ESCOLA SUPERIOR DE GUERRA

ALEXANDRE HOSANG

POLTICA NACIONAL DE SEGURANA CIBERNTICA: UMA NECESSIDADE PARA O BRASIL

Rio de Janeiro 2011

ALEXANDRE HOSANG

POLTICA NACIONAL DE SEGURANA CIBERNTICA: uma necessidade para o Brasil

Trabalho de Concluso de Curso Monografia apresentado ao Departamento de Estudos da Escola Superior de Guerra como requisito obteno do diploma do Curso de Altos Estudos de Poltica e Estratgia. Orientador: JOS FERNANDO CRUZ FIUZA Coronel Intendente da Aeronutica.

Rio de Janeiro 2011

C2011 ESG Este trabalho, nos termos de legislao que resguarda os direitos autorais, considerado propriedade da ESCOLA SUPERIOR DE GUERRA (ESG). permitido a transcrio parcial de textos do trabalho, ou mencion-los, para comentrios e citaes, desde que sem propsitos comerciais e que seja feita a referncia bibliogrfica completa. Os conceitos expressos neste trabalho so de responsabilidade do autor e no expressam qualquer orientao institucional da ESG

_________________________________ ASSINATURA

Biblioteca General Cordeiro de Farias

Hosang, Alexandre Poltica Nacional de Segurana Ciberntica: uma necessidade para o Brasil / Alexandre Hosang. - Rio de Janeiro: ESG, 2011. 54 f.: il. Orientador: Cel. Int Aer. R1 Jos Fernando Cruz Fiuza Trabalho de Concluso de Curso Monografia apresentado ao Departamento de Estudos da Escola Superior de Guerra como requisito obteno do diploma do Curso de Altos Estudos de Poltica e Estratgia (CAEPE), 2011.

1. Poltica Nacional. 2. Segurana Ciberntica. 3.Defesa Ciberntica. I. Ttulo

 minha querida mulher Simone, minha filha Gersiane e aos meus filhos Alexandre e Tiago pela compreenso e apoio a mim dedicados, entendendo os momentos de minhas ausncias em dedicao s

atividades da ESG. Ao meu pai e minha me (in memorian), como fontes de inspirao.

AGRADECIMENTOS

Aos estagirios da melhor Turma do Curso de Altos Estudos de Poltica e Estratgia de 2011 - Turma Segurana e Desenvolvimento - pelo convvio agradvel e harmonioso de todas as horas e pelo apoio e incentivo dedicados a minha pessoa.

Ao Corpo Permanente da ESG pelos ensinamentos e orientaes que me fizeram refletir, cada vez mais, sobre a importncia de se estudar o Brasil com a responsabilidade implcita de ter que melhorar.

EPGRAFE

A maneira mais confivel de antecipar o futuro entender o presente. John Naisbitt

RESUMO

Esta monografia aborda a temtica relacionada segurana do espao ciberntico, que pode ser entendido como sendo o territrio no fsico criado por meios computacionais, onde pessoas fsicas e jurdicas, isoladamente ou em grupo, integrantes de empresas, rgos pblicos ou governos, podem se comunicar, realizar pesquisas e trafegar dados de maneira geral, valendo-se de Tecnologias da Informao e Comunicao (TIC) como suporte para seu funcionamento. As caractersticas de autonomia e auto-regulao desse espao dificultam o estabelecimento de limites e fronteiras, a efetiva promoo da segurana dos seus usurios e a preservao da soberania de um Estado Nacional. A Segurana Ciberntica pode ser entendida como a arte de garantir a existncia do espao ciberntico brasileiro pela adoo de aes que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informaes de interesse do Estado brasileiro. Buscou-se identificar as razes que justifiquem o estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil, englobando objetivos intermedirios de descrever conceitos relevantes relacionados questo do Espao Ciberntico, de identificar aspectos relevantes em relao s ameaas existentes no Espao Ciberntico, de descrever a atual situao do Espao Ciberntico do Brasil e identificar parmetros a serem considerados no estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil. O estudo foi limitado a aspectos gerais de planejamento estratgico, destacando atores, instituies e parmetros que podem ser considerados no estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil. Visualizou-se, finalmente, justificar a importncia do estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil, com nfase nos aspectos de Segurana e Defesa, destacando parmetros mnimos a serem considerados na elaborao dessa Poltica, de onde podero advir propostas de aes.

Palavras chave: Poltica Nacional. 2. Segurana Ciberntica. 3.Defesa Ciberntica.

ABSTRACT

This monograph discusses the issue related of security of cyberspace, which can be understood as a territory not physical created by means computing, where individuals and legal entities, individually or in groups, members of companies, public agencies or governments, can communicate, conducting surveys and data traffic in general, making use of Information and Communication Technology (ICT) as support for its operation. The characteristics of autonomy and self-regulation of this area make it difficult to set limits and boundaries, which cant effective promote safety of its users and the preservation of the sovereignty of a nation state. The Cybersecurity can be understood as the art of ensuring the existence of cyberspace Brazil by adopting measures to ensure availability, integrity, confidentiality and authenticity of information of interest to the Brazilian State. We tried to identify the reasons justifying the establishment of a National Cyber Security in Brazil, covering intermediate goals to describe relevant concepts related to the issue of Cyberspace, to identify relevant issues in relation to the existing threats in cyberspace, describing the Current situation of Cyberspace in Brazil and identify parameters that can be considered in the establishment of a National Cyber Security in Brazil. The study was limited to general aspects of strategic planning, highlighting actors, institutions and parameters that can be considered in the establishment of a National Cyber Security in Brazil. Visualized justify the importance of establishing a National Cyber Security in Brazil, with emphasis on security and defense, pointing out minimum standards to be considered in the preparation of this policy, which may result in proposed actions.

Keywords: National Policy. 2. Cybersecurity. 3.Cybernetics Defense.

LISTA DE ABREVIATURAS E SIGLAS ANATEL APF C&T CESeg Agncia Nacional de Telecomunicaes Administrao Pblica Federal Cincia e Tecnologia Comisso Especial em Segurana da Informao e de Sistemas Computacionais CGI CGSI ComSic DICA DSIC ECHELON END ESG EUA FUNTEL GSIPR GT SICI Comit Gestor da Internet Comit Gestor de Segurana da Informao Comunidade de Segurana da Informao e Criptografia Disponibilidade, Integridade, Confidencialidade e Autenticidade Departamento de Segurana da Informao e Comunicao Sistema Global de Interceptao de Comunicaes Estratgia Nacional de Defesa Escola Superior de Guerra Estados Unidos da Amrica Fundo Nacional de Telecomunicaes Gabinete de Segurana Institucional da Presidncia da Repblica Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao IPEA LDO MCT MD OECD PD&I PDN PNSC PPA PSI Renasic SBC TIC Instituto de Pesquisa Econmicas Aplicada Lei de Diretrizes Oramentria Ministrio da Cincia e Tecnologia Ministrio da Defesa Organizao para Cooperao e Desenvolvimento Econmico Pesquisa, Desenvolvimento e Inovao Poltica de Defesa Nacional Poltica Nacional de Segurana Ciberntica Plano Plurianual Poltica de Segurana da Informao Rede Nacional de Segurana da Informao e Criptografia Sociedade Brasileira de Computao Tecnologias da Informao e Comunicao

SUMRIO 1 INTRODUO ....................................................................................................... 10 2 DESENVOLVIMENTO ........................................................................................... 13 2.1 SITUAO MUNDIAL ......................................................................................... 14 2.2 SITUAO DO BRASIL ...................................................................................... 16 2.2.1 Iniciativas brasileiras ..................................................................................... 20 2.2.2 Crimes Cibernticos....................................................................................... 21 2.2.3 Relaes com outros pases ......................................................................... 23 2.3 PARMETROS ................................................................................................... 24 3. CONCLUSO ....................................................................................................... 39 REFERNCIAS......................................................................................................... 41 ANEXO A - GLOSSRIO ......................................................................................... 43 ANEXO B INTERNATIONAL STRATEGY FOR CYBERSPACE .......................... 50

10

1 INTRODUO O Brasil vem se destacando no mbito das naes mundiais em funo do seu desenvolvimento nas ltimas dcadas, fato este que vem despertando a ateno internacional, particularmente por poder ocupar posio de destaque e gerar conflito de interesses. Diariamente milhes de brasileiros acessam a Rede Mundial de Computadores, Internet, trocam informaes e usam servios bancrios, de comrcio eletrnico, pblicos federais, estaduais e municipais, de ensino e pesquisa, das redes sociais, dentre outros, constituindo-se, assim, uma ampla rede digital. Neste contexto, a utilizao do espao ciberntico fundamental para a vida nacional, tanto pblica quanto privada, pois permeia praticamente todas as instituies e rgos governamentais. O Espao Ciberntico pode ser entendido como sendo o territrio no fsico criado por meios computacionais, onde pessoas fsicas e jurdicas, isoladamente ou em grupo, integrantes de empresas, rgos pblicos ou governos, podem se comunicar, realizar pesquisas e trafegar dados de maneira geral, valendo-se de Tecnologias da Informao e Comunicao (TIC) como suporte para seu funcionamento. Em virtude de suas caractersticas de autonomia e auto-regulao, observa-se a dificuldade de se estabelecerem limites e fronteiras desse espao, que proporcionem a segurana dos seus usurios e a preservao da soberania de um Estado Nacional. Neste contexto, surge a Segurana Ciberntica, que, Segundo Mandarino (2010)1, ... deve ser entendida como a arte de garantir a existncia do espao ciberntico brasileiro pela adoo de aes que assegurem disponibilidade, integridade, confidencialidade e autenticidade das informaes de interesse do Estado brasileiro. Quais as razes que justificam o estabelecimento de uma Poltica Nacional de Segurana Ciberntica (PNSC) no Brasil? O objetivo geral deste trabalho foi o de identificar a importncia de se ter uma Poltica Nacional de Segurana Ciberntica no Brasil, englobando os seguintes objetivos intermedirios:
1

Mandarino Junior, Raphael. Segurana e defesa do espao ciberntico brasileiro, Cubzac Editora, Recife, 2010.

11

- descrever conceitos relevantes relacionados questo do Espao Ciberntico e aos Elementos Fundamentais do Mtodo de Planejamento da Escola Superior de Guerra; - identificar, de uma maneira resumida, aspectos relevantes em relao s ameaas existentes no Espao Ciberntico, que podem comprometer a Segurana Ciberntica; - descrever, de forma sucinta, a atual situao do Espao Ciberntico do Brasil; - avaliar a necessidade de estabelecimento de Poltica Nacional de Segurana Ciberntica no Brasil; e - identificar parmetros a serem considerados no estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil. O desenvolvimento deste trabalho levou em considerao duas hipteses principais, quais sejam: - as ameaas existentes no Espao Ciberntico do Brasil podem limitar o emprego do Poder Nacional brasileiro. - o estabelecimento de Poltica Nacional de Segurana Ciberntica no Brasil pode contribuir com a Segurana e a Defesa nacionais. O estudo foi limitado a aspectos gerais de planejamento estratgico, destacando atores, instituies e parmetros que podem ser considerados no estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil e levando em conta o tempo disponvel para pesquisa, no sendo abordado o impacto econmico-financeiro para o estabelecimento de uma eventual Poltica Nacional, nem sendo discriminados/detalhados os possveis cenrios prospectivos. A metodologia empregada na pesquisa foi a qualitativa, documental e bibliogrfica. Foi realizada, inicialmente, uma reviso bibliogrfica sobre o tema,

especificamente por intermdio da consulta a livros, publicaes, normas existentes, e uma pesquisa na internet. Posteriormente, foi elaborado um questionrio que foi enviado a pessoas de instituies pblicas e privadas que tratam deste tipo de tema e usurios de TIC, com o intuito de conhecer a situao atual Segurana Ciberntica no Brasil. Foram enviados 35 questionrios e recebidas 23 respostas desses. Preservaram-se as identidades das pessoas que responderam os questionrios, sendo que os

12

contedos foram aproveitados na elaborao do relatrio de pesquisa, com adaptaes. Finalmente, os dados foram tabulados, analisados e serviram de base para a elaborao deste relatrio de pesquisa que contem basicamente a situao atual da Segurana Ciberntica no Brasil, destacando a eventual necessidade de estabelecimento de uma Poltica Nacional de Segurana Ciberntica para o pas, e os parmetros a serem considerados para a elaborao dessa Poltica. Para uma adequada compreenso do que foi pretendido neste estudo, o desenvolvimento da presente monografia foi organizada em trs captulos, a seguir apresentados. - Seo 2.1 Situao mundial - descreveu-se, de forma sucinta, as caractersticas, vulnerabilidades e a atual situao do Espao Ciberntico no mundo, destacando exemplos de aes hostis ocorridas recentemente. - Seo 2.2 - Situao no Brasil descreveu-se, de forma sucinta, a atual situao do Espao Ciberntico do Brasil, destacando aes j implementadas na rea de Segurana Ciberntica no mbito da Administrao Pblica Federal e aspectos que justifiquem o estabelecimento de Poltica Nacional de Segurana Ciberntica no Brasil; e - Seo 2.3 Parmetros - de forma geral, identificaram-se parmetros a serem considerados no estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil. Portanto, dadas s ameaas existentes no Espao Ciberntico mundial, visualizou-se justificar a importncia do estabelecimento de uma Poltica Nacional de Segurana Ciberntica no Brasil, com nfase nos aspectos de Segurana e Defesa, destacando parmetros mnimos a serem considerados na elaborao dessa Poltica, de onde podero advir propostas de aes.

13

2 DESENVOLVIMENTO As ameaas reais ou potenciais que existem nos sistemas computacionais de informao e comunicaes podem ser entendidas como sendo a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Sero descritos conceitos relevantes relacionados s ameaas existentes no Espao Ciberntico brasileiro, a Segurana e Defesa Ciberntica, buscando estabelecer distino entre estes dois conceitos, e identificando elementos fundamentais do Mtodo de Planejamento da Escola Superior de Guerra que podero ser teis ao estabelecimento de uma Poltica Nacional de Segurana Ciberntica. A Poltica de Defesa Nacional (2005, no paginado), destaca conceitos relevantes para este trabalho.
Segurana a condio que permite ao Pas a preservao da soberania e da integridade territorial, a realizao dos seus interesses nacionais, livre de presses e ameaas de qualquer natureza, e a garantia aos cidados do exerccio dos direitos e deveres constitucionais; Defesa Nacional o conjunto de medidas e aes do Estado, com nfase na expresso militar, para a defesa do territrio, da soberania e dos interesses nacionais contra ameaas preponderantemente externas, potenciais ou manifestas.

Existem outras definies para estes termos, fato este que pode gerar algum tipo de discrepncia no estabelecimento de polticas pblicas relacionadas ao tema Segurana Ciberntica. Alguns exemplos disso so apresentados a seguir. Segundo o Manual da Escola Superior de Guerra, Fundamentos da Escola Superior de Guerra (2009, p. 59), Segurana a sensao de garantia necessria e indispensvel a uma sociedade e a cada um de seus integrantes, contra ameaas de qualquer natureza. Conforme o Glossrio das Foras Armadas MD 35-G-01 (2007, p. 75), Defesa o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condio reconhecida como de segurana, ou ainda, reao contra qualquer ataque ou agresso real ou iminente. Observa-se uma quantidade considervel de conceitos que se relacionam ao tema em estudo e, com a finalidade de apresentar outras definies de termos relacionados ao espao ciberntico, que podem ser teis no estabelecimento de polticas para a Segurana Ciberntica, foi elaborado o Anexo A GLOSSRIO.

14

2.1 SITUAO MUNDIAL O espao ciberntico uma rea na qual, apesar de se ter a compreenso da necessidade de segurana, no existem medidas implementadas de maneira sistemtica e articulada que possam garantir a confiabilidade e a preservao dos sistemas empregados. As Naes vm se preparando para evitar ou minimizar ataques cibernticos s redes e sistemas de informao de governo, bem como de todos os demais segmentos da sociedade. De maneira geral, na Sociedade da Informao, destacam-se as seguintes caractersticas: - quantidade significativa de sistemas e redes de informao, notoriamente interconectados e interdependentes; - significativos avanos tecnolgicos nos sistemas de informao e comunicao; - elevado nmero de acesso Internet e s redes sociais; - convergncia tecnolgica; - ambientes complexos, com mltiplos sistemas e atores, que apresentam diversidade de interesses. Como consequncia destas caractersticas, surgem as seguintes situaes: - aumento significativo de ameaas e de vulnerabilidades segurana ciberntica; - acelerada dinmica de mudanas de ambinte em funo das inovaes surgidas frequentemente. Exemplo recente de ciberguerra, talvez o mais importante dos ltimos tempos, foi o Stuxnet, que foi um vrus que controlou parcialmente uma usina

de enriquecimento de urnio iraniana, causando estragos a algumas de suas centrfugas. O Stuxnet foi um worm2 projetado para atacar o sistema industrial SCADA3, desenvolvido pela Siemens, mais especificamente o sistema de controle das

Um worm (verme, em portugus), em computao, um programa auto-replicante, semelhante a um vrus. Enquanto um vrus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm um programa completo e no precisa de outro para se propagar. Um worm pode ser projetado para tomar aes maliciosas aps infestar um sistema, alm de se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por email.

15

centrfugas de enriquecimento de urnio do Ir, em 2010, fazendo-as girar mais rapidamente do que o normal e causando rachaduras em seu interior, sem que os funcionrios percebessem o ocorrido. Como a usina no tem acesso Internet, o vrus s pode ter sido infiltrado por algum dispositivo com sada USB, como pendrives. Os relatos apontam para o fato de que o maior nmero de computadores infectados com este vrus foi no Ir, indicando o objetivo de infectar um dispositivo que fosse levado para dentro da fbrica. Esse vrus foi considerado um dos mais complexos j feitos e, por isso estima-se que no pode ter sido produzido por um usurio domstico, sendo que eram necessrias informaes sobre o funcionamento do sistema da usina para a sua elaborao. Para computadores com sistemas operacionais comuns como o Windows ou Mac OS X, o Stuxnet no causa danos, sendo fcil remov-lo. Outro exemplo foi o caso da Estnia em 2007. Naquela ocasio o ataque ciberntico praticamente parou o pas, incluindo sites governamentais e privados. Tratou-se de uma srie de ataques cibernticos, que teve incio em 27 de abril de 2007 e que deixou sites do governo fora do ar. Cabe ressaltar que na Estnia quase todos os servios so integrados internet e quase todas as tarefas cotidianas esto ligadas rede mundial de computadores, sendo que por isso a populao do pas foi atingida diretamente com esse ataque. O governo estniano suspeitou que a Rssia poderia ter promovido o referido ataque, como reao a retirada de uma esttua que marcava a vitria russa contra o nazismo, a esttua do Soldado de Bronze de Tallinn. Esse foi considerado o primeiro ciberataque de grandes propores ocorrido no mundo. Neste contexto, as estratgias internacionais para o tema indicam para a necessidade do estabelecimento de parcerias e aes colaborativas entre pases e instituies nacionais, que propiciem a anlise, a coordenao e a integrao dos conhecimentos e esforos, permitindo o entendimento dos impactos que a convergncia e a interdependncia ocasionam, alm da necessidade de correlao entre tais conhecimentos. Verifica-se, portanto, a necessidade de que tais esforos

Sistemas de Controle de Superviso e Aquisio de Dados: ou abreviadamente SCADA (proveniente do seu nome em ingls Supervisory Control and Data Aquisition) so sistemas que utilizam software para monitorar e supervisionar as variveis e os dispositivos de sistemas de controle conectados atravs de drivers especficos. Estes sistemas podem assumir topologia mono-posto, cliente-servidor ou mltiplos servidores-clientes

16

devam

ser

embasados

por aes de macro-coordenao e

governana,

adequadamente definidas, baseados em modelos eficientes e eficazes. Portanto, considerando que os desafios da segurana ciberntica so muitos, de fundamental importncia desenvolver um conjunto de aes colaborativas entre governo, setor privado, academia e sociedade em geral, de forma a melhor entender a situao e fazer frente aos aspectos vulnerveis que a perpassam.

2.2 SITUAO DO BRASIL Como desafio do sculo XXI, a Segurana Ciberntica vem se destacando como funo estratgica de Estado, sendo essencial manuteno funcionamento das infraestruturas crticas do pas, tais como do

Energia,

Telecomunicaes, Transporte, Defesa, Finanas. O Brasil, inegavelmente, na ltima dcada, tornou-se um 'player' importante no cenrio mundial. Certamente o seu conhecimento sensvel, produzido em diferentes reas dos campos cientfico e tecnolgico, pode se tornar objeto de cobia por parte de outros pases. Pode-se afirmar que o pas para se desenvolver no pode abdicar da segurana do seu espao ciberntico, sendo que a proteo deste relaciona-se, diretamente, com a prpria soberania nacional. De maneira geral, o Espao Ciberntico brasileiro apresenta as seguintes caractersticas: - dos trs parmetros da informao armazenagem, processamento e trnsito , os dois primeiros so em grande parte hospedados fora do pas e, quanto ao terceiro, a banda no pode ser externalizada; - a infraestrutura dominada em sua essncia por empresas multinacionais estrangeiras; - existem talentos em todas as reas, mas em nmero insuficiente perante o tamanho do espao brasileiro, sendo que muitos esto fora do pas; e - normalmente os profissionais da rea so formados em dois compartimentos que no se comunicam de forma eficaz, quais sejam: o da Academia e o ambiente muito especializado do autodidatismo e/ou das certificaes; esse ltimo foi criado basicamente pelas empresas para a gerao de recursos humanos especializados em seus produtos.

17

A Poltica de Defesa Nacional (2005, no paginado) destaca.

Os avanos da tecnologia da informao, a utilizao de satlites, o sensoriamento eletrnico e inmeros outros aperfeioamentos tecnolgicos trouxeram maior eficincia aos sistemas administrativos e militares, sobretudo nos pases que dedicam maiores recursos financeiros Defesa. Em conseqncia, criaram-se vulnerabilidades que podero ser exploradas, com o objetivo de inviabilizar o uso dos nossos sistemas ou facilitar a interferncia distncia.

Ainda neste mesmo documento, existe como diretriz: aperfeioar os dispositivos e procedimentos de segurana que reduzam a vulnerabilidade dos sistemas relacionados Defesa Nacional contra ataques cibernticos e, se for o caso, permitam seu pronto restabelecimento. Como decorrncia, a Estratgia Nacional de Defesa (END) (2008, p. 5) prev o fortalecimento de trs setores de importncia estratgica: o espacial, o ciberntico e o nuclear.
Os setores espacial e ciberntico permitiro, em conjunto, que a capacidade de visualizar o prprio pas no dependa de tecnologia estrangeira e que as trs Foras, em conjunto, possam atuar em rede, instrudas por monitoramento que se faa tambm a partir do espao.

A Estratgia Nacional de Defesa (2008, p. 24) prev a capacitao de recursos humanos.

As capacitaes cibernticas se destinaro ao mais amplo espectro de usos industriais, educativos e militares. Incluiro, como parte prioritria, as tecnologias de comunicao entre todos os contingentes das Foras Armadas de modo a assegurar sua capacidade para atuar em rede. Contemplaro o poder de comunicao entre os contingentes das Foras Armadas e os veculos espaciais. No setor ciberntico, ser constituda organizao encarregada de desenvolver a capacitao ciberntica nos campos industrial e militar.

Considerando ainda o que est previsto na END, o Exrcito tem a responsabilidade de ser o coordenador das aes de Defesa Ciberntica, no mbito das Foras Armadas. Como consequncia, o Exrcito Brasileiro est criando o Centro de Defesa Ciberntica, vem se articulando nesta rea e, institucionalmente, consolidando sua posio. Conforme destaca o Livro Verde Segurana Ciberntica no Brasil (2010, p. 13). Chama a ateno que o chamado espao ciberntico, no tem suas fronteiras ainda claramente definidas, impacta o dia a dia de todos os dirigentes governamentais, de empreendimentos privados e dos prprios cidados. Observa-se, portanto, que existe a noo da importncia de se tomar aes que favoream e permitam estabelecer a segurana no espao ciberntico, embora no se tenha a exata dimenso do que isso possa representar, bem como quais as

18

medidas que efetivamente podem e devem ser adotadas para se atingir este objetivo. Por outro lado, percebe-se, de maneira geral, que as pessoas confiam nos sistemas de pagamento online e web banking em virtude do fato de que estes tipos de ferramentas vm sendo usados por mais usurios a cada ano que passa. certo que este uso, frequentemente, feito de maneira moderada, pois se tem notcia de atividades de estelionato e coleta de informaes pessoais. Atualmente o Brasil conta com diversos rgos de governos com atribuies na rea de Segurana de Informao e defesa ciberntica, porm, apesar de constar nas agendas desses rgos, o tema ainda pode ser considerado incipiente e muito pouco explorado, pois so identificadas poucas aes e incentivos, principalmente quando se trata do campo acadmico. Alm disso, o espao ciberntico brasileiro est desprotegido a sistemas globais de interceptao de comunicaes, tal como o Echelon4, que se apropriam de backbones5 da internet e satelitais. Quanto cultura de segurana ciberntica no Brasil, pode se afirmar que se trata de fator crtico de sucesso para qualquer proposta de poltica pblica nacional, sendo que h tambm muito a promover e a desenvolver no pas, em todos os nveis de educao (bsico, fundamental, superior e de ps-graduao), como em termos mais amplos sociais, alcanando todo e qualquer cidado do pas. Portanto, a atual situao permite dizer que no se tem uma estrutura brasileira consistente que possa fazer frente a um possvel cenrio de ameaas reais ou de conflito no espao ciberntico, pois a situao ainda de definio de responsabilidades desde o mais alto nvel de governo at as esferas

governamentais mais simples, o que dificulta, em muito, qualquer ao geral de maneira integrada. No que diz respeito capacitao de recursos humanos, em todos os nveis pode-se afirmar que existe uma boa capacitao preliminar, apesar de ainda insuficiente para fazer face a uma situao de crise.
4

Sistema global polivalente com estaes distribuidas ao redor do planeta, com capacidade de obteno e interceptao de comunicaes eletrnicas, telefnicas e por fax, em escala mundial, o que representa uma tecnologia de ponta em matria de espionagem com um processamento automatizado para fins de espionagem de sistemas. 5 No contexto de redes de computadores, o backbone (backbone traduzindo para portugus, espinha dorsal, embora no contexto de redes, backbone signifique rede de transporte) designa o esquema de ligaes centrais de um sistema mais amplo, tipicamente de elevado desempenho.

19

Sinteticamente, pode-se afirmar que a situao atual precria devido falta de entendimento por parte do Estado brasileiro quanto importncia de se desenvolver e de se implementar controles efetivos, tanto nas redes corporativas e da Administrao Pblica Federal, quanto nos backbones de informao do Brasil, apesar de algumas iniciativas isoladas. Exemplo dessa vulnerabilidade foram os ataques aos endereos eletrnicos do governo, ocorridos recentemente, nos quais se dificultou o acesso aos servios por certo perodo de tempo, mas que no representaram ameaa real ou

comprometimento aos sistemas governamentais. As aes de proteo, merc da existncia de iniciativas isoladas ou coordenadas para a proteo do conhecimento sensvel no universo informtico, podem ser consideradas tmidas. No basta a existncia de planos ou boas intenes, torna-se importante que a cultura da proteo ao conhecimento sensvel seja massificada no universo publico e privado, por intermdio de cursos e sensibilizaes. Observa-se, portanto, como resultado dos estudos de pesquisa realizados, que o espao ciberntico, de maneira geral, no possui uma segurana eficiente devido aos seguintes aspectos: - ausncia de uma taxionomia que padronize o assunto, sendo que a maioria das definies so importadas ou sem respaldo na legislao brasileira, ou mesmo desatualizadas. - indefinio do estado brasileiro sobre o assunto em relao a outros pases; e - falta de definio de um rgo do Estado Brasileiro que possa ser coordenador/articulador de polticas e de atividades, em mbito nacional, relacionadas segurana ciberntica. Portanto, uma Poltica Nacional de Segurana Ciberntica poderia facilitar o enfrentamento deste desafio que de todos, premente, e requer agilidade na formao de senso comum a fim de que o pas cresa, em segurana, se apropriando dos benefcios da Internet, rede global em mudana contnua, minimizando impactos negativos decorrentes de eventuais desastres ou de forma maliciosa.

20

2.2.1 Iniciativas brasileiras O Estado brasileiro, ao longo do tempo, tem demonstrado relativa preocupao com a segurana de nosso Espao Ciberntico e, ainda que se possa afirmar que no se esteja completamente protegido, vrias aes foram realizadas para tal fim, destacando-se a criao de rgos e a implementao de iniciativas. Nesta direo, destacam-se as principais aes implementadas: - criao do Comit Gestor da Internet CGI, com a participao dos diversos segmentos da sociedade; cabe salientar que segurana no a preocupao central do CGI; - a publicao do decreto 3505/2000, que estabeleceu a Poltica de Segurana da Informao (PSI), a ser implantada pelo GSIPR; no entanto, no houve a definio dos meios a serem utilizados nessa implementao, sendo que, no momento, esta j se encontra defasada perante as mudanas da ltima dcada; - criao do Departamento de Segurana da Informao e Comunicao (DSIC) no Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR), em 2006, com o objetivo de coordenar as aes normativas e operacionais no mbito da Administrao Pblica Federal (APF), previstas na PSI; - criao da Comunidade de Segurana da Informao e Criptografia (ComSic) e da Rede Nacional de Segurana da Informao e Criptografia (Renasic) no GSI, em 2008, para cuidar dos aspectos de fomento de Cincia e Tecnologia (C&T) em todos as reas da Segurana Ciberntica, tambm previstos na PSI; essa iniciativa transcende APF e foi estabelecida em articulao com o Ministrio da Cincia e Tecnologia (MCT); e - a publicao da Estratgia Nacional de Defesa, que estipula a Segurana Ciberntica como sendo uma de suas prioridades. Outra iniciativa interessante foi a criao da CESeg Comisso Especial em Segurana da Informao e de Sistemas Computacionais, que uma das Comisses Especiais da Sociedade Brasileira de Computao (SBC), criada em 2004, como resultado de um amadurecimento da comunidade acadmica, e que conta com a participao de associados da (SBC) que manifestem interesse. A Comisso foi criada com os objetivos de: - congregar e articular a comunidade acadmica brasileira em segurana da informao e de sistemas computacionais;

21

- representar comunidade acadmica de segurana junto Sociedade Brasileira de Computao; e - promover eventos acadmicos na rea Destacam-se, ainda, a implantao da Infraestrutura de Chaves Pblicas, a atualizao e criao de normatizao sobre o tema, capacitao de recursos humanos, desenvolvimento de produtos criptogrficos, e criao de Grupos Tcnicos para tratar da segurana de Infraestruturas Crticas. Alm disso, ocorrem iniciativas tais como a especializao de agentes da Polcia Federal para tratar de crimes cibernticos, o fortalecimento dos sistemas financeiros, que so alvos mais frequentes desses tipos de crime, e as aes de empresas de grande porte, que possam ser consideradas alvos de ataques cibernticos. Apesar dessas iniciativas isoladas do Estado Brasileiro, particularmente por intermdio do GSIPR e de empresas de grande porte para atender demandas prprias, a populao em geral est ciente da existncia das ameaas do espao ciberntico, mas no de suas possibilidades e de como fazer frente a tais ameaas. Pode-se considerar que a criao do DSIC foi o primeiro passo para oficializar a preocupao com o assunto. Observa-se que h esforos de mltiplos atores que atuam diretamente e/ou perpassam o tema, sem, contudo, haver arcabouo nico com enfoques poltico e estratgico para a concretizao de aes efetivas de integrao e otimizao de tais esforos, deixando o Pas com brechas de segurana a serem mapeadas e superadas. Portanto, conclui-se parcialmente que segurana no espao ciberntico ainda no um assunto tratado de forma estratgica pelo Brasil, apesar das iniciativas surgidas, considerando que a abrangncia das aes ainda pode ser considerada limitada e a articulao das aes ainda pode ser considerada deficiente. Em funo do exposto, verifica-se a necessidade de uma ao coordenada do Estado Brasileiro para garantir o funcionamento das infraestruturas crticas da nao, em caso de ameaa ou ataque ciberntico. 2.2.2 Crimes Cibernticos Outro aspecto importante a ser considerado neste estudo se relaciona aos crimes cibernticos, particularmente devido aos efeitos danosos que podem advir do

22

mau uso dos sistemas de informao e comunicao por pessoas mal intencionadas. Neste sentido, j ocorreram diversas iniciativas no Congresso Nacional para tratar desse tema, no entanto, at o presente momento, no existe consenso para o estabelecimento da legislao pertinente e, consequentemente, verifica-se a ausncia de legislao especfica que tipifique os crimes cibernticos. Apesar dos esforos de alguns setores da Administrao Pblica, ainda h brechas na legislao brasileira, no havendo leis para alguns tipos de aes que j so consideradas crime em outros pases. Alm disso, no h uma poltica clara embasando uma ao contra outro pas que tenha afetado de alguma forma infraestrutura crtica nacional por meios cibernticos e muitas questes ainda esto merecendo algum tipo de tratamento, sendo que esse avano est sendo mais lento do que a situao exige. Existe proposta em andamento de uma nova Conveno, de carter global, que vem sendo liderada pelo Ministrio de Relaes Exteriores, sendo esta mais uma ao internacional no mbito das Naes Unidas. Outro aspecto que reala os contrapontos do Pas no tema, em termos legais, a falta de articulao e de integrao de esforos, dos trs Poderes da Repblica Federativa do Brasil, como por exemplo, de novo, est na pauta da Comisso de Cincia e Tecnologia da Cmara dos Deputados a questo de crimes cibernticos, sabendo-se que se arrasta por anos o Projeto de Lei Substitutivo, do Senador Eduardo Azeredo, ao PL da Cmara n 89, de 2003, e Projetos de Lei do Senado n 137, de 2000, e n 76, de 2000, todos referentes a crimes na rea de informtica, que contou e conta ainda com discusso dos mais diferenciados atores, sendo que, no que se refere ao poder executivo, citam-se o Ministrio da Justia, o Ministrio das Relaes Exteriores, o GSIPR, dentre outros. Observa-se que os marcos legais so tnues e no existem leis adequadas que versem sobre o assunto. Os processos existentes na justia normalmente se baseiam em leis comuns, sem uma adequada tipificao na rea. H, ainda, um descompasso no que se refere atualizao do marco legal do Pas no tema, em consonncia com a evoluo dos marcos legais internacionais.

23

2.2.3 Relaes com outros pases Destaca-se que o Brasil no signatrio da Conveno de Budapeste6 que data da dcada de 1990, a qual no atende s exigncias atuais de crimes cibernticos, dado os avanos tecnolgicos ocorridos e tampouco suficiente em termos da cooperao internacional. Assim, como resultado da Conveno do Crime Ciberntico, ocorrida no ano de 2010, em Salvador/BA, foi emitida Declarao, consensada por 158 pases sobre tal aspecto, fato este que abriu a oportunidade de criao de grupo para tratar globalmente a matria crime ciberntico. Quanto ao acompanhamento das evolues cientfica e tecnolgica, observase que h diversos desafios para o acompanhamento da dinmica, da evoluo e da convergncia das tecnologias de informao e comunicao (TICs), bem como na capacitao de recursos humanos nos temas variados que tocam o assunto foco segurana ciberntica (segurana em cloud computing, mapeamento e

monitoramento de ativos de informao, segurana das infraestruturas crticas da informao, gesto de riscos, uso seguro das redes sociais, controle integrado de acesso fsico e lgico, criptologia, dentre outros), e em especial, nas competncias essenciais para o efetivo monitoramento, anlise e defesa contra ataques de artefatos maliciosos aos meios e redes computacionais (computao forense, sensores, inteligncia de sinais e imagens, smart grids, pen tests (testes de invaso), dentre outras). Neste contexto surge a Estratgia Internacional dos Estados Unidos da Amrica para Espao Ciberntico, International Strategy for Cyberspace,

que descreve a viso daquele pas para o futuro desse Espao e define uma agenda de parceria com outras naes e povos com este enfoque. Neste documento, que ser abordado a seguir, pode-se observar que esto presentes aspectos relacionados com parceiras a serem realizadas com outros pases. Esta Estratgia foi abordada na parte do trabalho relacionada ao estabelecimento de parmetros em uma Poltica Nacional de Segurana Ciberntica.

A Conveno sobre o Cibercrime, tambm conhecida como Conveno de Budapeste, um tratado internacional de direito penal e direito processual penal firmado no mbito do Conselho da Europa para definir de forma harmnica os crimes praticados por meio da Internet e as formas de persecuo. Esta conveno trata basicamente de violaes de direito autoral, fraudes relacionadas a computador, pornografia infantil e violaes de segurana de redes

24

2.3 PARMETROS O entendimento sobre a importncia da segurana ciberntica caracteriza-se, cada vez mais, como condio essencial para o desenvolvimento dos pases, requerendo para tanto, dentre outras aes, a promoo de dilogos e de intercmbios de ideias, de iniciativas, de dados e informaes, de melhores prticas, para a cooperao sobre o tema, no pas e entre pases. Estima-se levar em considerao a definio das necessidades de curto prazo, apoiadas em planos de longo prazo, criando rgos de governo especficos para tratar do tema, estabelecendo estratgias e implantando sistemas de proteo sofisticados e abrangentes. Tais programas devem contemplar diferentes aspectos de uma Poltica Nacional de Segurana Ciberntica (PNSC), compreendendo desde a reduo de vulnerabilidades e a luta contra a criminalidade ciberntica at a defesa contra o ciberterrorismo. Conforme as diretrizes estabelecidas no Livro Verde Segurana Ciberntica no Brasil (2010, p.43).
A Poltica Nacional de Segurana Ciberntica dever ter, como uma de suas premissas, a sua construo a partir de viso multidisciplinar, interinstitucional, em que mltiplas competncias se complementam na soluo de problemas e na identificao de oportunidades.

Inicialmente, vale destacar algumas recomendaes da Organizao para Cooperao e Desenvolvimento Econmico (OECD12) aos pases membros sobre segurana das infraestruturas crticas de informao, as quais so entendidas, em geral, como indicativos das competncias essenciais de segurana ciberntica, particularmente relacionados ao estabelecimento de polticas, conforme apresentado no Livro Verde Segurana Ciberntica no Brasil (2010, p.26 e 27).
- definir a poltica e as normas especficas, com objetivos claros, no mbito do mais alto nvel de governo; - atuar como o rgo central de governo com competncia (responsabilidade e autoridade) para prover as melhores condies de implantao da poltica de segurana ciberntica e seus objetivos; - promover tanto a cultura de, quanto a educao em, segurana ciberntica; - promover mtua cooperao entre os stakeholders setor privado, agncia(s), terceiro setor, governo visando efetiva implantao da poltica nacional de segurana ciberntica; ... - rever sistematicamente a poltica, normas e respectivo(s) marco(s) legal(is), com especial ateno s ameaas e vulnerabilidades das infraestruturas crticas da informao de cada pas, buscando minimizar riscos e desenvolver novos instrumentos e/ou mecanismos de segurana da informao e comunicaes; - desenvolver e exercer macro-coordenao da poltica e estratgia nacional de segurana ciberntica, envolvendo cpula de governo e setor privado;

25

Com relao s recomendaes vinculadas ao estabelecimento de estratgias, constantes no Livro Verde Segurana Ciberntica no Brasil (2010, p.27 e 28), destacam-se as seguintes:
- promover e exercer a macro-coordenao do monitoramento e da avaliao de risco, baseados na anlise das vulnerabilidades e ameaas das infraestruturas crticas da informao, visando proteger a economia e a sociedade contra altos impactos; - promover e exercer a macro-coordenao do processo nacional de gesto de risco, orientando desde aspectos da organizao, ferramenta(s), at mecanismos de monitoramento, para a implementao de uma estratgia nacional de gesto de risco que compreenda: a estrutura organizacional apropriada que promova melhores prticas de segurana, e que incluam preveno, proteo, resposta e recuperao de ameaas naturais e maliciosas; e o sistema de medidas que permita avaliar continuamente o processo, o que inclui itens de controle, nveis de maturidade, exerccios e testes apropriados; - promover e exercer a macro-coordenao da capacidade de resposta incidentes em redes computacionais, como as das equipes que atuam em CERTs/CSIRTs, incluindo mecanismos de forte cooperao e comunicao entre tais equipes; - estreitar as relaes com o setor privado: estabelecendo parcerias pblicoprivadas e acordos de cooperao, com foco na gesto de risco, tratamento de incidentes e recuperao de sistemas e redes de informao e comunicaes, e na gesto da continuidade de negcios; e estimulando o intercmbio regular de informao, por meio do estabelecimento de acordos com clusulas especficas para o caso de conhecimentos sensveis ou informaes classificadas; - estimular e apoiar a acelerao da inovao da segurana ciberntica por meio da pesquisa e do desenvolvimento; - promover a cooperao bilateral e multilateralmente, em nvel regional e global, visando trocas de experincias e fortalecimento das estratgias de segurana ciberntica.

No mbito do Governo Federal brasileiro, proposta elaborada pela Secretaria de Assuntos Estratgicos, da Presidncia da Repblica, intitulada Brasil 2022 Trabalhos Preparatrios (2010, p. 376), destaca na rea de Segurana InstitucionaI, especificamente na Meta 3, o seguinte: estabelecer no Pas Sistema de Segurana e Defesa Ciberntica, envolvendo, tambm, os sistemas de informao ligados s infraestruturas crticas. Nesta meta so previstas as seguintes aes:
- implantar um rgo de referncia em segurana de sistemas de informao e comunicao e das infraestruturas crticas da informao; - integrar esforos e estabelecer prioridades por intermdio de Comit Gestor dos Sistemas de Tecnologia da Informao e Comunicao. - conceber um modelo institucional de proteo contra ataques cibernticos e criar o respectivo marco legal; - desenvolver programa nacional interdisciplinar de pesquisa em segurana de sistemas de informao, envolvendo recrutamento e capacitao de recursos humanos; e - estabelecer programas de cooperao entre governo, sociedade civil e comunidade tcnica internacional.

26

Durante o estudo verificou-se a necessidade de se dividir os parmetros em classes e nveis, com a finalidade principal de se facilitar o entendimento do tema, bem como a possvel implementao de polticas pblicas. Visualizou-se dividir os parmetros nas seguintes classes e nveis: - Poltico: podem englobar as diversas polticas pblicas e legislativas que abordem o tema. Ou seja, o que fazer. - Tcnico Cientfico: podem abranger as pesquisas cientficas sobre o tema - Tcnico Operacional: podem incluir estudos tcnicos e as tcnicas elaboradas nos diversos rgos e instituies que surgirem do emprego prtico , tendo como origem profissionais especializados ou no. - Usurios: de maneira geral so todas as pessoas que fazem uso de tecnologias de informao e comunicao, que podem possuir conhecimentos avanados, intermedirios ou bsicos. Com relao aos parmetros polticos, segundo o Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao (2010, p. 20), so trs os fatores considerados na formulao de estratgias para atender os requisitos mnimos necessrios Segurana das Infraestruturas Crticas da Informao: segurana, resilincia e capacitao. A segurana da informao e comunicaes descreve atividades ligadas proteo da informao e dos ativos da infraestrutura de informao, particularmente contra riscos de perda, mau uso, divulgao indevida ou dano. Trata-se, portanto, da adoo de controles fsicos, tecnolgicos e humanos personalizados que viabilizem a reduo dos riscos a nveis aceitveis. Cabe salientar dois conceitos importantes: - Infraestruturas Crticas da Informao, como sendo o subconjunto de ativos de informao que afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade; e - Ativos de Informao como sendo os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso. Segundo o Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao (2010, p. 86), aborda-se a resilincia.
A resilincia possibilita s organizaes trabalharem, de forma independente e interdependente, para garantir a continuidade dos seus objetivos de negcio durante a interrupo de eventos, tais como:

27

desastres naturais, acidentes industriais e atos terroristas, e para melhorar as parcerias com os servios de gesto de emergncia que visam assistir as comunidades.

Com a adoo deste conceito, considera-se a proposta de se tratar a resilincia com o foco operacional, considerando os segmentos de gesto da

segurana da informao e comunicaes, que inclui: gesto de riscos, gesto de operao de tecnologia da informao e comunicaes e gesto de

continuidade de negcios. Com a evoluo, o foco pode ser ampliado para a toda a organizao, com a meta de criar uma organizao resiliente. Nas organizaes que compem as reas prioritrias das Infraestruturas Crticas, as aes voltadas para a cultura de segurana da informao e comunicaes devem estar alinhadas e integradas com as demais aes associadas tecnologia e processos de segurana. Visando a criao e o fortalecimento da cultura de segurana da informao e comunicaes, as organizaes podem estabelecer aes direcionadas em trs nveis: sensibilizao/conscientizao, treinamento e educao. Neste contexto, verifica-se a necessidade de se estabelecer um mtodo para identificar ameaas e para gerar alertas de Segurana das Infraestruturas Crticas da Informao, no qual sejam definidos sensores e sinais, e se estabeleam os princpios bsicos que nortearo todo mtodo. Ainda podem ser considerados essenciais o estabelecimento de modelos de articulao que podero ser adotados e a formao de uma rede de colaborao e comunicaes. Considerando o fato de que as organizaes no conseguem prever todas as ameaas possveis, existe a necessidade de criao e do fortalecimento de uma cultura de resilincia entre os proprietrios e operadores dos setores das Infraestruturas Crticas, com o objetivo de assegurarem que os servios essenciais possam ser restaurados rapidamente aps um desastre. No estabelecimento de Polticas Pblicas, verifica-se a necessidade de se prever recursos oramentrios com a finalidade de garantir a execuo das atividades programadas. No mbito do Governo Federal, o Plano Plurianual (PPA) o instrumento de planejamento que estabelece, de forma regionalizada, as diretrizes, objetivos e metas da Administrao Pblica Federal para as despesas de capital e outras delas decorrentes e para as relativas aos programas de durao continuada, conforme

28

disposto no artigo 165 da Constituio Federal de 1988. O PPA explicita as escolhas pactuadas com a sociedade, contribuindo para viabilizar os objetivos fundamentais da Repblica, e organiza a ao de governo na busca de um melhor desempenho da Administrao Pblica. O Projeto de Lei do PPA 20122015, a ser encaminhado ao Congresso Nacional at 31 de agosto de 2011, pelo Poder Executivo, ser elaborado com base em diretrizes oriundas do Programa de Governo. Dentre essas diretrizes, destaca-se a Viso Estratgica, que indica em termos gerais o Pas almejado em um horizonte de longo prazo e estabelece, ainda, os Macrodesafios para o alcance dessa nova realidade de Pas. Com base nessas diretrizes, o PPA 20122015 ser constitudo de Programas Temticos e Programas de Gesto, Manuteno e Servios ao Estado. A discusso desses Programas no mbito do Governo Federal se dar entre o Ministrio do Planejamento, Oramento e Gesto (MP) e os ministrios executores das Polticas Pblicas. O Programa Temtico retrata a agenda de governo organizada pelos Temas das Polticas Pblicas e orienta a ao governamental. Sua abrangncia deve ser a necessria para representar os desafios e organizar a gesto, o monitoramento, a avaliao, as transversalidades, as multissetorialidades e a territorialidade. O Programa Temtico se desdobra em Objetivos e Iniciativas. Dentre a proposta elaborada pelo Ministrio do Planejamento do conjunto de programas temticos, destacam-se a seguir aqueles que podem ter relao com o estabelecimento de Polticas Pblicas para a rea ciberntica. Cincia, Tecnologia e Inovao Defesa Nacional Educao Bsica Educao Profissional e Tecnolgica Educao Superior Gesto de Riscos e Resposta a Desastres Incluso Digital Infraestrutura de Comunicaes Poltica Externa Segurana Pblica

29

Ao se considerar a expresso Poltica do Poder Nacional, conforme preconizado no Mtodo de Planejamento, da Escola Superior de Guerra, ressalta-se a necessidade de se caracterizar a segurana ciberntica como sendo de alta prioridade para o pas, implementando uma robusta estratgia nacional de segurana ciberntica, com o intuito de se valorizar e ampliar as competncias nos diversos temas que perpassam a referida temtica, bem como temas correlatos, como o de segurana das infraestruturas crticas da informao, de se criar rgo central para macro-coordenao de polticas pblicas sobre segurana ciberntica, de se estabelecer programas de cooperao especficos entre Governo e Sociedade, bem como com outros Governos e a comunidade internacional e de se aumentar a capacidade da Defesa do Pas para proteo da nao no espao ciberntico. O motivo preponderante para o estabelecimento de uma Poltica Nacional de Segurana Ciberntica (PNSC) justamente nortear aes a serem desenvolvidas pelo Estado, com o envolvimento de setores estratgicos da academia e da iniciativa privada e da sociedade em geral, visando preservar a liberdade de ao no espao ciberntico brasileiro e garantir a segurana dos ativos estratgicos de informao nacionais. A PNSC deve definir parmetros para a atividade de segurana ciberntica no Pas, estabelecendo pressupostos, objetivos, instrumentos e diretrizes para os diversos atores envolvidos na atividade. Ainda na expresso Poltica do Poder Nacional, observa-se a necessidade de se criar marco legal que permita regular o tema contra ataques e crimes cibernticos, tanto internos quanto externos ao pas, e que estejam alinhados com eventuais convenes internacionais acordadas. Na expresso Econmica do Poder Nacional, verifica-se a necessidade de se criar Subfuno especfica para as atividades de segurana ciberntica na Lei de Diretrizes Oramentria (LDO), sendo que o montante a ser destinado deve levar em considerao eventual demanda reprimida pela ausncia de previso anterior, com vistas a criar capacidade de resposta da Nao para enfrentar potenciais ameaas cibernticas, para promover a devida regulao do mercado, por meio da adoo de padres e especificaes tcnicas, bem como de modelos de gesto, de acompanhamento, e de auditoria desse tipo de atividade, de se estreitar parcerias e aes colaborativas com o setor privado, estimulando as parcerias pblicas

30

privadas e as empresas estratgicas, promovendo o setor ciberntico no pas e de se apoiar o segmento das micro, pequenas e mdias empresas do pas, em especial aquelas atuantes no comrcio eletrnico, de forma a promover a cultura da segurana ciberntica. Na expresso Psicossocial do Poder Nacional, observa-se a necessidade de se utilizar as redes sociais da Internet em prol da criao e o fortalecimento da conscincia nacional sobre segurana ciberntica, de se desenvolver programa de incluso digital que incorporem a conscientizao dos usurios sobre ameaas cibernticas e segurana ciberntica, de se defender os direitos de privacidade do cidado brasileiro, de se apoiar o desenvolvimento da Internet no Brasil,

promovendo poltica de acessibilidade com segurana do cidado, de se aplicar polticas de incentivo para a integrao do setor privado segurana

ciberntica do pas. Ainda na expresso Psicossocial do Poder Nacional, visualiza-se a necessidade de se investir na educao dos usurios, por intermdio programas nacionais de capacitao em segurana ciberntica, que sejam construdos com viso interdisciplinar que o tema requer, nos nveis: bsico, tcnico, graduao, especializao, conscientizao mestrado e doutorado, de se desenvolver programa de

nacional no tema de forma a

atingir, especialmente diferentes

comunidades do pas, desenvolvendo material apropriado para os mais diversos pblicos, incluindo o infantil, o de adolescentes e jovens, as pessoas de baixa renda, da terceira idade, de educadores em todos os nveis de formao educacional e de gestores e legisladores pblicos, de se incluir nos currculos de ensino de nvel fundamental e mdio do Pas a obrigatoriedade de temas como segurana da informao e correlatos. Na expresso Cientfico Tecnolgica do Poder Nacional, verifica-se a necessidade de se promover o fortalecimento da cincia e as pesquisas bsica e aplicada, do desenvolvimento de tecnologias e metodologias, e da inovao em segurana ciberntica. Em temas correlatos, a necessidade de se criar laboratrios de pesquisa aplicada para testes e ensaios, bem como para a pesquisa, o desenvolvimento e a inovao (PD&I) no mbito do setor ciberntico em temas tais como recursos criptogrficos, biometria, informao e anlise de sinais e imagens, tratamento e resposta e de incidentes em redes e sistemas

computacionais,

anlises

monitoramento de tendncias de malware,

31

desenvolvimento de tecnologias cibernticas, dentre outras, de se ampliar o esforo de padronizao/harmonizao do ambiente de segurana ciberntica por meio de programa especfico que, preferencialmente, permita a padronizao/harmonizao de especificaes de bens e servios, para seu uso em compras governamentais, crie modelos de referncia para apoio s atividades estratgicas de segurana ciberntica, priorize o desenvolvimento e a compilao de padres, de metodologias, de tecnologias de ponta, e fomente a utilizao da arquitetura de

interoperabilidade na integrao de sistemas de informao do governo, bem como o maior intercmbio de informaes de incidentes computacionais entre as equipes especializadas de governo, setor privado e academia, para as devidas aes de preveno e represso contra ataques cibernticos, Ainda na expresso Cientfico Tecnolgica do Poder Nacional, observa-se a demanda de se incentivar o aporte de recursos financeiros especficos, em programas a serem desenvolvidos pelas Agncias federais e estaduais de fomento em apoio CT&I, para o setor ciberntico, de se articular a aplicao de recursos do Fundo Nacional de Telecomunicaes (FUNTEL) para o desenvolvimento

continuado de CT&I do setor ciberntico, especialmente no que tange vertente da segurana, de se fomentar a demanda e financiamento, pelo setor privado, de pesquisa, desenvolvimento e produo de solues de segurana ciberntica nas universidades ou em outros centros de excelncia, de se realizar financiamento pblico de atividades relacionadas ao tema junto a universidades ou centros de excelncia, solues de segurana ciberntica por meio de pesquisa,

desenvolvimento e produo dessas solues para atender demandas do Estado. Neste contexto, surge outro aspecto relevante que a cooperao internacional sobre o tema, no qual se evidencia a necessidade de se promover a cooperao bilateral e multilateralmente, em nvel regional e global, visando trocas de experincias e fortalecimento de uma estratgia nacional de segurana ciberntica, de se institucionalizar no pas uma autoridade nacional de

segurana, com a finalidade de se sistematizar o processo de credenciamento de rgos, entidades, empresas, e pessoas para intercmbio de informaes

classificadas, entre governos, de se promover acordos de cooperao tcnica de segurana ciberntica, de se estabelecer programas de cooperao especficos entre Governo e Sociedade, bem como com outros Governos e a comunidade internacional, de se articular acordos internacionais de modo a potencializar a

32

segurana ciberntica do Pas, sua capacidade de defesa e dissuaso, alm do aumento e atualizao das suas competncias essenciais. Portanto, o principal motivo para se implantar uma Poltica Nacional de Segurana Ciberntica a fragilidade das infraestruturas crticas brasileiras, que podem sofrer blackout principalmente aquelas que suportam as infraestruturas tecnolgica, econmico-financeiro e de Comando e Controle, colocando em risco a soberania Nacional. A Criao de uma Agncia Brasileira de Segurana da Informao, a qual teria competncia e responsabilidade de monitorar o Espao Ciberntico Nacional, colocando controles de trfego ao longo dos backbones, mesmo sendo estes de propriedade de empresas de telecomunicaes internacionais. Atualmente existem agncias deste tipo em pases tais como: Coria do Sul e Japo. Alm disso, a criao de Leis relacionadas Segurana Ciberntica que permitam uma ao rpida e eficaz em casos de incidentes que tem como alvo as infraestruras crticas do Brasil. Quanto aos parmetros Tcnico Cientficos, cabe analisar, sob o enfoque cientfico, as iniciativas realizadas em rgos governamentais de todos os nveis, bem como na iniciativa privada, buscando conjugar interesses, equacionar eventuais discrepncias e articular esforos com a finalidade de tornar mais eficiente os trabalhos realizados. Quanto aos parmetros Tcnico Operacionais, considera-se que na atualidade as iniciativas de tcnicos que buscam solues prticas para problemas do dia-a-dia so cada vez mais frequentes e permitem, muitas vezes, encontrar solues inteligentes e simples para problemas complexos. Estas iniciativas devem ser aproveitadas e, para tanto, devem ser analisadas e avaliadas com a finalidade de se verificar a viabilidade de serem aproveitadas por outros setores, tanto da Administrao Pblica, quanto pela iniciativa privada e pelas universidades. Resumidamente, no campo tcnico operacional verifica-se a necessidade de se articular iniciativas e de se aproveitar a capacidade de produo de setores tcnicos. Os servios prestados por essas reas so de vital importncia para os cidados, para as organizaes e para o Estado, cuja proteo permanente visa garantir a continuidade da prestao dos servios mesmo em situaes de crise. Para definir as diretrizes gerais de proteo das Infraestruturas Crticas nacionais, est sendo proposta uma Poltica Nacional de Segurana de

33

Infraestruturas Crticas, que est sendo analisada no mbito do Governo Federal e que, posteriormente, ser encaminhado ao Congresso para aprovao. No sentido de trazer o tema segurana das infraestruturas crticas da informao para as discusses e para reflexo em mbito nacional, criou-se o Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao (GT SICI), institudo no mbito do Comit Gestor de Segurana da Informao (CGSI) com as seguintes atribuies, conforme Portaria N. 34 do Conselho de Defesa Nacional (2009), no qual constam as seguintes atribuies:
- levantar e avaliar as potenciais vulnerabilidades e riscos que possam afetar a Segurana das Infraestruturas Crticas da Informao, o que requer a identificao e monitoramento das interdependncias; - propor, articular e acompanhar medidas necessrias Segurana das Infraestruturas Crticas da Informao; - estudar, propor e acompanhar a implementao de um sistema de informaes que conter dados atualizados das Infraestruturas Crticas da Informao, para apoio a decises; e, - pesquisar e propor um mtodo de identificao de alertas e ameaas da Segurana de Infraestruturas Crticas da Informao.

Como resultado deste trabalho, foi elaborado o Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao (2010, p. 22, 23 e 24), no qual constam aspectos relevantes sobre os tpicos apresentados a seguir. Macroprocessos de Mapeamento de Ativos de Informao, no intuito de delinear caminhos para determinar se um ambiente ou no seguro no que se refere informao e comunicaes, considerando-se a DICA (critrios de Disponibilidade, Integridade, Confidencialidade e Autenticidade). Somam-se

questes relativas crescente incidncia de ataques cibernticos, o que torna ainda maior a necessidade de rastrear interdependncias internas/externas, a fim de que sejam identificados os impactos decorrentes da interrupo dos servios oriundos de infraestruturas crticas da informao, e que sejam

implementadas aes adequadas manuteno da continuidade dos servios. Instrumentos para o Mapeamento e o Acompanhamento de Ativos de Informao, contempla um questionrio com 50 questes fechadas e um conjunto de formulrios que objetivam facilitar a identificao, registro, e gesto dos ativos de informao. Requisitos mnimos necessrios Segurana das Infraestruturas Crticas da Informao: aumentar a segurana, resilincia e capacitao, por meio da categorizao dos controles e respectivos itens de controles de segurana da informao e comunicaes, de forma a atender aos requisitos mnimos de

34

segurana

das infraestruturas

crticas

da

informao,

e, tambm,

visando

permitir a identificao e o acompanhamento do nvel de maturidade da segurana das infraestruturas crticas da informao nas organizaes. O

modelo e instrumentos tomaram como base a legislao brasileira vigente sobre o tema, bem como referencial normativo internacional. Alm disso, este tpico demonstra o alinhamento e a respectiva correspondncia dos itens de

controles propostos com a identificao dos ativos de informao. Soma-se que para a construo de viso sistemtica e de evoluo continuada foram

estabelecidas camadas em cinco nveis de maturidade, sendo estes transpostos em ciclos at que o rgo / instituio atinja o nvel mais elevado de maturidade, propondo-se o nvel 2 como nvel mnimo de maturidade inicial em Segurana das Infraestruturas Crticas da Informao. Mtodo para Identificao de Ameaas e Gerao de Alertas de Segurana das Infraestruturas Crticas da Informao, busca nortear as aes a partir dos princpios da seletividade e da oportunidade, para a gerao de alertas, por meio de processo que compreende aes de coleta, anlise e divulgao, a serem realizadas pelos responsveis (gestores das Infraestruturas Crticas da Informao ICI). As aes podero contribuir para a formao de uma rede de colaborao e comunicao, que poder ser coordenada de forma centralizada, descentralizada, ou hbrida, e cuja finalidade principal ser a troca de sinais (ameaas ainda no validadas, mas que precisam ser comunicadas). Essa sinalizao deve ser controlada por um setor especfico para que sejam tomadas as medidas adequadas de resposta aos alertas. Ao final, descreve-se o Mdulo de Monitoramento de Ameaas e Gerao de Alertas de Segurana das Infraestruturas Crticas da informao, que foi desenvolvido baseado no mapeamento dos ativos de informao e respectivos itens de controle,

promovendo, assim, o alinhamento e a sinergia com os 3 tpicos anteriore, com a finalidade de fomentar a viso proposta. A ttulo de exemplo e com a finalidade de facilitar o entendimento desta fase, inseriu-se a Figura 1.1 que descreve a sequncia de atividades do processo e os correspondentes produtos, de acordo com o Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao (2010, p. 38).

35

Figura 1.1 - Macroprocessos do Mapeamento de Ativos de Informao Fonte: Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao (2010, p. 38)

Resumidamente, para que uma organizao identifique seus requisitos de segurana, ela deve basear-se em trs pilares. O primeiro o conjunto dos princpios, objetivos e necessidades para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes. O segundo a legislao vigente, os estatutos, as regulamentaes e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender. E o terceiro, oriunda das duas anteriores, so os requisitos de

segurana derivados da avaliao de riscos, processo responsvel por identificar

36

as

ameaas

aos

ativos,

as vulnerabilidades com

suas

respectivas

probabilidades de ocorrncia e os impactos ao negcio. Quanto aos parmetros de usurios, observa-se que os mesmos so os atores essenciais para o bom funcionamento do processo da implementao de qualquer iniciativa na rea de segurana, pois se constata que este pode ser tornar a parte mais vulnervel de todo o sistema de informao e comunicao. Alm disso, a capacitao destes usurios pode ser considerada como sendo aspecto essencial para a preveno de atitudes perigosas para a segurana ciberntica. Neste contexto, h que se avaliar o real nvel de capacitao de cada usurio, permitindo avaliar o perfil desse usurio e estudando medidas preventivas que possam favorecer a segurana ciberntica. Como ideia geral, pode se dividir os usurios em nvel avanado de conhecimento, nvel intermedirio de conhecimento e em nvel bsico de conhecimento, sendo que este ltimo pode englobar as pessoas que praticamente no possuem conhecimentos a respeito do tema. A Estratgia Internacional para o Ciberespao, International Strategy for Cyberspace (2011), dos Estados Unidos da Amrica (EUA), lanada em maio de 2011, pode ser considerada como uma referncia no estabelecimento de parmetros para uma Poltica Nacional para o setor no Brasil, levando em conta o avanado nvel tecnolgico e a experincia daquele pas em atividades relacionadas ao tema. Ressalta-se, naquele documento, os aspectos de promoo a prosperidade, a segurana e a abertura na rede mundial, destacando o aumento de seu uso nos dias atuais, como fica bem evidente no discurso do Presidente Barack Obama, de 29 de maio de 2009, This world cyberspace is a world that we dependo on every single day... [it] has made us more interconnected than at any time in human history. Aborda-se o tema como sendo um convite a outros estados e povos a se unirem aos EUA na realizao de uma viso de prosperidade, de segurana e abertura do mundo conectado. Trata-se de um chamado ao setor privado, sociedade civil, e tambm dos usurios no sentido de reforar a ao de sensibilizao e os esforos de parcerias. Dentre os aspectos apresentados na referida estratgica que combinam diplomacia, defesa e desenvolvimento, destacam-se os seguintes: - O objetivo diplomtico enfatiza que os Estados Unidos da Amrica iro trabalhar para criar incentivos a fim de construir consenso em torno de um

37

ambiente internacional no qual os Estados - reconhecendo o valor intrnseco de um ciberespao, aberto, interopervel, seguro e confivel possam trabalhar em conjunto e agir como atores responsveis. Por intermdio das

relaes internacionais e parcerias, vai-se buscar garantir que o mximo possvel de partes interessadas devido estejam includas nesta viso do sociais, ciberespao, polticos e de

especialmente segurana. O

a seus benefcios econmicos,

objetivo

de

defesa

inclui

aspectos

relacionados

dissuaso.

Os EUA, junto com outras naes, incentivam um comportamento responsvel e ope-se queles que procuram perturbar as redes e sistemas, e assim dissuadir e impedir atores maliciosos, reservando o direito de defender esses ativos nacionais vitais quando necessrio e apropriado. Os Estados Unidos continuaro a reforar as defesas de sua rede e de outros sua capacidade de resistir e se recuperar sofisticados

de interrupes e

ataques. Para

aqueles ataques mais

que criam danos, vai-se agir em planos bem desenvolvidos de resposta para isolar e minimizar interrupes em suas mquinas, limitando os efeitos nas redes, e os efeitos em cascata potencial alm destes. Quando tal se justifique, os Estados Unidos da Amrica respondero a atos hostis no ciberespao como

seria para qualquer outra ameaa ao pas. Reservou-se o direito de usar todos os meios necessrios - diplomticas, de informao, militar e econmico - de forma adequada e consistente com o direito internacional aplicvel, a fim de defender a nao, os aliados, os parceiros e os interesses. Ao fazer isso, estima-se esgotar todas as opes antes de usar a fora militar, sempre que possvel; sero avaliados cuidadosamente os custos e riscos de ao contra os custos da no ao e agir-se de uma maneira que reflita os valores dos EUA e fortalea-se a legitimidade, buscando um amplo apoio internacional, sempre que possvel. O objetivo de desenvolvimento aborda as questes relativas a

prosperidade, construo e segurana. Acredita-se que os benefcios de um mundo conectado sejam universais. As virtudes de um ciberespao aberto, interopervel, seguro e confivel devem ser mais acessveis do que so hoje. Portanto, com as mudanas tecnolgicas ocorridas recentemente, pode se pensar em agregar incumbncia de controle do espao ciberntico para o Ministrio das Comunicaes e/ou para a Agncia Nacional de Telecomunicaes (ANATEL).

38

Modificao do MC para Ministrio das Comunicaes e da Cibernetica com objetivo de ser rgo governamental responsvel por articular e coordenar iniciativas. Outro aspecto relevante o fato de que alguns setores do governo ainda esto com uma viso primria sobre a Segurana Ciberntica. A maioria dos pases trabalha com o conceito de imposio de regras, enquanto que o Brasil ainda admite o conceito de sugerir regras, fato este que demonstra ser um processo primrio de determinao de uma poltica. Finalmente constata-se a demanda de criao de rgo que permita a articulao das atividades a serem desenvolvidas no setor e possibilite a conjugao de esforos com vistas a aumentar o rendimento e evitar o desperdcio de recursos.

39

3. CONCLUSO Analisando-se o cenrio mundial, com ataques cibernticos sendo realizados contra instituies do Estado e contra corporaes privadas, possvel identificar um movimento de levante contra a Nao utilizando o espao ciberntico para atingir resultados ainda difusos. Porm, certamente existe uma inteligncia trasnacional fluindo abaixo da corrente de ataques visveis, que pretendem desestabilizar doutrinas de Defesa do Estado. Nos dias atuais, considerando as relaes de interdependncias que incrementam os ndices de potenciais ameaas que podem assolar os ativos de informao - que compem, ou relacionam-se com, as Infraestruturas Crticas da Informao -, deixa evidente o compromisso de se trabalhar um processo contnuo e evolutivo para o aprimoramento e refinamento do conhecimento sobre tais ativos. O efetivo conhecimento do ativo de informao fundamental para saber do que, como e quanto pode ser investido para proteg-lo. Num pas de dimenses continentais como o Brasil, o ciberespao e a consequente infraestrutura crtica de informao possuem carter estratgico diferenciado, pois desempenham papel essencial, tanto para a segurana e soberania nacional, como para a integrao cultural e o desenvolvimento econmico. Por essa razo, proteger tanto o ciberespao como a infraestrutura crtica de informao deve ser um objetivo estratgico e permanente, de maneira a assegurar a continuidade de operao dos servios considerados essenciais. Aspecto relevante a necessidade de uma efetiva Governana na rea de Tecnologia da Informao e Comunicao, considerando a necessidade de efetivo controle do espectro por onde circulam as informaes. notrio, portanto, que muitas aes so necessrias para criar condies preeminentes da Segurana das Infraestruturas Crticas de Informao,

principalmente, no que diz respeito ao entendimento das diretrizes para a proteo da sociedade e do Estado. Sugere-se o prosseguimento dos estudos, sendo que para tal intento, deve-se considerar a possibilidade de abrir chamada pblica de pesquisa pelo Instituto de Pesquisa Econmicas Aplicada (IPEA), ao que poder representar avano significativo no conhecimento das demandas e das solues para a segurana do espao ciberntico, em especial o brasileiro.

40

Conclui-se

que

existem

diversos

rgos

da

Administrao

Pblica,

organizaes da iniciativa privada e instituies de Ensino e Pesquisa que vem desenvolvendo iniciativas e aes no intuito de preservar a segurana do espao ciberntico brasileiro. Porm, verifica-se a necessidade de maior integrao, alm da interao que j ocorre, e a articulao destes organismos e suas respectivas aes com a finalidade de promover a cultura de segurana e a difuso de experincias adquiridas.

41

REFERNCIAS BRASIL. Conselho de Defesa Nacional. Secretaria Executiva. Portaria N 34, de 5 de agosto de 2009. Institui Grupo de Trabalho de Segurana das Infraestruturas Crticas da Informao, no mbito do Comit Gestor de Segurana da Informao CGSI. Braslia, 2009. ______. Ministrio da Defesa. Estratgia Nacional de Defesa. Braslia, DF, 2008. 59 p. ______. Ministrio da Defesa. Glossrio das Foras Armadas MD 35-G-01, Braslia, DF, 2007. 274 p ______. Ministrio da Defesa. MD31-D-03: Doutrina Militar de Comando e Controle: documento em carter experimental (Portaria Normativa No 1888/EMD/MD, de 29 de dezembro de 2006). Ed. Braslia, DF, 2006, 62 p. ______. MD 51-M-04: Doutrina Militar de Defesa. 2. Ed. Braslia, 2007, 48 p. ______. MD 51-P-02: Poltica Militar de Defesa. Documento classificado. Portaria No 400/SPEAI/MD, de 21 de setembro de 2005. Braslia, DF, Ed. Braslia, 2007b, 16 p. ______. Presidncia da Repblica. Estratgia Nacional de Defesa. Decreto N. 6.703, de 18 de dezembro de 2008. Braslia, DF, 2008.

______. Poltica de Defesa Nacional. Decreto N. 5.484, 30 de junho de 2005. Braslia, DF, 2005. ______. Presidncia da Repblica. Gabinete de Segurana Institucional. Guia de Referncia para a Segurana das Infraestruturas Crticas da Informao. Org. Claudia Canongia e Raphael Mandarino Junior. Braslia, DF.: GSIPR/SE/DSIC, 2010. 151 p. _____. Presidncia da Repblica. Gabinete de Segurana Institucional. Livro Verde Segurana Ciberntica no Brasil. (Org. Raphael Mandarino Junior e Claudia Canongia). Braslia: GSIPR/SE/DSIC, 2010. 44 p. ______. Presidncia da Repblica. Gabinete de Segurana Institucional. Instruo Normativa GSI N 1 Disciplina a Gesto da Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Braslia, 2008. ______. Presidncia da Repblica. Gabinete de Segurana Institucional. Norma Complementar N02/IN01/DSIC/GSIPR Metodologia de Gesto de Segurana da Informao e Comunicaes. Braslia, 2008.

42

BRASIL. Presidncia da Repblica. Gabinete de Segurana Institucional. Norma Complementar N03/IN01/DSIC/GSIPR Diretrizes para Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal. Braslia, DF 2009. ______. Presidncia da Repblica. Secretaria de Estudos Estratgicos. Brasil 2022 Trabalhos Preparatrios. Braslia, DF, 2010, 408 p. Cabinet Office. Cyber Security Strategy of the United Kingdom: safety, security and resilience in cyber space. (UK Office of Cyber Security (OCS) and UK Cyber Security Operations Centre (CSOC)). UK: TSO The Parliament Bookshop. 2009. June. 25p. CENTER FOR STRATEGIC AND INTERNATIONAL STUDIES - CSIS. Securing Cyberspace for the 44th. Presidency: a report of the CSIS Commission on Cybersecurity for the 44th. United States Of America: Presidency. CSIS Washington. December. 2008. 88p. ESCOLA SUPERIOR DE GUERRA (Brasil). Fundamentos da Escola Superior de Guerra. Volume I Elementos Fundamentais. Rio de Janeiro, 2009. v.1 66 p. Franklin D. Kramer, Stuart H. Starr, Larry Wentz (eds.). Cyberpower and National Security. National Defense University, 2009 Fernandes, Jorge Henrique Cabral. Gesto da segurana da informao e comunicaes: volume 1. Universidade de Braslia, Braslia, DF, 2010. Government of India. Ministry of Communications and Information Technology. Department of Information Technology . Discussion draft on National Cyber Security Policy. 2011. Recuperado na Web em 13/02/2011. http://www.mit.gov.in/sites/upload_files/dit/files/ncsp_060411.pdf Mandarino Junior, Raphael. Segurana e defesa do espao ciberntico brasileiro, Cubzac Editora, Recife, 2010 UNITED STATES OF AMERICA. International Strategy for Cyberspace. Seal of the President of United States, Washington, DC, 2011.25 p.

43

ANEXO A - GLOSSRIO Buscou-se compilar conceitos considerados relevantes ao entendimento do que seja o espao ciberntico e que, eventualmente, pode ser necessrio no estabelecimento de uma Poltica de Segurana Ciberntica.

Ameaa: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao (ABNT, 2005). Artefato malicioso: Qualquer programa de computador, ou parte de um programa, construdo com a inteno de provocar danos, obter informaes no autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores (NC 05 DSIC/GSIPR, 2009). Ativo de Informao: Meios de armazenamento, transmisso e

processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso (Portaria 45 SE-CDN, 2009). Autenticidade: Propriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade (IN 01 GSIPR, 2008). Ciberguerra: uma modalidade de guerra em que as armas normais so substitudas por ataques virtuais. A existncia da ciberguerra deve-se ao fato de que atualmente, os meios digitais esto completamente integrados aos governos e a todas as pessoas. Neste contexto, se toda a rede de um pas for atacada, os

transtornos populao podem ser grandes e pode se gerar um enorme caos. Computer Emergency Response Team CERT: pode ser entendido como uma equipe de respostas emergenciais relacionadas aos problemas oriundos das reas de segurana da informao, ocasionados nos computadores existentes e em funcionamento em todo mundo. Comunidade internacional: integrao de naes amigas com mesmas aspiraes de Segurana Ciberntica independentes de variveis econmicas ou geogrficas. Confidencialidade: Propriedade de que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado (IN 01 GSIPR, 2008).

44

Continuidade de Negcios: Capacidade estratgica e ttica de um rgo ou entidade de se planejar e responder a incidentes e interrupes de negcios, minimizando seus impactos e recuperando perdas de ativos da informao das atividades crticas, de forma a manter suas operaes em um nvel aceitvel, previamente definido (NC 06 DSIC/GSIPR, 2009). Contineres dos Ativos de Informao: o continer o local onde vive o ativo de informao. qualquer tipo de recurso onde a informao est armazenada, transportada ou processada (STEVENS, 2005). Criticidade: priorizar os segmentos de maior vulnerabilidade que poderia acarretar em grande prejuzo ao pas. Desenvolvimento Nacional: O Desenvolvimento deve ser entendido como um processo social global em que todas as estruturas passam por con_nuas e profundas transformaes (ESG, 2009). Defesa: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a condio reconhecida como de segurana, ou ainda, reao contra qualquer ataque ou agresso real ou iminente. (Glossrio MD35-G-01;2007). Defesa: um ato ou conjunto de atos realizados para obter ou resguardar as condies que proporcionam a sensao de Segurana (ESG, 2009). Defesa Ciberntica: atividade que busca proteger os sistemas de governo relevantes em relao determinada ameaa. Disponibilidade: Propriedade de que a informao esteja acessvel e utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade (IN 01 GSIPR, 2008). Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR: Grupo de pessoas com a responsabilidade de receber, analisar e responder s notificaes e atividades relacionadas a incidentes de segurana em redes de computadores (NC 05 DSIC/GSIPR, 2009). Estratgia Nacional: A arte de preparar e aplicar o poder para conquistar e preservar objetivos, superando bices de toda ordem (ESG, 2009).. Expresso Econmica: Expresso Econmica do Poder Nacional a manifestao de natureza preponderantemente econmica do Poder Nacional, que contribui para alcanar e manter os Objetivos Nacionais (ESG, 2009).

45

Expresso Cientfica e Tecnolgica: Expresso Cientfica e Tecnolgica do Poder Nacional a manifestao preponderantemente cientfica e tecnolgica do Poder Nacional, que contribui para alcanar e manter os Objetivos Nacionais (ESG, 2009). Expresso Militar: Expresso Militar do Poder Nacional a manifestao de natureza preponderantemente militar do Poder Nacional, que contribui para alcanar e manter os Objetivos Nacionais (ESG, 2009). Fase do Diagnstico: envolve o conhecimento onde dever se produzir a ao, subdividindo-se em duas etapas: a Anlise do Ambiente e a Anlise do Poder (ESG, 2009). Fase Poltica: onde se formula o objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Elaborao de Cenrios e a a Concepo Poltica (ESG, 2009). Fase Estratgica: onde se concebe o caminho a seguir para alcanar o objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Concepo Estratgica e a Programao (ESG, 2009). Fase da Gesto: onde se procede a execuo, o acompanhamento e o controle das aes programadas, subdividindo-se em duas etapas: a Execuo e o Controle (ESG, 2009). Fonte de Risco: Elemento que, individualmente ou combinado, tem o potencial intrnseco para dar origem ao risco (ISO 31000, 2009). Gesto de riscos de segurana da informao e comunicaes: Conjunto de processos que permite identificar e implementar as medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos (NC 04 DSIC/GSIPR, 2009). Grau de sigilo: gradao atribuda a dado, conhecimentos, reas ou instalaes, considerados classificados, em decorrncia de sua natureza ou contedo (adaptao do Glossrio MD35-G-101, 2007). Guerra de informao: Conjunto de aes destinadas a obter a superioridade das informaes, afetando as redes de comunicao de um oponente e as informaes que servem de base aos processos decisrios do adversrio, ao mesmo tempo em que garante as informaes e os processos amigos. (Glossrio MD35-G-01, 2007).

46

Guerra ciberntica: Conjunto de aes para uso ofensivo e defensivo de informaes e sistemas de informaes para negar, explorar, corromper ou destruir valores do adversrio baseados em informaes, sistemas de informao e redes de computadores. Estas aes so elaboradas para obteno de vantagens tanto na rea militar quanto na rea civil. (Glossrio MD35-G-01, 2007). Infraestruturas Crticas: Instalaes, servios, bens e sistemas cuja interrupo ou destruio, total ou parcial, provocar srio impacto social, ambiental, econmico, poltico, internacional ou segurana do Estado e da sociedade. Infraestruturas Crticas da Informao: Subconjunto de ativos de informao que afetam diretamente a consecuo e a continuidade da misso do Estado e a segurana da sociedade (Portaria 34 SE-CDN, 2009). Interdependncia: Relao de dependncia ou interferncia de uma infraestrutura crtica em outra, ou de uma rea prioritria de infraestruturas crticas em outra (Poltica Nacional de Segurana de Infraestruturas Crticas, 2010 aprovada na CREDEN, e ainda no sancionada pelo Presidente da Repblica). Livro Branco: Documento de carter pblico, por meio do qual se permitir o acesso ao amplo contexto da Estratgia de Defesa Nacional, em perspectiva de mdio e longo prazos, que viabilize o acompanhamento do oramento e do planejamento plurianual relativos ao setor. Mtodo para o Planejamento: oriundo dos estudos e pesquisas realizados ao longo da existncia da Escola Superior de Guerra (ESG), o mtodo tem como objeto principal, da sua origem e aplicao, a busca da maior racionalidade nas decises nacional, fundamentado no Pensamento da ESG e em estudos acadmicos, tericos e empricos, assumindo carter finalstico e teleolgico, ao procurar associar os fatos s suas causas, de modo a obter explicaes e alcanas a compreenso e desenvolver o conhecimento, dividindo-se em quatro fases: do Diagnstico, Poltica, Estratgica e da Gesto. Necessidade de conhecer: condio indispensvel, inerente ao exerccio funcional, para que uma pessoa possuidora de credencial de segurana tenha acesso a dado e informao classificada, compatvel com seu credenciamento. Desta forma a necessidade de conhecer caracteriza-se como fator restritivo de acesso, independente do grau hierrquico ou funo que a pessoa exera (adaptao do Glossrio MD35-G-101, 2007).

47

Objetivos Nacionais (ON): so aqueles que a Nao busca satisfazer, em decorrncia da identificao de necessidades, interesses e aspiraes, em determinada fase de sua evoluo histrico-cultural. Os Objetivos Nacionais so classificados segundo sua natureza, em trs grupos: Objetivos Fundamentais (OF), Objetivos de Estado (OE); e Objetivos de Governo (OG) (ESG, 2009). Objetivos Fundamentais (OF): so Objetivos Nacionais (ON) que, voltados para o atingimento dos mais elevados interesses da Nao e preservao de sua identidade, subsistem por longo tempo (ESG, 2009). Objetivos de Estado (OE): so Objetivos Nacionais intermedirios, voltados para o atendimento de necessidades, interesses e aspiraes, considerados de alta relevncia para a conquista, consolidao e manuteno dos Objetivos

Fundamentais (ESG, 2009). Objetivos de Governo (OG): so Objetivos Nacionais intermedirios, voltados para o atendimento imediato de necessidades, interesses e aspiraes, decorrentes de situaes conjunturais em um ou mais perodos de Governo (ESG, 2009). Poder Nacional: Conjugao interdependente de vontades e meios, voltada para o alcance de uma finalidade. A vontade, por ser um elemento imprescindvel na manifestao do Poder, torna-o um fenmeno essencialmente humano,

caracterstico de um indivduo ou de um grupamento de indivduos. Poltica Nacional: Manifesta-se quando se busca aplicar racionalmente o Poder Nacional, orientando-o para o Bem Comum, por meio do alcance e manuteno dos Objetivos Fundamentais (ESG, 2009). Poltica Pblica: Conjunto de aes desencadeadas pelo Estado, no caso brasileiro, nas escalas federal, estadual e municipal, com vistas ao bem coletivo. Elas podem ser desenvolvidas em parcerias com organizaes no governamentais e, como se verifica mais recentemente, com a iniciativa privada. Projeo do Poder Nacional: processo pelo qual a Nao aumenta, de forma pacfica, sua influncia no cenrio internacional, por intermdio da manifestao produzida com recursos de todas as Expresses de seu Poder Nacional (ESG, 2009). Resilincia: Poder de recuperao ou capacidade de uma organizao resistir aos efeitos de um desastre. (NC 06 DSIC/GSIPR, 2009) Capacidade de resistir a fatores adversos e de recuperar-se rapidamente. (Poltica Nacional de Segurana de

48

Infraestruturas Crticas, 2010 aprovada na CREDEN, e ainda no sancionada pelo Presidente da Repblica). Risco: Efeito da incerteza nos objetivos (ABNT ISO GUIA 73, 2009). Riscos de segurana da informao: Possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira, prejudicando a organizao (ABNT, 2008). Riscos de segurana da informao e comunicaes: Potencial associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da organizao. (NC 04 DSIC/GSIPR, 2009). Segurana: a sensao de garantia necessria e indispensvel a uma sociedade e a cada um de seus integrantes, contra ameaas de qualquer natureza (ESG, 2009). Segurana Ciberntica: Arte de assegurar a existncia e a continuidade da Sociedade da Informao de uma Nao, garantindo e protegendo, no Espao Ciberntico, seus ativos de informao e suas infra-estruturas crticas (Portaria 45 SE-CDN, 2009). Segurana da Informao: Proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em

processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (PRESIDNCIA, 2000). Segurana da Informao e Comunicaes: Aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes (IN 01 GSIPR, 2008). Sistemas de Controle de Superviso e Aquisio de Dados: ou abreviadamente SCADA (proveniente do seu nome em ingls Supervisory Control and Data Aquisition) so sistemas que utilizam software para monitorar e supervisionar as variveis e os dispositivos de sistemas de controle conectados atravs de drivers especficos. Estes sistemas podem assumir topologia monoposto, cliente-servidor ou mltiplos servidores-clientes.

49

Tecnologias de Informao e Comunicao (TIC): podem ser definidas como o conjunto de recursos tecnolgicos, utilizados de forma integrada, com um objetivo comum. As TICs so utilizadas das mais diversas formas, na indstria (no processo de automao), no comrcio (no gerenciamento, nas diversas formas de publicidade), no setor de investimentos (informao simultnea, comunicao imediata) e na educao (no processo de ensino aprendizagem, na Educao Distncia). Vulnerabilidade: Propriedade intrnseca de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma conseqncia (ISO 31000, 2009). Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organizao, os quais podem ser evitados por uma ao interna de segurana da informao (NC 04 DSIC/GSIPR, 2009).

50

ANEXO B INTERNATIONAL STRATEGY FOR CYBERSPACE (Resumo elaborado pelo autor)

A Estratgia Internacional para o Ciberespao, International Strategy for Cyberspace (2011), dos Estados Unidos da Amrica (EUA), lanada em maio de 2011, pode ser considerada como uma referncia no estabelecimento de parmetros para uma Poltica Nacional para o setor no Brasil, levando em conta o avanado nvel tecnolgico e a experincia daquele pas em atividades relacionadas ao tema. Ressalta-se, naquele documento, os aspectos de promoo a prosperidade, a segurana e a abertura na rede mundial, destacando o aumento de seu uso nos dias atuais, como fica bem evidente no discurso do Presidente Barack Obama, de 29 de maio de 2009, This world cyberspace is a world that we dependo on every single day... [it] has made us more interconnected than at any time in human history. Aborda-se o tema como sendo um convite a outros estados e povos a se unirem aos EUA na realizao de uma viso de prosperidade, de segurana e abertura do mundo conectado. Trata-se de um chamado ao setor privado, sociedade civil, e tambm dos usurios no sentido de reforar a ao de sensibilizao e os esforos de parcerias. Na referida Estratgia, descrevem-se, inicialmente, os princpios e as caractersticas que o Espao Ciberntico mundial, salientando aspectos relevantes com relao ao estabelecimento de uma estratgia e que podem ser aproveitados em nossos parmetros a serem adotados no Brasil. Observa-se que, para realizar este futuro, os Estados Unidos esto visualizando combinar diplomacia, defesa e desenvolvimento para aumentar a prosperidade, segurana e abertura para que todos possam se beneficiar das tecnologias de rede. Dentre os aspectos apresentados na referida estratgica que combinam diplomacia, defesa e desenvolvimento, destacam-se os seguintes: - O objetivo diplomtico enfatiza que os Estados Unidos da Amrica iro trabalhar para criar incentivos a fim de construir consenso em torno de um ambiente internacional no qual os Estados - reconhecendo o valor intrnseco de um ciberespao, aberto, interopervel, seguro e confivel possam trabalhar em conjunto e agir como atores responsveis. Por intermdio das

relaes internacionais e parcerias, vai-se buscar garantir que o mximo possvel

51

de

partes

interessadas devido

estejam

includas nesta

viso do sociais,

ciberespao, polticos e de

especialmente segurana. Alm

a seus benefcios econmicos,

disso,

sistemas instituio,

distribudos necessitam documento,

de uma

ao

unificada, ser

porque nenhuma

arranjo, ou

instrumento pode

suficiente para atender as necessidades do mundo em rede. Considera-se que todos sejam importantes para ajudar ciberespao cumprir seu pleno potencial, tais como os usurios finais do setor privado, fornecedores de hardware e software e provedores de servios Internet, bem como outras organizaes. O objetivo de defesa inclui aspectos relacionados dissuaso.

Os EUA, junto com outras naes, incentivam um comportamento responsvel e ope-se queles que procuram perturbar as redes e sistemas, e assim dissuadir e impedir atores maliciosos, reservando o direito de defender esses ativos nacionais vitais quando necessrio e apropriado. Os Estados Unidos continuaro a reforar as defesas de sua rede e de outros sua capacidade de resistir e se recuperar sofisticados

de interrupes e

ataques. Para

aqueles ataques mais

que criam danos, vai-se agir em planos bem desenvolvidos de resposta para isolar e minimizar interrupes em suas mquinas, limitando os efeitos nas redes, e os efeitos em cascata potencial alm destes. Quando tal se justifique, os Estados Unidos da Amrica respondero a atos hostis no ciberespao como

seria para qualquer outra ameaa ao pas. Reservou-se o direito de usar todos os meios necessrios - diplomticas, de informao, militar e econmico - de forma adequada e consistente com o direito internacional aplicvel, a fim de defender a nao, os aliados, os parceiros e os interesses. Ao fazer isso, estima-se esgotar todas as opes antes de usar a fora militar, sempre que possvel; sero avaliados cuidadosamente os custos e riscos de ao contra os custos da no ao e agir-se de uma maneira que reflita os valores dos EUA e fortalea-se a legitimidade, buscando um amplo apoio internacional, sempre que possvel. O objetivo de desenvolvimento aborda as questes relativas a

prosperidade, construo e segurana. Acredita-se que os benefcios de um mundo conectado sejam universais. As virtudes de um ciberespao aberto, interopervel, seguro e confivel devem ser mais acessveis do que so hoje.

52

No texto, ressalta-se que os EUA podero desempenhar um papel ativo no fornecimento de conhecimento e capacidade para construir e garantir novos e j existentes sistemas digitais. Nos Estados Unidos, a assistncia e uma capacitao vista como um dilogo

investimento, um e parceria.

compromisso

importante

oportunidade de

Dentre os aspectos relacionados Economia, a Estratgia prope-se a promoo de normas internacionais inovadoras que garantam ao ciberespao a possibilidade de servir as necessidades das economias. Para tal pretende-se manter um ao acesso ambiente de a redes de livre comrcio que e estimule a a inovao tecnolgica

informtica

proteger

propriedade intelectual,

incluindo segredos comerciais. A cibersegurana para proteger as redes de fundamental importncia para a segurana econmica e nacional, no sentido mais amplo, aumentando a Segurana, confiabilidade e resilincia. Para tal esto sendo assinaladas aes que: - promovam a cooperao ciberespao, particularmente sobre as normas de comportamento para os estados e segurana ciberntica, bilateralmente e em uma srie de organizaes multilaterais e multinacionais parcerias. - reduzam intruses e interrupes em redes de EUA. - certifique-se da efetividade das aes de gerenciamento de incidentes, resilincia e capacidade de recuperao de informao. - melhorem a segurana da cadeia de fornecimento de alta tecnologia, em coordenao com a indstria. Outro aspecto citado refere-se a imposio da Lei, entendida como sendo a Colaborao Estendida do Estado de Direito. Para aumentar a confiana no ciberespao e acompanhar aqueles que exploram sistemas on-line, pretende-se: participar plenamente no desenvolvimento de uma poltica

internacional contra o cibercrime; harmonizar as leis criminalidade informtica a nvel internacional,

expandindo adeso Conveno de Budapeste; - focalizar o combate ao cibercrime e atividades ilegais, no restringindo o acesso Internet. - negar aos terroristas e outros criminosos a possibilidade de explorar a internet para o planejamento operacional, financiamento ou a realizao de ataques.

53

No campo militar, preparando-se para os desafios de segurana do sculo 21, desde o compromisso de defender os cidados estadunidenses, aliados e defender interesses que eventualmente podem estar sendo ameaados, pretende-se: - adaptar-se a necessidade crescente de redes militares confiveis e seguras; - construir e reforar alianas militares para enfrentar potenciais ameaas no ciberespao; e - expandir a cooperao ciberespao com aliados e parceiros para aumentar a segurana coletiva. Quanto a governana da Internet, pretende-se promover estruturas

eficazes e inclusivas, sendo que, para promover estruturas de governana da Internet que efetivamente atendam s necessidades de todos os usurios da Internet, objetiva-se: - priorizar a abertura e inovao na Internet. - preservar a segurana da rede e a estabilidade mundiais, incluindo o sistema de nome de domnio (DNS). - promover e melhorar as discusses multisetoriais locais para as questes de Governana da Internet. No quesito desenvolvimento internacional, apresenta-se a necessidade de capacitao, tecnologia de segurana e prosperidade. a Para promover os de benefcios da

rede global, visualiza-se

demanda

confiabilidade das

redes compartilhadas, e a construo de partes interessadas responsveis na comunidade do ciberespao, sendo que, para tanto, objetiva-se: - proporcionar os conhecimentos necessrios, treinamento e outros recursos para pases que busquem construir tcnicas e capacidades de cibersegurana; - desenvolver continuamente e regularmente prticas cibersegurana, bem como as melhores prticas internacionais; aprimorar a capacidade dos estados para combater o

cibercrime, incluindo formao de forenses especialistas, juristas e legisladores, para a aplicao da lei; e - desenvolver relaes com os decisores polticos com a finalidade de melhorar a capacitao tcnica, por intermdio de contato regular e permanente com os peritos e os seus correspondentes do governo dos Estados Unidos.

54

A liberdade na Internet engloba as liberdades fundamentais e a privacidade. Para ajudar a proteger as liberdades fundamentais, bem como a privacidade no ciberespao, pretende-se: - apoiar os atores da sociedade civil para alcanar plataformas confiveis, seguras e garantir as liberdades de expresso e de associao; - colaborar com a sociedade civil e organizaes no-governamentais para estabelecer salvaguardas e proteger sua atividade na Internet, evitando

invases digitais ilegais ; - incentivar a cooperao internacional para a efetiva proteo privacidade de dados comerciais; e - assegurar a interoperabilidade de uma Internet acessvel a todos. Segundo consta no referido documento, estes ideais so considerados fundamentais para preservar a integridade do ciberespao, assim como permitiro criar o futuro almejado. Nos termos finais do documento em questo, observa-se a seguinte afirmao To realize this future, the United States will combine diplomacy, defense, and development to enhance prosperity, security, and openness so all can benefit from networked technology.