD = 60
Portão P 4
TD = 60 AP TD = 123
PD = 0,90
TD = 14
c1 c2
5 PR1 TD = 143
Portão PT1
TD = 114
PD = 0,50 PD = 0,50
TD = 3
TD = 25
d1 d2
7 TQ4 TD = 18 TQ1 TD = 18
PD = 0,50 PD = 0,50
TD = 8
TD = 19
e1 e2
9 TQ5 TD = 18
Parede S 1
TD = 138
PD = 0,50
TD = 24
f1
11 TQ6 TD = 18
PD = 0,90
TD = 5
g1
13 TQ7 TD = 18
PD = 0,90
TD = 5
h1
Figura 5.11 - Diagrama de Sequência do Adversário após o quinto ataque

153
Figura 5.12 - Probabilidades de Interrupção após o quinto ataque

154
6 PROJETO DE SISTEMA DE CONTABILIDADE E CONTROLE DE MATERIAL

EM UMA INSTALAÇÃO NUCLEAR
6.1 Introdução
Um sistema de Contabilidade e Controle de Material Nuclear (CCMN) tem como

uma de suas funções fornecer, ao titular da instalação, informações tais como tipo,
quantidades e localização do material nuclear, além de definir os limites onde será
realizada a contabilidade de tal material na instalação, conhecidas como áreas de
balanço de material (ABM). Além disso um sistema de CCMN deve ser capaz de
rastrear o material nuclear, fornecendo medidas administrativas e técnicas para
controlá-lo durante todas as atividades (SNL, 2018).
A CCMN contribui para a Segurança Física Nuclear na medida em que suas
medidas, quando devidamente implementadas, podem ser capazes de detectar uma
remoção não-autorizada de material nuclear. Ademais, pode servir como instrumento
dissuasório, já que a possibilidade de ser detectado pode inibir um adversário interno
a tentar um ato mal-intencionado (SNL, 2018).
O sistema de CCMN fornece a principal maneira de detectar sucessivos roubos
de pequenas quantidades (SNL, 2018). Isso ocorre na medida em que, se o material
nuclear for roubado, a CCMN pode fornecer informações críticas sobre o que foi
roubado – tipo e quantidade de material – para garantir que este seja recuperado.
Em termos de Segurança Física, um dos maiores desafios é detecção de
sucessivos furtos de pequenas quantidades de material nuclear (SNL, 2018). O fato
destes atos mal-intencionados serem executados por adversários internos torna a
detecção ainda mais difícil, na medida em que estes gozam da confiança e de acesso
privilegiado a determinadas áreas da instalação. Neste escopo também trabalha a
Contabilidade e Controle de Material Nuclear.
Neste capítulo, apresentaremos uma proposta de aplicação da abordagem por
desempenho (no nosso caso, o processo DEPO) em Contabilidade e Controle de
Material Nuclear.
155
O processo DEPO nos permite – como se verá – verificar como os sistemas de

CCMN, Proteção Física e Segurança Computacional estão – ou deveriam estar –
intrinsecamente ligados. Isto será feito, novamente, via análise de cenários.
6.2 Caracterização da Instalação
De acordo com o discutido na seção 3.4, a primeira etapa ao projetarmos um

sistema de CCMN é estabelecer as Áreas de Balanço Material (ABM). Nesta área,
deve haver um controle estrito das quantidades de material nuclear que entram e
saem da instalação, conforme a equação 3.3.
A rigor, as áreas que contém material nuclear conforme a categorização de
material nuclear da Norma CNEN-NE-2.01 (vide tabela A-2, do anexo A) são o
laboratório de análise de material físsil e o prédio da contenção do reator. Essas áreas
podem ser vistas na figura 6.1, demarcadas em vermelho.
Figura 6.1 - Áreas de Balanço Material do Complexo RAMPeM

156
Conforme já prenunciado na seção anterior, este trabalho deteve-se na detecção

de sucessivos furtos de pequenas quantidades de material nuclear do Laboratório de
Análise de Material Físsil, por parte de um adversário interno ativo não-violento (vide
subseção 2.2.1.1.1). Isto justifica-se na medida em que este tipo de cenário é mais
crível que um roubo de material nuclear no prédio da contenção, por exemplo. O
primeiro cenário possui uma furtividade que é compatível com o modus operandi deste
tipo de adversário (IAEA, 2008). Conforme abordado na subseção 4.8.1, ameaças à
segurança precisam configurar cenários que sejam críveis.
Desta forma, detalharemos os elementos presentes no Laboratório de Análise de
Material Físsil. A figura 6.2 detalha a organização interna do referido laboratório.
Figura 6.2 - Organização Interna do Laboratório de Análise de Material Físsil
O acesso ao laboratório se faz através do corredor do Prédio do Reator – que dá

acesso também à Sala de Controle –, onde o Laboratório de Análise de Material Físsil
fica no final desta via de acesso. Na entrada do laboratório, marcada em azul na figura
6.2, há um torniquete (representado pela sigla “TQ8”). Este torniquete, além do sensor
de posição, possui ainda acoplado a ele um detector de metais e um detector de
radiação. Com isso, este torniquete é análogo à uma porta giratória bancária –
exemplificada na figura 6.3. Se algum indivíduo tentar passar com uma quantidade
qualquer de material físsil – seja dentro de uma blindagem metálica ou não –, os
detectores são acionados e a porta é travada automaticamente e um alarme é
acionado na ECA e na ESA. Estes alarmes e detectores de radiação e de metais estão
157
ciberneticamente ligados aos chamados “sistemas de controle de acesso”. Os

detectores de radiação e de metais presentes na portaria PR1 também estão
conectados a este sistema cibernético.
Existe ainda um sistema de CFTV dentro do laboratório – ciberneticamente ligado
àquele descrito no capítulo 5. Toda e qualquer liberação deste torniquete – em caso
de alarme – deve ser realizada pelos supervisores na ECA e na ESA, seguindo assim
a regra das duas pessoas – do inglês, “two person rule”.
Cabe aqui esclarecer que a “regra das duas pessoas” é definida como um sistema
de acesso onde há a presença de pelo menos duas pessoas autorizadas que são
capazes de detectar procedimentos incorretos (ou não-autorizados) em relação à
tarefa a ser executada (US LEGAL, 2016).
A disposição das câmeras é exibida na figura 6.4. Tal como descrito na seção
4.5.2, o sistema de CFTV foi postulado de forma a não haver áreas sem cobertura.
Figura 6.3 - Porta giratória bancária. Fonte: www.jr.jor.br
Existe ainda no Laboratório, a área de estocagem do material, marcada em laranja

na figura 6.2, cujo acesso se dá por um torniquete (representado pela sigla “TQ9”),
onde está acoplado a ele um sensor de posição como todos os outros elementos desta
instalação. Conforme mencionado na subseção 4.5.4, todos os torniquetes da
instalação possuem controlador onde é preciso que o funcionário passe o crachá e
digite seu PIN, para que ele seja liberado. Entretanto, para o acesso de um único
158
indivíduo a esta área, é necessário que dois funcionários apresentem este crachá e
PIN neste torniquete, seguindo também a regra das duas pessoas.
Dentro da área de estocagem do material há uma bancada de trabalho, um
armário, um notebook, uma balança de precisão e um espectrômetro de massa. É
dentro do armário que se encontra o material físsil para análise e controle de
qualidade, todos dentro de blindagens apropriadas, conforme exibido na figura 6.5.
Figura 6.4 - Sistema de CFTV do Laboratório de Análise de Material Físsil
O armário possui um sensor de proximidade por capacitância (figura 6.5). Esta

classe de sensores são capazes de detectar quaisquer indivíduos que se aproximem
ou toquem superfícies metálicas ou as contenções que os sensores protegem
(GARCIA, 2008). Quando algum funcionário se aproxima do armário, um alarme é
acionado na Estação Central de Alarmes (ECA) e na Estação Secundária de Alarmes
(ESA), a fim de que os supervisores possam fazer o monitoramento através das
câmeras de vídeo.
159
Figura 6.5 - Armário de Estocagem de Material Físsil

Toda e qualquer remoção e/ou devolução de material físsil ao armário deve ser
notificada nas tabelas presentes nas portas internas e externas do armário (vide
figuras 6.5 e 6.6). Estas movimentações do material precisam também ser lançadas
no notebook que se encontra na referida área. A balança de precisão deve ser
utilizada para que seja possível lançar nas tabelas (presentes nas portas e no
notebook) as massas de material retiradas e repostas no armário durante os ensaios.
O espectrômetro de massas é utilizado com esse intuito e também quando da Tomada
de Inventário Físico (programada ou não).
Figura 6.6 - Sistema de Alarme de Remoção de Material Físsil
Na área de análise do material, marcada em verde na figura 6.2, são executados

outros ensaios e há produção e preparação de reagentes e amostras para os ensaios
realizados na área de estocagem do material.
160
6.3 Análise de Caminho
O Diagrama de Sequência do Adversário (DSA) será distinto do já exposto, na

medida que agora trata-se de um adversário interno. Vale frisar que adversários
internos estão previstos na Ameaça Base de Projeto hipotética aqui postulada. O
caminho a ser percorrido pelo adversário pode ser visto no DSA da figura 6.7.
Através do DSA da figura 6.7 podemos observar o caráter da análise de cenários
aqui adotada. Primeiramente, é crível supor que um adversário interno se exporia ao
risco de um flagrante somente na área de estocagem de material, onde existem
câmeras de vídeo – logo, a única oportunidade de detecção da área. Na medida em
que o alvo de roubo é físsil, é possível também supor que o adversário interno deixaria
a instalação com este material nuclear dentro de uma blindagem metálica. Desta
forma, somente os detectores de metal e radiação do torniquete TQ8 e da portaria PR1
se configuram em oportunidades de detecção.
Assim sendo, é possível partir para o cálculo da probabilidade de interrupção (PI)
do caminho possível.
SNL (2018) frisa que a metodologia apresentada pelo processo DEPO não
apresenta dados que permitam uma análise completa para neutralização de
adversários internos, apenas para os externos. O tempo de resposta da força de
segurança (TG) não foi alterado e nem houve remoção de quaisquer elementos de
retardo. A tabela do Apêndice J exibe as memórias de cálculo para obtenção do valor
de PI.
O cálculo da probabilidade de interrupção deste caminho nos traz um valor de P I
= 0,99. Apesar de não ser possível obter a eficácia global – posto que não temos o
valor da probabilidade de neutralização (PN) –, é notório que este valor de PI é o mais
alto já encontrado neste trabalho. Este valor nos indica que, supostamente, o sistema
parece robusto. De qualquer modo, este trabalho procedeu a um ataque nos moldes
dos outros cinco já realizados no capítulo 5, a fim de notar se esta robustez se
confirma ou se é aparente.
161
Ponto de
Detecção
PD = 0,50
1 AEM Área de Estocagem do Material
TD = 60
a1
PD = 0,00
2 TQ9 Torniquete 9
TD = 3
PD = 0,00
3 AAM Área de Análise do Material
TD = 10
b1
PD = 0,90
4 TQ8 Torniquete 8 & Detectores de Metal e Radiação
TD = 65
PD = 0,00
5 AVt Corredor da Área Vital
TD = 24
c1
PD = 0,00
6 TQ6 Torniquete 6
TD = 3
PD = 0,00
7 RT Corredor do Prédio do Reator
TD = 24
d1
PD = 0,00
8 TQ5 Torniquete 5
TD = 3
PD = 0,00
9 SV Corredor do Prédio de Serviços
TD = 10
e1
PD = 0,00
10 TQ4 Torniquete 4
TD = 3
PD = 0,00
TD = 5
f1
PD = 0,00
12 TQ3 Torniquete 3
TD = 3
PD = 0,90
13 PR1 Portaria PR1
TD = 60
Exterior
Figura 6.7 - Diagrama de Sequência de Adversário Interno
6.4 Análise de Cenário
6.4.1 Sexto Ataque Cibernético
O sexto e último ataque composto promovido é a combinação de um roubo –por

parte de um adversário interno – à área de estocagem do material, juntamente com
162
um ataque cibernético que derrubará o sistema de controles de acesso. Este sistema

cibernético compreende os detectores de metal e radiação presentes no torniquete
TQ8 e na portaria PR1.
O Diagrama de Sequência do Adversário, presente na figura 6.8, mostra onde
estes apagamentos ocorreram.
Ponto de
Detecção
PD = 0,50
1 AEM Área de Estocagem do Material
TD = 60
a1
PD = 0,00
2 TQ9 Torniquete 9
TD = 3
PD = 0,00
3 AAM Área de Análise do Material
TD = 10
b1
PD = 0,00
4 TQ8 Torniquete 8 & Detectores de Metal e Radiação
TD = 65
PD = 0,00
5 AVt Corredor da Área Vital
TD = 24
c1
PD = 0,00
6 TQ6 Torniquete 6
TD = 3
PD = 0,00
7 RT Corredor do Prédio do Reator
TD = 24
d1
PD = 0,00
8 TQ5 Torniquete 5
TD = 3
PD = 0,00
9 SV Corredor do Prédio de Serviços
TD = 10
e1
PD = 0,00
10 TQ4 Torniquete 4
TD = 3
PD = 0,00
TD = 5
f1
PD = 0,00
12 TQ3 Torniquete 3
TD = 3
PD = 0,00
13 PR1 Portaria PR1
TD = 60
Exterior
Figura 6.8 - Diagrama de Sequência de Adversário após o sexto ataque

163
Assim sendo, é possível partir para o cálculo da probabilidade de interrupção (PI)

do caminho, agora sob um sexto ataque cibernético. Novamente, o tempo de resposta
da força de segurança (TG) não foi alterado e nem houve remoção de quaisquer
elementos de retardo. A tabela do Apêndice K exibe as memórias de cálculo para
obtenção do valor de PI.
O cálculo da probabilidade de interrupção deste caminho nos traz um valor de P I
= 0,50. Apesar de não ser possível obter a eficácia global – posto que não temos o
valor da probabilidade de neutralização (PN) –, é notório que este valor de PI é o mais
baixo já encontrado neste trabalho.
Supondo-se uma probabilidade máxima de interrupção – ou seja, se PN = 1,00 –
isto nos levaria, ainda assim, a um sistema com probabilidade de eficácia global (PE)
igual à 0,50, o que nem de longe atenderia à meta de projeto fixada em 85% (PE =
0,85) e é inferior a todos valores de PE deste trabalho.
Este resultado com baixo valor – mesmo não estando em poder do valor da
eficiência global – é condizente com o sugerido pela AIEA – vide tabela 3.9 –, que
coloca que sistemas de controle de acesso devem ter seus níveis de segurança
cibernética situados no nível 2, um dos maiores estabelecidos pela Agência.
164
7 ANÁLISES, CONCLUSÕES E SUGESTÕES
Este capítulo expõe, de forma resumida, os resultados obtidos ao longo deste

estudo e apresenta os desafios que os organismos que compõem hoje a área nuclear
brasileira precisam enfrentar. Apresenta-se aqui, ainda, propostas de trabalhos futuros
que possam viabilizar a implantação do processo DEPO na área de Segurança Física
no Brasil.
7.1 Análises e Conclusões
O uso da abordagem permitiu identificar vulnerabilidades do próprio modelo

utilizado – no caso, o processo DEPO –, dadas as necessidades de cada uma das
áreas de Segurança Nuclear. A partir dos resultados obtidos, tornou-se evidente que
a adoção de uma metodologia baseada no desempenho representa uma evolução
significativa na avaliação de sistemas de proteção física.
Entretanto, adotá-la não é suficiente se esta não estiver integrada sinergicamente
nas áreas de segurança cibernética e contabilidade e controle de material nuclear.
Isso pode ser observado no primeiro, segundo, quarto e quinto e sexto ataques. Estes
simples ataques cibernéticos levaram a uma queda na probabilidade de interrupção
do adversário – e em alguns casos na eficácia global do sistema –, tornando o SisPF
vulnerável a ataques internos e externos.
Entretanto, os resultados obtidos nos permitiram inferir que o uso da abordagem
por desempenho – na forma do processo DEPO –, tem potencial de utilização como
ferramenta na detecção (inicial) de quais sistemas cibernéticos são mais vulneráveis
e, logo, podem comprometer a integridade de uma instalação nuclear quando esta
estiver sob ataque – seja de adversários internos ou externos.
Para tal, os profissionais de Segurança Física precisam aplicar o processo DEPO
na instalação, onde através da simulação do “apagamento” dos sistemas cibernéticos
previamente desenhados, será possível verificar a robustez da Proteção Física como
um todo. Com isso, seria possível avaliar sistemas de proteção física, segurança
cibernética e controle e contabilidade de material nuclear antes mesmo de sua
implantação. Eventuais melhorias nos sistemas de segurança física nuclear podem
165
ser justificadas junto à sociedade mediante a aplicação da abordagem por

desempenho.
Vale ressaltar que, de acordo com Garcia (2008), a extensão da abordagem em
desempenho para sistemas cibernéticos é apontada como uma evolução natural do
processo DEPO. No entanto, ainda há uma ausência de dados experimentais que
contemplem métricas mais apropriadas para o caso de adversários internos. Não
obstante, os resultados obtidos neste trabalho corroboram a hipótese de Garcia (2008)
que esta melhoria – principalmente em termos cibernéticos – no processo é
perfeitamente possível.
O Brasil precisa enfrentar ainda alguns desafios na implantação do processo
DEPO em si, como a elaboração de uma Ameaça Base de Projeto, ponto de partida
para a definição de requisitos. É necessária ainda a produção de estudos que
produzam dados confiáveis para o sistema de segurança física, tais como as
probabilidades de detecção e tempos de retardo. Para tal, seria necessário que o país
possuísse estrutura laboratorial adequada e dedicada para estes estudos, para que
os projetos tivessem resultados fidedignos. A presença deste tipo de laboratório
poderia facilitar também a obtenção de métricas para a análise de neutralização.
7.2 Sugestões
Durante a produção dessa dissertação muitos temas foram levantados para

estudos complementares que seriam dignos de novos trabalhos. Dentre esses, alguns
foram selecionados para serem apresentados nessa seção do texto:
 Análise econômica sobre a utilização de tecnologia em sistemas de proteção
física, comparando-a com a parcela humana, em termos de efeitos sobre a eficiência
global do sistema;
 Estudo de utilização e posicionamento de sistemas de CFTV na avaliação e
certificação de alarmes;
 Estudo sobre impacto da iluminação no desempenho nas funções de
segurança;
 Modelagem da participação de adversários internos e sua influência na
eficiência global de um SisPF;
166
 Aplicação da abordagem por desempenho na segurança física em operações

de transporte;
 Análise quantitativa e qualitativa de ameaças, e elaboração de ameaça-base
de projeto adequada ao cenário brasileiro.
167
REFERÊNCIAS BIBLIOGRÁFICAS
ARENAZA, I. D. SMR - CAREM Project. World Nuclear University. Rio de Janeiro:

WNU. 2018.
BARBOSA, A. L. Pequeno Vocabulário Tupi-Português. Rio de Janeiro: Livraria

São José, 1951.
CNEN. CNEN-NE 2.01 - Proteção Física de Unidades Operacionais da Área

Nuclear. Comissão Nacional de Energia Nuclear. Rio de Janeiro, p. 10. 2011.
CNEN. Glossário de Segurança Nuclear. Comissão Nacional de Energia Nuclear.

Rio de Janeiro, p. 53. 2015.
ELBARADEI, M. International Conference on Nuclear Security: Global Directions for

the Future. Nuclear Terrorism: Identifying and Combating the Risks, 2005.
Disponivel em: https://www.iaea.org/newscenter/statements/nuclear-terrorism-
identifying-and-combating-risks. Acesso em: 03 abr. 2018.
ELETROBRÁS TERMONUCLEAR S.A. Final Safety Analysis Report - FSAR:

Central Nuclear Almirante Álvaro Alberto, Unit 2, Rev 1, 08/99. Eletronuclear. Rio
de Janeiro, p. 95. 1999.
ELETROBRÁS TERMONUCLEAR S.A. Panorama da Energia Nuclear no Mundo.

Eletronuclear. Rio de Janeiro, p. 207. 2016.
EPRI. Deterring Terrorism: Aircraft Crash Impact Analyses Demonstrate Nuclear

Power Plants Structural Strength. Nuclear Energy Institute. Londres, p. 10. 2002.
FARIA, E. Dicionário Escolar Latino-Português. Rio de Janeiro: Ministério da

Educação, 1962. Disponivel em:
http://www.dominiopublico.gov.br/download/texto/me001612.pdf. Acesso em: 02 abr.
2018.
GARCIA, M. L. The Design and Evaluation of Physical Protection Systems. 2ª.

ed. Burlington: Butterworth-Heinemann, 2008.
GOLDSTEIN, M. Site oferece 'hackers de aluguel' para serviços como invadir e-

mails. Folha de São Paulo, 2015. Disponivel em:
https://www1.folha.uol.com.br/tec/2015/02/1586541-site-oferece-hackers-de-aluguel-
para-servicos-como-invadir-e-mails.shtml. Acesso em: 19 nov. 2018.
IAEA. Convention on the Physical Protection of Nuclear Material. Viena:

International Atomic Energy Agency. 1987.
IAEA. The Radiological Accident in Goiânia. International Atomic Energy Agency.

Vienna. 1988.
168
IAEA. Board of Governors General Conference. Viena: International Atomic

Energy Agency. 2004.
IAEA. Amendment to the Convention on the Physical Protection of Nuclear Material.

International Law Series No. 2, Viena, p.158, 2006.
IAEA. Fundamental Safety Principles: Safety Fundamentals. IAEA Safety Standard

Series No. SF-1, Viena, p. 21, 2006.
IAEA. Preventive and Protective Measures against Insider Threats. IAEA Nuclear
Security Series No. 8, Viena, p. 25, 2008.
IAEA. Security in the Transport of Radioactive Material. IAEA Nuclear Security

Series No. 9, Viena, p. 39, 2008.
IAEA. Development, Use and Maintenance of the Design Basis Threat. IAEA
Nuclear Security Series No. 10, Viena, p. 30, 2009.
IAEA. Nuclear Security Series Glossary. IAEA Nuclear Security Series, Viena, p.
33, 2010. Disponivel em:
http://elearning.iaea.org/m2/mod/glossary/view.php?id=7312. Acesso em: 09 dez.
2017.
IAEA. Computer Security at Nuclear Facilities. IAEA Nuclear Security Series No.
17, Viena, p. 69, 2011.
IAEA. Nuclear Security Recommendations on Physical Protection of Nuclear Material

and Nuclear Facilities. IAEA Nuclear Security Series No. 13, Viena, p. 57, 2011.
IAEA. Nuclear Security Recommendations on Radioactive Material and Associated

Facilities. IAEA Nuclear Security Series No. 14, Viena, p. 27, 2011.
IAEA. Identification of Vital Areas at Nuclear Facilities. IAEA Nuclear Security

Series No. 16, Viena, p. 37, 2012.
IAEA. Nuclear Security Systems and Measures for Major Public Events. IAEA
IAEA. Board of Governors General Conference. Viena: International Atomic

Energy Agency. 2013.
IAEA. Objective and Essential Elements of a State's Nuclear Security Regime. IAEA
IAEA. Security of Nuclear Material in Transport. IAEA Nuclear Security Series No.
26-G, Viena, p. 104, 2015.
IAEA. Use of Nuclear Material Accounting and Control for Nuclear Security Purposes
at Facilities. IAEA Nuclear Security Series No. 25-G, Viena, p. 63, 2015.
169
IAEA. IAEA Incident and Trafficking Database (ITDB). International Atomic Energy
Agency. Viena, p. 7. 2016.
IAEA. IAEA Safety Glossary: Terminology Used in Nuclear Safety and Radiation
Protection. International Atomic Energy Agency. Viena, p. 203. 2016.
IAEA. International Atomic Energy Agency. IAEA Nuclear Security E-Learning,

2016. Disponivel em: http://elearning.iaea.org/nsns/training. Acesso em: 2 dez. 2017.
IAEA. Advances in Small Modular Reactor Technology Developments.

International Atomic Energy Agency. Viena, p. 250. 2018.
MACLEAN, W. 2-Cyber attack appears to target Iran-tech firms. Reuters, 2010.

Disponivel em: https://www.reuters.com/article/security-cyber-iran/update-2-cyber-
attack-appears-to-target-iran-tech-firms-idUSLDE68N1OI20100924. Acesso em: 17
nov. 2018.
MURRAY, R. L.; HOLBERT, K. E. Nuclear Energy: an introduction to the concepts,

systems and applications of nuclear processes. 7ª. ed. Waltham: Butterworth-
Heinemann, 2015.
NRC. Fact Sheet on Force-on-Force Exercises at Nuclear Power Plants. U.S.

Nuclear Regulatory Commission, 2003. Disponivel em:
https://www.nrc.gov/docs/ML0323/ML032310241.pdf. Acesso em: 7 nov. 2018.
ONU. Resolution 1540. UN Security Council Resolution 1540. Nova Iorque: [s.n.]. p.
4. 2004.
ROSATOM. Performance of State Atomic Energy Corporation Rosatom in 2016.

Moscou, p. 395. 2017.
SNL. International Training Course on Physical Protection of Nuclear Facilities

and Materials, 2018. Disponivel em: https://share-ng.sandia.gov/itc/. Acesso em: 08
nov. 2018.
TAVARES, Renato Alves. Projeto e Avaliação do Sistema de Proteção Física de

uma Instalação Nuclear. 2018. Dissertação (Mestrado em Engenharia Nuclear) -
Instituto Militar de Engenharia, Rio de Janeiro, 2018.
TAVARES, W. M. Legislação Nuclear no Brasil, Estados Unidos, Austrália,

Canadá e Alemanha. Brasília. 2005.
TVA. Sequoyah Nuclear Plant Units 1 and 2: Environmental Impact Statement.

Knoxville. 2011.
US LEGAL. Two Person Rule Law and Legal Definition. US Legal, 2016. Disponivel
em: https://definitions.uslegal.com/t/two-person-rule/. Acesso em: 16 dez. 2018.
170
APÊNDICES
MEMÓRIAS DE CÁLCULO DA ANÁLISE MULTICAMINHOS
APÊNDICE A - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas

VALOR
CAMINHO EXPRESSÃO PARA CÁLCULO DE PI
DE PI
VIA PRÉDIO DE SERVIÇOS
a AVg b
[a1,b1,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP )] 0,92305
a AVg b
a AVg b
[a1,b3,c1] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 3 ) ∙ (1 − PDAP ] 0,9204
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
VIA PRÉDIO DA TURBINA
a AVg b c
[a1,b1,c2,d2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB )] 0,99769
a AVg b c
a AVg b c
a AVg b c
a AVg b c
a AVg b c
a AVg b c
a AVg b c
a AVg b c
171
APÊNDICE B - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após a

primeira melhoria
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
[a1,b1,c2,d2,e2] PI = 1 − [(1 − PD 1 ) ∙ (1 − PD ) ∙ (1 − PD 1 ) ∙ (1 − PDAP ) ∙ (1 − PD2 ) ∙ (1 − PDTB ) ∙ (1 − PD 2 ) ∙ (1 − PDTB )] 0,99988
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
172
APÊNDICE C - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após

quatro melhorias
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
173
APÊNDICE D - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após o

primeiro ataque cibernético
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
174
APÊNDICE E - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após o

segundo ataque cibernético
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
175
APÊNDICE F - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após o

terceiro ataque cibernético
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
176
APÊNDICE G - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após

instalação de sensores complementares
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
177
APÊNDICE H - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após o

quarto ataque cibernético
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
178
APÊNDICE I - Cálculo da Probabilidade de Interrupção para as 18 possíveis rotas após o

quinto ataque cibernético
VALOR
DE PI
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
a AVg b c d
179
APÊNDICE J - Cálculo da Probabilidade de Interrupção para o caminho do adversário

interno
VALOR
EXPRESSÃO PARA CÁLCULO DE PI
DE PI
a b c d e f
PI = 1 − [(1 − PDAEM ) ∙ (1 − PD 1 ) ∙ (1 − PDAAM ) ∙ (1 − PD 1 ) ∙ (1 − PDAVt ) ∙ (1 − PD1 ) ∙ (1 − PDRT ) ∙ (1 − PD 1 ) ∙ (1 − PDSV ) ∙ (1 − PD 1 ) ∙ (1 − PDSV ) ∙ (1 − PD1 ) ∙ (1 − PDPR1 )] 0,99
APÊNDICE K - Cálculo da Probabilidade de Interrupção para o caminho do adversário

interno após o sexto ataque cibernético
VALOR
EXPRESSÃO PARA CÁLCULO DE PI
DE PI
a b c d e f
PI = 1 − [(1 − PDAEM ) ∙ (1 − PD 1 ) ∙ (1 − PDAAM ) ∙ (1 − PD 1 ) ∙ (1 − PDAVt ) ∙ (1 − PD1 ) ∙ (1 − PDRT ) ∙ (1 − PD 1 ) ∙ (1 − PDSV ) ∙ (1 − PD 1 ) ∙ (1 − PDSV ) ∙ (1 − PD1 ) ∙ (1 − PDPR1 )] 0,50
180
ANEXOS
ANEXO A - CATEGORIZAÇÃO DE MATERIAL NUCLEAR
Tabela A-1 - Limites para categorização de material nuclear conforme isótopo e massa
(Extraída da NSS-13).
181
Tabela A-2 - Limites para categorização de material nuclear conforme isótopo e massa
(Extraída da Norma CNEN NE-2.01).
182
ANEXO B - DADOS DE PROBABILIDADES DE DETECÇÃO

(Tabelas extraídas do material do International Training Course on Physical Protection
of Nuclear Materials and Facilities – AIEA e SNL)
Tabela B-1 - Probabilidades de detecção de sensores de intrusão
Tabela B-2 - Detecção em controles de acesso.

183
Tabela B-3 - Detecção em vigilância humana.

184
Tabela B-4 - Detecção em medidas e equipamentos contra roubo de material, para

diferentes atributos de ameaça.
185
ANEXO C - DADOS DE RETARDO DE COMPONENTES

(Tabelas extraídas do material do International Training Course on Physical Protection
Tabela C-1 - Tempo de retardo conforme as classes de barreiras físicas.
Tabela C-2. Tempos de retardo ocasionados por agentes de segurança (SO).

186
Tabela C-3 - Tempos para penetração em cercas.
Tabela C-4 - Tempos para penetração em portões.

187
Tabela C-5 - Tempos para penetração em paredes.

188
Tabela C-5 - Tempos para penetração em paredes (cont.)

189
Tabela C-6 - Tempos para penetração em portas.

190
Tabela C-6 - Tempos para penetração em portas (cont.).

191
Tabela C-6 - Tempos para penetração em portas (cont.).

192
Tabela C-7 - Taxas de corte em barras metálicas de grades com alicate de corte padrão de
1m.
193
Tabela C-8 - Tempo necessário para montar pacotes de explosivos em função da massa do
pacote.
194
Tabela C-9 - Taxas de corrida para diferentes tipos de pisos e diferentes tipos de cargas.
195
Tabela C-10 - Distâncias para diferentes tipos de veículos (motoristas experientes) em

estrada com curvas de 90°.
196
ANEXO D - DADOS DE NEUTRALIZAÇÃO

(Tabela extraída do material do International Training Course on Physical Protection
Tabela D-1 - Probabilidade de Neutralização em função do número de adversários e da

força de resposta, considerando iguais equipamentos e armamento para ambos.

(Dissertação) DOS SANTOS, PMR. PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

(Dissertação) DOS SANTOS, PMR. PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

Enviado por

Direitos autorais:

Formatos disponíveis

MINISTÉRIO DA DEFESA

PEDRO MACIEL RODRIGUES DOS SANTOS

PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR

Dissertação de Mestrado apresentada ao Programa de

Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc.

INSTITUTO MILITAR DE ENGENHARIA

Este exemplar é de propriedade do Instituto Militar de Engenharia, que poderá incluí-

É permitida a menção, reprodução parcial ou integral e a transmissão entre bibliotecas

Os conceitos expressos neste trabalho são de responsabilidade do(s) autor(es) e

Santos, Pedro Maciel Rodrigues dos

Orientadores: João Claudio Batista Fiel; Gladson Silva Fontes.

Dissertação (Mestrado) – Instituto Militar de Engenharia,

1. Segurança Nuclear. 2. Proteção Física. 3. Segurança da

PEDRO MACIEL RODRIGUES DOS SANTOS

PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO

Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em

Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc.

Apresentada em 06 de maio de 2019 à seguinte Banca Examinadora:

Maj. Profo. Gladson Silva Fontes – D. Sc. do IME – Orientador

Cel. R/1 Profo. Ronaldo Glicério Cabral – Ph. D. do IME

Profo. Sergio Gavazza – Ph. D. do IME

Maj. Profo. Marcos Paulo Cavaliere de Medeiros – D. Sc. do IME

Cristiane de Queiroz Oliveira – D. Sc. da CNEN

A Deus, que me guiou até aqui sem deixar retroceder ou vacilar.

O presente estudo descreve a análise de um projeto de Segurança Física Nuclear

Palavras-chave: Segurança Nuclear, Proteção Física, Segurança da Informação,

Keywords: Nuclear Security, Physical Protection, Information Security, Nuclear

Figura 2.1 - Tipos de adversários internos. ............................................................... 33

Tabela 3.1 - Níveis da característica de Intensidade. ................................................ 87

[ax, bx, cx] - caminho de um adversário, percorrendo os elementos a x, bx e cx

ABP Ameaça-Base de Projeto

ACR Alta consequência radiológica

ADS Ativos Digitais Sensíveis

AIEA Agência Internacional de Energia Atômica

CFTV Circuito Fechado de Televisão

CID Confidencialidade, Integridade e Disponibilidade

CNEN Comissão Nacional de Energia Nuclear

DEPO Design and Evaluation Process Outline

DSA Diagrama de Sequência de Adversário

ECA Estação Central de Alarmes

EIOM Evento Iniciador de Origem Mal-intencionada

ESA Estação Secundária de Alarmes

I&C Instrumentação e Controle

IAEA International Atomic Energy Agency

IAVt Identificação de Área Vital

IND Artefato nuclear improvisado

iPWR PWR do tipo integral

ITDB Incident and Trafficking Database

MBA Material Balance Area

MNC Material Não Contabilizado

NMAC Nuclear Material Accounting and Control

NSS Nuclear Security Series

P&D Pesquisa e Desenvolvimento

PCD Ponto Crítico de Detecção

PWR Reator a Água Pressurizada

RDD Artefato de dispersão radiológica

RED Artefato de exposição à radiação

SisPF Sistema de Proteção Física

SMR Reator modular avançado de pequeno porte

SNL Sandia National Laboratories

TIF Tomada de Inventário Físico

2 FUNDAMENTAÇÃO TEÓRICA ............................................................................. 25