Conselho da Indústria de Tecnologia da Informação Os Princípios de Segurança Cibernética do Setor de Tecnologia da Informação para a Indústria e o Governo Resumo The IT Industry’s Cybersecurity Principles for Industry and Government Summary RESUMO O presente documento é um resumo de uma publicação feita pelo Information Technology Industry Council (ITI) em janeiro de 2011. A versão completa do documento apresenta informações adicionais sobre seis princípios, os quais seguem abaixo de maneira resumida. Neles, podem ser verificados alguns exemplos do que o setor privado e o governo americano já estão fazendo em relação a cada um dos temas, bem como recomendações sobre o que ainda pode ser feito pelos formuladores de política interessados em segui-los. Embora os exemplos e recomendações detalhadas sejam específicos para os EUA, os seis princípios são aplicáveis em uma perspectiva global. A versão completa do documento pode ser encontrada: Cybersecurity Principles for Industry and Government (http://bit.ly/1g7z9dD). INTRODUÇÃO A segurança cibernética é uma prioridade para os governos. A enorme expansão do espaço cibernético trouxe crescimento econômico, oportunidades e prosperidade sem precedentes na história. Entretanto, tal ambiente também apresenta a possibilidade de ameaças e delitos. Desta forma, os interesses do setor privado e dos governos, em garantir a segurança e facilitar as transações e as atividades eletrônicas, são os mesmos. Todas as empresas desejam uma infraestrutura digital segura para suas transações comerciais e com o objetivo de garantir a viabilidade contínua da infraestrutura digital assim como o crescimento do setor, as empresas de tecnologia se veem motivadas a projetar e incorporar segurança em todos os seus produtos e sistemas. Além disso, os governos também precisam de uma infraestrutura digital global segura, de modo a obter desenvolvimento econômico, prosperidade, eficiência e proteção. Visando contribuir com o debate público sobre segurança cibernética, o ITI desenvolveu um conjunto de seis princípios para a indústria e o governo. O ITI tem como membros as empresas líderes mundiais em tecnologia, que atuam tanto como produtores, quanto consumidores de produtos e serviços de segurança cibernética. Para serem eficientes, os esforços para melhoria devem refletir sobre: • Aproveitar parcerias público-privadas para desenvolver iniciativas e compromissos sobre recursos existentes; • A natureza sem fronteiras, interconectada e global do ambiente cibernético; • Necessidade de rápida adaptação e respostas sobre ameaças, tecnologias e modelos de negócios emergentes; • Gestão de riscos efetiva; • Aumentar a consciência pública; e • Combater os atores que tentam tirar vantagens do chamado espaço cibernético e suas ameaças. O ITI e seus membros esperam poder trabalhar com formuladores de políticas públicas com o objetivo de apoiar o desenvolvimento e facilitação de um ambiente político efetivo que aumente a segurança e, ao mesmo tempo, mantenha os benefícios proporcionados pelo espaço cibernético. The IT Industry’s Cybersecurity Principles for Industry and Government 3 DEFININDO O CENÁRIO O espaço cibernético é fundamental para a economia global. Nas últimas décadas, o espaço cibernético tem crescido abruptamente. Trata-se de uma infraestrutura digital global interconectada, que inclui a Internet, sistemas de computadores, hardware, software, serviços e as informações digitais. Coletivamente, o espaço cibernético tem apresentado um crescimento econômico, oportunidades e prosperidade sem precedentes. Tanto que atualmente ele é considerado o sistema nervoso da atual economia mundial – grande parte das instituições econômicas não funcionaria sem ele. O espaço cibernético é a plataforma que habilita o e-commerce, e-government, compartilhamento de informações e o próprio comércio exterior. Os benefícios econômicos da Internet equivalem a um valor total de US$1,5 trilhões anuais. As tecnologias da informação (TI) subjacentes no espaço cibernético, têm automatizado setores econômicos inteiros, tais como o financeiro e o manufatureiro, além de estimular a criação de novas indústrias e mercados. Tal plataforma desenvolve-se com extrema rapidez. A evolução da tecnologia, da conectividade, de dispositivos e do próprio uso – de tablets, redes domésticas, medidores inteligentes, computação em nuvem e das redes sociais - têm transformado radicalmente o espaço cibernético em comparação com cinco anos atrás. Demograficamente, as jovens gerações consideram as redes sociais e a colaboração on-line como parte de seu dia a dia. Geopoliticamente, o espaço cibernético se espalha para além das fronteiras, tornando o mundo menor. Seu futuro é, ao mesmo tempo, estimulante e imprevisível. A segurança cibernética é fundamental para o espaço cibernético. A natureza interconectada, global e digital da infraestrutura cibernética também apresenta “maus atores” que enxergam este ambiente como uma oportunidade para realizar novos tipos de delitos. Portanto, as práticas de segurança servem para conter este tipo de iniciativa, de modo que as transações e atividades cibernéticas possam ocorrer com segurança. Nesse sentido, os interesses da indústria e do governo estão completamente alinhados. As empresas de todos os setores da indústria desejam uma infraestrutura digital segura para suas transações comerciais. As empresas de TI constroem hardwares, desenvolvem software e serviços visando permitir uma infraestrutura segura e reconhecem a necessidade de confiança em suas tecnologias e serviços. Para garantir a viabilidade contínua da infraestrutura e o crescimento de seu setor, as empresas de informática são altamente motivadas em projetar e incorporar segurança em todos os seus produtos e sistemas. Os governos precisam de uma infraestrutura digital global segura por motivos similares, tais como o crescimento econômico, prosperidade, eficiência e proteção, os quais representam um enorme valor aos negócios, aos cidadãos e às economias de suas nações. A cibersegurança avança em conjunto com o espaço cibernético. O crescimento do espaço cibernético continuará se seu desenvolvimento for guiado pela interoperabilidade, abertura, estabilidade, elasticidade, crescimento econômico e risco mitigado pela segurança. Em um ambiente político adequado, é possível incrementar a segurança enquanto se mantém os benefícios gerais do espaço cibernético. Nesse sentido, uma série de ferramentas e métodos estão disponíveis para os consumidores, empresas, governos, titulares e operadores de infraestrutura, além de uma indústria de TI pronta para enfrentar desafios e alcançar objetivos de segurança que preocupam todas as partes interessadas. Tais ferramentas incluem o compartilhamento de informações, modelos de gerenciamento de risco, tecnologias, capacitação e o desenvolvimento de 4 padrões, regras e melhores práticas de segurança de aceitação global. Portanto, a política pública desempenha um papel importante encourajando o uso e a melhoria destas ferramentas, assim como no auxilio em relação às expectativas e ações das partes interessadas quanto à cibersegurança. PRINCÍPIOS Existem seis princípios que regem o trabalho conjunto da indústria e do governo visando desenvolver o marco político certo para incrementar a cibersegurança: 1. Os esforços para melhoria da cibersegurança devem estimular parcerias entre o setor público e o privado de modo a estabelecer iniciativas e compromissos sobre os recursos existentes. Motivo da sua importância: É bem conhecido o fato de que o setor privado detém e opera 85% da infraestrutura crítica dos EUA, e que a indústria de TI compõe quase a totalidade da infraestrutura da rede mundial de computadores. O que não é conhecido é a multiciplidade de formas as quais a indústria de TI trabalha de forma cooperativa com os governos federais, estaduais e municipais com o objetivo de melhorar a segurança cibernética e garantir que os métodos nela utilizados sejam flexíveis e efetivos. Por mais de uma década, as empresas de TI têm oferecido especialistas, recursos técnicos e financeiros, inovação e direcionamento de modo a permitir que todas as partes interessadas gerenciem melhor e mitiguem os riscos de cibersegurança. O espaço cibernético seria muito menos seguro caso não existissem estas parcerias e iniciativas. 2. Os esforços para melhoria da segurança cibernética devem refletir a natureza sem fronteiras, interconectada e global do ambiente das redes. Motivo da sua importância: O espaço cibernético é global, um ambiente interconectado que envolve fronteiras geográficas e jurisdições nacionais. Com o fim de respaldar o crescimento, funcionamento, manutenção e segurança deste ambiente, as empresas de TI inovam continuamente e investem no desenvolvimento de produtos e serviços que possam ser implementados em uma perspectiva global. As partes interessadas pelo espaço cibernético, – tais como os consumidores, empresas, governos e atores envolvidos com a infraestrutura – visam uma experiência uniforme e segura no espaço cibernético. Os eforços para melhorar a segurança teriam que refletir sobre a natureza sem fronteiras do espaço cibernético e basear-se em normas, melhores práticas e garantias internacionais que possuam aceitação global. Esta abordagem tende a aperfeiçoar a segurança e reduzir os custos, já que é possível que esforços individuais não apresentem os mesmos benefícios que os processos de revisão tradicionalmente encontrados em padronizações globais, já que medidas de segurança devem se estender em toda a infraestrutura digital global. Esta abordagem também visa: • Melhorar a interoperabilidade da infraestrutura digital, uma vez que as práticas de segurança e tecnologias podem ser alinhadas além das fronteiras; • Permitir que sejam utilizados mais recursos do setor privado para investimentos e inovação, de modo a enfrentar futuros desafios de segurança; • Aprimorar o comércio internacional em produtos e serviços de cibersegurança que The IT Industry’s Cybersecurity Principles for Industry and Government 5 podem ser utilizados em diversos mercados; e • Permitir que os países cumpram seus compromissos internacionais, tais como o Acordo sobre Barreiras Técnicas ao Comércio da Organização Mundial do Comércio (OMC), que convoca a não discriminação na elaboração, adoção e aplicação de regulamentos técnicos, padrões e procedimentos de avaliação de conformidade; a não criação de obstáculos desnecessários para o comércio; a harmonização de especificações e procedimentos com padrões internacionais de cumprimento voluntário na medida do possível; e a transparência destas medidas. 3. Os esforços para melhoria da cibersegurança devem ser adaptados para rapidamente lidar com ameaças à segurança, tecnologias e modelos de negócios emergentes. Motivo da sua importância: TI é uma indústria inovadora e dinâmica e as relações existentes no espaço cibernético evoluem continuamente. Portanto, as tecnologias do espaço cibernético mudam constantemente, quer seja na Internet, nos sistemas de computadores, hardware, software e serviços, dispositivos ubíquos e nas informações digitais. Para que os dispositivos como os utilizados nas residências em rede e tablets, se conectem à rede, eles devem ser atualizados constantemente. Novos negócios e modelos de prestação de serviços, como os aplicativos móveis, as redes sociais e a computação em nuvem estão despontando. Os “maus atores” estão modificando e adaptando suas técnicas constantemente. As melhorias de cibersegurança devem ser flexíveis para que possam aproveitar, de maneira efetiva, as novas tecnologias e modelos de negócios, de modo a enfrentar diariamente a dinâmica de ameaças assim como gerenciar novos riscos e vulnerabilidades. Os esforços de melhoria na segurança cibernética também devem considerar a tecnologia, as pessoas e os processos. 4. Os esforços para melhoria da cibersegurança devem basear-se na gestão do risco. Motivo da sua importância: Segurança não é um estado definitivo. É um meio para garantir que os benefícios da infraestrutura digital continuem crescendo. Não há setor algum na economia, seja online ou offline, que é ou será cem por cento seguro e sem risco inerente. Nunca estaremos totalmente isentos de desastres naturais, crimes, espionagem, guerra, acidentes aéreos ou automobilísticos, de falhas de projetos, riscos creditícios, de ameaças à saúde pública ou mesmo de terroristas. Todavia, em todos estes cenários, existem aqueles que atuam e utilizam a gestão de riscos visando a identificação, avaliação e tomada das devidas providências para gerenciá-los em um alto nível. As estratégias de gestão de risco incluem evitá-lo, reduzir seu efeito negativo e trabalhar para gerenciar algumas ou todas as consequências de um risco em particular. A cibersegurança deve ser parte de um ambiente de gestão de risco geral, incorporando a tecnologia, as pessoas e os processos. 5. Os esforços de melhoria da cibersegurança devem focar em conscientização. Motivo da sua importância: A gama de atores existentes no espaço cibernético – consumidores, empresas, governos e atores envolvidos na infraestrutura – precisam saber como reduzir o risco para seus bens, reputação e operações. Contudo, muitos participantes não estão conscientes disso e, portanto, não utilizam as ferramentas disponíveis de forma adequada, tais como 6 compartilhamento de informações, modelos de gerenciamento de risco, tecnologias disponíveis, capacitação, assim como os padrões de segurança, guias e melhores práticas de aceitação mundial. A conscientização para que todos utilizem as ferramentas e procedimentos adequados é crítica para a melhoria da segurança cibernética. 6. Os esforços de melhoria da cibersegurança devem focar nos “maus atores” e suas ameaças. Motivo da sua importância: Cibersegurança significa a compreensão e a mitigação de ameaças, além das vulnerabilidades e consequências. Frequentemente minimizamos a importância de gerenciamento de ameaças e não damos a devida atenção por se tratar de um desafio complexo. O Espaço cibernético, com sua conectividade global, apresenta desafios consideráveis para aqueles que têm de protegê-lo. A amplitude das atividades delituosas e a quantidade de “maus atores” tornam a elaboração de respostas aos incidentes difíceis. Ao mesmo tempo, devemos tomar conhecimento das analogias entre os mundos online e offline. Tratam-se de atores e delitos tradicionais – as diferenças são os meios de atuação – e as leis e organismos governamentais tradicionais foram encarregados de enfrentá-los há muito tempo. About the Information Technology Industry Council (ITI) ITI’s mission is to shape policy issues and drive standards that create a global competitive business environment. ITI is widely recognized as the tech sector’s most effective advocacy organization in Washington D.C., and in various foreign capitals around the world. Our members are global leaders in innovation – from all areas of the ICT sector including hardware, services, and software – the products our members create are the face of global economic growth and the heart of improving peoples’ lives. ITI is dedicated to advocating for its member companies through three main divisions: Environment and Sustainability, Global Policy, and U.S. Federal Government Relations. In these divisions ITI engages in a broad range of issues around tax, trade, talent, telecommunications, cybersecurity, accessibility and sustainability. To help its member companies achieve their policy objectives, ITI maintains relationships with Members of Congress, Administration officials, and state and foreign governments; organizes industry-wide consensus on policy issues; and works to enact innovationfriendly government policies. ITI has served the high-tech industry longer than any other trade association in the United States. Founded in 1916 in Chicago, Illinois, ITI has changed and adapted with the industry as it has evolved. To learn more, please visit www.itic.org. The IT Industry’s Cybersecurity Principles for Industry and Government 7 Foreword This summary is excerpted from a longer original document that ITI published in English in January 2011 and shared widely with U.S. Government policymakers in both the U.S. Congress and Administration. In addition to the text below, the English document includes additional information related to each of the six principles: a short (1-2 sentence) summary of each principle; some examples of what U.S. industry and the U.S. Government are already doing related to each principle; and recommendations about what more policymakers (including Congress and the Administration) can do to support each principle. Although these more detailed examples and recommendations are U.S.-specific, the six principles themselves are globally applicable. The English version of the original document can be found here: Cybersecurity Principles for Industry and Government (http://bit.ly/1g7z9dD). Introduction Cybersecurity is rightly a critical priority for governments. The phenomenal expansion of cyberspace has brought unprecedented economic growth, opportunity, and prosperity. It also, however, presents bad actors with completely new threat and crime opportunities. The interests of industry and governments in securing and facilitating cyber-based transactions and activities are fundamentally aligned. All companies want a secure digital infrastructure for commercial transactions. To ensure the continued viability of the infrastructure and growth of their sector, technology companies are highly motivated to design and build security into the DNA of their products and systems. Governments need a secure global digital infrastructure for economic growth, prosperity, efficiency, and protection. To better inform the public cybersecurity discussion, the Information Technology Industry Council (ITI) has developed a comprehensive set of six cybersecurity principles for industry and government. ITI comprises the world’s leading technology companies, both producers and consumers of cybersecurity products and service. The outcome of extensive discussions among ITI members, the six principles aim to provide a useful and important lens through which any efforts to improve cybersecurity should be viewed. To be effective, efforts to enhance cybersecurity must: • Leverage public-private partnerships and build upon existing initiatives and resource commitments; • Reflect the borderless, interconnected, and global nature of today’s cyber environment; • Be able to adapt rapidly to emerging threats, technologies, and business models; • Be based on effective risk management; • Focus on raising public awareness; and • More directly focus on bad actors and their threats. ITI and its members look forward to working with policymakers to develop and facilitate an effective public policy framework that enhances security while maintaining the overall benefits of cyberspace. 8 SETTING THE STAGE Cyberspace is Fundamental to the Modern Global Economy. In recent decades, “cyberspace” has grown phenomenally. An interconnected global digital infrastructure, cyberspace includes the Internet, computer systems, hardware, software and services, and digital information. Collectively, cyberspace has brought unprecedented economic growth, opportunity, and prosperity. It is the nervous system of today’s economy – most of our major economic institutions would not operate without it. It enables e-commerce, e-government, information sharing, and trade. In fact, the annual global economic benefits of the commercial Internet equal $1.5 trillion.1 Cyberspace’s underlying information technologies (IT) have automated entire economic sectors such as finance and manufacturing and continue to create whole new industries and markets. Cyberspace also evolves quickly. Evolving technology, connectivity, devices, and uses – computing tablets, home networks, smart meters, cloud computing, social networks – have made cyberspace of today radically different from that of five years ago. Demographically, young generations view social networking and online collaboration as parts of their daily lives. Geopolitically, cyberspace is expanding across borders, making our world smaller. We can be sure that cyberspace will continue to evolve. Its future is both exciting and in many ways unpredictable. Cybersecurity is Fundamental to Cyberspace. The interconnected, global, and digital nature of the cyber infrastructure unfortunately also has presented bad actors with completely new crime opportunities. Security practices serve to counter these opportunities and allow cyberbased transactions and activities to occur safely. In this area, the interests of industry and governments are fundamentally aligned. Companies across all industry sectors want a secure digital infrastructure for commercial transactions. IT companies build the hardware, software, and services to enable a secure infrastructure and recognize the need for trust in their technologies and services. To ensure the continued viability of the infrastructure and growth of their sector, IT companies are highly motivated to design and build security into the DNA of their products and systems. Governments need a secure global digital infrastructure for similar reasons such as economic growth, prosperity, efficiency, and protection – all of which provide tremendous value to their nations’ businesses, citizens, and economies. Cybersecurity is Advancing in Tandem with Cyberspace. The growth of cyberspace will continue to advance if its development is guided by interoperability, openness, stability, resiliency, economic growth, and risk mitigated by security. In the right policy environment, we can increase security while maintaining cyberspace’s overall benefits. A host of tools and approaches are available to consumers, businesses, governments, infrastructure owners and operators, and an IT industry ready to meet our shared security challenges and goals. These evolving tools include information sharing, risk management models, technology, training, and the development of globally accepted security standards, guidelines, and best practices. Public policy will play an important role in encouraging the use and improvement of these tools and helping to shape the expectations and actions of stakeholders in regard to cybersecurity. The Internet Economy 25 Years After .Com: Transforming Life and Commerce,” Information Technology and Innovation Foundation (ITIF), March 2010. 1 The IT Industry’s Cybersecurity Principles for Industry and Government 9 PRINCIPLES As industry and governments work together to develop the right policy framework to enhance cybersecurity, there are six guiding principles to follow: 1. Efforts to improve cybersecurity must leverage public-private partnerships and build upon existing initiatives and resource commitments. Why is this important? It is well-known that the private sector owns and operates 85 percent of critical infrastructure in the United States, and that the IT industry creates nearly the entire cyberspace infrastructure. What is not known is the multitude of ways in which the IT industry works cooperatively with federal, state, and local governments to improve cybersecurity and ensure that approaches to cybersecurity are adaptive and effective. For well over a decade, IT companies have provided leadership, subject-matter experts, technical and monetary resources, innovation, and stewardship to enable all stakeholders to better manage and mitigate cybersecurity risk. Cyberspace would be much less secure in the absence of these partnerships and initiatives. 2. Efforts to improve cybersecurity must reflect the borderless, interconnected, and global nature of today’s cyber environment. Why is this important? Cyberspace is a global, interconnected domain that spans geographic borders and national jurisdictions. To support the growth, operation, maintenance, and security of this domain, IT companies continually innovate and invest in the development of globally deployable products and services. Cyberspace’s stakeholders – consumers, businesses, governments, and infrastructure owners and operators – seek a consistent, secure experience in cyberspace. Efforts to improve cybersecurity should reflect cyberspace’s borderless nature and be based on globally accepted standards, best practices, and international assurance programs. This approach will improve security, because nationally focused efforts may not have the benefit of the best peer review processes traditionally found in global standards bodies, because proven and effective security measures must be deployed across the entire global digital infrastructure, and because the need to meet multiple, conflicting security requirements in multiple jurisdictions raises enterprises’ costs, demanding valuable security resources. This approach will also: • Improve interoperability of the digital infrastructure, because security practices and technologies can be better aligned across borders; • Permit more private sector resources to be used for investment and innovation to address future security challenges; • Increase international trade in cybersecurity products and services that can be sold in multiple markets; and • Allow countries to comply with their international commitments, such as the World Trade Organization (WTO)’s Technical Barriers to Trade Agreement (TBT), which calls for non- discrimination in the preparation, adoption, and application of technical regulations, standards, and conformity assessment procedures; avoidance of unnecessary obstacles to trade; harmonization of specifications and procedures with international standards as far as possible; and the transparency of these measures. 10 3. Efforts to improve cybersecurity must be able to adapt rapidly to emerging threats, technologies, and business models. Why is this important? IT is an innovative and dynamic industry, and cyberspace relationships evolve continuously among its stakeholders. Cyberspace’s technologies change constantly, whether they are the Internet, computer systems, hardware, software, and services, ubiquitous devices, and digital information. Devices to connect to cyberspace, such as networked home devices and computing tablets, are constantly updated and upgraded. New business and service delivery models such as mobile applications, social networking, and cloud computing are emerging. Criminals or other bad actors are constantly modifying and adapting their techniques. Cybersecurity efforts must be flexible so that they can effectively leverage new technologies and business models, address constantly changing threat dynamics, and manage new risks and vulnerabilities. Cybersecurity efforts also must use technologies, people, and processes. 4. Efforts to improve cybersecurity must be based on risk management. Why is this important? Security is not an end state. It is a means of ensuring that the benefits from the digital infrastructure continue to grow. No sector of the economy, whether offline or online, is – or can ever be – 100 percent secure and without some inherent risk. We will never be completely free from natural disasters, crime, espionage, war, airplane or automobile accidents, project failures, credit risks, threats to public health, or terrorists. In all of these scenarios, however, practitioners use risk management to identify risk, assess risk, and take steps to manage risk to an acceptable level. Strategies to manage risk include, avoiding the risk, reducing the negative effect of the risk, and accepting some or all of the consequences of a particular risk. Cybersecurity must be part of an overall risk management framework, incorporating technology, people, and processes. 5. Efforts to improve cybersecurity must focus on awareness. Why is this important? The range of cyberspace’s stakeholders – consumers, businesses, governments, and infrastructure owners and operators – needs to know how to reduce risks to their property, reputations, and operations. Yet many stakeholders are not aware of and also do not adequately utilize the array of tools available to them to do so, such as information sharing, risk management models, technology, training, and globally accepted security standards, guidelines and best practices. Raising awareness so that cyberspace’s stakeholders can use these tools is critical to improving cybersecurity. 6. Efforts to improve cybersecurity must more directly focus on bad actors and their threats. Why is this important? Cybersecurity means understanding and mitigating threats in addition to vulnerabilities and consequences. Too often we downplay the importance of managing threats, and do not pay it the attention it needs, because it is a formidable and complex challenge. Cyberspace, with its global connectivity, poses considerable challenges to those tasked with protecting it. The breadth of criminal activity and number of bad actors make getting ahead of the actors and crafting responses to incidents difficult. At the same time, we must acknowledge the analogies between the off-line and on-line worlds. These are often traditional actors and crimes – the difference is the medium – and there are traditional laws and government bodies that have long been tasked with dealing with them. The IT Industry’s Cybersecurity Principles for Industry and Government 11 Information Technology Industry Council (ITI) 1101 K Street, N.W. Suite 610 Washington, D.C. 20005 T: 202-737-8888 www.itic.org © 2014 Version 4.0