POLTICAS NACIONAIS DE SEGURANA CIBERNTICA O Regulador das Telecomunicaes

Brasil, Estados Unidos, Unio Internacional das Telecomunicaes (UIT)

Defesa de Dissertao de Mestrado Aluno: Srgio Alves Jr. Orientador: Paulo Csar Coutinho REGEN/Universidade de Braslia

Braslia, 27 junho 2011

Introduo
Motivao:
Agncia bastante demandada, em razo de competncia legal Impacto econmico toda a cadeia de TICs; Plano Geral de Atualizao da Regulamentao das Telecomunicaes no Brasil (PGR): Estudos e adoo de medidas proteo da infraestrutura (IE) nacional de telecomunicaes contra falhas e ataques de guerra ciberntica. [terminologia inadequada] falta sistematizao

Problema: eventual papel da Anatel na Poltica Nacional de Segurana Ciberntica (PNSC) Hiptese: IE setor subjaz Internet regulador papel destaque

Metodologia
Pesquisa poltica (policy research) Bibliogrfica, documental pblica Foco exploratrio e prtico Limitaes conhecidas
Poucas entrevistas formais e documentos restritos Carncia de fontes institucionais Parcialidade: pesquisador servidor Anatel, delegado UIT

Estrutura
I. Noes Iniciais sobre Segurana Ciberntica (SC) Contextualizao e conceitos II. Modelos internacionais de polticas SC Unio Internacional de Telecomunicaes (UIT/ONU) Federal Communications Commission (FCC/EUA) Legitimao para atuao Propostas dos modelos III. Poltica Nacional de Segurana Ciberntica (PNSC) A poltica nacional nascente Propostas de atuao da Anatel

I. Fundamentao
Interconexo, interdependncia e sustentabilidade
Sociedade Informao (SI) Massificao TICs

Tudo. Todos. Mesmo tempo. Todos os lugares. Condio para SI: Infraestrutura e Informao Ameaas ao Ciberespao Ameaas prpria SI

Conceitos
Segurana e Proteo vocabulrio
Construo de arcabouo terico (Cyber???) Vulnerabilidades, riscos, ameaas malware worm hacker botnet vrus (senso comum)

Segurana ciberntica, Infraestrutura Crtica (IC)

UIT-T, Recomendao X.1205 GSI, Portaria n 45/2009 EUA, ???

Correlao conceitos UIT e GSI

UIT
O que
a coletnea de ferramentas, polticas, conceitos de segurana, medidas de segurana, diretrizes, abordagens de gesto de riscos, aes, treinamentos, melhores prticas, garantias e tecnologias que pode ser usada para proteger o ambiente virtual e os ativos da organizao e do usurio geral: Disponibilidade, integridade, confidencialidade garantir a realizao e manuteno das propriedades de segurana dos ativos da organizao e do usurio contra riscos de segurana relevantes no ambiente ciberntico Ativos da organizao e do usurio incluem dispositivos de computao conectados, pessoal, infraestrutura, aplicaes, servios, sistemas de telecomunicaes, bem como a totalidade da informao transmisso e / ou armazenada no ambiente ciberntico. (sistemas, servios e funes chave cuja interrupo ou destruio teria um impacto debilitante na sade e segurana pblica, comrcio, e segurana nacional, ou qualquer combinao dessas questes.) [Obs.: IEC no definido na Recomendao] a arte de

GSI

Objetivo

assegurar a existncia e a continuidade da Sociedade da Informao de uma Nao garantindo e protegendo, no Espao Ciberntico, seus Ativos de Informao e suas Infraestruturas Crticas

Por meio de / como

Ativos

So Ativos de Informao os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso. So Infraestruturas Crticas as instalaes, servios, bens e sistemas que, se forem interrompidos ou destrudos, provocaro srio impacto social, econmico, poltico, internacional ou segurana do Estado e da sociedade.

SC IC

Segurana e telecomunicaes
Ameaas/incidentes IC telecomunicaes
Speedy, So Paulo, 2008 e 2009 Oi, Bahia, 2010/11

Stuxnet, China, desvio de trfego Preges restritos, Telebras, Huaweii, ZTE, FCC, OFCOM Marco SC no Brasil: sequncia de ataques ao governo desde 22.06.2011
Presidncia, Brasil.gov, Senado, Petrobras, IBGE...

UnB!!!

Fonte: Google/ Internet

25.06.2011

Significado recente

jogos de guerra?????

Fonte: Google/ Internet

Nesse cenrio, Regulador? Interdependncia - PIC

Fonte: Google/ Internet

Nesse cenrio, Regulador? Segurana Pblica

Fonte: Google/ Internet

Nesse cenrio, Regulador? Defesa Ciberntica

Fonte: Google/ Internet

II. Para UIT e FCC, Sim.

Seja como protagonista na atividade regulatria direta (na proteo de infraestrutura crtica e imposio de padres tcnicos) Seja como contribuinte eventual (no combate ao crime ciberntico e na formulao da estratgia nacional de segurana ciberntica) Entre novas atribuies do regulador, papel crescente como ator em atividades de segurana ciberntica. UIT FCC Anatel

UIT
Legitimao
Cpula Mundial da Sociedade da Informao (CMSI)
C5: Criar confiana e segurana na utilizao de TICs Discurso presidente Lula 2009 na UIT: faa!

Papel
Conferncia de Plenipotencirios 2010 (PP-10)
Brasil, EUA, Europa: contra [ contradio discurso Lula] frica, rabes, China: a favor (nveis diversos) Desfecho: segurana e defesa nacional, crimes cibernticos, contedo de comunicaes esto fora do mandato da UIT

UIT: apenas mais um

Fonte: UIT

UIT: Regulador e SC
Cybersecurity: The Role and Responsibilities of an Effective Regulator Estratgia nacional: abordagem conjunta Atores: Governo, setor privado, usurio

Pressupostos para Regulador

Instituio madura perante Administrao Pblica Tem mandato bem definido Dispe de recursos e instrumentos adequados Impe padres tcnicos e fiscaliza implementao Integra processo de formulao de polticas

UIT: Reguladores vrios

Regulador lidera (Singapura) e assessora (EUA) Spam, botnets = proteo ao consumidor (Holanda) Assistncia legal (Nigria) e persecuo penal (Malsia) Secretariado na Poltica Nacional (Singapura) CSIRTs prprios (Sucia, Singapura, Hungria) Cultura de segurana (Reino Unido, Coria) PPP (EUA, Estnia, Japo, Sua)

EUA
ARPANet => Internet => 11.09 => Ato Patriota 2001 Obama: Cyberspace Policy Review (+ Clinton e Bush) CNCI: Compartilhamento responsabilidades e Coordenador de SC na Casa Branca (Bush e Obama) PNBL
SC incrementaria Segurana Nacional FCC promoveria SC e proteo de IEC

FCC: Consutas Pblicas 2010

i. Resilincia de redes de banda larga
i) principais falhas na arquitetura das redes, (ii) medidas implementadas por ISPs, (iii) melhores prticas, (iv) prioridade de trfego de agncias de primeiros socorros

ii. Certificao voluntria de insumos de rede

(i) custos e benefcios; (ii) incentivos a fornecedores para implementao de certificao; (iii) logstica, critrios, autorizaes e validade de certificao

iii. Roadmap de SC
(i) principais vulnerabilidades e como abord-las, (ii) o papel da FCC, (iv) medidas (caso haja) que a FCC deve tomar, (v) como FCC deve interagir com outros rgos

FCC: Respostas s Consultas

Respostas conservadoras, maioria setor privado
Argumentos favorveis:
setores financeiro e energtico, demandas de smart grids melhor esforo no mais suficiente educar consumidores ISPs monitoram comportamento e desempenho, obrig-los a informar interrupes e incidentes (resposta e tratamento) estimular adoo de solues de monitoramento de rede promover segurana e privacidade incluir entes pblicos, privados, especialistas Incentivar como selos de qualidade, financiamento, responsabilizao limitada de provedores

FCC: Respostas s Consultas

Respostas conservadoras, maioria setor privado
Argumentos contrrios:
Cautela! Falta-lhe mandato Falta Anlise de Impacto Regulatrio Preferncia por PPPs Implicaria duplicao de esforos Redes j bastante resilientes e respondem bem a crises DNSSEC, em implementao, aumenta segurana Alta concorrncia j implica incentivos a garantir segurana Certificao geraria descompasso tecnolgico

III. BRASIL
Estratgia Nacional de Defesa (Decreto n 6.703/2008)
3 setores estratgicos: espacial, nuclear e ciberntico Infraestrutura: Compatibilizar os atuais esforos governamentais de acelerao do crescimento com as necessidades da Defesa Nacional. Segurana Nacional: Todas as instncias do Estado devero contribuir para o incremento do nvel de Segurana Nacional, com particular nfase sobre (...) segurana ciberntica Margem para atuao de rgos de comunicaes

Stakeholders Brasil

Fonte: GSI, GT SEG CIBER

Estrutura Brasil
Conselho de Defesa Nacional
Cmara de Relaes Exteriores e Defesa Nacional (CREDEN)
Grupo Tcnico Segurana Ciberntica (GT SEG CIBER) GT Segurana Infraestruturas Crticas (GT SIC)

Conselho de Governo
Comit Gestor de Segurana da Informao (CGSI)
Grupo de Trabalho de SIC de Informao (GT SICI)

CREDEN/ Conselho de Governo

Lei n 8.028/1990
- assessorar o Presidente da Repblica na formulao de diretrizes de ao governamental

Decreto 4.801/2003 (alterado em 2008 e 2009) - formular, aprovar, promover polticas pblicas e diretrizes de matrias relacionadas com a rea das relaes exteriores e defesa nacional - aes pertinentes a [...] segurana das infraestruturas crticas, segurana da informao, segurana ciberntica

Portaria n 2/2008/GSI - pesquisar, propor, avaliar, estudar vulnerabilidades, interdependncia, causas, riscos, medidas, banco de dados de IC

Portaria n 45/2009/GSI - propor diretrizes e estratgias para a SC - de ine segurana ciberntica, ativos de informao, infraestrutura crtica

Portaria Interministerial n 16/2008/GSI/MC - GSI reporta CREDEN

Portarias n 3/2008, 15/2009, 196/2009, 26/2010/GSI

Portaria n 4/2009/GSI

Portaria n 5/2009/GSI

Portaria n 6/2009/GSI

CGSI/ Conselho de Defesa Nacional

Constituio Federal do Brasil

Conselho de Defesa Nacional

(Vice-Presidente, Cmara, Senado, MJ, MD, MRE, MPOG, Marinha, Exrcito, Aeronutica)

- opinar nas hipteses de declarao de guerra e de celebrao da paz, decretao do estado de defesa, do estado de stio e da interveno federal; - estudar, propor e acompanhar o desenvolvimento de iniciativas necessrias a garantir a independncia nacional e a defesa do Estado democrtico.

Comit Gestor de Segurana da Informao (CGSI) (MJ, MD, MRE, MF, Previdncia, MS, MDIC, MC, MCT, Casa Civil, GSI, SECOM, MME, CGU, AGU)

Decreto 3.505/2000 - institui Poltica de Segurana da Informao na Administrao Pblica Federal

Grupo Trabalho SICI (GSI, Casa Civil, MD, MS, MCT, MPOG, MRE, BACEN, BB, CAIXA, SERPRO, PETROBRAS, DATAPREV)

Portaria n 34/2009 - CDN/SE - pesquisar, propor, avaliar, estudar vulnerabilidades, interdependncia, causas, riscos, medidas, banco de dados de IEC

GT Criptogra ia (GSI, Casa Civil, MD, MJ, MRE, MC, MDIC, MCT, MF, AGU, CGU, Anatel)

Portaria n 35/2009/CDN/SE - propor regulamentao para o uso de Recursos Criptogr icos em TICs

GT Poltica Nacional de Telecomunicaes voltado para Defesa Nacional (GSI, Casa Civil, MC, MJ, MD, MRE, MF, MS, MPS, MDIC, MPOG, MCT,)

Portarian 16/2003 - CH/GSI - analisar e apresentar proposta de Poltica Nacional de Telecomunicaes e servios de valor agragado de interesse da Defesa Nacional

GT SEG CIBER

GT SEG CIBER (set/2009)

Propor diretrizes e estratgias SC para Adm. Federal Define segurana ciberntica e infraestrutura crtica GSI, MJ, MD, MRE, Marinha, Exrcito, Aeronutica
MC ?????

Grupos SIC
Grupo Tcnico SIC Telecom (GTSICTelecom/CREDEN, jul08) GSI, MC, Anatel, rgos e especialistas convidados SGTSIC: radiodifuso, telecomunicaes, postais Outros SGs: guas, energia, finanas, transporte

Grupo Trabalho SIC Informao (GTSICI, CDN, ago09) Estudo e anlise de matrias de SIC GSI, CC, Defesa, MPOG, MRE MS, MCT, BaCen, Banco Brasil, Caixa, Serpro, Petrobras, Datraprev
MC ?????

Comunicaes sub-representadas
MC participa do Conselho de Governo, mas no integra a CREDEN, participa do Grupo Tcnico de Segurana de Infraestruturas Crticas (GTSIC/CREDEN), mas no do Grupo Tcnico de Segurana Ciberntica (GT SEG CIBER) MC no participa do Conselho de Defesa Nacional, integra o CGSI, mas no participa do Grupo de Trabalho de Segurana de Infraestruturas Crticas da Informao (GTSICI/CGSI). inconsistncia?

Brasil: Livro verde

GT SEG CIBER Desafios, oportunidades, vetores Referncias a UIT, FCC, Citel
no cita Anatel (LGT) propostas dos modelos da pesquisa

Visa formulao de futura PNSC Clama por contribuies

Livro Verde: imperativos

Prioridade: lanar PNSC + PNSICrticas Regular mercado, por meio de padres tcnicos Defender privacidade Estabelecer rgo central de cpula Construir arcabouo conceitual Estimular parcerias pblico-privadas Promover cooperao internacional Liderar futura Conveno global ONU (UNODC??) Fomentar P&D

Diagnstico Anatel
Pases trabalham identificao de stakeholders UIT afirma que reguladores so primordiais Atuao FCC no unnime, mas indica projetos tangveis Anatel no desponta em seu carter poltico Manifestao de sua capacidade tcnica est oprimida Obstruo de sua imagem como ente estatal maduro apto a exercer funes estratgicas na PNSC

TCU audita TI da Agncia

Acrdo n 465/2011 do TCU, sobre regulamentao CGSI Irregularidades, precariedade e oportunidades na Anatel
inexiste Poltica de Segurana da Informao e Comunicaes (POSIC) inexiste inventrio dos ativos de informao inexiste equipe de tratamento e resposta a incidentes em redes computacionais (ETIR ou CERT) inexiste processo de gesto de riscos de segurana da informao

Agncia est pronta para PNSC?

A averiguar: sites e rgos atacados recentemente estavam em dia?

Propostas para Anatel

Fundamentos
Modelos da pesquisa LGT e regulamentao do setor Oportunidades de END e Livro Verde Desafios de Copa e Olimpadas sobre IEC e segurana no setor!

i. Possvel mandato
LGT: princpio da Soberania Nacional Reviso regulamentao Internet como Servio de Valor Adicionado (SVA) Descompasso com mercado obsta responsabilizao CPI Pedofilia exps o setor Mandato e recursos so fundamentais para PNSC

ii. Combate ao Spam e Botnets

Vis proteo ao consumidor Regulamentos obrigao de continuidade e qualidade Bloqueio da Porta 25 Agncia deve fiscalizar

Fonte: DiploFoundation

iii. IEC e tratamento de incidentes

Metodologia Proteo IC Telecomunicaes (PICT) j desenvolvida por Anatel e CPqD, com recursos do Funtell Prxima etapa: carter obrigatrio para operadoras Imposio de medidas e padres tcnicos para gesto Sigilo e privacidade CERT prprio: coleta de dados de incidentes de operadoras Cooperao com CERT.br, CTIR.gov, ETIRs de operadoras

iv. PD&I
Funtell Estratgia Nacional de Defesa Demanda mundial Wikileaks: EUA identifica riscos e oportunidades em SC e IEC no Brasil, em particular, para os grandes eventos esportivos

v. Harmonizao de aes
GSI e GT SEG CIBER MC e Anatel CGI.br e CERT.br Telebras (considerando rumos anunciados) MJ, Polcias, Congresso Nacional

vi. Estrutura permanente na Agncia

Vinculada ao Conselho Diretor , tal como Bureau de Segurana Nacional (DHS) da FCC Coordenao de atividades regulatrias e fiscalizatrias SC Promoo da cultura de Segurana Ciberntica Relacionamento externo com CREDEN, GT SEG CIBER, Congresso Nacional

vii. UIT e cooperao internacional

Comisses Brasileiras de Comunicaes (CBC) Incremento de representatividade delegaes BR UIT Demandas de foros extrapolam mandato da Anatel MRE, GSI, MD, Anatel se coordenaram para PP-10 PP-10 favorece rgos tcnicos Aproximao FCC e outros reguladores atuantes

Concluses

Modelos evidenciam atuao qualificada de reguladores Esparsas atividades de SC so empreendidas pela Anatel Margem para Anatel e MC na governana nacional, setor est sub-representado (GT SEG CIBER e formulao da PNSC) Demanda por coordenao nacional gera impacto no plano internacional Segurana Ciberntica na UIT j extrapola mandato da Anatel