ESCOLA SUPERIOR DE GUERRA
ALEXANDRE HOSANG
POLÍTICA NACIONAL DE SEGURANÇA CIBERNÉTICA: UMA
NECESSIDADE PARA O BRASIL
Rio de Janeiro
2011
ALEXANDRE HOSANG
POLÍTICA NACIONAL DE SEGURANÇA CIBERNÉTICA:
uma necessidade para o Brasil
Trabalho de Conclusão de Curso – Monografia
apresentado ao Departamento de Estudos da
Escola Superior de Guerra como requisito à
obtenção do diploma do Curso de Altos Estudos de
Política e Estratégia.
Orientador: JOSÉ FERNANDO CRUZ FIUZA –
Coronel Intendente da Aeronáutica.
Rio de Janeiro
2011
C2011 ESG
Este trabalho, nos termos de legislação
que resguarda os direitos autorais, é
considerado propriedade da ESCOLA
SUPERIOR DE GUERRA (ESG). É
permitido a transcrição parcial de textos
do trabalho, ou mencioná-los, para
comentários e citações, desde que sem
propósitos comerciais e que seja feita a
referência bibliográfica completa.
Os conceitos expressos neste trabalho
são de responsabilidade do autor e não
expressam
qualquer
orientação
institucional da ESG
_________________________________
ASSINATURA
Biblioteca General Cordeiro de Farias
Hosang, Alexandre
Política Nacional de Segurança Cibernética: uma necessidade para o
Brasil / Alexandre Hosang. - Rio de Janeiro: ESG, 2011.
54 f.: il.
Orientador: Cel. Int Aer. R1 José Fernando Cruz Fiuza
Trabalho de Conclusão de Curso – Monografia apresentado ao
Departamento de Estudos da Escola Superior de Guerra como requisito
à obtenção do diploma do Curso de Altos Estudos de Política e
Estratégia (CAEPE), 2011.
1. Política Nacional. 2. Segurança Cibernética. 3.Defesa
Cibernética. I. Título
À minha querida mulher Simone, à minha
filha Gersiane e aos meus filhos Alexandre e
Tiago pela compreensão e apoio a mim
dedicados, entendendo os momentos de
minhas
ausências
em
dedicação
às
atividades da ESG.
Ao meu pai e à minha mãe (in memorian),
como fontes de inspiração.
AGRADECIMENTOS
Aos estagiários da melhor Turma do Curso de Altos Estudos de Política e Estratégia de
2011 - Turma Segurança e Desenvolvimento - pelo convívio agradável e harmonioso de
todas as horas e pelo apoio e incentivo dedicados a minha pessoa.
Ao Corpo Permanente da ESG pelos ensinamentos e orientações que me fizeram refletir,
cada vez mais, sobre a importância de se estudar o Brasil com a responsabilidade implícita
de ter que melhorar.
EPÍGRAFE
A maneira mais confiável de antecipar o futuro
é entender o presente.
John Naisbitt
RESUMO
Esta monografia aborda a temática relacionada à segurança do espaço cibernético,
que pode ser entendido como sendo o território não físico criado por meios
computacionais, onde pessoas físicas e jurídicas, isoladamente ou em grupo,
integrantes de empresas, órgãos públicos ou governos, podem se comunicar,
realizar pesquisas e trafegar dados de maneira geral, valendo-se de Tecnologias da
Informação e Comunicação (TIC) como suporte para seu funcionamento. As
características de autonomia e auto-regulação desse espaço dificultam o
estabelecimento de limites e fronteiras, a efetiva promoção da segurança dos seus
usuários e a preservação da soberania de um Estado Nacional. A Segurança
Cibernética pode ser entendida como a arte de garantir a existência do espaço
cibernético brasileiro pela adoção de ações que assegurem disponibilidade,
integridade, confidencialidade e autenticidade das informações de interesse do
Estado brasileiro. Buscou-se identificar as razões que justifiquem o estabelecimento
de uma Política Nacional de Segurança Cibernética no Brasil, englobando objetivos
intermediários de descrever conceitos relevantes relacionados à questão do Espaço
Cibernético, de identificar aspectos relevantes em relação às ameaças existentes no
Espaço Cibernético, de descrever a atual situação do Espaço Cibernético do Brasil e
identificar parâmetros a serem considerados no estabelecimento de uma Política
Nacional de Segurança Cibernética no Brasil. O estudo foi limitado a aspectos gerais
de planejamento estratégico, destacando atores, instituições e parâmetros que
podem ser considerados no estabelecimento de uma Política Nacional de Segurança
Cibernética no Brasil. Visualizou-se, finalmente, justificar a importância do
estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil, com
ênfase nos aspectos de Segurança e Defesa, destacando parâmetros mínimos a
serem considerados na elaboração dessa Política, de onde poderão advir propostas
de ações.
Palavras chave: Política Nacional. 2. Segurança Cibernética. 3.Defesa Cibernética.
ABSTRACT
This monograph discusses the issue related of security of cyberspace, which can be
understood as a territory not physical created by means computing, where individuals
and legal entities, individually or in groups, members of companies, public agencies
or governments, can communicate, conducting surveys and data traffic in general,
making use of Information and Communication Technology (ICT) as support for its
operation. The characteristics of autonomy and self-regulation of this area make it
difficult to set limits and boundaries, which can’t effective promote safety of its users
and the preservation of the sovereignty of a nation state. The Cybersecurity can be
understood as the art of ensuring the existence of cyberspace Brazil by adopting
measures to ensure availability, integrity, confidentiality and authenticity of
information of interest to the Brazilian State. We tried to identify the reasons justifying
the establishment of a National Cyber Security in Brazil, covering intermediate goals
to describe relevant concepts related to the issue of Cyberspace, to identify relevant
issues in relation to the existing threats in cyberspace, describing the Current
situation of Cyberspace in Brazil and identify parameters that can be considered in
the establishment of a National Cyber Security in Brazil. The study was limited to
general aspects of strategic planning, highlighting actors, institutions and parameters
that can be considered in the establishment of a National Cyber Security in
Brazil. Visualized justify the importance of establishing a National Cyber Security in
Brazil, with emphasis on security and defense, pointing out minimum standards to be
considered in the preparation of this policy, which may result in proposed actions.
Keywords: National Policy. 2. Cybersecurity. 3.Cybernetics Defense.
LISTA DE ABREVIATURAS E SIGLAS
ANATEL
Agência Nacional de Telecomunicações
APF
Administração Pública Federal
C&T
Ciência e Tecnologia
CESeg
Comissão Especial em Segurança da Informação e de Sistemas
Computacionais
CGI
Comitê Gestor da Internet
CGSI
Comitê Gestor de Segurança da Informação
ComSic
Comunidade de Segurança da Informação e Criptografia
DICA
Disponibilidade, Integridade, Confidencialidade e Autenticidade
DSIC
Departamento de Segurança da Informação e Comunicação
ECHELON
Sistema Global de Interceptação de Comunicações
END
Estratégia Nacional de Defesa
ESG
Escola Superior de Guerra
EUA
Estados Unidos da América
FUNTEL
Fundo Nacional de Telecomunicações
GSIPR
Gabinete de Segurança Institucional da Presidência da República
GT SICI
Grupo de Trabalho de Segurança das Infraestruturas Críticas
da Informação
IPEA
Instituto de Pesquisa Econômicas Aplicada
LDO
Lei de Diretrizes Orçamentária
MCT
Ministério da Ciência e Tecnologia
MD
Ministério da Defesa
OECD
Organização para Cooperação e Desenvolvimento Econômico
PD&I
Pesquisa, Desenvolvimento e Inovação
PDN
Política de Defesa Nacional
PNSC
Política Nacional de Segurança Cibernética
PPA
Plano Plurianual
PSI
Política de Segurança da Informação
Renasic
Rede Nacional de Segurança da Informação e Criptografia
SBC
Sociedade Brasileira de Computação
TIC
Tecnologias da Informação e Comunicação
SUMÁRIO
1 INTRODUÇÃO ....................................................................................................... 10
2 DESENVOLVIMENTO ........................................................................................... 13
2.1 SITUAÇÃO MUNDIAL ......................................................................................... 14
2.2 SITUAÇÃO DO BRASIL ...................................................................................... 16
2.2.1 Iniciativas brasileiras ..................................................................................... 20
2.2.2 Crimes Cibernéticos....................................................................................... 21
2.2.3 Relações com outros países ......................................................................... 23
2.3 PARÂMETROS ................................................................................................... 24
3. CONCLUSÃO ....................................................................................................... 39
REFERÊNCIAS......................................................................................................... 41
ANEXO A - GLOSSÁRIO ......................................................................................... 43
ANEXO B – INTERNATIONAL STRATEGY FOR CYBERSPACE .......................... 50
10
1 INTRODUÇÃO
O Brasil vem se destacando no âmbito das nações mundiais em função do seu
desenvolvimento nas últimas décadas, fato este que vem despertando a atenção
internacional, particularmente por poder ocupar posição de destaque e gerar conflito
de interesses.
Diariamente milhões de brasileiros acessam a Rede Mundial de Computadores,
Internet, trocam informações e usam serviços bancários, de comércio eletrônico,
públicos federais, estaduais e municipais, de ensino e pesquisa, das redes sociais,
dentre outros, constituindo-se, assim, uma ampla rede digital.
Neste contexto, a utilização do espaço cibernético é fundamental para a vida
nacional, tanto pública quanto privada, pois permeia praticamente todas as
instituições e órgãos governamentais.
O Espaço Cibernético pode ser entendido como sendo o território não físico
criado por meios computacionais, onde pessoas físicas e jurídicas, isoladamente ou
em grupo, integrantes de empresas, órgãos públicos ou governos, podem se
comunicar, realizar pesquisas e trafegar dados de maneira geral, valendo-se de
Tecnologias da Informação e Comunicação (TIC) como suporte para seu
funcionamento.
Em virtude de suas características de autonomia e auto-regulação, observa-se
a dificuldade de se estabelecerem limites e fronteiras desse espaço, que
proporcionem a segurança dos seus usuários e a preservação da soberania de um
Estado Nacional.
Neste contexto, surge a Segurança Cibernética, que, Segundo Mandarino
(2010)1, “... deve ser entendida como a arte de garantir a existência do espaço
cibernético brasileiro pela adoção de ações que assegurem disponibilidade,
integridade, confidencialidade e autenticidade das informações de interesse do
Estado brasileiro.”
Quais as razões que justificam o estabelecimento de uma Política Nacional de
Segurança Cibernética (PNSC) no Brasil?
O objetivo geral deste trabalho foi o de identificar a importância de se ter uma
Política Nacional de Segurança Cibernética no Brasil, englobando os seguintes
objetivos intermediários:
1
Mandarino Junior, Raphael. Segurança e defesa do espaço cibernético brasileiro, Cubzac Editora, Recife, 2010.
11
- descrever conceitos relevantes relacionados à questão do Espaço Cibernético
e aos Elementos Fundamentais do Método de Planejamento da Escola Superior de
Guerra;
- identificar, de uma maneira resumida, aspectos relevantes em relação às
ameaças existentes no Espaço Cibernético, que podem comprometer a Segurança
Cibernética;
- descrever, de forma sucinta, a atual situação do Espaço Cibernético do Brasil;
- avaliar a necessidade de estabelecimento de Política Nacional de Segurança
Cibernética no Brasil; e
- identificar parâmetros a serem considerados no estabelecimento de uma
Política Nacional de Segurança Cibernética no Brasil.
O desenvolvimento deste trabalho levou em consideração duas hipóteses
principais, quais sejam:
- as ameaças existentes no Espaço Cibernético do Brasil podem limitar o
emprego do Poder Nacional brasileiro.
- o estabelecimento de Política Nacional de Segurança Cibernética no Brasil
pode contribuir com a Segurança e a Defesa nacionais.
O estudo foi limitado a aspectos gerais de planejamento estratégico,
destacando atores, instituições e parâmetros que podem ser considerados no
estabelecimento de uma Política Nacional de Segurança Cibernética no Brasil e
levando em conta o tempo disponível para pesquisa, não sendo abordado o impacto
econômico-financeiro para o estabelecimento de uma eventual Política Nacional,
nem sendo discriminados/detalhados os possíveis cenários prospectivos.
A metodologia empregada na pesquisa foi a qualitativa, documental e
bibliográfica.
Foi
realizada,
inicialmente,
uma
revisão
bibliográfica
sobre
o
tema,
especificamente por intermédio da consulta a livros, publicações, normas existentes,
e uma pesquisa na internet.
Posteriormente, foi elaborado um questionário que foi enviado a pessoas de
instituições públicas e privadas que tratam deste tipo de tema e usuários de TIC,
com o intuito de conhecer a situação atual Segurança Cibernética no Brasil. Foram
enviados 35 questionários e recebidas 23 respostas desses. Preservaram-se as
identidades das pessoas que responderam os questionários, sendo que os
12
conteúdos foram aproveitados na elaboração do relatório de pesquisa, com
adaptações.
Finalmente, os dados foram tabulados, analisados e serviram de base para a
elaboração deste relatório de pesquisa que contem basicamente a situação atual da
Segurança Cibernética no Brasil, destacando a eventual necessidade de
estabelecimento de uma Política Nacional de Segurança Cibernética para o país, e
os parâmetros a serem considerados para a elaboração dessa Política.
Para uma adequada compreensão do que foi pretendido neste estudo, o
desenvolvimento da presente monografia foi organizada em três capítulos, a seguir
apresentados.
- Seção 2.1 – Situação mundial - descreveu-se, de forma sucinta, as características,
vulnerabilidades e a atual situação do Espaço Cibernético no mundo, destacando
exemplos de ações hostis ocorridas recentemente.
- Seção 2.2 - Situação no Brasil – descreveu-se, de forma sucinta, a atual situação
do Espaço Cibernético do Brasil, destacando ações já implementadas na área de
Segurança Cibernética no âmbito da Administração Pública Federal e aspectos que
justifiquem o estabelecimento de Política Nacional de Segurança Cibernética no
Brasil; e
- Seção 2.3 – Parâmetros - de forma geral, identificaram-se parâmetros a serem
considerados no estabelecimento de uma Política Nacional de Segurança
Cibernética no Brasil.
Portanto, dadas às ameaças existentes no Espaço Cibernético mundial,
visualizou-se justificar a importância do estabelecimento de uma Política Nacional de
Segurança Cibernética no Brasil, com ênfase nos aspectos de Segurança e Defesa,
destacando parâmetros mínimos a serem considerados na elaboração dessa
Política, de onde poderão advir propostas de ações.
13
2 DESENVOLVIMENTO
As ameaças reais ou potenciais que existem nos sistemas computacionais de
informação e comunicações podem ser entendidas como sendo a causa potencial
de um incidente indesejado, que pode resultar em dano para um sistema ou
organização.
Serão descritos conceitos relevantes relacionados às ameaças existentes no
Espaço Cibernético brasileiro, a Segurança e Defesa Cibernética, buscando
estabelecer distinção entre estes dois conceitos, e identificando elementos
fundamentais do Método de Planejamento da Escola Superior de Guerra que
poderão ser úteis ao estabelecimento de uma Política Nacional de Segurança
Cibernética.
A Política de Defesa Nacional (2005, não paginado), destaca conceitos
relevantes para este trabalho.
Segurança é a condição que permite ao País a preservação da soberania e da
integridade territorial, a realização dos seus interesses nacionais, livre de pressões
e ameaças de qualquer natureza, e a garantia aos cidadãos do exercício dos
direitos e deveres constitucionais;
Defesa Nacional é o conjunto de medidas e ações do Estado, com ênfase na
expressão militar, para a defesa do território, da soberania e dos interesses
nacionais contra ameaças preponderantemente externas, potenciais ou
manifestas.
Existem outras definições para estes termos, fato este que pode gerar algum
tipo de discrepância no estabelecimento de políticas públicas relacionadas ao tema
Segurança Cibernética. Alguns exemplos disso são apresentados a seguir.
Segundo o Manual da Escola Superior de Guerra, Fundamentos da Escola
Superior de Guerra (2009, p. 59), “Segurança é a sensação de garantia necessária e
indispensável a uma sociedade e a cada um de seus integrantes, contra ameaças
de qualquer natureza.”
Conforme o Glossário das Forças Armadas MD 35-G-01 (2007, p. 75), “Defesa
é o ato ou conjunto de atos realizados para obter, resguardar ou recompor a
condição reconhecida como de segurança, ou ainda, reação contra qualquer ataque
ou agressão real ou iminente.”
Observa-se uma quantidade considerável de conceitos que se relacionam ao
tema em estudo e, com a finalidade de apresentar outras definições de termos
relacionados ao espaço cibernético, que podem ser úteis no estabelecimento de
políticas para a Segurança Cibernética, foi elaborado o Anexo A – GLOSSÁRIO.
14
2.1 SITUAÇÃO MUNDIAL
O espaço cibernético é uma área na qual, apesar de se ter a compreensão da
necessidade de segurança, não existem medidas implementadas de maneira
sistemática e articulada que possam garantir a confiabilidade e a preservação dos
sistemas empregados.
As Nações vêm se preparando para evitar ou minimizar ataques cibernéticos
às redes e sistemas de informação de governo, bem como de todos os demais
segmentos da sociedade.
De maneira geral, na Sociedade da Informação, destacam-se as seguintes
características:
- quantidade significativa de sistemas e redes de informação, notoriamente
interconectados e interdependentes;
- significativos avanços tecnológicos nos sistemas de informação e
comunicação;
- elevado número de acesso à Internet e às redes sociais;
- convergência tecnológica;
- ambientes complexos, com múltiplos sistemas e atores, que apresentam
diversidade de interesses.
Como consequência destas características, surgem as seguintes situações:
- aumento significativo de ameaças e de vulnerabilidades à segurança
cibernética;
- acelerada dinâmica de mudanças de ambinte em função das inovações
surgidas frequentemente.
Exemplo recente de ciberguerra, talvez o mais importante dos últimos tempos,
foi
o Stuxnet,
que
foi
um vírus que
controlou
parcialmente
uma
usina
de enriquecimento de urânio iraniana, causando estragos a algumas de suas
centrífugas.
O Stuxnet foi um worm2 projetado para atacar o sistema industrial SCADA3,
desenvolvido pela Siemens, mais especificamente o sistema de controle das
2
Um worm (verme, em português), em computação, é um programa auto-replicante, semelhante a
um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se
propagar, o Worm é um programa completo e não precisa de outro para se propagar. Um worm pode
ser projetado para tomar ações maliciosas após infestar um sistema, além de se auto-replicar, pode
deletar arquivos em um sistema ou enviar documentos por email.
15
centrífugas de enriquecimento de urânio do Irã, em 2010, fazendo-as girar mais
rapidamente do que o normal e causando rachaduras em seu interior, sem que os
funcionários percebessem o ocorrido. Como a usina não tem acesso à Internet, o
vírus só pode ter sido infiltrado por algum dispositivo com saída USB,
como pendrives. Os relatos apontam para o fato de que o maior número de
computadores infectados com este vírus foi no Irã, indicando o objetivo de infectar
um dispositivo que fosse levado para dentro da fábrica. Esse vírus foi considerado
um dos mais complexos já feitos e, por isso estima-se que não pode ter sido
produzido por um usuário doméstico, sendo que eram necessárias informações
sobre o funcionamento do sistema da usina para a sua elaboração. Para
computadores com sistemas operacionais comuns como o Windows ou Mac OS X, o
Stuxnet não causa danos, sendo fácil removê-lo.
Outro exemplo foi o caso da Estônia em 2007. Naquela ocasião o ataque
cibernético praticamente parou o país, incluindo sites governamentais e privados.
Tratou-se de uma série de ataques cibernéticos, que teve início em 27 de abril de
2007 e que deixou sites do governo fora do ar. Cabe ressaltar que na Estônia quase
todos os serviços são integrados à internet e quase todas as tarefas cotidianas estão
ligadas à rede mundial de computadores, sendo que por isso a população do país foi
atingida diretamente com esse ataque. O governo estôniano suspeitou que a Rússia
poderia ter promovido o referido ataque, como reação a retirada de uma estátua que
marcava a vitória russa contra o nazismo, a estátua do Soldado de Bronze de
Tallinn. Esse foi considerado o primeiro ciberataque de grandes proporções ocorrido
no mundo.
Neste contexto, as estratégias internacionais para o tema indicam para a
necessidade do estabelecimento de parcerias e ações colaborativas entre países e
instituições nacionais, que propiciem a análise, a coordenação e a integração dos
conhecimentos e esforços, permitindo o entendimento dos impactos que a
convergência e a interdependência ocasionam, além da necessidade de correlação
entre tais conhecimentos. Verifica-se, portanto, a necessidade de que tais esforços
3
Sistemas de Controle de Supervisão e Aquisição de Dados: ou abreviadamente SCADA
(proveniente do seu nome em inglês Supervisory Control and Data Aquisition) são sistemas que
utilizam software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle
conectados através de drivers específicos. Estes sistemas podem assumir topologia mono-posto,
cliente-servidor ou múltiplos servidores-clientes
16
devam
ser
embasados
por ações de macro-coordenação e
governança,
adequadamente definidas, baseados em modelos eficientes e eficazes.
Portanto, considerando que os desafios da segurança cibernética são muitos, é
de fundamental importância desenvolver um conjunto de ações colaborativas entre
governo, setor privado, academia e sociedade em geral, de forma a melhor entender
a situação e fazer frente aos aspectos vulneráveis que a perpassam.
2.2 SITUAÇÃO DO BRASIL
Como desafio do século XXI, a Segurança Cibernética vem se destacando
como função estratégica de Estado, sendo essencial à manutenção
funcionamento
das
infraestruturas
críticas
do
país,
tais
como
do
Energia,
Telecomunicações, Transporte, Defesa, Finanças.
O Brasil, inegavelmente, na última década, tornou-se um 'player' importante no
cenário mundial. Certamente o seu conhecimento sensível, produzido em diferentes
áreas dos campos científico e tecnológico, pode se tornar objeto de cobiça por parte
de outros países. Pode-se afirmar que o país para se desenvolver não pode abdicar
da segurança do seu espaço cibernético, sendo que a proteção deste relaciona-se,
diretamente, com a própria soberania nacional.
De maneira geral, o Espaço Cibernético brasileiro apresenta as seguintes
características:
- dos três parâmetros da informação – armazenagem, processamento e trânsito
–, os dois primeiros são em grande parte hospedados fora do país e, quanto ao
terceiro, a banda não pode ser externalizada;
- a infraestrutura é dominada em sua essência por empresas multinacionais
estrangeiras;
- existem talentos em todas as áreas, mas em número insuficiente perante o
tamanho do espaço brasileiro, sendo que muitos estão fora do país; e
- normalmente os profissionais da área são formados em dois compartimentos
que não se comunicam de forma eficaz, quais sejam: o da Academia e o ambiente
muito especializado do autodidatismo e/ou das certificações; esse último foi criado
basicamente pelas empresas para a geração de recursos humanos especializados
em seus produtos.
17
A Política de Defesa Nacional (2005, não paginado) destaca.
Os avanços da tecnologia da informação, a utilização de satélites, o
sensoriamento eletrônico e inúmeros outros aperfeiçoamentos tecnológicos
trouxeram maior eficiência aos sistemas administrativos e militares,
sobretudo nos países que dedicam maiores recursos financeiros à Defesa.
Em conseqüência, criaram-se vulnerabilidades que poderão ser exploradas,
com o objetivo de inviabilizar o uso dos nossos sistemas ou facilitar a
interferência à distância.
Ainda neste mesmo documento, existe como diretriz: “aperfeiçoar os
dispositivos e procedimentos de segurança que reduzam a vulnerabilidade dos
sistemas relacionados à Defesa Nacional contra ataques cibernéticos e, se for o
caso, permitam seu pronto restabelecimento.”
Como decorrência, a Estratégia Nacional de Defesa (END) (2008, p. 5) prevê o
fortalecimento de três setores de importância estratégica: o espacial, o cibernético e
o nuclear.
Os setores espacial e cibernético permitirão, em conjunto, que a capacidade de
visualizar o próprio país não dependa de tecnologia estrangeira e que as três
Forças, em conjunto, possam atuar em rede, instruídas por monitoramento que se
faça também a partir do espaço.
A Estratégia Nacional de Defesa (2008, p. 24) prevê a capacitação de recursos
humanos.
As capacitações cibernéticas se destinarão ao mais amplo espectro de usos
industriais, educativos e militares. Incluirão, como parte prioritária, as tecnologias
de comunicação entre todos os contingentes das Forças Armadas de modo a
assegurar sua capacidade para atuar em rede. Contemplarão o poder de
comunicação entre os contingentes das Forças Armadas e os veículos espaciais.
No setor cibernético, será constituída organização encarregada de desenvolver
a capacitação cibernética nos campos industrial e militar.
Considerando ainda o que está previsto na END, o Exército tem a
responsabilidade de ser o coordenador das ações de Defesa Cibernética, no âmbito
das Forças Armadas. Como consequência, o Exército Brasileiro está criando o
Centro de Defesa Cibernética, vem se articulando nesta área e, institucionalmente,
consolidando sua posição.
Conforme destaca o Livro Verde – Segurança Cibernética no Brasil (2010, p.
13). “Chama a atenção que o chamado espaço cibernético, não tem suas fronteiras
ainda claramente definidas, impacta o dia a dia de todos os dirigentes
governamentais, de empreendimentos privados e dos próprios cidadãos.”
Observa-se, portanto, que existe a noção da importância de se tomar ações
que favoreçam e permitam estabelecer a segurança no espaço cibernético, embora
não se tenha a exata dimensão do que isso possa representar, bem como quais as
18
medidas que efetivamente podem e devem ser adotadas para se atingir este
objetivo.
Por outro lado, percebe-se, de maneira geral, que as pessoas confiam nos
sistemas de pagamento online e web banking em virtude do fato de que estes tipos
de ferramentas vêm sendo usados por mais usuários a cada ano que passa. É certo
que este uso, frequentemente, é feito de maneira moderada, pois se tem notícia de
atividades de estelionato e coleta de informações pessoais.
Atualmente o Brasil conta com diversos órgãos de governos com atribuições na
área de Segurança de Informação e defesa cibernética, porém, apesar de constar
nas agendas desses órgãos, o tema ainda pode ser considerado incipiente e muito
pouco explorado, pois são identificadas poucas ações e incentivos, principalmente
quando se trata do campo acadêmico.
Além disso, o espaço cibernético brasileiro está desprotegido a sistemas
globais de interceptação de comunicações, tal como o Echelon4, que se apropriam
de backbones5 da internet e satelitais.
Quanto à cultura de segurança cibernética no Brasil, pode se afirmar que se
trata de fator crítico de sucesso para qualquer proposta de política pública nacional,
sendo que há também muito a promover e a desenvolver no país, em todos os
níveis de educação (básico, fundamental, superior e de pós-graduação), como em
termos mais amplos sociais, alcançando todo e qualquer cidadão do país.
Portanto, a atual situação permite dizer que não se tem uma estrutura brasileira
consistente que possa fazer frente a um possível cenário de ameaças reais ou de
conflito no espaço cibernético, pois a situação ainda é de definição de
responsabilidades
desde
o
mais
alto
nível
de
governo
até
as
esferas
governamentais mais simples, o que dificulta, em muito, qualquer ação geral de
maneira integrada.
No que diz respeito à capacitação de recursos humanos, em todos os níveis
pode-se afirmar que existe uma boa capacitação preliminar, apesar de ainda
insuficiente para fazer face a uma situação de crise.
4
Sistema global polivalente com estações distribuidas ao redor do planeta, com capacidade de obtenção e
interceptação de comunicações eletrônicas, telefônicas e por fax, em escala mundial, o que representa uma
tecnologia de ponta em matéria de espionagem com um processamento automatizado para fins de espionagem de
sistemas.
5
No contexto de redes de computadores, o backbone (backbone traduzindo para português, espinha dorsal,
embora no contexto de redes, backbone signifique rede de transporte) designa o esquema de ligações centrais
de um sistema mais amplo, tipicamente de elevado desempenho.
19
Sinteticamente, pode-se afirmar que a situação atual é precária devido à falta
de entendimento por parte do Estado brasileiro quanto à importância de se
desenvolver e de se implementar controles efetivos, tanto nas redes corporativas e
da Administração Pública Federal, quanto nos backbones de informação do Brasil,
apesar de algumas iniciativas isoladas.
Exemplo dessa vulnerabilidade foram os ataques aos endereços eletrônicos do
governo, ocorridos recentemente, nos quais se dificultou o acesso aos serviços por
certo período de tempo, mas que
não representaram ameaça real ou
comprometimento aos sistemas governamentais.
As ações de proteção, mercê da existência de iniciativas isoladas ou
coordenadas para a proteção do conhecimento sensível no universo informático,
podem ser consideradas tímidas. Não basta a existência de planos ou boas
intenções, torna-se importante que a cultura da proteção ao conhecimento sensível
seja massificada no universo publico e privado, por intermédio de cursos e
sensibilizações.
Observa-se, portanto, como resultado dos estudos de pesquisa realizados, que
o espaço cibernético, de maneira geral, não possui uma segurança eficiente devido
aos seguintes aspectos:
- ausência de uma taxionomia que padronize o assunto, sendo que a maioria
das definições são importadas ou sem respaldo na legislação brasileira, ou mesmo
desatualizadas.
- indefinição do estado brasileiro sobre o assunto em relação a outros países; e
- falta de definição de um órgão do Estado Brasileiro que possa ser
coordenador/articulador de políticas e de atividades, em âmbito nacional,
relacionadas à segurança cibernética.
Portanto, uma Política Nacional de Segurança Cibernética poderia facilitar o
enfrentamento deste desafio que é de todos, é premente, e requer agilidade na
formação de senso comum a fim de que o país cresça, em segurança, se
apropriando dos benefícios da Internet, rede global em mudança contínua,
minimizando impactos negativos decorrentes de eventuais desastres ou de forma
maliciosa.
20
2.2.1 Iniciativas brasileiras
O Estado brasileiro, ao longo do tempo, tem demonstrado relativa preocupação
com a segurança de nosso Espaço Cibernético e, ainda que se possa afirmar que
não se esteja completamente protegido, várias ações foram realizadas para tal fim,
destacando-se a criação de órgãos e a implementação de iniciativas.
Nesta direção, destacam-se as principais ações implementadas:
- criação do Comitê Gestor da Internet – CGI, com a participação dos diversos
segmentos da sociedade; cabe salientar que segurança não é a preocupação central
do CGI;
- a publicação do decreto 3505/2000, que estabeleceu a Política de Segurança
da Informação (PSI), a ser implantada pelo GSIPR; no entanto, não houve a
definição dos meios a serem utilizados nessa implementação, sendo que, no
momento, esta já se encontra defasada perante as mudanças da última década;
- criação do Departamento de Segurança da Informação e Comunicação
(DSIC) no Gabinete de Segurança Institucional da Presidência da República
(GSIPR), em 2006, com o objetivo de coordenar as ações normativas e operacionais
no âmbito da Administração Pública Federal (APF), previstas na PSI;
- criação da Comunidade de Segurança da Informação e Criptografia (ComSic)
e da Rede Nacional de Segurança da Informação e Criptografia (Renasic) no GSI,
em 2008, para cuidar dos aspectos de fomento de Ciência e Tecnologia (C&T) em
todos as áreas da Segurança Cibernética, também previstos na PSI; essa iniciativa
transcende à APF e foi estabelecida em articulação com o Ministério da Ciência e
Tecnologia (MCT); e
- a publicação da Estratégia Nacional de Defesa, que estipula a Segurança
Cibernética como sendo uma de suas prioridades.
Outra iniciativa interessante foi a criação da CESeg – Comissão Especial em
Segurança da Informação e de Sistemas Computacionais, que é uma das
Comissões Especiais da Sociedade Brasileira de Computação (SBC), criada em
2004, como resultado de um amadurecimento da comunidade acadêmica, e que
conta com a participação de associados da (SBC) que manifestem interesse.
A Comissão foi criada com os objetivos de:
- congregar e articular a comunidade acadêmica brasileira em segurança da
informação e de sistemas computacionais;
21
- representar comunidade acadêmica de segurança junto à Sociedade
Brasileira de Computação; e
- promover eventos acadêmicos na área
Destacam-se, ainda, a implantação da Infraestrutura de Chaves Públicas, a
atualização e criação de normatização sobre o tema, capacitação de recursos
humanos, desenvolvimento de produtos criptográficos, e criação de Grupos
Técnicos para tratar da segurança de Infraestruturas Críticas.
Além disso, ocorrem iniciativas tais como a especialização de agentes da
Polícia Federal para tratar de crimes cibernéticos, o fortalecimento dos sistemas
financeiros, que são alvos mais frequentes desses tipos de crime, e as ações de
empresas de grande porte, que possam ser consideradas alvos de ataques
cibernéticos.
Apesar dessas iniciativas isoladas do Estado Brasileiro, particularmente por
intermédio do GSIPR e de empresas de grande porte para atender demandas
próprias, a população em geral está ciente da existência das ameaças do espaço
cibernético, mas não de suas possibilidades e de como fazer frente a tais ameaças.
Pode-se considerar que a criação do DSIC foi o primeiro passo para oficializar a
preocupação com o assunto.
Observa-se que há esforços de múltiplos atores que atuam diretamente e/ou
perpassam o tema, sem, contudo, haver arcabouço único com enfoques político e
estratégico para a concretização de ações efetivas de integração e otimização de
tais esforços, deixando o País com brechas de segurança a serem mapeadas e
superadas.
Portanto, conclui-se parcialmente que segurança no espaço cibernético ainda
não é um assunto tratado de forma estratégica pelo Brasil, apesar das iniciativas
surgidas, considerando que a abrangência das ações ainda pode ser considerada
limitada e a articulação das ações ainda pode ser considerada deficiente.
Em função do exposto, verifica-se a necessidade de uma ação coordenada do
Estado Brasileiro para garantir o funcionamento das infraestruturas críticas da
nação, em caso de ameaça ou ataque cibernético.
2.2.2 Crimes Cibernéticos
Outro aspecto importante a ser considerado neste estudo se relaciona aos
crimes cibernéticos, particularmente devido aos efeitos danosos que podem advir do
22
mau uso dos sistemas de informação e comunicação por pessoas mal
intencionadas.
Neste sentido, já ocorreram diversas iniciativas no Congresso Nacional para
tratar desse tema, no entanto, até o presente momento, não existe consenso para o
estabelecimento da legislação pertinente e, consequentemente, verifica-se a
ausência de legislação específica que tipifique os crimes cibernéticos.
Apesar dos esforços de alguns setores da Administração Pública, ainda há
brechas na legislação brasileira, não havendo leis para alguns tipos de ações que já
são consideradas crime em outros países. Além disso, não há uma política clara
embasando uma ação contra outro país que tenha afetado de alguma forma
infraestrutura crítica nacional por meios cibernéticos e muitas questões ainda estão
merecendo algum tipo de tratamento, sendo que esse avanço está sendo mais lento
do que a situação exige.
Existe proposta em andamento de uma nova Convenção, de caráter global,
que vem sendo liderada pelo Ministério de Relações Exteriores, sendo esta mais
uma ação internacional no âmbito das Nações Unidas.
Outro aspecto que realça os contrapontos do País no tema, em termos legais,
é a falta de articulação e de integração de esforços, dos três Poderes da República
Federativa do Brasil, como por exemplo, de novo, está na pauta da Comissão de
Ciência e Tecnologia da Câmara dos Deputados a questão de crimes cibernéticos,
sabendo-se que se arrasta por anos o Projeto de Lei Substitutivo, do Senador
Eduardo Azeredo, ao PL da Câmara nº 89, de 2003, e Projetos de Lei do Senado nº
137, de 2000, e nº 76, de 2000, todos referentes a crimes na área de informática,
que contou e conta ainda com discussão dos mais diferenciados atores, sendo que,
no que se refere ao poder executivo, citam-se o Ministério da Justiça, o Ministério
das Relações Exteriores, o GSIPR, dentre outros.
Observa-se que os marcos legais são tênues e não existem leis adequadas
que versem sobre o assunto. Os processos existentes na justiça normalmente se
baseiam em leis comuns, sem uma adequada tipificação na área.
Há, ainda, um descompasso no que se refere à atualização do marco legal do
País no tema, em consonância com a evolução dos marcos legais internacionais.
23
2.2.3 Relações com outros países
Destaca-se que o Brasil não é signatário da Convenção de Budapeste6 que
data da década de 1990, a qual não atende às exigências atuais de crimes
cibernéticos, dado os avanços tecnológicos ocorridos e tampouco é suficiente em
termos da cooperação internacional.
Assim, como resultado da Convenção do Crime Cibernético, ocorrida no ano de
2010, em Salvador/BA, foi emitida Declaração, consensada por 158 países sobre tal
aspecto, fato este que abriu a oportunidade de criação de grupo para tratar
globalmente a matéria – crime cibernético.
Quanto ao acompanhamento das evoluções científica e tecnológica, observase que há diversos desafios para o acompanhamento da dinâmica, da evolução e da
convergência das tecnologias de informação e comunicação (TICs), bem como na
capacitação de recursos humanos nos temas variados que tocam o assunto foco
segurança
cibernética
(segurança
em
cloud
computing,
mapeamento
e
monitoramento de ativos de informação, segurança das infraestruturas críticas da
informação, gestão de riscos, uso seguro das redes sociais, controle integrado de
acesso físico e lógico, criptologia, dentre outros), e em especial, nas competências
essenciais para o efetivo monitoramento, análise e defesa contra ataques de
artefatos maliciosos aos meios e redes computacionais (computação forense,
sensores, inteligência de sinais e imagens, smart grids, pen tests (testes de
invasão), dentre outras).
Neste contexto surge a Estratégia Internacional dos Estados Unidos da
América para Espaço
Cibernético,
International
Strategy
for
Cyberspace,
que descreve a visão daquele país para o futuro desse Espaço e define uma agenda
de parceria com outras nações e povos com este enfoque. Neste documento, que
será abordado a seguir, pode-se observar que estão presentes aspectos
relacionados com parceiras a serem realizadas com outros países. Esta Estratégia
foi abordada na parte do trabalho relacionada ao estabelecimento de parâmetros em
uma Política Nacional de Segurança Cibernética.
6
A Convenção sobre o Cibercrime, também conhecida como Convenção de Budapeste, é um tratado
internacional de direito penal e direito processual penal firmado no âmbito do Conselho da Europa para definir
de forma harmônica os crimes praticados por meio da Internet e as formas de persecução. Esta convenção trata
basicamente de violações de direito autoral, fraudes relacionadas a computador, pornografia infantil e violações
de segurança de redes
24
2.3 PARÂMETROS
O entendimento sobre a importância da segurança cibernética caracteriza-se,
cada vez mais, como condição essencial para o desenvolvimento dos países,
requerendo para tanto, dentre outras ações, a promoção de diálogos e de
intercâmbios de ideias, de iniciativas, de dados e informações, de melhores práticas,
para a cooperação sobre o tema, no país e entre países.
Estima-se levar em consideração a definição das necessidades de curto prazo,
apoiadas em planos de longo prazo, criando órgãos de governo específicos para
tratar do tema, estabelecendo estratégias e implantando sistemas de proteção
sofisticados e abrangentes. Tais programas devem contemplar diferentes aspectos
de uma Política Nacional de Segurança Cibernética (PNSC), compreendendo desde
a redução de vulnerabilidades e a luta contra a criminalidade cibernética até a
defesa contra o ciberterrorismo.
Conforme as diretrizes estabelecidas no Livro Verde – Segurança Cibernética
no Brasil (2010, p.43).
A Política Nacional de Segurança Cibernética deverá ter, como uma de
suas premissas, a sua construção a partir de visão multidisciplinar,
interinstitucional, em que múltiplas competências se complementam na
solução de problemas e na identificação de oportunidades.
Inicialmente, vale destacar algumas recomendações da Organização para
Cooperação e Desenvolvimento Econômico (OECD12) aos países membros sobre
segurança das infraestruturas críticas de informação, as quais são entendidas, em
geral, como indicativos das competências essenciais de segurança cibernética,
particularmente relacionados ao estabelecimento de políticas, conforme apresentado
no Livro Verde – Segurança Cibernética no Brasil (2010, p.26 e 27).
- definir a política e as normas específicas, com objetivos claros, no âmbito
do mais alto nível de governo;
- atuar como o órgão central de governo com competência
(responsabilidade e autoridade) para prover as melhores condições de
implantação da política de segurança cibernética e seus objetivos;
- promover tanto a cultura de, quanto a educação em, segurança
cibernética;
- promover mútua cooperação entre os stakeholders – setor privado,
agência(s), terceiro setor, governo – visando à efetiva implantação da
política nacional de segurança cibernética;
...
- rever sistematicamente a política, normas e respectivo(s) marco(s)
legal(is), com especial atenção às ameaças e vulnerabilidades das
infraestruturas críticas da informação de cada país, buscando minimizar
riscos e desenvolver novos instrumentos e/ou mecanismos de segurança da
informação e comunicações;
- desenvolver e exercer macro-coordenação da política e estratégia nacional
de segurança cibernética, envolvendo cúpula de governo e setor privado;
25
Com relação às recomendações vinculadas ao estabelecimento de estratégias,
constantes no Livro Verde – Segurança Cibernética no Brasil (2010, p.27 e 28),
destacam-se as seguintes:
- promover e exercer a macro-coordenação do monitoramento e da
avaliação de risco, baseados na análise das vulnerabilidades e ameaças
das infraestruturas críticas da informação, visando proteger a economia e a
sociedade contra altos impactos;
- promover e exercer a macro-coordenação do processo nacional de gestão
de risco, orientando desde aspectos da organização, ferramenta(s), até
mecanismos de monitoramento, para a implementação de uma estratégia
nacional de gestão de risco que compreenda: a estrutura organizacional
apropriada que promova melhores práticas de segurança, e que incluam
prevenção, proteção, resposta e recuperação de ameaças naturais e
maliciosas; e o sistema de medidas que permita avaliar continuamente o
processo, o que inclui itens de controle, níveis de maturidade, exercícios e
testes apropriados;
- promover e exercer a macro-coordenação da capacidade de resposta à
incidentes em redes computacionais, como as das equipes que atuam em
CERTs/CSIRTs, incluindo mecanismos de forte cooperação e comunicação
entre tais equipes;
- estreitar as relações com o setor privado: estabelecendo parcerias públicoprivadas e acordos de cooperação, com foco na gestão de risco, tratamento
de incidentes e recuperação de sistemas e redes de informação e
comunicações, e na gestão da continuidade de negócios; e estimulando o
intercâmbio regular de informação, por meio do estabelecimento de acordos
com cláusulas específicas para o caso de conhecimentos sensíveis ou
informações classificadas;
- estimular e apoiar a aceleração da inovação da segurança cibernética por
meio da pesquisa e do desenvolvimento;
- promover a cooperação bilateral e multilateralmente, em nível regional e
global, visando trocas de experiências e fortalecimento das estratégias de
segurança cibernética.
No âmbito do Governo Federal brasileiro, proposta elaborada pela Secretaria
de Assuntos Estratégicos, da Presidência da República, intitulada Brasil 2022 Trabalhos Preparatórios (2010, p. 376), destaca na área de Segurança InstitucionaI,
especificamente na Meta 3, o seguinte: “estabelecer no País Sistema de Segurança
e Defesa Cibernética, envolvendo, também, os sistemas de informação ligados às
infraestruturas críticas.” Nesta meta são previstas as seguintes ações:
- implantar um órgão de referência em segurança de sistemas de
informação e comunicação e das infraestruturas críticas da informação;
- integrar esforços e estabelecer prioridades por intermédio de Comitê
Gestor dos Sistemas de Tecnologia da Informação e Comunicação.
- conceber um modelo institucional de
proteção
contra
ataques
cibernéticos e criar o respectivo marco legal;
- desenvolver programa nacional interdisciplinar de pesquisa em segurança
de sistemas de informação, envolvendo recrutamento e capacitação de
recursos humanos; e
- estabelecer programas de cooperação entre governo, sociedade civil e
comunidade técnica internacional.
26
Durante o estudo verificou-se a necessidade de se dividir os parâmetros em
classes e níveis, com a finalidade principal de se facilitar o entendimento do tema,
bem como a possível implementação de políticas públicas.
Visualizou-se dividir os parâmetros nas seguintes classes e níveis:
- Político: podem englobar as diversas políticas públicas e legislativas que
abordem o tema. Ou seja, o que fazer.
- Técnico Científico: podem abranger as pesquisas científicas sobre o tema
- Técnico Operacional: podem incluir estudos técnicos e as técnicas elaboradas
nos diversos órgãos e instituições que surgirem do emprego prático , tendo como
origem profissionais especializados ou não.
- Usuários: de maneira geral são todas as pessoas que fazem uso de
tecnologias de informação e comunicação, que podem possuir conhecimentos
avançados, intermediários ou básicos.
Com relação aos parâmetros políticos, segundo o Guia de Referência para a
Segurança das Infraestruturas Críticas da Informação (2010, p. 20), “são três os
fatores considerados na formulação de estratégias para atender os requisitos
mínimos necessários à Segurança das Infraestruturas Críticas da Informação:
segurança, resiliência e capacitação.”
A segurança da informação e comunicações descreve atividades ligadas à
proteção da informação e dos ativos da infraestrutura de informação, particularmente
contra riscos de perda, mau uso, divulgação indevida ou dano. Trata-se, portanto, da
adoção de controles físicos, tecnológicos e humanos personalizados que viabilizem
a redução dos riscos a níveis aceitáveis.
Cabe salientar dois conceitos importantes:
- “Infraestruturas Críticas da Informação”, como sendo o subconjunto de ativos
de informação que afetam diretamente a consecução e a continuidade da missão
do Estado e a segurança da sociedade; e
- “Ativos de Informação” como sendo os meios de armazenamento,
transmissão e processamento, os sistemas de informação, bem como os locais
onde se encontram esses meios e as pessoas que a eles têm acesso.
Segundo o Guia de Referência para a Segurança das Infraestruturas Críticas
da Informação (2010, p. 86), aborda-se a resiliência.
A resiliência possibilita às organizações trabalharem, de forma
independente e interdependente, para garantir a continuidade dos seus
objetivos de negócio durante a interrupção de eventos, tais como:
27
desastres naturais, acidentes industriais e atos terroristas, e para melhorar
as parcerias com os serviços de gestão de emergência que visam assistir
as comunidades.
Com a adoção deste conceito, considera-se a proposta de se tratar a
resiliência com o foco operacional, considerando os segmentos de
gestão
da
segurança da informação e comunicações, que inclui: gestão de riscos, gestão
de operação
de
tecnologia
da
informação
e
comunicações
e gestão
de
continuidade de negócios. Com a evolução, o foco pode ser ampliado para a toda
a organização, com a meta de criar uma organização resiliente.
Nas organizações que compõem as áreas prioritárias das Infraestruturas
Críticas, as ações voltadas para a cultura de segurança da informação e
comunicações devem estar alinhadas e integradas com as demais ações
associadas à tecnologia e processos de segurança.
Visando a criação e o fortalecimento da cultura de segurança da informação e
comunicações, as organizações podem estabelecer ações direcionadas em três
níveis: sensibilização/conscientização, treinamento e educação.
Neste contexto, verifica-se a necessidade de se estabelecer um método para
identificar ameaças e para gerar alertas de Segurança das Infraestruturas Críticas
da Informação, no qual sejam definidos sensores e sinais, e se estabeleçam os
princípios básicos que nortearão todo método. Ainda podem ser considerados
essenciais o estabelecimento de modelos de articulação que poderão ser adotados
e a formação de uma rede de colaboração e comunicações.
Considerando o fato de que as organizações não conseguem prever todas as
ameaças possíveis, existe a necessidade de criação e do fortalecimento de uma
cultura de resiliência entre os proprietários e operadores dos setores das
Infraestruturas Críticas, com o objetivo de assegurarem que os serviços essenciais
possam ser restaurados rapidamente após um desastre.
No estabelecimento de Políticas Públicas, verifica-se a necessidade de se
prever recursos orçamentários com a finalidade de garantir a execução das
atividades programadas.
No âmbito do Governo Federal, o Plano Plurianual (PPA) é o instrumento de
planejamento que estabelece, de forma regionalizada, as diretrizes, objetivos e
metas da Administração Pública Federal para as despesas de capital e outras delas
decorrentes e para as relativas aos programas de duração continuada, conforme
28
disposto no artigo 165 da Constituição Federal de 1988. O PPA explicita as escolhas
pactuadas com a sociedade, contribuindo para viabilizar os objetivos fundamentais
da República, e organiza a ação de governo na busca de um melhor desempenho
da Administração Pública.
O Projeto de Lei do PPA 2012–2015, a ser encaminhado ao Congresso
Nacional até 31 de agosto de 2011, pelo Poder Executivo, será elaborado com base
em diretrizes oriundas do Programa de Governo. Dentre essas diretrizes, destaca-se
a Visão Estratégica, que indica em termos gerais o País almejado em um horizonte
de longo prazo e estabelece, ainda, os Macrodesafios para o alcance dessa nova
realidade de País.
Com base nessas diretrizes, o PPA 2012–2015 será constituído de Programas
Temáticos e Programas de Gestão, Manutenção e Serviços ao Estado. A discussão
desses Programas no âmbito do Governo Federal se dará entre o Ministério do
Planejamento, Orçamento e Gestão (MP) e os ministérios executores das Políticas
Públicas.
O Programa Temático retrata a agenda de governo organizada pelos Temas
das Políticas Públicas e orienta a ação governamental. Sua abrangência deve ser a
necessária para representar os desafios e organizar a gestão, o monitoramento, a
avaliação, as transversalidades, as multissetorialidades e a territorialidade. O
Programa Temático se desdobra em Objetivos e Iniciativas.
Dentre a proposta elaborada pelo Ministério do Planejamento do conjunto de
programas temáticos, destacam-se a seguir aqueles que podem ter relação com o
estabelecimento de Políticas Públicas para a área cibernética.
• Ciência, Tecnologia e Inovação
• Defesa Nacional
• Educação Básica
• Educação Profissional e Tecnológica
• Educação Superior
• Gestão de Riscos e Resposta a Desastres
• Inclusão Digital
• Infraestrutura de Comunicações
• Política Externa
• Segurança Pública
29
Ao se considerar a expressão Política do Poder Nacional, conforme
preconizado no Método de Planejamento, da Escola Superior de Guerra, ressalta-se
a necessidade de se caracterizar a segurança cibernética como sendo de alta
prioridade para o país, implementando uma robusta estratégia nacional de
segurança cibernética, com o intuito de se valorizar e ampliar as competências nos
diversos temas que perpassam a referida temática, bem como temas correlatos,
como o de segurança das infraestruturas críticas da informação, de se criar órgão
central para macro-coordenação de políticas públicas sobre segurança cibernética,
de se estabelecer programas de cooperação específicos entre Governo e
Sociedade, bem como com outros Governos e a comunidade internacional e de
se aumentar a capacidade da Defesa do País para proteção da nação no espaço
cibernético.
O motivo preponderante para o estabelecimento de uma Política Nacional de
Segurança Cibernética (PNSC) é justamente nortear ações a serem desenvolvidas
pelo Estado, com o envolvimento de setores estratégicos da academia e da iniciativa
privada e da sociedade em geral, visando preservar a liberdade de ação no espaço
cibernético brasileiro e garantir a segurança dos ativos estratégicos de informação
nacionais.
A PNSC deve definir parâmetros para a atividade de segurança cibernética no
País, estabelecendo pressupostos, objetivos, instrumentos e diretrizes para os
diversos atores envolvidos na atividade.
Ainda na expressão Política do Poder Nacional, observa-se a necessidade de
se criar marco legal que permita regular o tema contra ataques e crimes
cibernéticos, tanto internos quanto externos ao país, e que estejam alinhados com
eventuais convenções internacionais acordadas.
Na expressão Econômica do Poder Nacional, verifica-se a necessidade de se
criar Subfunção específica para as atividades de segurança cibernética na Lei de
Diretrizes Orçamentária (LDO), sendo que o montante a ser destinado deve levar em
consideração eventual demanda reprimida pela ausência de previsão anterior, com
vistas a criar capacidade de resposta da Nação para enfrentar potenciais ameaças
cibernéticas, para promover a devida regulação do mercado, por meio da adoção
de padrões e especificações técnicas, bem como de modelos de gestão, de
acompanhamento, e de auditoria desse tipo de atividade, de se estreitar parcerias
e ações colaborativas com o setor privado, estimulando as parcerias públicas
30
privadas e as empresas estratégicas, promovendo o setor cibernético no país e de
se apoiar o segmento das micro, pequenas e médias empresas do país, em
especial aquelas atuantes no comércio eletrônico, de forma a promover a
cultura da segurança cibernética.
Na expressão Psicossocial do Poder Nacional, observa-se a necessidade de
se utilizar as redes sociais da Internet em prol da criação e o fortalecimento da
consciência nacional sobre segurança cibernética, de se desenvolver programa de
inclusão digital que incorporem a conscientização dos usuários sobre ameaças
cibernéticas e segurança cibernética, de se defender os direitos de privacidade do
cidadão
brasileiro,
de se apoiar o desenvolvimento da Internet no Brasil,
promovendo política de acessibilidade com segurança do cidadão, de se aplicar
políticas
de
incentivo
para
a
integração
do
setor
privado
à segurança
cibernética do país.
Ainda na expressão Psicossocial do Poder Nacional, visualiza-se a
necessidade de se investir na educação dos usuários, por intermédio programas
nacionais de capacitação em segurança cibernética, que sejam construídos com
visão interdisciplinar que o tema requer, nos níveis: básico, técnico, graduação,
especialização,
mestrado
e
doutorado,
de
conscientização
nacional no tema de forma a
se
desenvolver
programa
de
atingir, especialmente diferentes
comunidades do país, desenvolvendo material apropriado para os mais diversos
públicos, incluindo o infantil, o de adolescentes e jovens, as pessoas de baixa
renda, da terceira idade, de educadores em todos os níveis de formação
educacional e de gestores e legisladores públicos, de se incluir nos currículos de
ensino de nível fundamental e médio do País a obrigatoriedade de temas como
segurança da informação e correlatos.
Na expressão Científico Tecnológica do Poder Nacional, verifica-se a
necessidade de se promover o fortalecimento da ciência e as pesquisas básica e
aplicada, do desenvolvimento de tecnologias e metodologias, e da inovação em
segurança cibernética. Em temas correlatos, a necessidade de se criar laboratórios
de pesquisa aplicada para testes e ensaios, bem como para a pesquisa, o
desenvolvimento e a inovação (PD&I) no âmbito do setor cibernético em temas tais
como recursos criptográficos, biometria, informação e análise de sinais e
imagens,
tratamento
computacionais,
e
análises
resposta
e
de
incidentes
em
redes
e
sistemas
monitoramento de tendências de malware,
31
desenvolvimento de tecnologias cibernéticas, dentre outras, de se ampliar o esforço
de padronização/harmonização do ambiente de segurança cibernética por meio de
programa específico que, preferencialmente, permita a padronização/harmonização
de especificações de bens e serviços, para seu uso em compras governamentais,
crie modelos de referência para apoio às atividades estratégicas de segurança
cibernética, priorize o desenvolvimento e a compilação de padrões, de metodologias,
de
tecnologias
de
ponta,
e
fomente a utilização da arquitetura de
interoperabilidade na integração de sistemas de informação do governo, bem
como o maior intercâmbio de informações de incidentes computacionais entre
as equipes especializadas de governo, setor privado e academia, para as
devidas ações de prevenção e repressão contra ataques cibernéticos,
Ainda na expressão Científico Tecnológica do Poder Nacional, observa-se a
demanda de se incentivar o aporte de recursos financeiros específicos, em
programas a serem desenvolvidos pelas Agências federais e estaduais de fomento
em apoio à CT&I, para o setor cibernético, de se articular a aplicação de recursos
do
Fundo Nacional de Telecomunicações (FUNTEL)
para
o desenvolvimento
continuado de CT&I do setor cibernético, especialmente no que tange à vertente da
segurança, de se fomentar a demanda e financiamento, pelo setor privado, de
pesquisa, desenvolvimento e produção de soluções de segurança cibernética
nas universidades ou em outros centros de excelência, de se realizar financiamento
público de atividades relacionadas ao tema junto a universidades ou centros de
excelência,
soluções
de
segurança
cibernética
por
meio
de
pesquisa,
desenvolvimento e produção dessas soluções para atender demandas do Estado.
Neste contexto, surge outro aspecto relevante que é a cooperação
internacional sobre o tema, no qual se evidencia a necessidade de se promover a
cooperação bilateral e multilateralmente, em nível regional e global, visando
trocas de experiências e fortalecimento de uma estratégia nacional de segurança
cibernética, de se institucionalizar
no
país
uma
autoridade
nacional
de
segurança, com a finalidade de se sistematizar o processo de credenciamento de
órgãos,
entidades,
empresas, e pessoas para intercâmbio de informações
classificadas, entre governos, de se promover acordos de cooperação técnica de
segurança cibernética, de se estabelecer programas de cooperação específicos
entre Governo e Sociedade, bem como com outros Governos e a comunidade
internacional, de se articular acordos internacionais de modo a potencializar a
32
segurança cibernética do País, sua capacidade de defesa e dissuasão, além
do aumento e atualização das suas competências essenciais.
Portanto, o principal motivo para se implantar uma Política Nacional de
Segurança Cibernética é a fragilidade das infraestruturas críticas brasileiras, que
podem sofrer blackout principalmente aquelas que suportam as infraestruturas
tecnológica, econômico-financeiro e de Comando e Controle, colocando em risco a
soberania Nacional.
A Criação de uma Agência Brasileira de Segurança da Informação, a qual teria
competência e responsabilidade de monitorar o Espaço Cibernético Nacional,
colocando controles de tráfego ao longo dos backbones, mesmo sendo estes de
propriedade de empresas de telecomunicações internacionais. Atualmente existem
agências deste tipo em países tais como: Coréia do Sul e Japão.
Além disso, a criação de Leis relacionadas à Segurança Cibernética que
permitam uma ação rápida e eficaz em casos de incidentes que tem como alvo as
infraestruras críticas do Brasil.
Quanto aos parâmetros Técnico Científicos, cabe analisar, sob o enfoque
científico, as iniciativas realizadas em órgãos governamentais de todos os níveis,
bem como na iniciativa privada, buscando conjugar interesses, equacionar eventuais
discrepâncias e articular esforços com a finalidade de tornar mais eficiente os
trabalhos realizados.
Quanto aos parâmetros Técnico Operacionais, considera-se que na atualidade
as iniciativas de técnicos que buscam soluções práticas para problemas do dia-a-dia
são cada vez mais frequentes e permitem, muitas vezes, encontrar soluções
inteligentes e simples para problemas complexos. Estas iniciativas devem ser
aproveitadas e, para tanto, devem ser analisadas e avaliadas com a finalidade de se
verificar a viabilidade de serem aproveitadas por outros setores, tanto da
Administração Pública, quanto pela iniciativa privada e pelas universidades.
Resumidamente, no campo técnico operacional verifica-se a necessidade de se
articular iniciativas e de se aproveitar a capacidade de produção de setores técnicos.
Os serviços prestados por essas áreas são de vital importância para os
cidadãos, para as organizações e para o Estado, cuja proteção permanente visa
garantir a continuidade da prestação dos serviços mesmo em situações de crise.
Para definir as diretrizes gerais de proteção das Infraestruturas Críticas
nacionais, está sendo proposta uma Política Nacional de Segurança de
33
Infraestruturas Críticas, que está sendo analisada no âmbito do Governo Federal e
que, posteriormente, será encaminhado ao Congresso para aprovação.
No sentido de trazer o tema segurança das infraestruturas críticas da
informação para as discussões e para reflexão em âmbito nacional, criou-se o
Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação
(GT SICI), instituído no âmbito do Comitê Gestor de Segurança da Informação
(CGSI) com as seguintes atribuições, conforme Portaria Nº. 34 do Conselho de
Defesa Nacional (2009), no qual constam as seguintes atribuições:
- levantar e avaliar as potenciais vulnerabilidades e riscos que possam
afetar a Segurança das Infraestruturas Críticas da Informação, o que requer
a identificação e monitoramento das interdependências;
- propor, articular e acompanhar medidas necessárias à Segurança das
Infraestruturas Críticas da Informação;
- estudar, propor e acompanhar a implementação de um sistema de
informações que conterá dados atualizados das Infraestruturas Críticas
da Informação, para apoio a decisões; e,
- pesquisar e propor um método de identificação de alertas e ameaças da
Segurança de Infraestruturas Críticas da Informação.
Como resultado deste trabalho, foi elaborado o Guia de Referência para a
Segurança das Infraestruturas Críticas da Informação (2010, p. 22, 23 e 24), no qual
constam aspectos relevantes sobre os tópicos apresentados a seguir.
“Macroprocessos de Mapeamento de Ativos de Informação”, no intuito de
delinear caminhos para determinar se um ambiente é ou não seguro no que se
refere à informação e comunicações, considerando-se a DICA (critérios de
Disponibilidade,
Integridade, Confidencialidade
e
Autenticidade).
Somam-se
questões relativas à crescente incidência de ataques cibernéticos, o que torna
ainda maior a necessidade de rastrear interdependências internas/externas, a
fim de que sejam identificados os impactos decorrentes da interrupção dos
serviços
oriundos
de infraestruturas
críticas
da
informação,
e
que sejam
implementadas ações adequadas à manutenção da continuidade dos serviços.
“Instrumentos para o Mapeamento e o Acompanhamento de Ativos de
Informação”, contempla um questionário com 50 questões fechadas e um conjunto
de formulários que objetivam facilitar a identificação, registro, e gestão dos
ativos de informação.
“Requisitos mínimos necessários à Segurança das Infraestruturas Críticas
da Informação: aumentar a segurança, resiliência e capacitação”, por meio da
categorização dos controles e respectivos itens de controles de segurança da
informação e comunicações, de forma a atender aos requisitos
mínimos
de
34
segurança
das infraestruturas
críticas
da
informação,
e, também,
visando
permitir a identificação e o acompanhamento do nível de maturidade da
segurança das infraestruturas críticas da informação
nas organizações. O
modelo e instrumentos tomaram como base a legislação brasileira vigente sobre
o tema, bem como referencial normativo internacional. Além disso, este tópico
demonstra
o
alinhamento
e
a
respectiva correspondência
dos
itens
de
controles propostos com a identificação dos ativos de informação. Soma-se que
para a construção
de
visão
sistemática e
de
evolução continuada
foram
estabelecidas camadas em cinco níveis de maturidade, sendo estes transpostos
em ciclos até que o órgão / instituição atinja o nível mais elevado de
maturidade, propondo-se o nível 2 como nível mínimo de maturidade inicial em
Segurança das Infraestruturas Críticas da Informação.
“Método para Identificação de Ameaças e Geração de Alertas de Segurança
das Infraestruturas Críticas da Informação”, busca nortear as ações a partir dos
princípios da seletividade e da oportunidade, para a geração de alertas, por meio
de processo que compreende ações de coleta, análise e divulgação, a serem
realizadas
pelos
responsáveis
(gestores
das Infraestruturas Críticas da
Informação – ICI). As ações poderão contribuir para a formação de uma rede de
colaboração e comunicação, que poderá ser coordenada de forma centralizada,
descentralizada, ou híbrida, e cuja finalidade principal será a troca de sinais
(ameaças ainda não validadas, mas que precisam ser comunicadas). Essa
sinalização deve ser controlada por um setor específico para que sejam
tomadas as medidas adequadas de resposta aos alertas. Ao final, descreve-se o
Módulo de Monitoramento de Ameaças e Geração de Alertas de Segurança
das Infraestruturas Críticas da informação, que foi desenvolvido baseado no
mapeamento
dos
ativos
de informação
e
respectivos
itens
de
controle,
promovendo, assim, o alinhamento e a sinergia com os 3 tópicos anteriore,
com a finalidade de fomentar a visão proposta. A título de exemplo e com a
finalidade de facilitar o entendimento desta fase, inseriu-se a Figura 1.1 que
descreve a sequência de atividades do processo e os correspondentes produtos, de
acordo com o Guia de Referência para a Segurança das Infraestruturas Críticas da
Informação (2010, p. 38).
35
Figura 1.1 - Macroprocessos do Mapeamento de Ativos de Informação
Fonte: Guia de Referência para a Segurança das Infraestruturas Críticas da Informação (2010,
p. 38)
Resumidamente, para que uma organização identifique seus requisitos de
segurança, ela deve basear-se em três pilares. O primeiro é o conjunto dos
princípios, objetivos e necessidades para o processamento da informação que uma
organização tem que desenvolver para apoiar suas operações. O segundo é a
legislação vigente, os estatutos, as regulamentações e as cláusulas contratuais
que a organização, seus parceiros, contratados e prestadores de serviço têm
que atender. E o terceiro, oriunda das duas anteriores, são os requisitos
de
segurança derivados da avaliação de riscos, processo responsável por identificar
36
as
ameaças
aos
ativos,
as vulnerabilidades com
suas
respectivas
probabilidades de ocorrência e os impactos ao negócio.
Quanto aos parâmetros de usuários, observa-se que os mesmos são os atores
essenciais para o bom funcionamento do processo da implementação de qualquer
iniciativa na área de segurança, pois se constata que este pode ser tornar a parte
mais vulnerável de todo o sistema de informação e comunicação.
Além disso, a capacitação destes usuários pode ser considerada como sendo
aspecto essencial para a prevenção de atitudes perigosas para a segurança
cibernética.
Neste contexto, há que se avaliar o real nível de capacitação de cada usuário,
permitindo avaliar o perfil desse usuário e estudando medidas preventivas que
possam favorecer a segurança cibernética. Como ideia geral, pode se dividir os
usuários em nível avançado de conhecimento, nível intermediário de conhecimento
e em nível básico de conhecimento, sendo que este último pode englobar as
pessoas que praticamente não possuem conhecimentos a respeito do tema.
A Estratégia Internacional para o Ciberespaço, International Strategy for
Cyberspace (2011), dos Estados Unidos da América (EUA), lançada em maio de
2011, pode ser considerada como uma referência no estabelecimento de parâmetros
para uma Política Nacional para o setor no Brasil, levando em conta o avançado
nível tecnológico e a experiência daquele país em atividades relacionadas ao tema.
Ressalta-se, naquele documento, os aspectos de promoção a prosperidade, a
segurança e a abertura na rede mundial, destacando o aumento de seu uso nos dias
atuais, como fica bem evidente no discurso do Presidente Barack Obama, de 29 de
maio de 2009, “This world – cyberspace – is a world that we dependo on every single
day... [it] has made us more interconnected than at any time in human history.”
Aborda-se o tema como sendo um convite a outros estados e povos a se
unirem aos EUA na realização de uma visão de prosperidade, de segurança
e abertura do mundo conectado. Trata-se de um chamado ao setor privado,
sociedade civil, e também dos usuários no sentido de reforçar a ação de
sensibilização e os esforços de parcerias.
Dentre os aspectos apresentados na referida estratégica que combinam
diplomacia, defesa e desenvolvimento, destacam-se os seguintes:
- O objetivo diplomático enfatiza que os Estados Unidos da América
irão trabalhar para criar incentivos a fim de construir consenso em torno de um
37
ambiente internacional no qual os Estados - reconhecendo o valor intrínseco de
um ciberespaço, aberto, interoperável, seguro e confiável – possam trabalhar em
conjunto e
agir
como atores responsáveis.
Por
intermédio
das
relações internacionais e parcerias, vai-se buscar garantir que o máximo possível
de
partes
interessadas
especialmente
devido
estejam
incluídas nesta
visão do
a seus benefícios econômicos,
sociais,
ciberespaço,
políticos
e de
segurança.
-
O
objetivo
de
defesa
inclui
aspectos
relacionados
à
dissuasão.
Os EUA, junto com outras nações, incentivam um comportamento responsável e
opõe-se àqueles que procuram perturbar as redes e sistemas, e assim dissuadir e
impedir atores maliciosos, reservando o direito de defender esses ativos nacionais
vitais quando necessário e apropriado. Os Estados Unidos continuarão a reforçar as
defesas de
sua
rede e de
de interrupções e
outros
sua
capacidade
ataques. Para
de
resistir e
se
aqueles ataques mais
recuperar
sofisticados
que criam danos, vai-se agir em planos bem desenvolvidos de resposta para isolar
e minimizar interrupções em suas máquinas, limitando os efeitos nas redes, e os
efeitos em cascata potencial além destes. Quando tal se justifique, os Estados
Unidos da
América
responderão
a atos
hostis no
ciberespaço
como
seria para qualquer outra ameaça ao país. Reservou-se o direito de usar todos os
meios necessários - diplomáticas, de informação, militar e econômico - de forma
adequada e consistente com o direito internacional aplicável, a fim de defender a
nação, os aliados, os parceiros e os interesses. Ao fazer isso, estima-se esgotar
todas as opções antes de usar a força militar, sempre que possível; serão avaliados
cuidadosamente os custos e riscos de ação contra os custos da não ação e agir-seá de uma maneira que reflita os valores dos EUA e fortaleça-se a legitimidade,
buscando um amplo apoio internacional, sempre que possível.
-
O
objetivo
de
desenvolvimento
aborda
as
questões
relativas
a
prosperidade, construção e segurança. Acredita-se que os benefícios de um mundo
conectado sejam universais. As virtudes de um ciberespaço aberto, interoperável,
seguro e confiável devem ser mais acessíveis do que são hoje.
Portanto, com as mudanças tecnológicas ocorridas recentemente, pode se
pensar em agregar incumbência de controle do espaço cibernético para o Ministério
das Comunicações e/ou para a Agência Nacional de Telecomunicações (ANATEL).
38
Modificação do MC para Ministério das Comunicações e da Cibernetica com objetivo
de ser órgão governamental responsável por articular e coordenar iniciativas.
Outro aspecto relevante é o fato de que alguns setores do governo ainda estão
com uma visão primária sobre a Segurança Cibernética. A maioria dos países
trabalha com o conceito de “imposição de regras”, enquanto que o Brasil ainda
admite o conceito de “sugerir regras”, fato este que demonstra ser um processo
primário de determinação de uma política.
Finalmente constata-se a demanda de criação de órgão que permita a
articulação das atividades a serem desenvolvidas no setor e possibilite a conjugação
de esforços com vistas a aumentar o rendimento e evitar o desperdício de recursos.
39
3. CONCLUSÃO
Analisando-se o cenário mundial, com ataques cibernéticos sendo realizados
contra instituições do Estado e contra corporações privadas, é possível identificar
um movimento de levante contra a Nação utilizando o espaço cibernético para atingir
resultados ainda difusos. Porém, certamente existe uma inteligência trasnacional
fluindo abaixo da corrente de ataques visíveis, que pretendem desestabilizar
doutrinas de Defesa do Estado.
Nos dias atuais, considerando as relações de interdependências que
incrementam os índices de potenciais ameaças que podem assolar os ativos de
informação - que compõem, ou relacionam-se com, as Infraestruturas Críticas da
Informação -, deixa evidente o compromisso de se trabalhar um processo contínuo
e evolutivo para o aprimoramento e refinamento do conhecimento sobre tais ativos.
O efetivo conhecimento do ativo de informação é fundamental para saber do que,
como e quanto pode ser investido para protegê-lo.
Num país de dimensões continentais como o Brasil, o ciberespaço e a
consequente infraestrutura crítica de informação possuem caráter estratégico
diferenciado, pois desempenham papel essencial, tanto para a segurança e
soberania nacional, como para a integração cultural e o desenvolvimento
econômico. Por essa razão, proteger tanto o ciberespaço como a infraestrutura
crítica de informação deve ser um objetivo estratégico e permanente, de maneira a
assegurar a continuidade de operação dos serviços considerados essenciais.
Aspecto relevante é a necessidade de uma efetiva Governança na área de
Tecnologia da Informação e Comunicação, considerando a necessidade de efetivo
controle do espectro por onde circulam as informações.
É notório, portanto, que muitas ações são necessárias para criar condições
preeminentes
da
Segurança
das
Infraestruturas
Críticas
de
Informação,
principalmente, no que diz respeito ao entendimento das diretrizes para a proteção
da sociedade e do Estado.
Sugere-se o prosseguimento dos estudos, sendo que para tal intento, deve-se
considerar a possibilidade de abrir chamada pública de pesquisa pelo Instituto de
Pesquisa Econômicas Aplicada (IPEA), ação que poderá representar avanço
significativo no conhecimento das demandas e das soluções para a segurança do
espaço cibernético, em especial o brasileiro.
40
Conclui-se
que
existem
diversos
órgãos
da
Administração
Pública,
organizações da iniciativa privada e instituições de Ensino e Pesquisa que vem
desenvolvendo iniciativas e ações no intuito de preservar a segurança do espaço
cibernético brasileiro. Porém, verifica-se a necessidade de maior integração, além da
interação que já ocorre, e a articulação destes organismos e suas respectivas ações
com a finalidade de promover a cultura de segurança e a difusão de experiências
adquiridas.
41
REFERÊNCIAS
BRASIL. Conselho de Defesa Nacional. Secretaria Executiva. Portaria Nº 34, de 5
de agosto de 2009. Institui Grupo de Trabalho de Segurança das Infraestruturas
Críticas da Informação, no âmbito do Comitê Gestor de Segurança da Informação –
CGSI. Brasília, 2009.
______. Ministério da Defesa. Estratégia Nacional de Defesa. Brasília, DF, 2008.
59 p.
______. Ministério da Defesa. Glossário das Forças Armadas MD 35-G-01,
Brasília, DF, 2007. 274 p
______. Ministério da Defesa. MD31-D-03: Doutrina Militar de Comando e
Controle: documento em caráter experimental (Portaria Normativa No
1888/EMD/MD, de 29 de dezembro de 2006). Ed. Brasília, DF, 2006, 62 p.
______. MD 51-M-04: Doutrina Militar de Defesa. 2. Ed. Brasília, 2007, 48 p.
______. MD 51-P-02: Política Militar de Defesa. Documento classificado. Portaria
No 400/SPEAI/MD, de 21 de setembro de 2005. Brasília, DF, Ed. Brasília, 2007b, 16
p.
______. Presidência da República. Estratégia Nacional de Defesa. Decreto N.
6.703, de 18 de dezembro de 2008. Brasília, DF, 2008.
______. Política de Defesa Nacional. Decreto N. 5.484, 30 de junho de 2005.
Brasília, DF, 2005.
______. Presidência da República. Gabinete de Segurança Institucional. Guia de
Referência para a Segurança das Infraestruturas Críticas da Informação. Org.
Claudia Canongia e Raphael Mandarino Junior. Brasília, DF.: GSIPR/SE/DSIC,
2010. 151 p.
_____. Presidência da República. Gabinete de Segurança Institucional. Livro Verde
– Segurança Cibernética no Brasil. (Org. Raphael Mandarino Junior e Claudia
Canongia). Brasília: GSIPR/SE/DSIC, 2010. 44 p.
______. Presidência da República. Gabinete de Segurança Institucional. Instrução
Normativa GSI Nº 1 – Disciplina a Gestão da Segurança da Informação e
Comunicações na Administração Pública Federal, direta e indireta, e dá outras
providências. Brasília, 2008.
______. Presidência da República. Gabinete de Segurança Institucional. Norma
Complementar Nº02/IN01/DSIC/GSIPR – Metodologia de Gestão de Segurança
da Informação e Comunicações. Brasília, 2008.
42
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma
Complementar Nº03/IN01/DSIC/GSIPR– Diretrizes para Elaboração de Política de
Segurança da Informação e Comunicações nos Órgãos e Entidades da
Administração Pública Federal. Brasília, DF 2009.
______. Presidência da República. Secretaria de Estudos Estratégicos. Brasil 2022
– Trabalhos Preparatórios. Brasília, DF, 2010, 408 p.
Cabinet Office. Cyber Security Strategy of the United Kingdom: safety, security
and resilience in cyber space. (UK Office of Cyber Security (OCS) and UK Cyber
Security Operations Centre (CSOC)). UK: TSO – The Parliament Bookshop. 2009.
June. 25p.
CENTER FOR STRATEGIC AND INTERNATIONAL STUDIES - CSIS. Securing
Cyberspace for the 44th. Presidency: a report of the CSIS Commission on
Cybersecurity for the 44th. United States Of America: Presidency. CSIS Washington.
December. 2008. 88p.
ESCOLA SUPERIOR DE GUERRA (Brasil). Fundamentos da Escola Superior de
Guerra. Volume I – Elementos Fundamentais. Rio de Janeiro, 2009. v.1 66 p.
Franklin D. Kramer, Stuart H. Starr, Larry Wentz (eds.). Cyberpower and National
Security. National Defense University, 2009
Fernandes, Jorge Henrique Cabral. Gestão da segurança da informação e
comunicações: volume 1. Universidade de Brasília, Brasília, DF, 2010.
Government of India. Ministry of Communications and Information Technology.
Department of Information Technology . Discussion draft on National Cyber
Security
Policy.
2011.
Recuperado
na
Web
em
13/02/2011.
http://www.mit.gov.in/sites/upload_files/dit/files/ncsp_060411.pdf
Mandarino Junior, Raphael. Segurança e defesa do espaço cibernético
brasileiro, Cubzac Editora, Recife, 2010
UNITED STATES OF AMERICA. International Strategy for Cyberspace. Seal of
the President of United States, Washington, DC, 2011.25 p.
43
ANEXO A - GLOSSÁRIO
Buscou-se compilar conceitos considerados relevantes ao entendimento do
que seja o espaço cibernético e que, eventualmente, pode ser necessário no
estabelecimento de uma Política de Segurana Cibernética.
Ameaça: Causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organização (ABNT, 2005).
Artefato malicioso: Qualquer programa de computador, ou parte de um
programa, construído com a intenção de provocar danos, obter informações não
autorizadas ou interromper o funcionamento de sistemas e/ou redes de
computadores (NC 05 DSIC/GSIPR, 2009).
Ativo
de
Informação:
Meios
de
armazenamento,
transmissão
e
processamento, os sistemas de informação, bem como os locais onde se encontram
esses meios e as pessoas que a eles têm acesso (Portaria 45 SE-CDN, 2009).
Autenticidade: Propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um determinado
sistema, órgão ou entidade (IN 01 GSIPR, 2008).
Ciberguerra: é uma modalidade de guerra em que as armas normais são
substituídas por ataques virtuais. A existência da ciberguerra deve-se ao fato de que
atualmente, os meios digitais estão completamente integrados aos governos e a
todas as pessoas.
Neste contexto, se toda a rede de um país for atacada, os
transtornos à população podem ser grandes e pode se gerar um enorme caos.
Computer Emergency Response Team – CERT: pode ser entendido como
uma equipe de respostas emergenciais relacionadas aos problemas oriundos das
áreas de segurança da informação, ocasionados nos computadores existentes e em
funcionamento em todo mundo.
Comunidade internacional: integração de nações amigas com mesmas
aspirações de Segurança Cibernética independentes de variáveis econômicas ou
geográficas.
Confidencialidade: Propriedade de que a informação não esteja disponível ou
revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado
(IN 01 GSIPR, 2008).
44
Continuidade de Negócios: Capacidade estratégica e tática de um órgão ou
entidade de se planejar e responder a incidentes e interrupções de negócios,
minimizando seus impactos e recuperando perdas de ativos da informação das
atividades críticas, de forma a manter suas operações em um nível aceitável,
previamente definido (NC 06 DSIC/GSIPR, 2009).
Contêineres dos Ativos de Informação: o contêiner é o local onde “vive” o
ativo de informação. É qualquer tipo de recurso onde a informação está
armazenada, é transportada ou processada (STEVENS, 2005).
Criticidade: priorizar os segmentos de maior vulnerabilidade que poderia
acarretar em grande prejuízo ao país.
Desenvolvimento Nacional: O Desenvolvimento deve ser entendido como um
processo social global em que todas as estruturas passam por con_nuas e
profundas transformações (ESG, 2009).
Defesa: O ato ou conjunto de atos realizados para obter, resguardar ou
recompor a condição reconhecida como de segurança, ou ainda, reação contra
qualquer ataque ou agressão real ou iminente. (Glossário MD35-G-01;2007).
Defesa: é um ato ou conjunto de atos realizados para obter ou resguardar as
condições que proporcionam a sensação de Segurança (ESG, 2009).
Defesa Cibernética: atividade que busca proteger os sistemas de governo
relevantes em relação à determinada ameaça.
Disponibilidade: Propriedade de que a informação esteja acessível e utilizável
sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade (IN
01 GSIPR, 2008).
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais
– ETIR: Grupo de pessoas com a responsabilidade de receber, analisar e responder
às notificações e atividades relacionadas a incidentes de segurança em redes de
computadores (NC 05 DSIC/GSIPR, 2009).
Estratégia Nacional: A arte de preparar e aplicar o poder para conquistar e
preservar objetivos, superando óbices de toda ordem (ESG, 2009)..
Expressão Econômica: Expressão Econômica do Poder Nacional é a
manifestação de natureza preponderantemente econômica do Poder Nacional, que
contribui para alcançar e manter os Objetivos Nacionais (ESG, 2009).
45
Expressão Científica e Tecnológica: Expressão Científica e Tecnológica do
Poder Nacional é a manifestação preponderantemente científica e tecnológica do
Poder Nacional, que contribui para alcançar e manter os Objetivos Nacionais (ESG,
2009).
Expressão Militar: Expressão Militar do Poder Nacional é a manifestação de
natureza preponderantemente militar do Poder Nacional, que contribui para alcançar
e manter os Objetivos Nacionais (ESG, 2009).
Fase do Diagnóstico: envolve o conhecimento onde deverá se produzir a
ação, subdividindo-se em duas etapas: a Análise do Ambiente e a Análise do Poder
(ESG, 2009).
Fase Política: onde se formula o objetivo ou conjunto de objetivos,
subdividindo-se em duas etapas: a Elaboração de Cenários e a a Concepção
Política (ESG, 2009).
Fase Estratégica: onde se concebe o caminho a seguir para alcançar o
objetivo ou conjunto de objetivos, subdividindo-se em duas etapas: a Concepção
Estratégica e a Programação (ESG, 2009).
Fase da Gestão: onde se procede a execução, o acompanhamento e o
controle das ações programadas, subdividindo-se em duas etapas: a Execução e o
Controle (ESG, 2009).
Fonte de Risco: Elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco (ISO 31000, 2009).
Gestão de riscos de segurança da informação e comunicações: Conjunto
de processos que permite identificar e implementar as medidas de proteção
necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos
de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos
(NC 04 DSIC/GSIPR, 2009).
Grau de sigilo: gradação atribuída a dado, conhecimentos, áreas ou
instalações, considerados classificados, em decorrência de sua natureza ou
conteúdo (adaptação do Glossário MD35-G-101, 2007).
Guerra de informação: Conjunto de ações destinadas a obter a superioridade
das informações, afetando as redes de comunicação de um oponente e as
informações que servem de base aos processos decisórios do adversário, ao
mesmo tempo em que garante as informações e os processos amigos. (Glossário
MD35-G-01, 2007).
46
Guerra cibernética: Conjunto de ações para uso ofensivo e defensivo de
informações e sistemas de informações para negar, explorar, corromper ou destruir
valores do adversário baseados em informações, sistemas de informação e redes de
computadores. Estas ações são elaboradas para obtenção de vantagens tanto na
área militar quanto na área civil. (Glossário MD35-G-01, 2007).
Infraestruturas Críticas: Instalações, serviços, bens e sistemas cuja
interrupção ou destruição, total ou parcial, provocará sério impacto social, ambiental,
econômico, político, internacional ou à segurança do Estado e da sociedade.
Infraestruturas Críticas da Informação: Subconjunto de ativos de informação
que afetam diretamente a consecução e a continuidade da missão do Estado e a
segurança da sociedade (Portaria 34 SE-CDN, 2009).
Interdependência: Relação de dependência ou interferência de uma
infraestrutura crítica em outra, ou de uma área prioritária de infraestruturas críticas
em outra (Política Nacional de Segurança de Infraestruturas Críticas, 2010 –
aprovada na CREDEN, e ainda não sancionada pelo Presidente da República).
Livro Branco: Documento de caráter público, por meio do qual se permitirá o
acesso ao amplo contexto da Estratégia de Defesa Nacional, em perspectiva de
médio e longo prazos, que viabilize o acompanhamento do orçamento e do
planejamento plurianual relativos ao setor.
Método para o Planejamento: oriundo dos estudos e pesquisas realizados ao
longo da existência da Escola Superior de Guerra (ESG), o método tem como objeto
principal, da sua origem e aplicação, a busca da maior racionalidade nas decisões
nacional, fundamentado no Pensamento da ESG e em estudos acadêmicos, teóricos
e empíricos, assumindo caráter finalístico e teleológico, ao procurar associar os fatos
às suas causas, de modo a obter explicações e alcanças a compreensão e
desenvolver o conhecimento, dividindo-se em quatro fases: do Diagnóstico, Política,
Estratégica e da Gestão.
Necessidade de conhecer: condição indispensável, inerente ao exercício
funcional, para que uma pessoa possuidora de credencial de segurança tenha
acesso a dado e informação classificada, compatível com seu credenciamento.
Desta forma a necessidade de conhecer caracteriza-se como fator restritivo de
acesso, independente do grau hierárquico ou função que a pessoa exerça
(adaptação do Glossário MD35-G-101, 2007).
47
Objetivos Nacionais (ON): são aqueles que a Nação busca satisfazer, em
decorrência da identificação de necessidades, interesses e aspirações, em
determinada fase de sua evolução histórico-cultural. Os Objetivos Nacionais são
classificados segundo sua natureza, em três grupos: Objetivos Fundamentais (OF),
Objetivos de Estado (OE); e Objetivos de Governo (OG) (ESG, 2009).
Objetivos Fundamentais (OF): são Objetivos Nacionais (ON) que, voltados
para o atingimento dos mais elevados interesses da Nação e preservação de sua
identidade, subsistem por longo tempo (ESG, 2009).
Objetivos de Estado (OE): são Objetivos Nacionais intermediários, voltados
para o atendimento de necessidades, interesses e aspirações, considerados de alta
relevância
para
a
conquista,
consolidação
e
manutenção
dos
Objetivos
Fundamentais (ESG, 2009).
Objetivos de Governo (OG): são Objetivos Nacionais intermediários, voltados
para o atendimento imediato de necessidades, interesses e aspirações, decorrentes
de situações conjunturais em um ou mais períodos de Governo (ESG, 2009).
Poder Nacional: Conjugação interdependente de vontades e meios, voltada
para o alcance de uma finalidade. A vontade, por ser um elemento imprescindível na
manifestação
do
Poder,
torna-o
um
fenômeno
essencialmente
humano,
característico de um indivíduo ou de um grupamento de indivíduos.
Política Nacional: Manifesta-se quando se busca aplicar racionalmente o
Poder Nacional, orientando-o para o Bem Comum, por meio do alcance e
manutenção dos Objetivos Fundamentais (ESG, 2009).
Política Pública: Conjunto de ações desencadeadas pelo Estado, no caso
brasileiro, nas escalas federal, estadual e municipal, com vistas ao bem coletivo.
Elas podem ser desenvolvidas em parcerias com organizações não governamentais
e, como se verifica mais recentemente, com a iniciativa privada.
Projeção do Poder Nacional: processo pelo qual a Nação aumenta, de forma
pacífica, sua influência no cenário internacional, por intermédio da manifestação
produzida com recursos de todas as Expressões de seu Poder Nacional (ESG,
2009).
Resiliência: Poder de recuperação ou capacidade de uma organização resistir
aos efeitos de um desastre. (NC 06 DSIC/GSIPR, 2009) Capacidade de resistir a
fatores adversos e de recuperar-se rapidamente. (Política Nacional de Segurança de
48
Infraestruturas Críticas, 2010 – aprovada na CREDEN, e ainda não sancionada pelo
Presidente da República).
Risco: Efeito da incerteza nos objetivos (ABNT ISO GUIA 73, 2009).
Riscos de segurança da informação: Possibilidade de uma determinada
ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta
maneira, prejudicando a organização (ABNT, 2008).
Riscos de segurança da informação e comunicações: Potencial associado
à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um
conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo
no negócio da organização. (NC 04 DSIC/GSIPR, 2009).
Segurança: é a sensação de garantia necessária e indispensável a uma
sociedade e a cada um de seus integrantes, contra ameaças de qualquer natureza
(ESG, 2009).
Segurança Cibernética: Arte de assegurar a existência e a continuidade da
Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço
Cibernético, seus ativos de informação e suas infra-estruturas críticas (Portaria 45
SE-CDN, 2009).
Segurança da Informação: Proteção dos sistemas de informação contra a
negação de serviço a usuários autorizados, assim como contra a intrusão, e a
modificação
desautorizada
de
dados
ou
informações,
armazenados,
em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos
humanos, da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaças a seu desenvolvimento (PRESIDÊNCIA,
2000).
Segurança da Informação e Comunicações: Ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informações (IN 01 GSIPR, 2008).
Sistemas de Controle de Supervisão e Aquisição de Dados: ou
abreviadamente SCADA (proveniente do seu nome em inglês Supervisory Control
and Data Aquisition) são sistemas que utilizam software para monitorar e
supervisionar as variáveis e os dispositivos de sistemas de controle conectados
através de drivers específicos. Estes sistemas podem assumir topologia monoposto, cliente-servidor ou múltiplos servidores-clientes.
49
Tecnologias de Informação e Comunicação (TIC): podem ser definidas
como o conjunto de recursos tecnológicos, utilizados de forma integrada, com um
objetivo comum. As TICs são utilizadas das mais diversas formas, na indústria (no
processo de automação), no comércio (no gerenciamento, nas diversas formas de
publicidade), no setor de investimentos (informação simultânea, comunicação
imediata) e na educação (no processo de ensino aprendizagem, na Educação à
Distância).
Vulnerabilidade: Propriedade intrínseca de algo resultando em suscetibilidade
a uma fonte de risco que pode levar a um evento com uma conseqüência (ISO
31000, 2009). Conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais
podem ser evitados por uma ação interna de segurança da informação (NC 04
DSIC/GSIPR, 2009).
50
ANEXO B – INTERNATIONAL STRATEGY FOR CYBERSPACE
(Resumo elaborado pelo autor)
A Estratégia Internacional para o Ciberespaço, International Strategy for
Cyberspace (2011), dos Estados Unidos da América (EUA), lançada em maio de
2011, pode ser considerada como uma referência no estabelecimento de parâmetros
para uma Política Nacional para o setor no Brasil, levando em conta o avançado
nível tecnológico e a experiência daquele país em atividades relacionadas ao tema.
Ressalta-se, naquele documento, os aspectos de promoção a prosperidade, a
segurança e a abertura na rede mundial, destacando o aumento de seu uso nos dias
atuais, como fica bem evidente no discurso do Presidente Barack Obama, de 29 de
maio de 2009, “This world – cyberspace – is a world that we dependo on every single
day... [it] has made us more interconnected than at any time in human history.”
Aborda-se o tema como sendo um convite a outros estados e povos a se
unirem aos EUA na realização de uma visão de prosperidade, de segurança
e abertura do mundo conectado. Trata-se de um chamado ao setor privado,
sociedade civil, e também dos usuários no sentido de reforçar a ação de
sensibilização e os esforços de parcerias.
Na referida Estratégia, descrevem-se, inicialmente, os princípios e as
características que o Espaço Cibernético mundial, salientando aspectos relevantes
com relação ao estabelecimento de uma estratégia e que podem ser aproveitados
em nossos parâmetros a serem adotados no Brasil.
Observa-se que, para realizar este futuro, os Estados Unidos estão visualizando combinar diplomacia, defesa e desenvolvimento para aumentar a prosperidade,
segurança e abertura para que todos possam se beneficiar das tecnologias de rede.
Dentre os aspectos apresentados na referida estratégica que combinam
diplomacia, defesa e desenvolvimento, destacam-se os seguintes:
- O objetivo diplomático enfatiza que os Estados Unidos da América
irão trabalhar para criar incentivos a fim de construir consenso em torno de um
ambiente internacional no qual os Estados - reconhecendo o valor intrínseco de
um ciberespaço, aberto, interoperável, seguro e confiável – possam trabalhar em
conjunto e
agir
como atores responsáveis.
Por
intermédio
das
relações internacionais e parcerias, vai-se buscar garantir que o máximo possível
51
de
partes
interessadas
especialmente
devido
estejam
incluídas nesta
visão do
a seus benefícios econômicos,
sociais,
ciberespaço,
políticos
e de
segurança.
Além
disso,
porque nenhuma
sistemas
distribuídos necessitam
instituição,
documento,
de uma
arranjo, ou
ação
unificada,
instrumento pode
ser
suficiente para atender as necessidades do mundo em rede. Considera-se que
todos sejam importantes para ajudar ciberespaço cumprir seu pleno potencial, tais
como os usuários finais do setor privado, fornecedores de hardware e software e
provedores de serviços Internet, bem como outras organizações.
-
O
objetivo
de
defesa
inclui
aspectos
relacionados
à
dissuasão.
Os EUA, junto com outras nações, incentivam um comportamento responsável e
opõe-se àqueles que procuram perturbar as redes e sistemas, e assim dissuadir e
impedir atores maliciosos, reservando o direito de defender esses ativos nacionais
vitais quando necessário e apropriado. Os Estados Unidos continuarão a reforçar as
defesas de
sua
rede e de
de interrupções e
outros
sua
capacidade
ataques. Para
de
resistir e
se
aqueles ataques mais
recuperar
sofisticados
que criam danos, vai-se agir em planos bem desenvolvidos de resposta para isolar
e minimizar interrupções em suas máquinas, limitando os efeitos nas redes, e os
efeitos em cascata potencial além destes. Quando tal se justifique, os Estados
Unidos da
América
responderão
a atos
hostis no
ciberespaço
como
seria para qualquer outra ameaça ao país. Reservou-se o direito de usar todos os
meios necessários - diplomáticas, de informação, militar e econômico - de forma
adequada e consistente com o direito internacional aplicável, a fim de defender a
nação, os aliados, os parceiros e os interesses. Ao fazer isso, estima-se esgotar
todas as opções antes de usar a força militar, sempre que possível; serão avaliados
cuidadosamente os custos e riscos de ação contra os custos da não ação e agir-seá de uma maneira que reflita os valores dos EUA e fortaleça-se a legitimidade,
buscando um amplo apoio internacional, sempre que possível.
-
O
objetivo
de
desenvolvimento
aborda
as
questões
relativas
a
prosperidade, construção e segurança. Acredita-se que os benefícios de um mundo
conectado sejam universais. As virtudes de um ciberespaço aberto, interoperável,
seguro e confiável devem ser mais acessíveis do que são hoje.
52
No texto, ressalta-se que os EUA poderão desempenhar um papel ativo no
fornecimento de conhecimento e capacidade para construir e garantir novos e já
existentes sistemas digitais.
Nos
Estados
investimento, um
Unidos,
a
compromisso
assistência à
e uma
capacitação
importante
é vista
como um
oportunidade de
diálogo
e parceria.
Dentre os aspectos relacionados à Economia, a Estratégia propõe-se a
promoção de normas internacionais inovadoras que garantam ao ciberespaço a
possibilidade de servir as necessidades das economias. Para tal pretende-se
manter um
ambiente de
ao acesso
a redes
de
livre
comércio que
informática
e
estimule a
proteger
a
inovação
tecnológica
propriedade intelectual,
incluindo segredos comerciais.
A cibersegurança para proteger as redes é de fundamental importância para
a segurança econômica e nacional, no sentido mais amplo, aumentando a
Segurança, confiabilidade e resiliência. Para tal estão sendo assinaladas ações que:
- promovam a cooperação ciberespaço, particularmente sobre as normas de
comportamento para os estados e segurança cibernética, bilateralmente e em uma
série de organizações multilaterais e multinacionais parcerias.
- reduzam intrusões e interrupções em redes de EUA.
- certifique-se da efetividade das ações de gerenciamento de incidentes,
resiliência e capacidade de recuperação de informação.
- melhorem a segurança da cadeia de fornecimento de alta tecnologia, em
coordenação com a indústria.
Outro aspecto citado refere-se a imposição da Lei, entendida como sendo
a Colaboração Estendida do Estado de Direito. Para aumentar a confiança no
ciberespaço e acompanhar aqueles que exploram sistemas on-line, pretende-se:
-
participar
plenamente no
desenvolvimento
de
uma
política
internacional contra o cibercrime;
-
harmonizar as
leis criminalidade
informática a
nível
internacional,
expandindo adesão à Convenção de Budapeste;
- focalizar o combate ao cibercrime e atividades ilegais, não restringindo o
acesso à Internet.
- negar aos terroristas e outros criminosos a possibilidade de explorar a
internet para o planejamento operacional, financiamento ou a realização de ataques.
53
No campo militar, preparando-se para os desafios de segurança do século 21,
desde o compromisso de defender os cidadãos estadunidenses, aliados e defender
interesses que eventualmente podem estar sendo ameaçados, pretende-se:
- adaptar-se a necessidade crescente de redes militares confiáveis e seguras;
- construir e reforçar alianças militares para enfrentar potenciais ameaças no
ciberespaço; e
- expandir a cooperação ciberespaço com aliados e parceiros para aumentar a
segurança coletiva.
Quanto
a
governança
da
Internet,
pretende-se
promover
estruturas
eficazes e inclusivas, sendo que, para promover estruturas de governança da
Internet que efetivamente atendam às necessidades de todos os usuários da
Internet, objetiva-se:
- priorizar a abertura e inovação na Internet.
- preservar a segurança da rede e a estabilidade mundiais, incluindo o sistema
de nome de domínio (DNS).
- promover e melhorar as discussões multisetoriais locais para as questões
de Governança da Internet.
No quesito desenvolvimento internacional, apresenta-se a necessidade de
capacitação,
tecnologia de
segurança
e prosperidade.
rede global, visualiza-se
a
Para
promover os
demanda
de
benefícios
da
confiabilidade das
redes compartilhadas, e a construção de partes interessadas responsáveis na
comunidade do ciberespaço, sendo que, para tanto, objetiva-se:
- proporcionar os conhecimentos necessários, treinamento e outros recursos
para países que busquem construir técnicas e capacidades de cibersegurança;
- desenvolver continuamente e regularmente práticas cibersegurança, bem
como as melhores práticas internacionais;
-
aprimorar a
capacidade
dos
estados para
combater o
cibercrime, incluindo formação de forenses especialistas, juristas e legisladores,
para a aplicação da lei; e
- desenvolver relações com os decisores políticos com a finalidade de melhorar
a capacitação técnica, por intermédio de contato regular e permanente com os
peritos e os seus correspondentes do governo dos Estados Unidos.
54
A liberdade na Internet engloba as liberdades fundamentais e a privacidade.
Para ajudar a proteger as liberdades fundamentais, bem como a privacidade no
ciberespaço, pretende-se:
- apoiar os atores da sociedade civil para alcançar plataformas confiáveis,
seguras e garantir as liberdades de expressão e de associação;
- colaborar com a sociedade civil e organizações não-governamentais para
estabelecer
salvaguardas
e
proteger sua
atividade
na
Internet,
evitando
invasões digitais ilegais ;
- incentivar a cooperação internacional para a efetiva proteção à privacidade de
dados comerciais; e
- assegurar a interoperabilidade de uma Internet acessível a todos.
Segundo consta no referido documento, estes ideais são considerados
fundamentais para preservar a integridade do ciberespaço, assim como permitirão
criar o futuro almejado.
Nos termos finais do documento em questão, observa-se a seguinte afirmação
“To realize this future, the United States will combine diplomacy, defense, and
development to enhance prosperity, security, and openness so all can benefit from
networked technology.”