Cibersegurança – Uma Prioridade para os Governos Sara Fernandes Luanda, Angola 28 Novembro 2014 OBJETIVO E VISÃO GERAL OBJETIVO Introduzir conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir problemas relacionados com a cibersegurança na lista de prioridades dos governos. VISÃO GERAL 1 CONCEITOS MOTIVAÇÃO, DEFINIÇÃO, OBJETIVO 2 ESTADO DA ARTE TIPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA 3 ESTADO DA PRÁTICA INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS 4 CONCLUSÕES RESUMO CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 2 MOTIVAÇÃO Novas tendências na Governação Eletrónica – isto é, whole-of-government, lean-government; confiar em sistemas de TI heterogéneos e interligados, e vários tipos de intervenientes – público, privado; através do uso de redes. As redes possuem um papel fundamental em infraestruturas críticas, que incluem: comércio eletrónico; comunicações de voz e dados; serviços em áreas como finanças, saúde, transportes, defesa, educação e outras. Devido ao papel das redes, a conectividade destas e um acesso ubíquo são fatores-chave nas operações diárias dos governos. Portanto, as redes constituem um alvo vulnerável. EXEMPLOS MOTIVADORES EUA O Departamento de Contabilidade do Governo norte-americano (GAO) afirmou que os eventos significativos relacionados com a cibersegurança aumentaram 680% num período de 5 anos, de 5,503 casos em 2006 para 42,887 casos em 2011. [http://www.informationweek.com/government/security/cyber-attacks-becoming-top-terror-threat/232600046] UK “Houve mais de 600 ataques maliciosos contra sistemas do governo britânico todos os dias, ao passo que os criminosos podiam obter informações roubadas de cartões de crédito dos britânicos através da internet por apenas 70 cêntimos.” [http://www.huffingtonpost.com/2011/10/31/uk-cyber-attacks_n_1067084.html] CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 3 CIBERSEGURANÇA – DEFINIÇÃO A cibersegurança é o conjunto de ferramentas, políticas, conceitos de segurança, medidas de segurança, orientações, abordagens de gestão de riscos, ações, formações, boas práticas, garantias e tecnologias que podem ser usadas para proteger o ambiente cibernético e os ativos das organizações e dos utilizadores. [Recommendation ITU-T X.1205] ATIVOS DAS ORGANIZAÇÕES E DOS UTILIZADORES - Computadores conectados - Infraestrutura - Recursos humanos - Aplicações - Sistemas de telecomunicação - Serviços - Informação transmitida - Informação guardada CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 4 CIBERSEGURANÇA – OBJETIVO A cibersegurança tem como objetivo atingir e manter as propriedades de segurança dos ativos da organização e do utilizador contra riscos de segurança relevantes no ambiente cibernético. PROPRIEDADES DE SEGURANÇA DISPONIBILIDADE o descreve a quantidade de tempo, num período de um ano, em que os recursos do sistema estão disponíveis em caso de falha de componentes INTEGRIDADE o validação dos dados, ausência de erros humanos, mau funcionamento do hardware, danos causados por desastre natural o pode incluir autenticidade e não-repúdio CONFIDENCIALIDADE o dados, informação relativamente à qual uma divulgação não autorizada representa uma ameaça AMBIENTE CIBERNÉTICO Utilizadores, redes, dispositivos, todo o software, processos, informação guardada ou em circulação, aplicações, serviços e sistemas que podem estar direta ou indiretamente ligados às redes. CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 5 TIPOS DE AMEAÇAS Duas classificações ACIDENTAL – INCIDENTAL ACIDENTAL A ameaça existe sem intenção premeditada EXEMPLO: mau funcionamento do sistema, bug do software INCIDENTAL As ameaças variam entre exames casuais e ataques sofisticados EXEMPLO: obter acesso não autorizado a dados, ataque DoS (denial of service) PASSIVA – ATIVA PASSIVA A ameaça não altera a informação nem o estado do sistema EXEMPLO: ler e gravar dados privados ATIVA Produz uma alteração do estado, operações ou informação do sistema EXEMPLO: vírus que elimina informação guardada CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 6 TIPOS DE ATAQUES A cibersegurança requer uma gestão de riscos. Este processo implica a tarefa de identificar o conjunto de componentes que necessitam de ser protegidos. CLASSIFICAÇÃO DOS ATAQUES INTERRUPÇÃO DO SERVIÇO Desativar o acesso do utilizador aos serviços atacados, temporária ou permanentemente EXEMPLO: falha de acesso a um website ATIVOS COMPROMETIDOS Envolve roubo ou má utilização da infraestrutura HIGHJAKING DE COMPONENTES Envolve tomar controlo de alguns aparelhos e depois utiliza-los para lançar novos ataques contra outros componentes do ambiente cibernético CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 7 ABORDAGEM À SEGURANÇA Os governos precisam de definir um plano abrangente para lidar com as falhas de segurança. A segurança deve ser vista como sendo um processo ou uma forma de proteger sistemas, redes, aplicações e dispositivos de rede. A segurança tem de ser abrangente a todas as camadas da rede. Um dos métodos é adotar uma abordagem por camadas, juntamente com uma forte política de gestão e reforço, de forma a produzir uma solução modular, flexível e escalonável. ANTES HOJE Internet Rede Governamental CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS Internet Rede Governamental LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 8 ABORDAGEM METODOLÓGICA 1) DIMENSÕES DE SEGURANÇA 2) CAMADAS DE SEGURANÇA o controlo de acesso o ao nível da infraestrutura o autenticação o ao nível dos serviços o não-repúdio o ao nível das aplicações o confidencialidade dos dados o segurança das comunicações o integridade dos dados o disponibilidade o privacidade Courtesy: [Rec.ITU-T X.1205 (04/2008)] CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 9 OBJETIVO E VISÃO GERAL OBJETIVO Introduzir os conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir problemas relacionados com a cibersegurança na lista de prioridades dos governos. VISÃO GERAL 1 CONCEITOS MOTIVAÇÕES, DEFINIÇÕES, OBJETIVOS 2 ESTADO DA ARTE TYPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA 3 ESTADO DA PRÁTICA INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS 4 CONCLUSÕES RESUMO CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 10 INICIATIVAS DE CIBERSEGURANÇA DO GOVERNO AUSTRALIANO Algumas das medidas de cibersegurança do governo australiano incluem: CERT Austrália Computer Emergency Response Team (CERT) – o sistema CERT assegura que os cidadãos e as empresas têm acesso a informação sobre como proteger os seus ambientes de TI de ataques cibernéticos e vulnerabilidades. Segurança Cibernética Atribuí a responsabilidade de coordenar as políticas de cibersegurança de todo o governo australiano e direciona-las para o Assessor de Segurança Nacional, parte do departamento do primeiro-ministro. Segurança Nacional Baseado em relações cooperativas e coordenadas, o governo australiano dissemina e recolhe informação sobre a segurança nacional. [http://www.nationalsecurity.gov.au/] Linha azul CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS Campanha de informação da segurança pública nacional Sistema de alerta de terrorismo público nacional LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 11 MAIS INICIATIVAS DE CIBERSEGURANÇA DO GOVERNO AUSTRALIANO Algumas das medidas de cibersegurança do governo australiano incluem: On Secure Portal comunitário online para os profissionais de segurança que trabalham para o governo. Stay Smart Online Fornece informação aos utilizadores de internet australianos relativamente a processos simples que podem tomar para proteger os dados pessoais e financeiros quando online. [http://www.staysmartonline.gov.au/] Semana Nacional da Consciencialização da Segurança Cibernética Trusted IS Network Serviço de Alerta Gratuito (ameaças à rede, vulnerabilidades) Desafios Australianos de CiberSegurança Fornece um ambiente para partilhar informação relativa a problemas de segurança relevantes para a proteção das infraestruturas críticas e continuidade dos serviços essenciais. CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 12 MAIS UMA INICIATIVA DE CIBERSEGURANÇA DO GOVERNO AUSTRALIANO Algumas das medidas de cibersegurança do governo australiano incluem: Cyber Smart Um programa educacional sobre segurança cibernética concebido para ir de encontro às expetativas das crianças, jovens, pais, professores e funcionários da biblioteca. [http://www.cybersmart.gov.au/] Young Kids Teens CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 13 CIBERSEGURANÇA DO GOVERNO AUSTRALIANO RESUMO Courtesy: http://www.dsd.gov.au/partners/cybersecurity.htm] Equipa CERT Australia Cyber Security Função Políticas PRINCIPAIS PILARES o Função Cidadãos o Política o Pessoas o Profissionais de segurança das TI o Técnicos de apoio Comunidade de TI Cyber Smart Stay Smart Online On Secure o Cidadãos e Empresas o Culturao Comunidade de TI National Security Trusted IS Network Cultura Cidadãos Empresas Infraestrutura o Infraestrutura crítica CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 14 USA COMPREHENSIVE NATIONAL CYBER-SECURITY INITIATIVE (CNCI) A iniciativa de cibersegurança nacional tem os seguintes objetivos: O QUÊ estabelecer uma linha da frente de defesa contra ameaças iminentes COMO criar e melhorar a consciência situacional partilhadas vulnerabilidades da rede, ameaças e eventos dentro dos governos e parceiros, e a capacidade de reduzir vulnerabilidades e prevenir intrusões O QUÊ defender-se contra todo o espectro de ataques COMO melhorar as capacidades de contraespionagem dos EUA e aumentar a segurança da cadeia de abastecimento das principais tecnologias de informação O QUÊ fortalecer o futuro ambiente cibernético COMO expandir a ciber-educação; coordenar e redirecionar os esforços de investigação e desenvolvimento por todo o Governo Federal; trabalhar para definir e desenvolver estratégias para parar atividades hostis ou maliciosas no ciberespaço LINHA DA FRENTE CAPACIDADES AMBIENTE EDUCAÇÃO CONSCIENCIALIZAÇÃO TECNOLOGIAS ESTRATÉGIA COORDENAÇÃO CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 15 EXEMPLOS DE INICIATIVAS DO CNCI 1) Gerir a Rede de Empresas Federais como se fosse uma única rede com ligações seguras à internet; FIM: Fornecer uma solução de segurança comum que inclua: facilidade na redução de pontos de acesso externos; estabelecimento de capacidades de segurança base; validação da adesão da agência. 2) Implementar um sistema de deteção de intrusões através de toda a empresa federal; FIM: EINSTEIN 2 – permite analisar o fluxo de informação na rede para identificar atividade potencialmente maliciosa. Conduz uma inspeção total e automáveis dos pacotes de tráfego que entram ou saem das redes governamentais dos EUA, de forma a detetar atividade maliciosa recorrendo ao uso de tecnologia de deteção de intrusões baseada em assinaturas. 3) Prosseguir a implementação de sistemas de prevenção de intrusão em toda a empresa federal; FIM: EINSTEIN 3 – vai detetar imediatamente e responder de forma apropriada às ameaças. Analisa em tempo real e na totalidade os pacotes de dados no tráfego da rede de departamentos civis e agências do ramo executivo federal, usando para tal tecnologicas comerciais e governamentais. CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 16 MAIS EXEMPLOS DE INICIATIVAS DO CNCI 4) Coordenar e redirecionar os esforços de investigação e desenvolvimento; FIM: Desenvolver estratégias e estruturas para coordenar todos os esforços patrocinados ou conduzidos pelo governo dos EUA, quer classificados quer não classificados, e redirecionar esses esforços para onde for necessário. 5) Conectar os centros operacionais cibernéticos atuais para melhorar a consciencialização situacional; FIM: Providenciar os meios necessários para possibilitar e apoiar a consciencialização situacional partilhada e a colaboração entre centros responsáveis por executar atividades cibernéticas dos EUA, endereçar a necessidade premente de existir partilha de informação entre os centros de estratégia e de segurança relativamente a atividades maliciosas levadas a cabo contra os sistemas federais. 6) Desenvolver e implementar um plano de ciber contraespionagem (CI) em todo o governo; FIM: Estabelecer e expandir a formação em CI e em programas de consciencialização, e desenvolver uma força de trabalho para integrar CI em todas as operações e análises, aumentar a consciência dos funcionários para os perigos da ciber CI, e aumentar a colaboração intragovernamental. 7) Aumentar a segurança das nossas redes classificadas FIM: efetuar as diligências necessárias para garantir a integridade dessas redes e dos dados que contêm. CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 17 OUTRAS INICIATIVAS DO CNCI OUTRAS INICIATIVAS 8) Expandir a ciber-educação 9) Definir e desenvolver tecnologias, estratégias e programas duradouros que representem um “salto para a frente” 10) Definir e desenvolver estratégias e programas duradouros de retenção 11) Desenvolver uma abordagem multifacetada para o fornecimento da cadeia global de gestão de risco 12) Definir o papel federal para permitir a entrada da segurança cibernética em domínios de infraestruturas críticas CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 18 INICIATIVAS GOVERNAMENTAIS DE CIBERSEGURANÇA – PRINCIPAIS IDEIAS COMUNS AUSTRÁLIA ESTADOS UNIDOS DA AMÉRICA Atribuir a função nas estruturas governamentais Definir estratégias Definir políticas Implementar sistemas de deteção e prevenção Ir ao encontro das necessidades dos cidadãos e Promover e planear a formação e a investigação empresas Promover o suporte das comunidades de TI do governo Formar técnicos de TI Consciencializar a sociedade civil e o governo Desenvolver capacidades: colaboração, coordenação, partilha de informação Proteger infraestruturas críticas CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 19 OBJETIVO E VISÃO GERAL OBJETIVO Introduzir os conceitos relacionados com a cibersegurança e alertar para a necessidade de introduzir problemas relacionados com a cibersegurança na lista de prioridades dos governos. VISÃO GERAL 1 CONCEITOS MOTIVAÇÃO, DEFINIÇÃO, OBJETIVO 2 ESTADO DA ARTE TIPOS DE AMEAÇAS, ATAQUES, ABORDAGEM À SEGURANÇA 3 ESTADO DA PRÁTICA INICIATIVAS GOVERNAMENTAIS – AUSTRÁLIA E ESTADOS UNIDOS 4 CONCLUSÕES RESUMO CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 20 CONCLUSÕES Os governos, os cidadãos, as empresas, todos enfrentam diariamente desafios relacionados com eventos de segurança cibernética, sendo que este número continua a aumentar. Portanto, a cibersegurança é uma prioridade para os governos. Mais do que um conceito de segurança – a cibersegurança também incluí ferramentas, políticas, garantias de segurança, orientações, abordagens de gestão de risco, ações, formação, boas práticas, garantias e tecnologias para proteger o ambiente cibernético e os ativos das organizações e utilizadores. O ambiente cibernético enfrenta vários tipos de ameaças – acidentais, incidentais, ativas, passivas; estas resultam em diferentes tipos de ataques – interrupção do serviço, exposição de ativos e highjacking. As abordagens à segurança devem ser abrangentes a todas as camadas – infraestrutura, serviços, aplicações; e a todas as dimensões: controlo do acesso, autenticação, não-repúdio, segurança das comunicações, confidencialidade dos dados, integridade dos dados, disponibilidade, privacidade. Os aspetos em comum de vários governos sobre este tema incluem: o desenvolver estratégias e políticas específicas relativas à cibersegurança; o consciencializar as sociedades e o próprio governo a nível interno; o desenvolver capacidades específicas – colaboração, coordenação e partilha de informação; o proteger infraestruturas críticas no ambiente cibernético. CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 21 AGRADECIMENTOS O conteúdo desta palestra foi preparado tendo como base as seguintes referências: o ITU, X.1205,SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY, Telecommunication security, “Overview of Cyber Security” (04/2008), available at: [http://www.itu.int/rec/T-REC-X.1205-200804-I] o Australian Government, Defense Signals Directorate, Australian Government Cyber Security http://www.dsd.gov.au/partners/cybersecurity.htm o The USA Comprehensive National Cybersecurity Initiative http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative CIBERSEGURANÇA – UMA PRIORIDADE PARA OS GOVERNOS LUANDA, ANGOLA, 28 NOVEMBRO, 2014, 22 Obrigada pela sua atenção. Alguma questão? Sara Fernandes [email protected]