Ameaas e desafios colocados aos Estados Que estratgias

  • Slides: 22
Download presentation

Ameaças e desafios colocados aos Estados. Que estratégias de futuro para garantir a cibersegurança

Ameaças e desafios colocados aos Estados. Que estratégias de futuro para garantir a cibersegurança na CPLP? Jeferson Fued Nacif [email protected] gov. br 2

A governança cibernética está listada entre os 10 tópicos mais importantes da agenda internacional

A governança cibernética está listada entre os 10 tópicos mais importantes da agenda internacional pelos principais think tanks do mundo. 3

São imensos os benefícios trazidos pelas TICs, assim como são as ameaças • 62

São imensos os benefícios trazidos pelas TICs, assim como são as ameaças • 62 milhões de brasileiros foram vítimas de crimes cibernéticos em 2017; em 20 países pesquisados, foram quase 1 bi*; • 44% dos consumidores foram afetados por criminosos cibernéticos; • No Brasil, custos com o cibercrime estimados em US$ 20, 5 bi. • Até 2021 os custos devem aumentar para US$ 6 trilhões no mundo; • o Brasil leva 33. 9 horas para resolver um ciberataque. A média geral global é 23. 6 horas. Japão (5. 6 horas), Estados Unidos (19. 8 horas), e Reino Unido (33. 9 horas) • Io. T promete conectar bilhões de coisas, ampliando também os incentivos, as possibilidades e os ganhos com os ataques cibernéticos. • 50 mil aparelhos conectados foram atacados pelo malware Mirai – desenvolvido por atores nao-estatais. * Norton Cyber Security Report 2017 e do site Internetuserlive. com; CFR. 4

O cibernético expandiu suas fronteiras. • Não há mais delimitações sobre o campo de

O cibernético expandiu suas fronteiras. • Não há mais delimitações sobre o campo de atuação dos agentes – todos se atacam mutuamente. • Wannacry - a Primeira Ministra Tereza May instou a colaboração das empresas na investigação dos criminosos; interferência estrangeira no processo eleitoral dos EUA. • Ataques mais conhecidos: Estônia, Geórgia, Ucrânia, Sony, Stuxnet, Flame, demonstram a natureza diversa dos objetivos para os quais os ataques foram desenhados. • EUA, Austrália, Alemanha, Arábia Saudita, Coréia do Sul e OTAN acusaram diretamente atores estatais como perpetradores de ataques contra seus governos e ativos cibernéticos • Momento apropriado: profusão de ataques e mobilização internacional. • Mas inexiste consensos sobre as formas de resolução do problema • Ponto em comum: necessidade de cooperação internacional • Se é assim, por que não acontece? 5

Algumas características desse novo mundo. Caótico ou uma nova ordem? Existe mesmo uma governança

Algumas características desse novo mundo. Caótico ou uma nova ordem? Existe mesmo uma governança cibernética? • Se a 4 Revolução Industrial é a resposta, a segurança cibernética é a pergunta; • As regras do ciberespaço são diferentes do mundo físico, por isso abordagens são distintas (questões temporais, geográficas, reações políticas e militares); • As leis, políticas, práticas e doutrinas estão em desenvolvimento. Pontos que merecem reflexão: Que padrão de comportamento e cuidados devemos esperar das empresas no uso dos dados; Como devem se comportar os entes reguladores? Como definir responsabilidades num cenário eminentemente transnacional e multifacetado? Divisão de responsabilidades entre setores público e privado em questões de Segurança e Defesa cibernéticas; • Desafio é conciliar os leitores da Foreign Affairs com os da Wired; • • 6

E por falar em diplomacia, vale lembrar a História • Os grandes acordos de

E por falar em diplomacia, vale lembrar a História • Os grandes acordos de controle de armas foram SALT e START, entre EUA e URSS levaram 20 anos de negociação. • No multilateral, o TNP, nao impediu que Índia, Paquistão, Israel desenvolvessem armas nucleares. • Apesar das violações, tanto o TNP como o Tratado sobre Armas biológicas, deixaram o mundo mais seguro e criaram foruns de negociacao e canais de comunicacao. • Normas internacionais acordadas podem ser úteis na obtençao de apoio multilateral contra um Estado que está fora da lei. 7

O que está em jogo nas questões de Estado - poder • Uma fraqueza:

O que está em jogo nas questões de Estado - poder • Uma fraqueza: grande parte do trabalho de segurança ocorre mesmo nas redes informais, privadas, baseadas em relações de confiança; os Estados também são atores desses arranjos mas não exercem controle hierárquico sobre eles; • Propor limites à ação estatal é difícil quando se está em fase inicial, que comporta tantos desafios e está sendo testada, principalmente no campo da guerra cibernética. 8

9

9

10

10

O que está em jogo nas questões de Estado - poder Se o controle

O que está em jogo nas questões de Estado - poder Se o controle de armas cibernéticas pode não dar certo, devemos tentar limites aos conflitos, considerando que: • acordos dessa natureza só prosperam quando na equação dos Estados isso lhes dá vantagens sobre outros – vide TNP; • Nações mais vulneráveis tendem a aceitar melhor limites a uma guerra cibernética desenfreada (Rússia e China propõem normas na ONU que são barradas pelos EUA); • Nações mais fortes entendem como cerceamento de suas potencialidades. • Qualquer que seja o limite, um acordo não prosperará se barrar a espionagem cibernética; 11

No campo dos Estados, que soluções propor internamente? Richard Clarke propõe conceito de Tríade

No campo dos Estados, que soluções propor internamente? Richard Clarke propõe conceito de Tríade Defensiva: • Regulamentação federal em 3 setores: • Backbone: inspecionar os grandes troncos, os ISPs de nivel 1, por onde 90% do tráfego circula • Rede elétrica segura • Departamento de Defesa 12

Soluções propostas por alguns expoentes Tratado destinado à proteção de civis, infraestruturas críticas e

Soluções propostas por alguns expoentes Tratado destinado à proteção de civis, infraestruturas críticas e empresas contra ataques patrocinados por Estados: • compromisso de relatar vulnerabilidades aos fabricantes e não estocá-los, vendê-los nem explorá-los • Limitar as ações ofensivas, não proliferação de armas cibernéticas • Acordos entre empresas • Criação de uma organização independente para atribuição de ataques – misto público-privado, exemplo: AIEA. 13

Soluções propostas por alguns expoentes Richard Clarke e Brad Smith se assemelham: • Não

Soluções propostas por alguns expoentes Richard Clarke e Brad Smith se assemelham: • Não atacar alvos civis nem infraestruturas críticas. • Mas, como detectar as violações e como atribuir a culpa? • Atribuição nunca será 100% certa • Transferir o fardo da investigação para a nação que lançou o ataque – cada país é responsável pelo seu pedaço de ciberespaço. • Cria-se uma obrigação de ajudar, disposição em contrário demonstraria conivência com o ofensor. • Criação de uma equipe de conformidade (indicar nível de cumprimento do acordo pelas nações com equipes internacionais de inspeção) e Cibernética Forense Internacional. 14

No contexto interno, os governos estabelecem Estratégias Nacionais. Alguns pontos em comum: • Estabelecem

No contexto interno, os governos estabelecem Estratégias Nacionais. Alguns pontos em comum: • Estabelecem Políticas integradas e abrangentes • Apoiam-se em forte liderança política • reforçam coordenação e cooperação governamental nos níveis político e operacional – do modelo multi-agências para interagências. • esclarecem os papéis e responsabilidades. • reforçam cooperação público-privada. 15

Pontos comuns nas Estratégias Nacionais • Enfatizam a necessidade de respeitar os valores fundamentais,

Pontos comuns nas Estratégias Nacionais • Enfatizam a necessidade de respeitar os valores fundamentais, como a privacidade, a liberdade de expressão e o livre fluxo de informações. • Pedem a melhoria da cooperação internacional. • Apoiam abordagens políticas mais flexíveis e ágeis • Enfatizam a dimensão econômica da política de segurança cibernética. • Criam as condições para um diálogo multissetorial na elaboração e execução de políticas de segurança cibernética. 16

Pontos comuns nas Estratégias Nacionais Educação como fator essencial. Ênfase em P&D e reforçam

Pontos comuns nas Estratégias Nacionais Educação como fator essencial. Ênfase em P&D e reforçam indústria local de segurança. Identificam atores e setores chave da economia. Monitoramento em tempo real das infraestruturas críticas. Reconhecem a importância de um CSIRT nacional. Criam parcerias com provedores de Internet. Promovem simulações e exercícios de cibersegurança Criam arcabouço legal para identidades digitais e para proteção das crianças no meio cibernético. • Apoiam pequenas e médias empresas. • Clamam por harmonização das legislações contra crime cibernético. • • 17

E nós, reguladores? • Cuidar para que estratégias nacionais e políticas públicas abram espaço

E nós, reguladores? • Cuidar para que estratégias nacionais e políticas públicas abram espaço para atuação segmentada dos reguladores; • Políticas públicas e regulamentações devem cuidar dos seguintes pilares: instituições, pessoas, processos e tecnologias. • Cuidar do físico e do lógico: proteção das infraestruturas críticas e da segurança cibernética; • Reguladores devem ser locus de coordenação e controle. • Reguladores devem estabelecer comitês de coordenação em nível estratégico e operacional 18

E nós, reguladores? • Propostas possíveis: • Notificações para servirem como parâmetros estatísticos, atuação

E nós, reguladores? • Propostas possíveis: • Notificações para servirem como parâmetros estatísticos, atuação e controle; de operadoras para reguladores, e de operadoras para usuários; • Fiscalização necessária, mas tendência à punição deve ser controlada sob risco de não-cooperação. • Segurança cibernética deve ser tratada no alto nível pelas empresas • Operadores devem criar CERTs. Muitos já possuem, mas agem sem coordenação (desconfiança), sem diretrizes comuns e nem sempre como prioridade; • Operadoras devem seguir padrões internacionais. 19

E nós, reguladores? • Operadoras devem estabelecer políticas de controle de acesso, normas internas,

E nós, reguladores? • Operadoras devem estabelecer políticas de controle de acesso, normas internas, e extensivas aos parceiros comerciais. • Contínuo investimento em capacitação e educação de funcionários e consumidores. • Promover campanhas de conscientização por meio de redes sociais e escolas; • Exercícios nacionais e internacionais de simulação, inclusive com entes fora do setor, ex. Financeiro. • Incentivar desenvolvimento de arcabouços voluntários – ex. : NIST Cybersecurity Framework; ou Microsoft 2014 white paper, International Cybersecurity Norms • Necessário cooperar com outros órgãos da administração pública, principalmente com os de investigação criminal. 20

Em síntese: Arcabouço jurídico nacional Regime internacional de Segurança Atenção às infraestruturas críticas Cooperação

Em síntese: Arcabouço jurídico nacional Regime internacional de Segurança Atenção às infraestruturas críticas Cooperação ampliada, interna e internacional Estimular uma cultura de segurança ão e Capacitaç criação de CERTs 21

Muito obrigado! Jeferson Fued Nacif jnacif@anatel. gov. br 22

Muito obrigado! Jeferson Fued Nacif [email protected] gov. br 22