Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
CARLOS VENDET DE SOUZA
Estudo Sobre a Implementação de Equipes de Tratamento e
Resposta a Incidentes de Rede na Administração Pública Federal
Brasília
2011
Carlos Vendet de Souza
Estudo Sobre A Implementação de Equipes de Tratamento e
Resposta a Incidentes de Rede na Administração Pública Federal
Brasília
2011
Carlos Vendet de Souza
Estudo Sobre A Implementação de Equipes de Tratamento e
Resposta a Incidentes de Rede na Administração Pública Federal
Monografia apresentada ao Departamento
de
Ciência
da
Computação
da
Universidade de Brasília como requisito
parcial para a obtenção do título de
Especialista em Ciência da Computação:
Gestão da Segurança da Informação e
Comunicações.
Orientador: Prof. Me. Ulysses Alves de Levy Machado
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
novembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Carlos Vendet de Souza. Qualquer parte desta publicação pode
ser reproduzida, desde que citada a fonte.
Souza, Carlos Vendet de
Estudo Sobre A Implementação de Equipes de Tratamento e
Resposta a Incidentes de Rede na Administração Pública Federal:
Conformidade com as Normas Complementares 05 e 08 do DSIC,
Dificuldades encontradas na Implementação das Equipes e Análise Crítica das
Normas / Carlos Vendet de Souza. – Brasília: O autor, 2011. 44 p.;
Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1.Segurança da Informação. 2. Tratamento de Incidentes. 3. SIC
CDU 004.0561
Ata de Aprovação de Monografia
Monografia de Especialização Lato Sensu, defendida sob o título Estudo Sobre A
Implementação de Equipes de Tratamento e Resposta a Incidentes de Rede na
Administração Pública Federal
por Carlos Vendet de Souza, em 25 de novembro de 2011, no Auditório do
Departamento de Ciência da Computação da UnB, em Brasília - DF, e aprovada
pela banca examinadora constituída por:
Prof. Me. Ulysses Alves de Levy Machado
Serviço Federal de Processamento de Dados e UnB
Orientador
Prof. MSc. João José da Costa Gondim
UnB – Departamento de Ciência da Computação
Prof. MSc. Ricardo Barros Sampaio
UnB – Departamento de Ciência da Computação
Prof. Dr. Jorge Henrique Cabral Fernandes
Coordenador do Curso de Especialização em Gestão da Segurança da Informação e
Comunicações – CEGSIC 2009/2011
Dedicatória
Dedico esse trabalho à minha esposa Sonia, meus filhos Karina e André, aos
colegas de trabalho e aos colegas de curso.
Agradecimentos
Agradeço a Deus.
Agradeço ao DSIC e à Universidade de Brasília pela idéia e implementação
do Curso de Especialização em Segurança da Informação e Comunicações à
distância, que propiciou a oportunidade a muitas pessoas como eu de trabalhar por
um título de Pós-Graduação na área de Segurança da Informação. Agradeço
também à Dataprev, em especial ao Coordenador Geral de Segurança de
Informações, Humberto Campedelli, por incentivar minha participação no curso.
Sumário
Ata de Aprovação de Monografia ................................................................................3
Dedicatória ................................................................................................................11
Agradecimentos ........................................................................................................12
Sumário .....................................................................................................................13
Resumo .....................................................................................................................15
Abstract .....................................................................................................................16
1 A Construção de uma Equipe de Resposta............................................................12
1.1 Introdução ...........................................................................................................13
1.2 Questionamentos a serem Tratados ...................................................................15
1.3 Normas Complementares, ETIR’s e Conformidade ............................................15
1.3.1 Modelos de Implementação das ETIR’s ...........................................................16
1.3.2 Desafios da APF para estabelecer suas ETIR’s...............................................16
1.3.3 Escopo .............................................................................................................17
1.4 Elaboração do trabalho e Importância do tema...................................................17
1.5 Classificação dos Resultados Obtidos ................................................................19
1.5.1 Conformidade Total ..........................................................................................19
1.5.2 Conformidade Parcial .......................................................................................19
1.5.3 Situação de Conformidade Insatisfatória..........................................................20
1.6 Hipótese ..............................................................................................................21
2 Revisão de Literatura e Fundamentos ...................................................................22
2.1 O que é e como implementar uma ETIR .............................................................22
2.2 Modelos de Implementação ................................................................................25
3 Metodologia............................................................................................................28
4 Resultados .............................................................................................................31
4.1 Tabela 1 – Sumário das Respostas aos Questionários Enviados .......................31
4.2 Respostas Detalhadas por Equipe: .....................................................................32
4.3 Tabela 2 – Percentuais das Respostas Obtidas..................................................36
5 Discussão...............................................................................................................38
5.1 Limites de Atuação ..............................................................................................39
5.2 Repasse de dados de Incidentes ao CTIR.GOV .................................................39
5.3 Prioridade ainda baixa por parte da APF ............................................................42
6 Conclusões e Trabalhos Futuros............................................................................44
6.1 Conclusões..........................................................................................................44
6.2 Trabalhos Futuros ...............................................................................................48
Referências e Fontes Consultadas ...........................................................................49
Resumo
Com a presente pesquisa tem-se o objetivo de descobrir como a Administração
Pública Federal do Brasil está enfrentando a questão relativa ao Tratamento e
Resposta a Incidentes de Rede e como está organizando os grupos que efetuam
esse trabalho diariamente, conhecidos mais comumente como CSIRT’s ou ETIR’s.
Levando em conta o teor das Normas Complementares nº 05, de 14/08/2009 e 08 de
19/08/2010, que regram a implementação de equipes desse tipo em todos os órgãos
da APF, buscou-se levantar, a partir de um questionário enviado a dez equipes já
existentes, o gênero e nível das dificuldades encontradas pelos órgãos que se
dispuseram a fazê-lo e identificar o nível de conformidade com relevantes
dispositivos constantes das referidas normas. Também foi realizado um estudo
crítico de alguns itens das normas, que centralizam, de certa forma, grande poderio
de atuação e conhecimento sobre assuntos sigilosos nessas equipes, além de
analisar se algumas das exigências alí previstas são de difícil execução por parte de
alguns dos órgãos públicos federais, identificando-se as causas dessas dificuldades.
Abstract
This research has the scope of accessing the way how brazillian Federal Public
Administration deals with the Treatment and Response to Security Incidents and how
the groups who play this role daily, normally known as CSIRT's or ETIR's have been
organized in their structure. Regarding the content of Complementary Norms nº 05,
on august, 14, 2009 and nº 08 on august, 19, 2010, which rules the implementation
of such responst teams in the core of Federal Public Agencies, one searched to
access by means of an inquiry addressed to ten existing teams, the very nature and
level of difficulties arised on its implementation. It was also accessed those team’s
level of compliance with relevant legal devices related to the matter and the manner
how some normative devices increase large amount of power to those teams,
including relevant knowledge about classified matter. It had been finnally issued if
there are, in those groups, some legal requirements still not accomplished and why.
1 A Construção de uma Equipe de
Resposta
Com o crescimento do acesso aos meios digitais e com o acirramento da
complexidade e intensidade das relações na comunidade digital, a multiplicação de
incidentes e a necessidade de se conceber, no plano corportivo, um mecanismo de
gestão de riscos, torna-se necessária a construção de uma "Equipe de Tratamento e
Resposta a Incidentes de Segurança em Redes Computacionais (ETIR)" - ou um
"Computer Security Incident Response Team (CSIRT)", nomenclatura que prospera
no mundo face à predominancia da língua inglesa.
Não foi à toa que o Departamento de Segurança da Informação e das
Comunicações - DSIC, órgão do GSI responsável pela normatização da Segurança
da Informação e Comunicações no âmbito da APF, tratou de normatizar, a partir de
2010, a criação das ETIR’s e sua gestão, de modo a garantir interação e cooperação
técnica. Desde então, e em atendimento ao disposto nas referidas normas, diversos
times (precedentes às referidas normas ou criados a partir do referido regramento),
vêm sendo constituídos no âmbito de órgãos e entidades da APF, perfazendo o
papel institucional e inafastável de elemento corporativo de resposta a incidentes.
Desse regramento surge a necessidade de se verificar se a padronização
exigida nas normas complementares do DSIC estão sendo cumpridas pelos órgãos
da APF. O objetivo deste trabalho é discutir o resultado de uma consulta dirigida a
dez equipes que já estão efetuando essa difícil tarefa, em órgãos amplamente
12
distintos, com características próprias e com diferenças em termos de pessoal
capacitado e disponível, recursos próprios necessários às implementações mínimas
exigidas e ainda lidando, cada qual a seu modo, com a rápida evolução do assunto
no âmbito federal.
1.1 Introdução
A Segurança da Informação e Comunicações nunca foi assunto tão
comentado como tem sido hoje em dia. Muitos incidentes de segurança, desde
SPAM’s transmitidos pela internet até a indisponibilidade ou interrupção de grandes
sistemas com ou sem captura de informações indevidas ocorrem todos os dias em
algum lugar do mundo informatizado.
Para tratar mais especificamente esse tipo de incidente, o de segurança,
alguns órgãos criaram equipes próprias dedicadas, que atuam em ações como a
análise de códigos maliciosos, condução de investigações que visam descobrir as
causas de um incidente, formas de garantir a recuperação e melhorar a segurança
de sistemas ou ambientes atingidos, prevenindo-os contra novas incidências.
No Governo Federal, o Departamento de Segurança de Informações e
Comunicações - DSIC, órgão ligado diretamente ao Gabinete de Segurança
Institucional da Presidência da República, editou duas normas complementares que
obrigam todos os órgãos da Administração Pública Federal a criarem e manterem
equipes para o tratamento e resposta a incidentes de rede. São elas as normas
complementares nº 05 e 08. Abaixo a descrição inicial do objetivo de cada uma
delas:
"OBJETIVO
Disciplinar a criação de Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais – ETIR nos órgãos e entidades da Administração
Pública Federal, direta e indireta – APF." (UNIÃO FEDERAL, 2011,1)
13
"OBJETIVO
Disciplinar o gerenciamento de Incidentes de Segurança em Redes e
Computadores realizado pelas Equipes de Tratamento e Resposta a
Incidentes de Segurança em Redes Computacionais-ETIR dos órgãos e
entidades da Administração Pública Federal, direta e indireta-APF."
(UNIÃO FEDERAL, 2011,2)
Assim, decorridos dois anos da publicação da Norma Complementar nº 05,
que torna obrigatória a criação de equipes para o Tratamento e Resposta a
Incidentes de Rede em todos os órgãos da Administração Pública Federal e com a
recente publicação da Norma Complementar nº 08, que estabelece regras para a
gestão dessas equipes, o objetivo principal desta pesquisa é verificar essas
implementações e a conformidade que apresentam com as duas normas
complementares citadas acima, em dez órgãos da APF.
Como bem preleciona Gondim (2009/2011), a atividade de gestão de
incidentes não se restringe a uma área de conhecimento e tampouco se identifica
necessariamente com a criação de um órgão estático e dedicado, verbis:
"O tratamento e resposta a incidentes é uma atividade multidisciplinar que
normalmente demanda recursos de diferentes áreas operacionais da
organização. Pessoal de recursos humanos e do jurídico, pessoal técnico,
profissionais de segurança – inclusive segurança corporativa – gerentes de
negócio, usuários finais e outros colaboradores podem se ver envolvidos
na resposta a um incidente de segurança computacional. Uma abordagem
adotada por várias organizações é formar equipes especializadas em
responder a incidentes computacionais, os grupos de resposta a incidentes
computacionais – GRIC.
Os GRIC são equipes multidisciplinares que contam com o expertise
necessário (técnico, legal e também de outras áreas, como comunicação)
para resolver um incidente. Como os membros desses grupos têm
habilidades muito especializadas, e sendo a frequência dos incidentes
baixa, esse grupo pode não ser necessário em todos os momentos, sendo
convocado dinamicamente quando a organização necessitar." (GONDIM,
2009/11, 32).
14
Como se pode ver do texto doutrinário examinado, não foi à toa que o
legislador ao disciplinar, nas Normas Complementares do DSIC, a criação dos
ETIRs,
estabeleceu
diversas
possibilidades
de
composição
(centralizada,
descentralizada, mista etc.) elementos que farão parte de nossa pesquisa.
1.2 Questionamentos a serem Tratados
Para que possa ser conhecida a situação atual da implementação de ETIR’s
na Administração Pública Federal, foram elaboradas questões relacionadas a alguns
dos principais requisitos das normas complementares do DSIC. Em suma, foi
pesquisado o seguinte:
Existem de fato Equipes de Tratamento e Resposta a Incidentes de Rede
atuando na Administração Pública Federal?
Essas equipes apresentam conformidade com as Normas Complementares nº
05 e 08 publicadas pelo DSIC?
Quais as principais dificuldades encontradas pelos órgãos para implementar
equipes desse tipo?
As equipes existentes têm sido treinadas em disciplinas de Segurança da
Informação e Comunicações?
As Normas Complementares apresentam regras e procedimentos que, de
alguma forma, podem prejudicar/dificultar a atuação das equipes de alguns órgãos
ou ainda que sejam difíceis de ser cumpridas na íntegra?
1.3 Normas Complementares, ETIR’s e Conformidade
A criação de normas de Segurança da Informação e Comunicações (SIC)
próprias para a Administração Pública Federal surgiu da necessidade de estabelecer
procedimentos específicos e compatíveis com as empresas e órgãos públicos.
Vários são os órgãos e empresas públicas e da mesma forma, variadas são as
condições e o conhecimento que cada órgão/empresa possui em cada disciplina de
15
SIC. Para a criação de cada uma das Normas Complementares do DSIC são
formados grupos de trabalho, onde participam membros dos próprios órgãos e
empresas públicas federais, que se reúnem diversas vezes para discutir cada tópico
e redigir os textos apropriados, considerando a situação de cada Ministério, órgão ou
empresa da APF. Assim, a normatização interna, específica e ponderada por parte
do DSIC é de suma importância, pois estabelece regras factíveis com condições
apropriadas.
A constatação da existência de equipes próprias de Tratamento e Resposta a
Incidentes de Rede (Segurança da Informação) deve, dessa forma, efetuar um teste
de conformidade com as normas complementares criadas especificamente pelo
DSIC.
1.3.1 Modelos de Implementação das ETIR’s
As formas de implementação presentes nas normas complementares 05 e 08
do DSIC são flexíveis, visando a criação e adaptação progressiva das equipes aos
padrões definidos e admitindo formações de equipes iniciais que não contenham
pessoal próprio e dedicado, mas utilizem a estrutura já existente no órgão/empresa
públicos. Nesse caso o modelo de implementação nº 1 é adotado. Porém, a norma
complementar nº 05 também prevê a adoção de três outros modelos de
implementação mais complexos, próprios de equipes com membros dedicados e
com estrutura própria de funcionamento. Assim, parte desta pesquisa consiste em
descobrir qual tem sido a preferência de modelo de implementação das ETIR’s
estabelecidas nos órgãos, pois dessa forma poderemos verificar se o estágio da
implementação é ainda inicial ou já mais avançado.
1.3.2 Desafios da APF para estabelecer suas ETIR’s
A implementação de uma ETIR em qualquer empresa privada já é desafio
considerável. Em se tratando da Administração Pública, outras questões aumentam
essa dificuldade. Fatores como o número de pessoas interessadas e disponíveis
para compor uma equipe própria de segurança da informação e mais específica
16
ainda, de tratamento e resposta a incidentes, muitas vezes complexos e que exigem
formação especializada e não facilmente obtida através de treinamentos específicos
que devem ser contratados em contraposição a orçamentos limitados, alto índice de
evasão de mão de obra, investimentos em infraestrutura física e compra de
equipamentos e softwares necessários, além da obrigação de observar e cumprir
todas as exigências presentes nas normas complementares já citadas, são desafios
comuns a qualquer empresa ou órgão público. Esses tópicos também farão parte da
análise desta pesquisa.
1.3.3 Escopo
O escopo inicial da pesquisa eram dez ETIR’s já estabelecidas em dez
õrgãos/empresas da APF. Porém, no decorrer da pesquisa apenas seis dessas
equipes conseguiram fornecer dados para a composição do trabalho.
Também as normas complementares 05 e 08 do DSIC compõem o escopo da
pesquisa, pois faz parte da mesma a análise de conformidade apresentada pelas
equipes com alguns dos itens dessas normas e ainda uma segunda análise de
alguns itens específicos trazidos por essas normas, com o intuito de verificar sua
aplicabilidade prática e pertinência.
1.4 Elaboração do trabalho e Importância do tema
A participação ativa nos trabalhos do grupo que elaborou a norma
complementar 05 (2009) do DSIC propiciou ao autor a oportunidade de conhecer
situações amplamente diversificadas, já que os demais participantes presentes nas
reuniões de trabalho eram agentes e servidores de Órgãos, Empresas e Ministérios
bastante distintos. Alguns desses órgãos já se mostravam adiantados no assunto e
possuíam grande soma de recursos que estavam sendo dirigidos à implementação
ou mesmo ao aprimoramente de equipes já existentes, enquanto outros ainda
17
estavam começando a conhecer o tema e tentando, com certa dificuldade, constituir
uma equipe com pouco ou quase nenhum recurso disponível. Embora houvesse
essa grande disparidade de recursos, o tema era de interesse de todos e as
reuniões sempre contavam com bom números de presentes.
Ao ingressar para o curso do CEGSIC 2009-2011, o autor atuava como
coordenador de uma ETIR e assim surgiu a idéia de pesquisar as implementações
que diversos órgãos da APF conseguiram realizar após a publicação das normas
complementares nº 05 e 08 pelo DSIC. O tema é relativamente novo, porém afeta a
todos os que utilizam computadores e sistemas de informação. Assim, tem
despertado grande interesse por parte não só das pessoas que diariamente
executam trabalhos voltados a Segurança da Informação e Comunicações, mas
também do público em geral que utiliza a internet e tem acompanhado a ocorrência
de inúmeros incidentes de segurança atualmente.
A importância da pesquisa também é evidenciada pela crescente publicação
de artigos voltados aos incidentes de SIC e pela ocorrência de incidentes que se
tornam públicos a cada dia, atingindo muitas empresas, tanto públicas quanto
privadas, podendo ser objeto de estudo por parte daqueles que pretendem formar ou
ingressar em equipes desse tipo, ou ainda sugerir aprimoramentos.
18
1.5 Classificação dos Resultados Obtidos
Para analisar as respostas enviadas pelas equipes pesquisadas, foram
definidos três níveis de conformidade que procuram relacionar a situação atual de
implementação dessas equipes e o ideal normativo previsto nas duas normas
complementares do DSIC. Assim temos os seguintes níveis de conformidade
possíveis:
1.5.1 Conformidade Total
No caso de se constatar na pesquisa que todas as respostas atendem aos
itens das normas complementares do DSIC, que não existem dificuldades relatadas
ou exigências não cumpridas pelas equipes e que estas possuem modelos de
implementação avançados previstos pela norma nº 05, haverá comprovação de total
índice de conformidade e comprometimento por parte dos órgãos consultados na
implementação das equipes.
1.5.2 Conformidade Parcial
Neste caso, os resultados da pesquisa demonstrarão que enquanto alguns
itens podem estar sendo atendidos pela maioria das equipes estabelecidas, outros
itens exigidos e questionados não estão sendo implementados ainda pela maioria
dessas equipes. Os problemas apontados como dificuldades de implementação
poderão justificar algumas não-conformidades e esse resultado demonstrará que o
processo de criação e implementação das equipes existe, porém ainda carecendo
de maior comprometimento por parte dos órgãos consultados, ou de ajustes nas
regras das citadas normas complementares.
19
1.5.3 Situação de Conformidade Insatisfatória
Caso os resultados apontem que a maior parte das equipes optou pelo
modelo básico e inicial de implementação, que existem muitas dificuldades sendo
encontradas ou exigências previstas nas normas complementares ainda não sendo
cumpridas, haverá então uma situação de baixa conformidade. Neste caso, ficará
demonstrado que a implementação de equipes de tratamento e resposta a
incidentes de segurança exigida pelas normas complementares nº 05 e 08 do DSIC
ainda não se iniciou de modo satisfatório e que apesar do esforço do DSIC em
aperfeiçoar o tratamento de incidentes de segurança ao estabelecer normatização
própria, o tema não está sendo considerado como crítico por aquela fração da
Administração Pública Federal.
20
1.6 Hipótese
Considerando o fato das normas complementares do DSIC obrigarem todos
os órgãos da APF a criarem uma Equipe própria de Tratamento e Resposta a
Incidentes de Rede, e, por outro lado, sabendo que a publicação dessas normas
complementares 05 e 08 é relativamente recente, é razoável esperar que os
resultados demonstrem no mínimo uma situação parcial de conformidade, na qual
haverá maioria de equipes formalizadas e requisitos mínimos ou essenciais das
normas sendo cumpridos.
21
2 Revisão de Literatura e Fundamentos
2.1 O que é e como implementar uma ETIR
A documentação referente às perguntas mais frequentemente feitas ao
Cert.br traz uma definição apropriada do que é uma equipe de resposta a incidentes
de segurança, sua formação pela organização e da importância da rapidez exigida
nas respostas que são elaboradas:
“O que é um "Computer Security Incident Response Team (CSIRT)"?
“Um "Computer Security Incident Response Team (CSIRT)", ou
Grupo de Resposta a Incidentes de Segurança, é uma organização
responsável por receber, analisar e responder a notificações e
atividades relacionadas a incidentes de segurança em
computadores. Um CSIRT normalmente presta serviços para uma
comunidade bem definida, que pode ser a entidade que o mantém,
como uma empresa, um órgão governamental ou uma organização
acadêmica. Um CSIRT também pode prestar serviços para uma
comunidade maior, como um país, uma rede de pesquisa ou
clientes que pagam por seus serviços.
Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um
grupo formal tem no trabalho de resposta a incidentes a sua
principal função. Um grupo "ad hoc" é reunido quando há um
incidente de segurança em andamento ou para responder a um
incidente quando necessário... Mesmo a melhor infra-estrutura de
segurança da informação não pode garantir que intrusões ou
outras ações maliciosas não ocorrerão. Quando um incidente de
segurança ocorre, torna-se crítico para a organização ter uma
maneira eficaz de responder a este incidente.
A rapidez com que a organização pode reconhecer, analisar e
responder a um incidente limitará os danos e diminuirá o custo de
recuperação. Um CSIRT pode estar fisicamente presente e apto a
conduzir uma resposta rápida para conter o incidente de segurança
e para recuperar-se dele. CSIRTs também podem estar
familiarizados com os sistemas comprometidos, e, portanto, melhor
22
preparados para coordenar a recuperação e propor estratégias de
erradicação e resposta aos problemas.” (Cert.BR, 2011).
As considerações iniciais da Norma Complementar 05 do DSIC mostram que a
preocupação com a Segurança da Informação e Comunicações exibe um
crescimento contínuo nos últimos anos e a partir dessa constatação, deixa clara a
necessidade de orientar a condução de políticas de segurança nos órgãos públicos
da APF, frisando a criação/implementação de equipes de tratamento e resposta a
incidentes como componente importante de uma estratégia composta por várias
camadas de proteção.
Eis o texto da norma citada:
“CONSIDERAÇÕES INICIAIS
2.1 Nos últimos anos os órgãos públicos vêm implementando e consolidando redes
locais de computadores cada vez mais amplas, como exigência para suportar o fluxo
crescente de informações, bem como permitir que seus funcionários acessem à rede
mundial de computadores para melhor desempenharem suas funções. Manter a
segurança da informação e comunicações de uma organização em um ambiente
computacional interconectado nos dias atuais é um grande desafio, que se torna
mais difícil à medida que são lançados novos produtos para a Internet e novas
ferramentas de ataque são desenvolvidas.
2.2 Diante da premissa de garantir e incrementar a segurança da
informação e comunicações nos órgãos e entidades da Administração
Pública Federal, direta e indireta, há a necessidade de orientar a condução
de políticas de segurança já existentes ou a serem implementadas.
2.3 Considerando a estratégia de segurança da informação composta por
várias camadas, uma delas, que vem sendo adotada por diversas
instituições, é a criação de Equipes de Tratamento e Resposta a Incidentes
em Redes Computacionais, mundialmente conhecido como CSIRT® (do
inglês "Computer Security Incident Response Team").
2.4 É competência da Coordenação-Geral de Tratamento de Incidentes de
Redes do Departamento de Segurança da Informação e Comunicações –
DSIC do Gabinete de Segurança Institucional – GSI apoiar os órgãos e
entidades da Administração Pública Federal, direta e indireta, nas
atividades de capacitação e tratamento de incidentes de segurança em
redes de computadores, conforme disposto nos incisos III e VI do art. 39 do
anexo da Portaria nº 13 do GSI, de 04 de agosto de 2006.
2.5 É condição necessária para a criação de uma Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais, o órgão ou entidade
possuir a competência formal e respectiva atribuição de administrar a infra-
23
estrutura da rede de computadores de sua organização.” (UNIÃO
FEDERAL, 2011, 1).
Já na norma complementar 08 do DSIC, publicada um ano após a NC 05, nas
considerações iniciais, fica evidenciada a importância da atenção ao tratamento de
incidentes e da comunicação entre os diversos grupos envolvidos na atividade em
cada órgão, em especial com o CTIR.GOV.
“CONSIDERAÇÕES INICIAIS
2.1 O gerenciamento de incidentes de segurança em redes de
computadores requer especial atenção da alta administração dos órgãos e
entidades da APF.
2.2 A troca de informações sobre o gerenciamento de incidentes de
segurança em redes de computadores entre as ETIR e a Coordenação
Geral de Tratamento de Incidentes de Segurança em Redes de
Computadores - CGTIR permite, entre outras coisas:
2.2.1 promover o intercâmbio científico-tecnológico relacionado a
incidentes de segurança em redes de computadores;
2.2.2 apoiar órgãos e entidades da APF nas atividades de gerenciamento e
tratamento de incidentes de segurança em redes de computadores, quando
necessário;
2.2.3 monitorar e analisar tecnicamente os incidentes de segurança em
redes de computadores da APF, permitindo a criação de métricas e/ou
alertas;
2.2.4 implementar mecanismos que permitam a avaliação dos danos
ocasionados por incidentes de segurança em redes de computadores da
APF;
2.2.5 apoiar, incentivar e contribuir, no âmbito da APF, para a capacitação
no tratamento de incidentes de segurança em redes de computadores.”
(UNIÃO FEDERAL, 2011, 2).
O Prof. João Gondim indica algumas ações que devem ser consideradas por
qualquer organização que pretenda implementar um grupo de resposta a incidentes
de segurança computacional, o qual chama de GRISC.
“Preparação do grupo de resposta a incidentes de segurança
computacional – GRISC.
O GRISC deve ser definido durante a preparação pré-incidente. A
organização convocará um grupo de especialistas que vão tratar dos
incidentes que venham a ocorrer. A preparação do GRISC inclui:
• disponibilização do hardware necessário para investigação de incidentes
de segurança;
• disponibilização do software necessário para investigação de incidentes
de segurança;
• definição dos templates de documentação (formulários e relatórios)
necessários para investigação de incidentes de segurança;
• formulação das políticas e definição dos procedimentos operacionais para
implementação das estratégias de resposta; e
24
• treinamento dos colaboradores para executar com sucesso a resposta a
incidentes.
Como se pode constatar, a preparação é a diferença entre poder-se tentar
alguma resposta a um incidente ou não. As atividades acima envolvem
contratações e aquisições, que em alguns contextos organizacionais
podem ser processos penosos e lentos, não sendo possível de serem
deixados para após a ocorrência do incidente. Tipicamente, a resposta tem
que ser rápida, sem incorrer em atrasos desnecessários.” (GONDIM,
2009/11, 09,10)”
Nota-se que o assunto não é nada trivial e requer séria e comprometida
preparação para que se possa obter o mínimo de sucesso na implementação de
uma ETIR, principalmente me órgãos e empresas da Administração Pública Federal,
que possuem o dever de custodiar informações de todos os cidadãos do país.
2.2 Modelos de Implementação
Para tornar viável a implementação de equipes de tratamento de incidentes
de segurança em órgãos com conhecimento ou pessoal disponível variável, a norma
complementar 05 do DSIC especifica quatro diferentes modelos que podem ser
utilizados essa implementação. Para entendimento dos Modelos de implementação
possíveis, segue abaixo o texto integral da norma complementar 05, item 7:
"7.1 Modelo 1 - Neste modelo não existirá um grupo dedicado
exclusivamente às funções de tratamento e resposta a incidentes de
Rede. A Equipe será formada a partir dos membros das equipes de TI do
próprio órgão ou entidade, que além de suas funções regulares passarão
a desempenhar as atividades relacionadas ao tratamento e resposta a
incidentes em redes computacionais. Neste modelo as funções e serviços
de tratamento de incidente deverão ser realizadas, preferencialmente, por
administradores de rede ou de sistema ou, ainda, por peritos em
segurança.
7.1.2 A Equipe que utilizar este modelo desempenhará suas atividades,
via de regra, de forma reativa, sendo desejável, porém que o Agente
25
Responsável pela ETIR atribua responsabilidades para que os seus
membros exerçam atividades pró-ativas.
7.2 Modelo 2 – Centralizado
7.2.1 A Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais será estabelecida de forma centralizada no âmbito da
organização.
7.2.2 A Equipe será composta por pessoal com dedicação exclusiva às
atividades
de
tratamento
e
resposta
aos
incidentes
em
redes
computacionais.
7.3 Modelo 3 – Descentralizado
7.3.1 No modelo descentralizado a Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais será composta por colaboradores
distribuídos por diversos locais dentro da organização, dispersos por uma
região ou pelo país inteiro. Essas equipes devem possuir pessoal próprio
dedicado às atividades de tratamento e resposta aos incidentes de rede
computacionais, podendo atuar operacionalmente de forma independente,
porém alinhadas com as diretrizes estabelecidas pela coordenação
central.
7.3.2 A ETIR da organização será formada pelo conjunto dessas equipes
distribuídas e chefiada pelo Agente Responsável designado.
7.4 Modelo 4 – Combinado ou Misto
7.4.1 Trata-se da junção dos modelos Descentralizado e Centralizado.
Neste modelo existirá uma Equipe de Tratamento e Resposta a Incidentes
em
Redes
Computacionais
central
e
Equipes
distribuídas
pela
organização.
7.4.2 A Equipe central será a responsável por criar as estratégias,
gerenciar as atividades e distribuir as tarefas entre as Equipes
descentralizadas, além de ser a responsável, perante toda a organização,
pela comunicação com o CTIR GOV.
7.4.3 As Equipes distribuídas serão responsáveis por implementar as
estratégias e exercer suas atividades em suas respectivas áreas de
responsabilidade."
Nas equipes onde o modelo 1 for escolhido para a sua implementação,
provavelmente estará em fase inicial e haverá dificuldade de conseguir pessoal
capacitado para formar uma equipe dedicada ao tratamento e resposta a incidentes
26
própria. Por outro lado, as equipes que adotarem os modelos 2, 3 ou 4
demonstrarão, neste quesito, fase avançada de implementação e provavelmente
haverá mais recursos pessoais e possibilidade de haver equipe(s) dedicada(s)
própria(s) com a função específica de tratar e responder a incidentes de segurança.
27
3 Metodologia
A pesquisa a ser discutida foi realizada por meio do envio de um questionário
para dez equipes de Tratamento e Resposta a Incidentes de Segurança existentes
na Administração Pública Federal, sendo que os dados de contato dessas equipes
foram obtidos por intermédio do CTIR.GOV e do Cert.br.
O Prof. Dr. Lino Rampazzo em seu livro Metodologia Científica, especifica o
que é e como deve ser realizada uma pesquisa baseada em questionário.
"O questionário é um instrumento de coleta de dados constituído por uma
série ordenada de perguntas, que devem ser respondidas pro escrito e
sem a presença do entrevistador.
Em geral, o pesquisador envia o questionário ao informante, pelo correio
ou por um portador; depois de preenchido, o pesquisado o devolve do
mesmo modo.
Junto com o questionário deve-se enviar uma carta explicando a natureza
da pesquisa, sua importância e a necessidade de obter respostas,
tentando despertar o interesse do recebedor, para que ele preencha e
devolva o questionário dentro de um prazo razoável.
Os questionários expedidos pelo pesquisador alcançam a média de 25%
de devolução.
Como toda técnica de coleta de dados, o questionário também apresenta
uma série de vantagens e desvantagens. Quanto às vantagens:
- economiza tempo, viagens e obtém um grande número de dados;
- atinge simultaneamente um maior número de pessoas;
- obtém respostas mais precisas;
28
- há maior liberdade nas respostas em razão do anonimato;
- há menos risco de distorção, pela não-influência do pesquisador;
- há mais tempo para responder, e em hora mais favorável.
Quanto às desvantagens:
- a percentagem dos questionários que voltam é pequena;
- há um grande número de perguntas sem resposta;
- não pode ser aplicado a pessoas analfabetas;
- não há a possibilidade de ajudar o informante em questões malcompreendidas;
- a devolução tardia prejudica a sua utilização;
- o desconhecimento das circuntâncias em que foi preenchido torna difícil
o controle e a verificação;
- nem sempre é o escolhido que responde ao questionário, invalidando,
portanto, as respostas.
A elaboração de um questionário requer a observância de normas
precisas a fim de aumentar sua eficácia e sua validade.
O questionário deve ser limitado em extensão e finalidade. Se é muito
longo, causa fadiga e desinteresse; se curto demais, corre o risco de não
oferecer suficientes informações. Deve conter de 20 a 30 perguntas e
demorar cerca de 30 minutos para ser respondido. Esse número,
naturalmente, varia de acordo com o tipo de pesquisa e de informantes.
Identificadas as questões, estas devem ser codificadas, a fim de facilitar,
mais tarde, a tabulação.
... Esse termo serve para designar o processo pelo qual se apresentam
graficamente os dados obtidos das categorias, em colunas verticais e
linhas horizontais, permitindo sintetizar os dados de observação, de
maneira a ser compreendidos e interpretados rapidamente." (RAMPAZZO,
2005; p 112, 113, 120)
O envio dos questionários deste trabalho foi feito entre os meses de maio e
novembro de 2011. Foram obtidos contatos de dez ETIR’s registradas junto ao
CTIR.GOV (Centro de Tratamento de Incidentes de Segurança em Redes de
Computadores da Administração Pública Federal) e/ou no site do Cert.br (Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).
29
Das dez equipes, apenas seis enviaram dados que puderam ser utilizados na
pesquisa. A consolidação das respostas deu origem aos resultados e percentuais
que serão apresentados ao final.
O método científico de Estudo de Caso foi aplicado a partir das respostas
recebidas de cada equipe e efetuando análise de conformidade com os itens das
normas complementares do DSIC constantes das questões enviadas.
As questões que compuseram o questionário são as seguintes:
1) Existe atualmente em seu órgão de atuação uma equipe formal de
tratamento e resposta a incidentes de rede (segurança da informação)?
2) Qual modelo de implementação previsto na norma complementar 05 foi
adotado? (1, 2, 3 ou 4).
3) Quantos membros permanentes a equipe possui? (Até 6, até 10 ou mais de
10)
4) Qual a autonomia da Equipe? (completa, compartilhada ou nenhuma)
5) A equipe realizou algum treinamento em disciplinas de SIC nos últimos 12
meses?
6) Quais são os serviços oferecidos pela equipe?
7) Foi encontrada alguma dificuldade para implementar a equipe? Qual(is)
8) Existe alguma exigência nas normas complementares 05 e 08 que seja de
difícil realização pela Equipe? Qual(is)?
A pesquisa foi realizada no período de 30 de maio a 07 de novembro de
2011.
30
4 Resultados
Embora tenham sido enviados questionários a dez Equipes de Tratamento e
Resposta a Incidentes de Rede identificadas na Administração Pública Federal,
somente houve retorno de seis dessas Equipes. As demais infelizmente não
responderam o questionário a tempo da conclusão desta Pesquisa.
4.1 Tabela 1 – Sumário das Respostas aos Questionários Enviados
Equipe Formal Modelo Membros
Auton.
Trein. Serviços Dific. Exig.
A
N
1
0 Nenhuma
S
1
S
N
B
S
4
Até 6 Compartilhada
S
7
S
S
C
S
1
Até 6 Compartilhada
S
1
S
S
D
S
4
Até 10 Compartilhada
S
2
S
N
E
S
4
Até 10 Completa
S
4
N
N
F
S
4
S
3
S
S
+ de 10 Compartilhada
31
4.2 Respostas Detalhadas por Equipe:
Equipe A
1)
A Equipe já possui autorização para executar serviços, porém ainda
não foi formalizada;
2)
Modelo 1 – Equipe não-dedicada;
3)
Não existe nenhum membro permanente na equipe atualmente;
4)
Equipe não possui autonomia no momento;
5)
Treinamentos de Segurança tem sido constantes;
6)
Apenas o serviço de resposta a incidentes;
7)
Foi
necessário
que
houvesse
um
incidente
de
segurança
considerado grave pela administração, para que surgisse apoio a
formação da Equipe;
8)
Não existem dificuldades para cumprir as normas.
Equipe B
1)
A Equipe foi formalizada;
2)
Modelo 4 – Equipe combinada ou mista;
3)
A equipe possui até 6 membros permanentes atualmente;
4)
Autonomia Compartilhada;
5)
Treinamentos de Segurança tem sido constantes;
6)
Controle
de
Acessos
(Físico
e
Lógico),
Homologação
de
software/aplicativo, Serviços de Firewall, Resposta a Incidentes de
rede, Análise de email malicioso;
7)
Falta de apoio da Alta Administração; Falta de pessoas dispostas a
assumir riscos e responsabilidades;
8)
Sim. a) Detalhamento dos serviços prestados, b) Detalhamento da
autonomia da Equipe, c) Oficializar a equipe dentro da estrutura
organizacional do órgão, d) Tornar a equipe totalmente dedicada às
32
atribuições de Segurança, e) Capacitação técnica aprimorada para
as funções de SIC.
Equipe C
1)
A Equipe foi formalizada;
2)
Modelo 1 – Equipe não-dedicada;
3)
A equipe possui até 6 membros permanentes atualmente;
4)
Autonomia Compartilhada;
5)
O último treinamento foi de Forense computacional em 2010;
6)
Apenas Tratamento e Resposta a Incidentes de rede informados ou
detectados;
7)
A dificuldade existe em tornar a equipe dedicada.
8)
Sim, o item 10.6 que diz: “A ETIR deverá comunicar de imediato a
ocorrência de todos os incidentes de segurança ocorridos na sua
área de atuação ao CTIR GOV, conforme padrão definido por esse
órgão, a fim de permitir a geração de estatísticas e soluções
integradas para a Administração Pública Federal.” No nosso caso
alguns incidentes são comunicados ao CTIR.GOV e outros não.
Equipe D
1)
A Equipe foi formalizada;
2)
Modelo 4 – Equipe combinada ou mista;
3)
A equipe possui até 10 membros permanentes atualmente;
4)
Autonomia Compartilhada;
5)
Treinamentos de Segurança tem sido feitos;
6)
Resposta a Incidentes de rede, Disseminação de conhecimento
sobre Segurança da Informação e Comunicações;
7)
Quadro insuficiente, falta de mão de obra especializada e
descentralização dos membros da ETIR tem dificultado o trabalho da
equipe.
33
8)
A norma descreve vários serviços, porém ainda falta capacitar
funcionários em número suficiente para que possamos atender a
todos os serviços previstos. Outra dificuldade indireta é a falta de
orçamento para adquirir soluções em SIC.
Equipe E
1) A Equipe foi formalizada;
2) Modelo 4 – Equipe combinada ou mista;
3) A equipe possui até 10 membros permanentes atualmente;
4) Autonomia Completa;
5) Treinamentos tem sido executados sempre que possível;
6) Tratamento de incidentes;
Emissão de alertas, advertências e Anúncios;
Prospecção ou Monitoração de novas tecnologias;
Disseminação de informações relacionadas à segurança.
7) Equipe em início ainda, porém sem dificuldades no momento.
8) Nenhuma até o momento.
Equipe F
1) Existe equipe formalizada e pertencente à estrutura de Segurança da
Informação da empresa;
2) Modelo 4 - Combinada ou Mista. Existem equipes em vários locais que
podem
enfrentar
incidentes,
porém
todas
se
subordinam
à
direcionamentos estruturais e técnicos centralizados na matriz;
3) A equipe possui mais de 10 membros permanentes atualmente,
considerando a estrutura como um todo;
4) A autonomia para tratamento de incidentes existe, porém existe
direcionamento central conforme já comentado;
5) Treinamentos tem sido executados de forma distribuída e constante. Em
dezembro grande parte da equipe fará um treinamento específico;
34
6) Gestão de Infraestrutura, prospecção e pesquisa e resposta a incidentes;
7) Existem dificuldades na manutenção do quantitativo de profissionais na
equipe, atualização de recursos logísticos e técnicos;
8) Sim. Na norma 05 do DSIC a regra 8.5 por exemplo é praticamente
impossível de ser cumprida. Ter um substituto para cada membro é difícil.
Quando formamos um contingente, outro grupo está pronto a deixar ou já
deixou a empresa. É papel da empresa e da coordenação de segurança
prover mão de obra para a equipe, mas isso depende da realização de
concursos e de disponibilidade de recursos orçamentários.
35
4.3 Tabela 2 – Percentuais das Respostas Obtidas
Questões
Percentuais
1) Existe atualmente em seu órgão de atuação uma equipe Sim = 83%
formal de tratamento e resposta a incidentes de rede Não = 17%
(segurança da informação)?
2) Qual modelo de implementação previsto na norma 4 = 67%
complementar 05 foi adotado? (1, 2, 3 ou 4)
1 = 33%
3) Quantos membros permanentes a equipe possui? (Até 6, 0
até 10 ou mais de 10)
= 17%
Até 6 = 33%
Até 10 = 33%
+ 10
= 17%
4) Qual a autonomia da Equipe? (completa, compartilhada ou Nenhuma
nenhuma)
= 17%
Compartilhada = 67%
Completa
= 17%
5) A equipe realizou algum treinamento em disciplinas de SIC Sim = 100%
nos últimos 12 meses?
6)
Quais
são
os
oferecidos pela equipe?
Não =
0%
serviços Tratamento e Resposta a Incidentes = 100%
Controle de Acessos = 17%
Homologação de Software = 17%
Serviços de Firewall = 17%
Análise de email malicioso = 17%
Disseminação de conhecimento sobre SIC = 33%
Prospecção e pesquisa = 33%
Emissão de alertas = 17%
Gestão da infraestrutura = 17%
7)
Foi
encontrada
alguma Falta de apoio da Administração = 33%
dificuldade para implementar a Falta de pessoal = 33%
equipe? Qual(is)
Falta de uma equipe dedicada = 33%
Falta de especialização = 50%
Descentralização de membros da Equipe = 17%
Manutenção de membros da equipe = 17%
36
Atualização de recursos logísticos/técnicos = 17%
8) Existe alguma exigência nas Detalhar os serviços prestados = 17%
normas complementares 05 e 08 Detalhar a autonomia da Equipe = 17%
que seja de difícil realização Oficializar a equipe na estrutura do órgão = 17%
pela Equipe? Qual(is)?
Comunicar todos os incidentes ao CTIR = 17%
Ter um substituto para cada membro = 17%
37
5 Discussão
Existem alguns requisitos nas Normas Complementares que ensejam
discussões e requerem melhoria, para evitar o acúmulo de poder de conhecimento
centralizado e para melhor oficializar as formas de comunicação entre as diferentes
Equipes já existentes e o CTIR.GOV. Neste ponto é interessante diferenciar os tipos
de crimes cibernéticos. Existem milhares de tentativas de crimes que podemos
considerar hoje como já conhecidos e “leves”. Porém, em se tratando de crimes mais
elaborados, onde não são garotos brincando ou vendedores do outro lado, e sim
quadrilhas de especialistas em computação elaborando formas de ludibriar
potenciais vítimas, sejam elas pessoas físicas, jurídicas ou mesmo sistemas de
informação, se faz necessária a criação e manutenção de equipes de especialistas
de mesmo potencial, no mínimo, para que haja possibilidade de defesa e resposta.
Também devemos diferenciar os tipos de resposta que uma equipe de tratamento
pode oferecer, dependendo da experiência, tamanho e especialização disponível e
dos recursos oferecidos pelo órgão onde a equipe atua. O termo "resposta" pode
significar apenas identificar um incidente e empreender esforços e ações para
reparar o ativo afetado, reestabelecendo a situação anterior ao incidente. Por
exemplo: Se um sistema for invadido e tiver dados corrompidos, a resposta pode
abranjer a detecção dos dados corrompidos e a utilização de um backup para
recompor os dados originais. Porém, em alguns casos, a equipe pode estar
preparada para ir além disso, buscando identificar e bloquear a origem do ataque e
em alguns casos até mesmo iniciar uma investigação em busca de indícios de
autoria.
38
5.1 Limites de Atuação
Até onde vai ou até onde deve ir a atuação de equipes de tratamento de
incidentes de segurança?
Atualmente, tratamos de equipes que efetuam apenas o serviço de
tratamento e resposta a incidentes. Porém, até onde vai ou deveria ir essa
“resposta”? Pense em um caso onde o membro da equipe consegue identificar um
suposto atacante, que invadiu um sistema informatizado e conseguiu capturar dados
de certa importância de um órgão público federal qualquer. Considere que este
membro conseguiu não só localizar a máquina de origem, mas percebeu que possui
capacidade para invadir essa máquina e também apagar todos os dados capturados
de forma indevida. E agora?
Seria o caso de agir por conta própria, guardando dados que possam
comprovar a primeira ação ofensiva por parte do invasor? Ou então seria o caso de
acionar a Polícia Federal, e repassar os dados obtidos sobre o atacante,
aguardando até que os dados sejam analisados e seja autorizada alguma ação,
podendo envolver autoridades de outros países, o que pode levar muito tempo,
suficiente para o atacante desligar seu sistema ou perceber seus erros de defesa?
Assim, deve-se encontrar formas de definir os limites de atuação de uma equipe de
tratamento e resposta a incidentes de rede altamente especializada, como todas
deveriam ser, para que não estejamos contratando ou desenvolvendo atacantes
para proteger nossas informações. De outra forma, teríamos que alterar dispositivos
legais, fazendo com que fosse criada a legítima defesa cibernética, onde um órgão
atacado pudesse contra-atacar, de forma legítima, a ponto de derrubar ou
comprometer o sistema de informação de seu ofensor.
5.2 Repasse de dados de Incidentes ao CTIR.GOV
A Norma Complementar 05 do DSIC especifica:
“10.6 A ETIR deverá comunicar de imediato a ocorrência de todos os
incidentes de segurança ocorridos na sua área de atuação ao CTIR GOV,
39
conforme padrão definido por esse órgão, a fim de permitir a geração de
estatísticas e soluções integradas para a Administração Pública Federal.
10.7 A troca de informações e a forma de comunicação entre as ETIR, e entre
estas e o CTIR GOV, serão formalizadas caso a caso, se necessário, por Termo
de Cooperação Técnica.” (UNIÃO FEDERAL, 2011, 1).
Assim, todos os incidentes sofridos pelos órgãos federais devem ser
repassados ao CTIR.GOV. Mas, de fato, a norma complementar não especifica o
meio de transmissão dessas informações, que podem ser “super-sigilosas”. Fato é,
que dificilmente um órgão público federal autorizaria o repasse de informações sobre
incidentes sofridos, que possam comprometer a imagem da instituição ou mesmo
tornar públicas vulnerabilidades existentes, sejam elas computacionais ou não, para
qualquer outro órgão, mesmo com a assinatura de um termo de confidencialidade e
cooperação aprovado por seu departamento jurídico, especialmente se se tratar de
uma Instituição Financeira. Trata-se de órgãos que cuidam das nossas informações,
de todos nós cidadãos, e que interferem em nossas vidas diretamente em alguns
casos. Desta forma, para que tal claúsula seja realmente cumprida em todos os
casos de incidentes de segurança, deve-se formalizar os meios de transmissão das
informações, de forma segura e rápida e ainda especificar quais informações devem
ser repassadas. Como o acionamento e atuação da Polícia Federal podem ser feitas
por qualquer órgão da APF, independente da participação do CTIR.GOV, quaisquer
dados considerados sigilosos, comprometedores ou vitais para uma investigação de
crime cibernético deveriam ser preservados, sem comunicação a outros órgãos.
Como a norma menciona a função de coletar dados estatísticos do CTIR.GOV,
apenas dados como data e tipo do incidente poderiam ser considerados nesse
repasse de informações dos órgãos da APF para este órgão centralizador.
Uma outra consideração que enseja a discussão quando analisamos a norma
complementar 05 do DSIC e que deriva do cumprimento da claúsula que analisamos
no item anterior é o fato de que, se todos os órgãos da Administração Pública
Federal tiverem meios seguros de transmitir suas informações sobre todos os
incidentes tratados para o CTIR.GOV, e se dados sobre vulnerabilidades exploradas
em incidentes reais forem repassados ou se pela análise dos dados divulgados seja
possível chegar a elas, caberá a esse órgão manter um banco de dados com
40
informações relevantes sobre todos os incidentes de segurança ocorridos nos
órgãos da APF. Duas questões surgem nesse ponto:
1) Sendo o CTIR.GOV o órgão concentrador das informações relevantes de todos os
demais órgãos públicos federais, este poderia se tornar o alvo preferido dos ataques
direcionados a órgãos públicos. Uma única vulnerabilidade explorada nos sistemas
desse órgão poderia dar acesso a informações sobre todos os órgãos. Seria
possível identificar vulnerabilidades comuns a vários órgãos e programar ataques
com maior eficácia. Temos que considerar que, qualquer órgão público, mesmo
órgãos voltados à Segurança Nacional, estão sempre sujeitos à vontade política.
Assim, embora atualmente tenhamos uma atuação bastante forte em termos de
segurança cibernética, uma simples mudança de prioridades pode deixar órgãos
como o DSIC fragilizados. Interessante notar que, apesar da importância que as
normas complementares do DSIC dão ao CTIR.GOV, não se trata, como poderia
pensar um cidadão comum, de um órgão com inúmeros funcionários envolvidos, de
uma equipe existente em todas as capitais do Brasil ou contando com orçamentos
largos
e
imensas
possibilidades
de
investimento
em
estudo
e
desenvolvimento/aprimoramento técnico, mas sim, de uma pequena equipe que faz
o que pode para atender a inúmeros chamados diários. Aqui pode haver então um
desencontro de intenções. Enquanto falamos em concentrar todos os registros de
tratamento de incidentes em um único órgão, não estaríamos dando a devida
capacidade e instrumentalização a esse órgão, para que possa atender prontamente
e de forma eficaz aos chamados que recebe ou deveria receber. Neste ponto o item
7
de
nossa
prospecção
parece
ilustrar
devidamente
essa
falta
de
instrumentalização, exceto talvez pelo frequente treinamento e capacitação.
2) Concentrar todos os registros de incidentes de todos os órgãos públicos federais
em um único órgão, não seria dar poderes demais a esse órgão?
Aqui tratamos de outro risco potencial. Imagine um único banco de dados onde
exista o conhecimento sobre todo e qualquer incidente de segurança de informações
ocorrido nos útlimos anos em qualquer órgão público federal. Enquanto o DSIC
trabalha na divulgação e na educação de servidores públicos federais no tema
Segurança da Informação e Comunicações, convocando todos para trabalhar com o
41
tema e concentrando essa divulgação, de forma acertada, no fato de que não existe
nem existirá segurança de informação na sua organização a não ser que alguém
dentro dela trabalhe e se especialize nesse tema, ou seja, a atuação depende de
cada órgão, a norma complementar 05 direciona o registro de todos os incidentes
para um único órgão, o CTIR.GOV. Seria o caso de esse registro ser apenas para
fins estatísticos? Porém, a norma complementar aborda essa determinação dizendo
que uma segunda função seria “permitir...soluções integradas para a APF” ou seja,
isso pode envolver a recepção de dados mais claros sobre o incidente sofrido pelo
órgão para que o CTIR.GOV possa comunicar o fato aos demais órgãos da APF.
Assim, parece que a atuação do CTIR.GOV não se resume a juntar dados sobre
tipos de ataques, mas sim auxiliar e até mesmo participar de investigações que
possam conter dados extremamente sigilosos mantidos pelos órgãos federais.
Dessa forma, não seria arriscado manter tais dados em um único órgão
concentrador? Talvez, se cada órgão mantiver suas informações sobre incidentes de
segurança de informações e repassar apenas dados que podem se transformar em
estatísticas para o DSIC, exista maior segurança, uma vez que ataques a um único
órgão fariam com que apenas informações daquele órgão pudessem ser
comprometidas e não de vários ou todos os órgãos de uma só vez. Não se descarta
o fato de que o CTIR.GOV poderia manter-se como órgão concentrador de dados,
porém somente dados estatísticos como o tipo do ataque sofrido, para que outros
órgãos possam se preparar e não sofrer os mesmos ataques. Sendo assim, a norma
complementar 05 poderia ser alterada, ordenando apenas o repasse de dados
superficiais dos incidentes e se abstendo de ser um órgão envolvido nas
investigações junto a Polícia Federal, deixando a cargo de cada órgão o
acionamento desta autoridade policial nos casos devidos.
5.3 Prioridade ainda baixa por parte da APF
Em algumas respostas de equipes, claramente se nota que o nível de
recursos designados para a formação e manutenção de equipes de tratamento e
resposta a incidentes, mesmo em órgãos/empresas que já as possuem ainda é
baixo. A grande maioria respondeu que existem dificuldades a serem enfrentadas
para a formação inicial ou manutenção de suas equipes e metade das respostas
42
apontam dificuldades em cumprir com alguma parte das normas do DSIC. Algumas
equipes contam com menos de 10 pessoas dedicadas a tratar incidentes. Falta de
recursos humanos altamente capacitados é fator crucial! Enquanto os atacantes
cada vez mais se especializam e tornam seus ataques mais elaborados, vemos que
os integrantes de equipes de resposta da APF, quando são capacitados, acabam
deixando a empresa! A importância de uma boa resposta em um incidente que pode
comprometer dados e imagem não só de um órgão, mas de todo o país, requer um
nível muito maior de comprometimento e destinação de recursos por parte de todos
os órgãos da Administração Pública Federal.
43
6 Conclusões e Trabalhos Futuros
6.1 Conclusões
Embora apenas seis das dez equipes pesquisadas tenham respondido a
pesquisa, foram alcançados órgãos dos três poderes: Executivo, Legislativo e
Judiciário. As dez equipes representam o total que foi possível obter após vários
contatos junto ao CTIR.GOV e em pesquisa no site do Cert.br. Assim, embora num
primeiro momento, a amostra possa parecer pequena, esta representa 60% do total
que foi possível pesquisar no espaço de tempo disponível.
De acordo com as resposta obtidas, 83% dos órgãos pesquisados já
possuem uma ETIR própria e formalizada para tratar seus incidentes de segurança.
Esse fato demonstra que a normatização já surtiu bom efeito. 67% das equipes
criadas adotaram o modelo de implementação 4, mais complexo e que exige
participação ativa de mais membros efetivos. Apenas 2 das equipes pesquisadas,
33% do total, adotaram o modelo 1 de implementação, considerado como modelo
inicial de implementação, que não requer uma equipe dedicada, nem uma estrutura
própria para a ETIR, podendo, nesse caso, contar com o apoio, quando houver um
incidente, de outras estruturas já existentes no órgão.
Quanto ao número de membros permanentes das equipes, 33% possuem até
seis membros e outros 33% possuem até 10 membros. Uma das equipes não possui
nenhum membro permanente, o que só é permitido no modelo 1 de implementação
44
já mencionado e uma outra equipe, outros 17% do total, possui mais de 10 membros
permanentes.
Quanto à autonomia das equipes, 67% declararam possuir autonomia
compartilhada.
Isso
normalmente
significa
que
a
equipe
pode
executar
procedimentos iniciais de tratamento dos incidentes, mas precisa obter autorização
superior para proceder ações posteriores ou para comunicar o incidente a órgãos
externos de controle como o CTIR.GOV.
A primeira unanimidade (100%) da pesquisa, está relacionada ao fator
treinamento. Todas as equipes demonstram que estão empenhadas em conhecer
mais profundamente alguma das várias disciplinas específicas que uma ETIR exige.
Embora no Brasil já existam vários casos relatados de crimes cibernéticos, inclusive
recentemente, quando tivemos pelo menos duas ondas de ataques direcionados a
órgãos públicos, preparar tecnicamente as ETIR’s para responder à altura esse tipo
de ataque é crucial para a APF.
Quanto
aos
serviços
oferecidos
pelas
equipes
pesquisadas,
100%
informaram que estão tratando e respondendo aos incidentes informados ou
detectados. 33% mencionaram serviços de prospecção e pesquisa além de
disseminação de conhecimento sobre Segurança da Informação e Comunicações.
Além desses, cinco das equipes informaram, cada uma, um outro serviço específico
dentre os citados a seguir: controle de acessos, homologação de software, serviços
de firewall,
análise de e-mail malicioso, emissão de alertas e gestão de
infraestrutura. Como o anexo da norma complementar nº 05 não define quais
serviços devem ser providos por uma ETIR além do serviço essencial de tratamento
e resposta a incidentes, cada equipe pode especificar os seus demais serviços
livremente.
Desta forma, das três hipóteses formuladas no início da pesquisa, pode-se
concluir que as equipes consultadas apresentam Índice Mediano de Conformidade
com as normas complementares 05 e 08 do DSIC. Dois fatores contribuem para
esse resultado de forma direta:
45
1) A maioria das equipes, apesar de estar ainda em fase inicial, já implementam
o serviço considerado essencial pela norma complementar nº 05 que é o
tratamento e resposta a incidentes de segurança. Embora algumas tenham
sido formadas há pouco tempo e o fato de uma delas ter obtido aprovação e
apoio da alta administração para constituir sua própria ETIR, mesmo que
ainda de modo informal, apenas após a ocorrência de um ataque considerado
“grave” e que poderia ter afetado a imagem da instituição, na maioria dos
casos as equipes estão formalizadas e atuam em conformidade com os
requisitos presentes nas questões formuladas. Em algumas equipes, os
serviços prestados se resumem a “Resposta aos incidentes informados” ou
disseminação de informações sobre SIC. Um problema detectado é que na
maior parte dos serviços relatados pelas equipes a atuação é reativa, isto é, a
equipe atua somente após a ocorrência de um incidente e depende de uma
comunicação prévia ou da detecção por parte de ativos tecnológicos de
segurança de rede;
2) A Norma Complementar 05 ainda possui exigências não completamente
desenvolvidas, por exemplo, o fato de que as ETIR’s de todos os órgãos da
Administração Pública Federal devem repassar dados sobre todos os seus
incidentes para o CTIR.GOV, para que este órgão atue como intermediário
entre o órgão afetado e a Polícia Federal. Ocorre que não está clara a forma
pela qual esses dados devem ser enviados, que informações devem constar
dos mesmos e de que forma se dará a comunicação com as autoridades
policiais nos casos de crimes, causando um impasse para alguns órgãos ou
para a comunicação de alguns tipos de incidentes. Também a exigência de se
manter um substituto para cada membro de uma ETIR, que como vimos pelas
respostas obtidas, já é de difícil formação e manutenção, se mostra
incompatível, para não dizer impossível.
O atual cenário na Administração Pública Federal com relação a instituição de
ETIR’s se mostra num crescente, favorável a uma melhor situação futura. Porém,
com a crescente avalanche de incidentes ocorrendo diariamente, a formação de
46
grupos criminosos especializados e com as informações dos cidadão sendo
apontadas como alvos potenciais, o tema deve ser sempre tratado com alta
prioridade pelo Governo Federal, sob pena de colapso dos sistemas de informação
ou pior, da utilização de dados sigilosos de forma indevida, sem conhecimento ou
possibilidade de reação a tempo por parte do órgãos mantenedores desses dados.
Além da necessidade de formar pessoal capacitado, é necessário prover meios de
atrair e manter esse pessoal capacitado no tratamento de incidentes de segurança e
instituir, em todos os órgãos e empresas da APF, uma ETIR capacitada e atuante
que possa auxiliar no provimento da segurança da informação e comunicações que
todos almejamos.
47
6.2 Trabalhos Futuros
O tema Equipes de Tratamento e Resposta a Incidentes de Rede
(Segurança) apresenta uma série de discussões e aprimoramentos que englobam
ainda vários estudos similares a este trabalho. Alguns temas que podem fazer parte
de estudos futuros são:
• Como formar especialistas para fazer parte de ETIR’s no Brasil?
• Ampliação da questão: Qual o limite de atuação de uma ETIR?
• Estão os países desenvolvidos, à frente dos demais, em termos de formação
de ETIR’s e de legislação no assunto? O que podemos aprender com as
experiências externas?
• Formar uma ETIR. Como preparar o órgão público federal onde você trabalha
para esse desafio?
• Quais os principais tipos de incidentes de segurança de informação que
ocorrem atualmente na APF?
O domínio desses pontos, com adequada resposta a essas questões/desafios
certamente garantirá, no plano nacional contemporâneo, identificado com o
crescimento e com a formação de referência em TI e em segurança de TI, elementos
garantidores de um salto qualitativo em nosso nível de maturidade, equiparando-o
aos melhores padrões mundiais.
48
Referências e Fontes Consultadas
UNIÃO FEDERAL, 2011, 1
DSIC/GSIPR - Criação de Equipes de Tratamento e Resposta a Incidentes em
Redes Computacionais - ETIR; Disponível em :
http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf - Acessado em 01 JUN 2011
UNIÃO FEDERAL, 2011, 2
DSIC/GSIPR - Gestão de Etir: Diretrizes para Gerenciamento de Incidentes em
Redes Computacionais nos Órgãos e Entidades da Administração Pública Federal;
Disponível em: http://dsic.planalto.gov.br/documentos/nc_8_gestao_etir.pdf
Acessado em 01 JUN 2011
GONDIM, 2009/11
Gondim, João J. C. - Tratamento de Incidentes de Segurança; CEGSIC 2009/2011
UNB - Brasília
Cert.BR – CSIRT FAQ; disponível em http://www.cert.br/certcc/csirts/csirt_faqbr.html#3; Acessado em 06 JUL 2011;
RAMPAZZO, 2005
Rampazzo, Lino - Metodologia Científica - Para alunos dos cursos de graduação e
pós-graduação; 2005 – SP, 3a Ed.
49