Cibersegurança – Uma
Prioridade para os Governos
Sara Fernandes
Luanda, Angola
28 Novembro 2014
OBJETIVO E VISÃO GERAL
OBJETIVO
Introduzir conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir
problemas relacionados com a cibersegurança na lista de prioridades dos governos.
VISÃO GERAL
1
CONCEITOS
MOTIVAÇÃO, DEFINIÇÃO, OBJETIVO
2
ESTADO DA ARTE
TIPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA
3
ESTADO DA PRÁTICA
INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS
4
CONCLUSÕES
RESUMO
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 2
MOTIVAÇÃO
Novas tendências na Governação Eletrónica – isto é, whole-of-government, lean-government; confiar em
sistemas de TI heterogéneos e interligados, e vários tipos de intervenientes – público, privado; através do uso
de redes.
As redes possuem um papel fundamental em infraestruturas críticas, que incluem: comércio eletrónico;
comunicações de voz e dados; serviços em áreas como finanças, saúde, transportes, defesa, educação e
outras.
Devido ao papel das redes, a conectividade destas e um acesso ubíquo são fatores-chave nas operações
diárias dos governos. Portanto, as redes constituem um alvo vulnerável.
EXEMPLOS MOTIVADORES
EUA
O Departamento de Contabilidade do Governo norte-americano (GAO) afirmou que os eventos
significativos relacionados com a cibersegurança aumentaram 680% num período de 5 anos, de
5,503 casos em 2006 para 42,887 casos em 2011.
[http://www.informationweek.com/government/security/cyber-attacks-becoming-top-terror-threat/232600046]
UK
“Houve mais de 600 ataques maliciosos contra sistemas do governo britânico todos os dias, ao passo
que os criminosos podiam obter informações roubadas de cartões de crédito dos britânicos através
da internet por apenas 70 cêntimos.”
[http://www.huffingtonpost.com/2011/10/31/uk-cyber-attacks_n_1067084.html]
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 3
CIBERSEGURANÇA – DEFINIÇÃO
A cibersegurança é o conjunto de ferramentas, políticas, conceitos de segurança, medidas de segurança,
orientações, abordagens de gestão de riscos, ações, formações, boas práticas, garantias e tecnologias que
podem ser usadas para proteger o ambiente cibernético e os ativos das organizações e dos utilizadores.
[Recommendation ITU-T X.1205]
ATIVOS DAS ORGANIZAÇÕES E DOS UTILIZADORES
-
Computadores conectados
-
Infraestrutura
-
Recursos humanos
-
Aplicações
-
Sistemas de telecomunicação
-
Serviços
-
Informação transmitida
-
Informação guardada
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 4
CIBERSEGURANÇA – OBJETIVO
A cibersegurança tem como objetivo atingir e manter as propriedades de segurança dos ativos da
organização e do utilizador contra riscos de segurança relevantes no ambiente cibernético.
PROPRIEDADES DE SEGURANÇA
DISPONIBILIDADE
o descreve a quantidade de tempo, num período de um ano, em que os recursos do
sistema estão disponíveis em caso de falha de componentes
INTEGRIDADE
o validação dos dados, ausência de erros humanos, mau funcionamento do
hardware, danos causados por desastre natural
o pode incluir autenticidade e não-repúdio
CONFIDENCIALIDADE o dados, informação relativamente à qual uma divulgação não autorizada
representa uma ameaça
AMBIENTE CIBERNÉTICO
Utilizadores, redes, dispositivos, todo o software, processos, informação guardada ou em circulação,
aplicações, serviços e sistemas que podem estar direta ou indiretamente ligados às redes.
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 5
TIPOS DE AMEAÇAS
Duas classificações
ACIDENTAL – INCIDENTAL
ACIDENTAL
A ameaça existe sem intenção premeditada
EXEMPLO: mau funcionamento do sistema, bug do software
INCIDENTAL
As ameaças variam entre exames casuais e ataques sofisticados
EXEMPLO: obter acesso não autorizado a dados, ataque DoS (denial of service)
PASSIVA – ATIVA
PASSIVA
A ameaça não altera a informação nem o estado do sistema
EXEMPLO: ler e gravar dados privados
ATIVA
Produz uma alteração do estado, operações ou informação do sistema
EXEMPLO: vírus que elimina informação guardada
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 6
TIPOS DE ATAQUES
A cibersegurança requer uma gestão de riscos. Este processo implica a tarefa de identificar o conjunto de
componentes que necessitam de ser protegidos.
CLASSIFICAÇÃO DOS ATAQUES
INTERRUPÇÃO DO
SERVIÇO
Desativar o acesso do utilizador aos serviços atacados, temporária ou
permanentemente
EXEMPLO: falha de acesso a um website
ATIVOS
COMPROMETIDOS
Envolve roubo ou má utilização da infraestrutura
HIGHJAKING DE
COMPONENTES
Envolve tomar controlo de alguns aparelhos e depois utiliza-los para lançar novos
ataques contra outros componentes do ambiente cibernético
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 7
ABORDAGEM À SEGURANÇA
Os governos precisam de definir um plano abrangente para lidar com as falhas de segurança.
A segurança deve ser vista como sendo um processo ou uma forma de proteger sistemas, redes, aplicações e
dispositivos de rede.
A segurança tem de ser abrangente a todas as camadas da rede.
Um dos métodos é adotar uma abordagem por camadas, juntamente com uma forte política de gestão e
reforço, de forma a produzir uma solução modular, flexível e escalonável.
ANTES
HOJE
Internet
Rede
Governamental
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
Internet
Rede
Governamental
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 8
ABORDAGEM METODOLÓGICA
1) DIMENSÕES DE SEGURANÇA
2) CAMADAS DE SEGURANÇA
o controlo de acesso
o ao nível da infraestrutura
o autenticação
o ao nível dos serviços
o não-repúdio
o ao nível das aplicações
o confidencialidade dos dados
o segurança das comunicações
o integridade dos dados
o disponibilidade
o privacidade
Courtesy: [Rec.ITU-T X.1205 (04/2008)]
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 9
OBJETIVO E VISÃO GERAL
OBJETIVO
Introduzir os conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir
problemas relacionados com a cibersegurança na lista de prioridades dos governos.
VISÃO GERAL
1
CONCEITOS
MOTIVAÇÕES, DEFINIÇÕES, OBJETIVOS
2
ESTADO DA ARTE
TYPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA
3
ESTADO DA PRÁTICA
INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS
4
CONCLUSÕES
RESUMO
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 10
INICIATIVAS DE CIBERSEGURANÇA
DO GOVERNO AUSTRALIANO
Algumas das medidas de cibersegurança do governo australiano incluem:
CERT Austrália
Computer Emergency Response Team (CERT) – o sistema CERT assegura que os
cidadãos e as empresas têm acesso a informação sobre como proteger os seus
ambientes de TI de ataques cibernéticos e vulnerabilidades.
Segurança
Cibernética
Atribuí a responsabilidade de coordenar as políticas de cibersegurança de todo o
governo australiano e direciona-las para o Assessor de Segurança Nacional, parte do
departamento do primeiro-ministro.
Segurança Nacional
Baseado em relações cooperativas e coordenadas, o governo australiano dissemina e
recolhe informação sobre a segurança nacional.
[http://www.nationalsecurity.gov.au/]
Linha azul
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
Campanha de informação da
segurança pública nacional
Sistema de alerta de terrorismo
público nacional
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 11
MAIS INICIATIVAS DE CIBERSEGURANÇA
DO GOVERNO AUSTRALIANO
Algumas das medidas de cibersegurança do governo australiano incluem:
On Secure
Portal comunitário online para os profissionais de segurança que trabalham para o
governo.
Stay Smart Online
Fornece informação aos utilizadores de internet australianos relativamente a
processos simples que podem tomar para proteger os dados pessoais e financeiros
quando online.
[http://www.staysmartonline.gov.au/]
Semana Nacional da Consciencialização
da Segurança Cibernética
Trusted IS Network
Serviço de Alerta Gratuito
(ameaças à rede, vulnerabilidades)
Desafios Australianos de CiberSegurança
Fornece um ambiente para partilhar informação relativa a problemas de segurança relevantes
para a proteção das infraestruturas críticas e continuidade dos serviços essenciais.
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 12
MAIS UMA INICIATIVA DE CIBERSEGURANÇA
DO GOVERNO AUSTRALIANO
Algumas das medidas de cibersegurança do governo australiano incluem:
Cyber Smart
Um programa educacional sobre segurança cibernética concebido para ir de encontro
às expetativas das crianças, jovens, pais, professores e funcionários da biblioteca.
[http://www.cybersmart.gov.au/]
Young Kids
Teens
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 13
CIBERSEGURANÇA DO GOVERNO AUSTRALIANO
RESUMO
Courtesy: http://www.dsd.gov.au/partners/cybersecurity.htm]
Equipa
CERT
Australia
Cyber
Security
Função
Políticas
PRINCIPAIS PILARES
o Função
Cidadãos
o Política
o Pessoas
o Profissionais de segurança das TI
o Técnicos de apoio
Comunidade
de TI
Cyber
Smart
Stay
Smart
Online
On
Secure
o Cidadãos e Empresas
o Culturao Comunidade de TI
National
Security
Trusted
IS
Network
Cultura
Cidadãos
Empresas
Infraestrutura
o Infraestrutura crítica
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 14
USA COMPREHENSIVE NATIONAL
CYBER-SECURITY INITIATIVE (CNCI)
A iniciativa de cibersegurança nacional tem os seguintes objetivos:
O QUÊ estabelecer uma linha da frente de defesa contra ameaças iminentes
COMO criar e melhorar a consciência situacional partilhadas vulnerabilidades da rede, ameaças e eventos dentro
dos governos e parceiros, e a capacidade de reduzir vulnerabilidades e prevenir intrusões
O QUÊ defender-se contra todo o espectro de ataques
COMO melhorar as capacidades de contraespionagem dos EUA e aumentar a segurança da cadeia de
abastecimento das principais tecnologias de informação
O QUÊ fortalecer o futuro ambiente cibernético
COMO expandir a ciber-educação; coordenar e redirecionar os esforços de investigação e desenvolvimento
por todo o Governo Federal; trabalhar para definir e desenvolver estratégias para parar atividades
hostis ou maliciosas no ciberespaço
LINHA DA FRENTE
CAPACIDADES
AMBIENTE
EDUCAÇÃO
CONSCIENCIALIZAÇÃO
TECNOLOGIAS
ESTRATÉGIA
COORDENAÇÃO
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 15
EXEMPLOS DE INICIATIVAS DO CNCI
1) Gerir a Rede de Empresas Federais como se fosse uma única rede com ligações seguras à internet;
FIM:
Fornecer uma solução de segurança comum que inclua: facilidade na redução de pontos de acesso
externos; estabelecimento de capacidades de segurança base; validação da adesão da agência.
2) Implementar um sistema de deteção de intrusões através de toda a empresa federal;
FIM:
EINSTEIN 2 – permite analisar o fluxo de informação na rede para identificar atividade
potencialmente maliciosa. Conduz uma inspeção total e automáveis dos pacotes de tráfego que
entram ou saem das redes governamentais dos EUA, de forma a detetar atividade maliciosa
recorrendo ao uso de tecnologia de deteção de intrusões baseada em assinaturas.
3) Prosseguir a implementação de sistemas de prevenção de intrusão em toda a empresa federal;
FIM:
EINSTEIN 3 – vai detetar imediatamente e responder de forma apropriada às ameaças. Analisa em
tempo real e na totalidade os pacotes de dados no tráfego da rede de departamentos civis e agências
do ramo executivo federal, usando para tal tecnologicas comerciais e governamentais.
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 16
MAIS EXEMPLOS DE INICIATIVAS DO CNCI
4) Coordenar e redirecionar os esforços de investigação e desenvolvimento;
FIM:
Desenvolver estratégias e estruturas para coordenar todos os esforços patrocinados ou conduzidos
pelo governo dos EUA, quer classificados quer não classificados, e redirecionar esses esforços para
onde for necessário.
5) Conectar os centros operacionais cibernéticos atuais para melhorar a consciencialização situacional;
FIM:
Providenciar os meios necessários para possibilitar e apoiar a consciencialização situacional
partilhada e a colaboração entre centros responsáveis por executar atividades cibernéticas dos EUA,
endereçar a necessidade premente de existir partilha de informação entre os centros de estratégia e
de segurança relativamente a atividades maliciosas levadas a cabo contra os sistemas federais.
6) Desenvolver e implementar um plano de ciber contraespionagem (CI) em todo o governo;
FIM:
Estabelecer e expandir a formação em CI e em programas de consciencialização, e desenvolver uma
força de trabalho para integrar CI em todas as operações e análises, aumentar a consciência dos
funcionários para os perigos da ciber CI, e aumentar a colaboração intragovernamental.
7) Aumentar a segurança das nossas redes classificadas
FIM:
efetuar as diligências necessárias para garantir a integridade dessas redes e dos dados que contêm.
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 17
OUTRAS INICIATIVAS DO CNCI
OUTRAS INICIATIVAS
8)
Expandir a ciber-educação
9)
Definir e desenvolver tecnologias, estratégias e programas duradouros que representem um “salto
para a frente”
10) Definir e desenvolver estratégias e programas duradouros de retenção
11) Desenvolver uma abordagem multifacetada para o fornecimento da cadeia global de gestão de risco
12) Definir o papel federal para permitir a entrada da segurança cibernética em domínios de
infraestruturas críticas
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 18
INICIATIVAS GOVERNAMENTAIS DE CIBERSEGURANÇA – PRINCIPAIS IDEIAS COMUNS
AUSTRÁLIA
ESTADOS UNIDOS DA AMÉRICA
Atribuir a função nas estruturas governamentais
Definir estratégias
Definir políticas
Implementar sistemas de deteção e prevenção
Ir ao encontro das necessidades dos cidadãos e Promover e planear a formação e a investigação
empresas
Promover o suporte das comunidades de TI do governo
Formar técnicos de TI
Consciencializar a sociedade civil e o governo
Desenvolver capacidades: colaboração, coordenação, partilha de informação
Proteger infraestruturas críticas
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 19
OBJETIVO E VISÃO GERAL
OBJETIVO
Introduzir os conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir
problemas relacionados com a cibersegurança na lista de prioridades dos governos.
VISÃO GERAL
1
CONCEITOS
MOTIVAÇÃO, DEFINIÇÃO, OBJETIVO
2
ESTADO DA ARTE
TIPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA
3
ESTADO DA PRÁTICA
INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS
4
CONCLUSÕES
RESUMO
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 20
CONCLUSÕES
Os governos, os cidadãos, as empresas, todos enfrentam diariamente desafios relacionados com eventos de
segurança cibernética, sendo que este número continua a aumentar. Portanto, a cibersegurança é uma
prioridade para os governos.
Mais do que um conceito de segurança – a cibersegurança também incluí ferramentas, políticas, garantias de
segurança, orientações, abordagens de gestão de risco, ações, formação, boas práticas, garantias e
tecnologias para proteger o ambiente cibernético e os ativos das organizações e utilizadores.
O ambiente cibernético enfrenta vários tipos de ameaças – acidentais, incidentais, ativas, passivas; estas
resultam em diferentes tipos de ataques – interrupção do serviço, exposição de ativos e highjacking.
As abordagens à segurança devem ser abrangentes a todas as camadas – infraestrutura, serviços, aplicações;
e a todas as dimensões: controlo do acesso, autenticação, não-repúdio, segurança das comunicações,
confidencialidade dos dados, integridade dos dados, disponibilidade, privacidade.
Os aspetos em comum de vários governos sobre este tema incluem:
o desenvolver estratégias e políticas específicas relativas à cibersegurança;
o consciencializar as sociedades e o próprio governo a nível interno;
o desenvolver capacidades específicas – colaboração, coordenação e partilha de informação;
o proteger infraestruturas críticas no ambiente cibernético.
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 21
AGRADECIMENTOS
O conteúdo desta palestra foi preparado tendo como base as seguintes referências:
o ITU, X.1205,SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY,
Telecommunication security, “Overview of Cyber Security” (04/2008), available at:
[http://www.itu.int/rec/T-REC-X.1205-200804-I]
o Australian Government, Defense Signals Directorate, Australian Government Cyber Security
http://www.dsd.gov.au/partners/cybersecurity.htm
o The USA Comprehensive National Cybersecurity Initiative
http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative
CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS
LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 22
Obrigada pela sua atenção.
Alguma questão?
Sara Fernandes
[email protected]