cadernos nº 12 cadernos - Biblioteca de Segurança · Métodos ISF para a Gestão e Valorização...

ESTRATGIA DA INFORMAO E SEGURANA NO CIBERESPAO

ESTRATGIA DA INFORMAO E SEGURANA NO CIBERESPAOEste trabalho o resultado da cooperao que, durante os anos de 2012 e 2013, o Instituto da Defesa Nacional (IDN) de Portugal e a Escuela de Altos Estudios de la Defensa (EALEDE) do Centro Superior de Estudios de la Defensa Nacional (CESEDEN) mantiveram em torno de um tema de plena atualidade: a cibersegurana.O estudo define e analisa as implicaes e a perceo do impacto do ciberespao na segurana e defesa dos Estados, caracterizando o enquadramento concetual e operacional adotado por Portugal e Espanha.

Institutoda Defesa Nacional

Institutoda Defesa Nacional n 12

cadernoscadernos n 12

cade

rnos

ESTR

ATG

IA DA

INFO

RMA

O E

SEGU

RAN

A NO

CIB

ERES

PAO

Estratgia da Informao e Segurana no Ciberespao

Investigao conjunta IDN-CESEDEN

Dezembro de 2013

Instituto da Defesa Nacional

ESTRATGIA DA INFORMAO E SEGURANA NO CIBERESPAO2

Os Cadernos do IDN resultam do trabalho de investigao residente e no residente promovido pelo Instituto da Defesa Nacional. Os temas abordados contribuem para o enriquecimento do debate sobre questes nacionais e internacionais.As perspectivas so da responsabilidade dos autores no reflectindo uma posio institucional do Instituto de Defesa Nacional sobre as mesmas. DirectorVitor Rodrigues Viana

Coordenador EditorialAlexandre Carrio

Ncleo de Edies CapaAntnio Baranita e Cristina Cardoso Nuno Fonseca/nfdesign

Propriedade, Edio e Design GrficoInstituto da Defesa Nacional Calada das Necessidades, 5, 1399017 Lisboa Tel.: 21 392 46 00 Fax.: 21 392 46 58 Email: [email protected] www.idn.gov.pt

Composio, Impresso e DistribuioImprensa Nacional Casa da Moeda, SA Av. Antnio Jos de Almeida 1000042 Lisboa Tel.: 217 810 700 Email: [email protected] www.incm.pt

ISSN 16479068ISBN: 9789722722728 Depsito Legal 344513/12 Tiragem 250 exemplares

Instituto da Defesa Nacional, 2013

IDN CADERNOS 3

NDICE

Prlogo

Parte I Enquadramento1. Ciberespao: Conceito e mbito de Aplicao em Segurana e Defesa2. Estratgia de Segurana da Informao no Ciberespao

Parte II Segurana no Ciberespao1. Anlise e Gesto de Risco Social2. Gesto de Riscos

2.1.Ativos Estratgicos: Infraestruturas Crticas2.2. Ameaas2.3. Vulnerabilidades

2.3.1. Catalogao das Vulnerabilidades2.4. Metodologias e Boas Prticas para a Anlise e a Gesto de Riscos

3. Segurana da Informao no Ciberespao e Capacidade de Resposta a Incidentes Informticos

4. Ciberdefesa4.1. Capacidades de Ciberdefesa4.2. Ciberexrcito

Parte III A Situao em Portugal e Espanha1. Visin Estratgica de Espaa

1.1. Estrategia Espaola de Ciberseguridad1.2. Ciberdefensa en Espaa: Regulacin y Recursos

2. Viso Estratgica de Portugal 2.1. Estratgia Portuguesa de Cibersegurana

2.1.1. Enquadramento Conceptual 2.1.2. Estratgia Nacional de Cibersegurana: a Viso 2.1.3. Objetivos e Linhas de Ao Estratgica

2.1.3.1. Garantir a Segurana no Ciberespao2.1.3.2. Fortalecer a Cibersegurana das Infraestruturas Crticas 2.1.3.3. Defender os Interesses Nacionais e a Liberdade de Ao no Ciberespao

2.2. Ciberdefesa em Portugal: Enquadramento e Iniciativas em Curso 2.2.1. Regulao e Recursos2.2.2. Cibersegurana nas Foras Armadas2.2.3. Capacidade de Ciberdefesa: O Papel das Foras Armadas

3. Linhas de Ao Estratgica Comuns

Estratgia da informao E sEgurana no CibErEspao4

Parte IV A Situao nas Organizaes Internacionais Comuns 1. Organizao do Tratado do Atlntico Norte2. Unio Europeia 3. Outras Organizaes Internacionais

3.1. Naes Unidas e a Unio Internacional de Telecomunicaes3.2. Organizao para a Cooperao e o Desenvolvimento Econmico (OCDE)3.3. Organizaes de Normalizao e Gesto da Internet

4. Iniciativas Comuns para a Cooperao Internacional

Parte V Concluses e Reflexes

Anexos

Anexo II.1. VAM DoDI.2. NIST SP800-30I.3. ISO/IEC 27005I.4. CVSSv2I.5. CWE

Anexo IIII.1. MAGERITII.2 Manual Austraco de Segurana TI II.3. CRAMMII.4. A&KII.5. EBIOSII.6. Mtodos ISF para a Gesto e Valorizao de RiscosII.7. ISO/IEC 27005II.8. MARIONII.9. MEHARIII.10. OCTAVE II.11. NIST SP800-30

Anexo IIIClassificao das Capacidades de Ciberdefesa Desenvolvida pela NC3A da OTAN

IDN CADERNOS 5

Prlogo

A estruturao em rede das sociedades mais desenvolvidas e a criao do ciberespao so traos fundamentais do ambiente estratgico do sculo XXI. O ciberespao constitui um vetor estratgico privilegiado para o desenvolvimento cultural, social, econmico e para a defesa dos valores das modernas sociedades da informao, requerendo por essa razo uma clara perceo do quadro das ameaas e vulnerabilidades a ele associadas.

Dentro deste mbito, considera-se que o modo pelo qual os diferentes agentes fa-zem uso da informao conduz, de forma simultnea, ao aparecimento tanto de novas oportunidades como de novas ameaas no ciberespao, trazendo, deste modo, para a conduo poltica e estratgica dos Estados importantes consequncias.

A presente monografia o resultado da cooperao que, durante os anos de 2012 e 2013, o Instituto da Defesa Nacional (IDN) de Portugal e a Escuela de Altos Estudios de la Defensa (EALEDE) do Centro Superior de Estudios de la Defensa Nacional (CESE-DEN) mantiveram em torno de um tema de plena atualidade: a Cibersegurana.

Subordinado ao ttulo genrico Estratgia da Informao e Segurana no Ciberes-pao, aborda-se, de forma umas vezes conjunta e outras descrevendo as particularida-des especficas associadas a cada pas, alguns aspetos-chave que se podem articular da seguinte forma:

Ciberespao: Conceito e mbito de Aplicao em Segurana e Defesa; Estratgia de Segurana da Informao no Ciberespao.No que diz respeito Segurana no Ciberespao, desenvolve-se com profundidade: A Anlise e Gesto do Risco Social; A Gesto de Riscos: infraestruturas crticas; ameaas; vulnerabilidades e as boas

prticas para a anlise e gesto dos riscos; Segurana da Informao no Ciberespao e Capacidade de Resposta a Incidentes

Informticos; Ciberdefesa: Capacidades de Ciberdefesa; Ciberexrcito.Analisa-se igualmente o "estado da arte" em Portugal e Espanha, para finalmente se

chegar a umas concluses conjuntas.Este projeto, que define as implicaes e a perceo do impacto do ciberespao na

Segurana e Defesa dos Estados, pretende caracterizar o enquadramento concetual e operacional adotado por Portugal e Espanha. Neste contexto, tendo em conta os esfor-os atualmente em curso nos dois pases, procura-se identificar pontos de convergncia e refletir sobre a possibilidade de desenvolvimento futuro de iniciativas conjuntas, sobre-tudo de natureza bilateral, mas tambm multilateral, no quadro das organizaes interna-cionais, em particular da OTAN e da UE.

O documento o resultado da aproximao de posies iniciais, superao de dife-renas e flexibilizao de posturas um exerccio exemplar do valor da negociao com resultados que conferem um valor acrescentado a ambos os pases. No final, conseguiu--se obter um produto moderno, incisivo e prospetivo que, sem dvida, poder constituir uma referncia para outros pases.


Adicionalmente, este projeto serviu tambm para reafirmar a vontade de cooperao em projetos comuns, que se iniciaram em 2010 e tero a sua continuidade no perodo 2013-14. Evidenciando-se o xito conseguido nesta aposta conjunta, possvel constatar que estes projetos se transformaram numa realidade cooperativa exemplar.

Prologo

La estructuracin en red de las sociedades ms desarrolladas y la construccin del ciberespacio son caractersticas fundamentales del entorno estratgico del siglo XXI. El ciberespacio constituye un vetor estratgico privilegiado para el desarrollo cultural, social, econmico y la defensa de los valores de las sociedades modernas, de la informacin y el ciberespacio, imponen una clara percepcin del marco de las amenazas y vulnerabili-dades.

Dentro de este marco, se considera que el modo en que los diferentes agentes utili-zan la informacin resulta ser, de forma simultnea, generadora tanto de nuevas oportu-nidades como de nuevas amenazas en el ciberespacio, provocando as importantes con-secuencias para la conduccin poltica y estratgica de los Estados

La presente monografa es el fruto de la cooperacin que durante los aos 2012 y 2013 han mantenido el Instituto da Defesa Nacional (IDN) de Portugal y la escuela de Altos Estudios de la Defensa (EALEDE) del Centro Superior de Estudios de la Defensa Nacional (CESEDEN) entorno a un tema de plena actualidad, la Ciberseguridad, que cuando se iniciaron estos estudios ya se percibi como tema emergente de gran impor-tancia.

Bajo el ttulo genrico Estrategia de la Informacin y Seguridad en el Ciberespa-cio, se afronta, de forma unas veces conjunta y otras describiendo las particularidades especficas en cada pas, un repaso en profundidad a algunos temas clave que se pueden articular en:

Ciberespacio: Concepto y mbito de Aplicacin en Seguridad y Defensa; Estrategia de Seguridad de la Informacin en el Ciberespacio.En lo relacionado con la Seguridad en el Ciberespacio, se desarrolla en profundidad: El anlisis y gestin del riesgo social La Gestin de Riesgos: Infraestructuras crticas; amenazas; vulnerabilidades y las

buenas prcticas para el anlisis y la gestin de riesgos Seguridad de la Informacin en el Ciberespacio y Capacidad de Respuesta ante

Incidentes Informticos Ciberdefensa: Capacidades de Ciberdefensa; Ciberejrcito; Igualmente se afronta el Estado del Arte en Portugal y Espaa, para llegar por ltimo

a unas conclusiones conjuntas.Este proyecto de definicin de las implicaciones y percepcin del impacto del ci-

berespacio en la Seguridad y Defensa de los Estados, pretende caracterizar el marco conceptual y operativo adotado por Portugal y Espaa. En este contexto, teniendo en

IDN CADERNOS 7

cuenta los esfuerzos atualmente en curso en ambos pases, se busca identificar los puntos de convergencia y examinar la posibilidad de desarrollo futuro de iniciativas conjuntas, sobre todo de naturaleza bilateral, y tambin multilateral, en el marco de las organizacio-nes internacionales, en particular la OTAN y la UE.

El texto, es el resultado de aproximacin de posiciones iniciales, superacin de di-ferencias y flexibilizacin de posturas un ejercicio ejemplar del valor de la negocia-cin- con resultados que dan valor aadido a ambos pases. Se ha obtenido un producto moderno, incisivo y prospetivo, que sin duda ser referente para muchos otros pases.

Adems, este proyecto ha servido para afianzar los proyectos comunes, que se ini-ciaron en 2010, y que tendr su continuidad en el periodo 2013-14, evidencia del xito obtenido en esta apuesta conjunta que se ha transformado en una realidad cooperativa ejemplar.

Direo: Vtor Daniel Rodrigues Viana (Major-General, Diretor do IDN)Coordenador: Lus Costa Figueiredo (Coronel do Exrcito, IDN)Investigadores: Fernando Vicente Freire (Coronel do Exrcito, IDN)Paulo Viegas Nunes (Tenente-Coronel do Exrcito, Estado-Maior do Exrcito)

Presidente: Fernando Davara (General de Brigada, Ejrcito de Tierra)Vogal: Oscar Pastor Acosta (Gerente de Segurana da ISDEF Ingeniera de Sistemas para la Defensa de Espaa)Coordenador: Emilio Snchez de Rojas (Coronel, Ejrcito de Tierra CESEDEN)


Parte I Enquadramento

A estruturao em rede das sociedades mais desenvolvidas e a prpria construo do ciberespao constituem caractersticas fundamentais da conjuntura estratgica do sculo XXI. Neste contexto, pensar o mundo em que vivemos passa por perspetivar uma socie-dade em rede, em que a interao entre os homens deixa de ser influenciada por barreiras geogrficas e passa a ser condicionada pela disponibilidade e pelo tempo de acesso aos recursos de informao.

Entendendo a evoluo tecnolgica como um desafio e uma oportunidade de con-vergncia para padres de crescimento econmico e social mais desenvolvidos, importa incentivar a inovao e fomentar a adoo das novas Tecnologias de Informao e Co-municao (TIC) garantindo, de forma sustentada, a convergncia nacional para a Socie-dade de Informao. Dentro deste contexto, constata-se que a forma como os diferentes atores utilizam a informao pode ser simultaneamente geradora de novas oportunidades e de novas ameaas no ciberespao, apresentando importantes implicaes na conduo da poltica e da estratgia dos Estados.

Exemplos como os da Estnia em 2007 e da Gergia em 2008 demonstram que cada Estado ter que garantir no s a utilizao segura do ciberespao aos seus cida-dos como a salvaguarda da prpria soberania. Neste contexto, importa analisar o risco social e o impacto dos diversos tipos de ciberataques, diferenciando os de motivao criminosa daqueles que, por apresentarem um maior poder disruptivo, possam colocar em risco a Segurana e Defesa do Estado. Neste contexto, tambm se reconhece a existncia de um nvel nacional e supranacional da segurana ciberntica, equacionada e integrada em dois domnios diferentes e complementares: a Cibersegurana e a Ci-berdefesa.

Na era da informao criam-se cada vez mais dependncias derivadas do funcio-namento em rede. Por isso, no ser possvel assegurar o desenvolvimento e bem-estar social, sem garantir a segurana e proteo das infraestruturas essenciais ao normal fun-cionamento da vida em sociedade. Este tipo de infraestruturas, conhecidas como infraes-truturas crticas nacionais, integra tambm as redes de informao. Nesse sentido, im-porta refletir sobre as principais envolventes da utilizao da informao, em particular, o desenvolvimento de uma Estratgia da Informao Nacional e o levantamento de um sistema de proteo das infraestruturas de informao capaz de promover a livre utiliza-o e garantir a segurana do ciberespao.

1. Ciberespao: Conceito e mbito de Aplicao em Segurana e Defesa

No h dvida de que o ciberespao, como um ambiente virtual onde se agrupam e relacionam utilizadores, linhas de comunicao, sites, fruns, servios de internet e outras

IDN CADERNOS 9

redes1, tornou-se um novo espao, que a par dos tradicionais domnios da interao humana como a terra, o mar, o ar e o espao, o meio onde se desenvolvem as atividades econmicas, produtivas e sociais das naes mais desenvolvidas. O Ciberespao toca praticamente tudo e todos. Proporciona uma plataforma para a inovao e prosperidade, e os meios para melhorar o bem-estar geral de todo o mundo2.

Por isso, no de estranhar que os governos manifestem a inteno de defender os ativos e interesses estratgicos dos seus pases nesse mbito. Assim, na Estratgia In-ternacional para o Ciberespao, assinada pelo presidente dos EUA, Barack Obama, po-demos ler: Todos os Estados tm o direito inerente de legtima defesa e de reconhecer que certos atos hostis realizados no ciberespao podem obrigar a tomar aes no mbito dos compromissos que temos com nossos aliados militares. Reservamo-nos o direito de usar todos os meios necessrios: diplomticos, informacionais, militares e econmicos, adequados e consistentes com o direito internacional aplicvel, a fim de defender a nossa nao, os nossos aliados, os nossos parceiros e os nossos interesses3.

Segundo o Dicionrio da Real Academia Espanhola (DRAE), ciberespao o ambiente artificial criado por meios informticos4, enquanto cibernauta a pessoa que navega por ciberespaos5. No encontramos na DRAE a definio de cibersegu-rana ou ciberdefesa, mas podemos encontrar que o prefixo cyber6 um elemento composto que significa ciberntico e vem da palavra ciberntica. Esta, por sua vez, faz referncia ao estudo das analogias entre os sistemas de controlo e comunicao dos seres vivos e os das mquinas e, em particular, caracteriza a aplicao dos mecanismos de regulao biolgica e tecnolgica7. Este termo apresenta uma definio similar no Dicionrio Houaiss da Lngua Portuguesa8. Etimologicamente, o termo vem do francs (ciberntique), que por sua vez o adotou do ingls (cybernetics), mas tem origem no grego (), onde ele se refere arte de governar um navio. Assim, podemos concluir que a cibersegurana se refere segurana ciberntica, assim como a ciberdefesa se refere defesa ciberntica.

Atendendo ao seu aspeto mais tcnico, o ciberespao pode ser definido como um conjunto de redes e sistemas de comunicao que esto interligados, entre si de forma direta ou indireta9. O ciberespao assim um ambiente em si mesmo, onde se deve

1 Gobierno de Espaa, Estrategia Espaola de Seguridad: Una responsabilidad de todos. 2011.2 White House, Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastruc-

ture. 2011.3 White House, International Strategy For Cyberspace: Prosperity, Security, and Openness in a Networked World. 2011.4 Real Academia Espaola, ciberespacio, Diccionario de la Lengua Espaola - Vigsima segunda edicin. oct-2001.5 Real Academia Espaola, cibernauta, Diccionario de la Lengua Espaola - Vigsima segunda edicin. oct-2001.6 Real Academia Espaola, ciber-, Diccionario de la Lengua Espaola - Vigsima segunda edicin. oct-2001.7 Real Academia Espaola, ciberntica, Diccionario de la lengua espaola - Vigsima segunda edicin. oct-2001.8 Dicionrio Houaiss da Lngua Portuguesa, Instituto Antnio Houaiss de Lexicografia e Banci de Dados

da Lngua Portuguesa S/C Ltda (Rio de Janeiro), Crculo de Leitores, Lisboa, 2002, pp.9229 O. Pastor Acosta, J. A. Prez Rodrguez, D. Arniz de la Torre, y P. Taboso Ballesteros, Seguridad Nacional y

Ciberdefensa, 1a. ed., vol. 6, 7 vols. Madrid: Fundacin Rogelio Segovia para el Desarrollo de las Telecomu-nicaciones, 2009.


ter em linha de conta tanto a sua componente tecnolgica, isto , as vulnerabilidades inerentes ao seu emprego e ameaas que possam afet-los, como os fatores humanos, uma vez que so estes que caracterizam os utilizadores deste ambiente. Para se poder entender adequadamente seu funcionamento e os seus riscos, deve-se prestar especial ateno s pessoas que acedem ao ciberespao assim como com as suas diferentes culturas e motivaes.

No mundo globalizado de hoje, em que se procura o acesso a grandes quantidades de informao em tempo til, o ciberespao constitui uma dimenso crtica do funciona-mento normal da sociedade moderna, da sua segurana, da sua economia, dos seus neg-cios, etc. A necessidade de acesso e troca permanente de informao tem inerentemente associada critrios de segurana, uma vez que esta informao deve ser protegida contra acessos ou modificaes no autorizados.

Porm, o ciberespao apresenta uma srie de caractersticas particulares, que neces-srio estudar com cuidado, de forma a podermos identificar a sua relevncia nos mbitos da segurana e defesa. Vejamos de forma sucinta quais so estas caractersticas:

Carter dinmico: O Ciberespao tem uma frequncia de mudana elevada. Os diferentes sistemas que o integram, mudam e modificam-se constantemente, especial-mente as suas interligaes. As vulnerabilidades so descobertas quase diariamente e as ameaas emergentes surgem e mudam constantemente.

Custo irrelevante de acesso: Hoje em dia a barreira econmica de acesso ao Cibe-respao muito pequena, estimando-se que atualmente mais de um tero10 da populao mundial tenha acesso internet.

Enorme potencial de crescimento: Tanto a nvel de funcionalidades como de velocidade de troca de informao.

Alta capacidade de processamento: Capacidade elevada de procura, processa-mento e tambm de armazenamento de informao.

Carter assimtrico: Neste novo domnio, com muito poucos recursos podem-se desenvolver aes hostis de grande impacto. A assimetria revela-se tanto ao nvel dos recursos como do conhecimento necessrio para desenvolver essas aes.

Anonimato: muito difcil detetar e seguir a origem de um ataque, o que dificulta a capacidade de dissuaso e resposta.

Alta capacidade para produzir efeitos fsicos: Refletida na possibilidade de atin-gir uma ampla gama de indstrias e dispositivos.

Transversalidade: uma ao ou evento ocorrido no ciberespao pode afetar um ou mais domnios de atividade das modernas sociedades, como sejam a rea poltica, econ-mica, social ou mesmo a segurana e defesa dos Estados.

No mbito particular da Defesa, a terra, o mar, o ar e o espao tm constitudo os domnios tradicionais de desenvolvimento das operaes militares e, por conseguinte,

10 ICT Data and Statistics Division - Telecommunication Development Bureau - International Telecom-munication Union, The World in 2011. ICT Facts and Figures, International Telecommunication Union, Place des Nations 1211 Geneva 20 - Switzerland, nov. 2011.

IDN CADERNOS 11

neles que se tm centrado os esforos relacionados com a obteno de capacidades militares. No entanto, o Ciberespao j foi definido e aceite como o quinto domnio ope-racional, no qual se levam a cabo operaes militares especficas e em relao ao qual as operaes militares que se desenvolvem nos outros domnios dependem cada vez mais.

At um passado recente, a orientao no campo da Defesa em matria de proteo do ciberespao, era essencialmente de natureza reativa e esttica, focada na defesa dos sistemas de informao e telecomunicaes, atravs da implementao de medidas preventivas, de deteo e de recuperao de diferente natureza (fsicas, pessoal, tcnicas, etc.). Esta abor-dagem tem sido tradicionalmente caracterizada como INFOSEC (INformation SECurity ), assumindo em Espanha a designao de STIC (Seguridad de las Tecnologas de la Informacin y las Comunicaciones)11 e em Portugal a designao de Segurana da Informao.

A nvel internacional, quando nos referimos segurana da informao e do cibe-respao, os termos frequentemente usados so normalmente expressos em ingls (in-formation assurance12 cyber security, infosec, computer security, computer networks security, computer networks defence, cyber defence, critical information infrastructure protection, ...13), mas geralmente o seu significado tem diferentes matrizes, dependendo do pas de origem e de quem os usa. Neste mbito, verifica-se que nem sempre possvel encontrar concordncia com a traduo direta dos termos anglo-saxnicos que os compem.

Devido natureza dinmica do prprio ciberespao, as j mencionadas medidas infosec, apesar de necessrias, j no resultam atualmente numa aproximao suficien-temente forte para proporcionar um nvel de proteo adequado, no que segurana da informao se refere. assim que surge o conceito de Ciberdefesa14, procurando agru-par o conjunto de medidas e aes que se adaptam a este novo ambiente de informao dinmico e que so capazes de proporcionar a proteo da informao e os sistemas que agora passam a ser geridos tambm de acordo com este novo cenrio operacional. Alm disso, realiza-se um estudo mais amplo dos servios de segurana a proporcionar no prprio ciberespao, no apenas focado na proteo da disponibilidade, integridade e confidencialidade, mas tambm incluindo servios como autenticao, rastreabilidade e no-repdio.

O ambiente do moderno campo de batalha cada vez mais multidimensional e descontnuo, observando-se que as operaes militares se foram alargando progressiva-mente a reas tradicionalmente no militares. As Foras Armadas da era da informao

11 Centro Criptolgico Nacional y Jos A. Maas, Gua de Seguridad de las TIC (CCN-STIC401) Glosario y Abreviaturas. dic-2006.

12 Information Assurance pode traduzir-se como segurana (em sentido lato) da informao, mas ser certamente mais adequado traduzir-se este termo como garantia da informao, para podermos diferenci-lo de Information Security (INFOSEC), que normalmente tem um significado mais restrito quando se utiliza a lngua inglesa.

13 Nstor Ganuza, Alberto Hernndez, y Daniel Benavente, NECCS-1: An Introductory Study to Cyber Security in NEC. NATO CCD COE Publications, jun-2011.

14 Ciberdefesa, em ingls Cyber Defence, definida como a aplicao das medidas de segurana para prote-ger os componentes da infraestrutura TIC contra ciberataques, sendo estes ciberataques assumidos como uma forma de guerra ciberntica, que pode ocorrer em combinao com um ataque fsico ou no, que se destina a perturbar os sistemas de informao de um adversrio.


dependem, cada vez mais, da utilizao do ambiente de informao e do prprio ciberes-pao para conduzir todo o espectro das operaes.

Neste contexto, no mbito militar e intimamente ligadas ao conceito de ciberdefesa, surgem as Operaes no Ciberespao, ou Computer Network Operations (CNO), incluindo no seu mbito aes de natureza defensiva, de explorao das capacidades dos possveis adversrios ou mesmo de resposta ofensiva. A nvel internacional, diferentes naes e organizaes tm vindo a adotar este conceito e esto atualmente a envidar esforos para obter as capacidades necessrias sua implementao.

Assim, na doutrina tradicional dos nossos aliados, como a do Departamento de Defesa dos Estados Unidos (DoD United States Department of Defense), o Estado-Maior Conjunto indica, dentro da Doutrina de Operaes de Informao15, que as capacidades CNO se compem de:

Computer Network Defense (CND), que inclui as medidas adotadas atravs da utilizao de redes de computadores para proteger, controlar, analisar, detetar e responder a atividades no autorizadas nos sistemas de informao e comunica-es. As aes CND no procuram apenas proteger os sistemas amigos de um adversrio externo, mas tambm contemplam a possibilidade de a sua explorao ocorrer a partir do interior da prpria organizao.

Computer Network Exploitation (CNE) que integra as capacidades de recolha de informaes (intelligence) levadas a cabo atravs do uso de redes de computa-dores para recolher dados das redes de comunicaes e dos sistemas de informa-o de um potencial adversrio.

Computer Network Attack (CNA), que inclui as aes desenvolvidas atravs da utilizao de redes de computadores para interromper, negar, degradar ou destruir a informao tratada pelas redes de comunicaes e pelos sistemas de informao (do possvel adversrio), ou dos prprios sistemas de informao e comunicaes amigos.

Perspetivando-se a tendncia crescente para o aumento da capacidade disruptiva e destrutiva das ciberameaas, tanto a nvel internacional como nacional, os pases mais desenvolvidos tm vindo a desenvolver e a reforar a sua capacidade nacional de ciber-defesa, explorando assim, de forma sinrgica e cooperativa, as capacidades existentes nas suas Foras Armadas. No caso de Portugal e Espanha, a cooperao com as estruturas da OTAN e da UE tem vindo tambm a ser explorada, de forma a defender os interesses nacionais e a fazer face ao espectro global das ameaas emergentes no ciberespao.

2. Estratgia de Segurana da Informao no Ciberespao

O extraordinrio desenvolvimento das Tecnologias de Informao e das Comunica-es tem convertido o ciberespao num recurso vital para o funcionamento das moder-

15 Joint Chiefs of Staff, Joint Publication 3-13 Information Operations. DoD, 13-feb2006.

IDN CADERNOS 13

nas sociedades, porque, por um lado, promove e simplifica a relao entre cidados, admi-nistrao pblica e empresas e, por outro, constitui um elemento bsico para a prestao de servios essenciais comunidade. O crescimento da sua importncia aumentou muito o interesse de organismos internacionais pelo seu desenvolvimento integrado, como a Organizao para a Cooperao e Desenvolvimento Econmico (OCDE), que considera a internet como um elemento essencial para promover o desenvolvimento econmico e bem-estar social, assim como para fortalecer a capacidade das sociedades para melhorar a qualidade de vida dos seus cidados16.

A importncia das redes de comunicaes no mundo de hoje indissocivel da ne-cessidade de proteg-las contra incidentes de qualquer natureza que possam afetar o seu funcionamento, uma vez que as consequncias da interrupo ou alterao da funcionali-dade de redes de comunicaes poderia afetar gravemente as funes sociais fundamen-tais, tal como reconhecido pela Estratgia de Segurana espanhola17: A Cibersegurana no um mero aspeto tcnico de segurana, mas a pedra angular da nossa sociedade e do sistema econmico. Dada a importncia crescente dos sistemas informticos na eco-nomia, a estabilidade e prosperidade econmica do pas depender em grande medida da segurana do nosso ciberespao.

Tambm Portugal, ao identificar a Estratgia da Informao e a Segurana do Cibe-respao como um vetor estratgico estruturante da reviso da sua Estratgia Nacional de Segurana e Defesa, reconhece a importncia de proteger e defender o processo de gerao de valor associado ao desenvolvimento do potencial estratgico nacional neste domnio.

Como esperado, o aumento exponencial da atividade no ciberespao trouxe tambm um aumento da sua utilizao maliciosa e dos incidentes de segurana18. Em particular, os ataques de natureza intencional tm sofrido um aumento significativo ao longo dos ltimos anos, demonstrado, nomeadamente, pela utilizao cada vez mais frequente da internet com o propsito de mobilizao social ou protesto poltico e, acima de tudo, pelo surgimento e desenvolvimento de uma autntica indstria de produo e explorao de cdigo malicioso (vrus, trojans, criao e operao de botnets19, etc.), caracterizada por um elevado nvel de especializao e cujos benefcios econmicos so substancialmente maiores que o trfico mundial de marijuana, cocana e herona20.

Por esta razo, governos e organizaes internacionais tm demonstrado uma preo-cupao crescente pela segurana do ciberespao, o que se materializou na publicao,

16 Organisation for Economic Co-Operation and Development, Shaping Policies for the Future of the Inter-net Economy, OECD, Seoul, Korea, OECD Ministerial Meeting on the Future of the Internet Economy, mar. 2008.

17 Gobierno de Espaa, Estrategia Espaola de Seguridad: Una responsabilidad de todos. 2011.18 European Network and Information Security Agency (ENISA), InterX: Resilience of the Internet In-

terconnection Ecosystem, abr. 2011.19 Daniel Plohmann, Elmar Gerhards-Padilla, y Felix Leder, Botnets: Detection, Measurement, Disinfection

& Defence, European Network and Information Security Agency (ENISA), mar. 2011.20 Symantec, Informe sobre Cibercrimen de Norton, 2011.


por parte de muitas naes, das respetivas Estratgias Nacionais de Cibersegurana. A ttulo de exemplo, mencionamos os documentos elaborados pelos governos dos Estados Unidos21, Canad22, Japo23, Reino Unido24, Alemanha25, Frana26, e Holan-da27. No mbito multinacional, diferentes organizaes como a Unio Internacional das Telecomunicaes28, a Organizao para a Cooperao e Desenvolvimento Eco-nmico29 ou a Organizao do Tratado do Atlntico Norte30 tm redigido documen-tos que refletem as respetivas posies sobre a segurana das redes de comunicaes e do prprio ciberespao. No que diz respeito Unio Europeia, foi recentemente publicada uma Estratgia de Cibersegurana que pretende constituir uma base co-mum para todos os Estados membros31. De acordo com o programa de trabalho da Comisso para 201232, foi entretanto publicado pela ENISA um conjunto de normas para garantir a segurana das redes de comunicaes da UE como dos prprios Es-tados membros33.

No mbito militar, na sequncia da aprovao em 2009 de um Conceito de Opera-es em Redes de Computadores34, o Estado Maior da Unio Europeia (European Military Staff EUMS) desenvolveu tambm um Conceito de Ciberdefesa que foi entretanto aprovado pelo Conselho da UE35.

Finalmente, em Espanha, o ministro do Interior anunciou no incio de 2012 a inteno do Governo avanar com a elaborao da Estratgia Espanhola de Ciberse-gurana36.

21 White House, International Strategy For Cyberspace: Prosperity, Security, and Openness in a Networked World. 2011.22 Government of Canada, Canadas Cyber Security Strategy - For a Stronger and more Prosperous Canada. 2010.23 Information Security Policy Council of Japan, Information Security Strategy for Protecting the Nation. 2010.24 UK Office of Cyber Security, Cyber Security Strategy of the United Kingdom Safety, Security and Resilience in Cyber

Space. 2009.25 Federal Ministry of Interior, Cyber Security Strategy for Germany. 2011.26 Agence Nationale de la Scurit des Systmes dInformation (ANSSI), Information systems defence and security

- Frances strategy. 2011.27 Ministry of Security and Justice, The National Cyber Security Strategy (NCSS). 2011.28 UIT-T, Seguridad de las telecomunicaciones y las tecnologas de la informacin - Exposicin general de

asuntos relacionados con la seguridad de las telecomunicaciones y la aplicacin de las Recomendaciones vigentes del UIT-T. 2009.

29 OECD, OECD Policies for Information Security & Privacy. 2009.30 Nstor Ganuza, Alberto Hernndez, y Daniel Benavente, NECCS-1: An Introductory Study to Cyber

Security in NEC. NATO CCD COE Publications, jun-2011.31 Disponvel em http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf.32 Comisin Europea, COM (2011) 777 final/2 Vol. 2/2. Anexo a la Comunicacin de la Comisin al Parlamento

Europeo, el Consejo, el Comit Econmico y Social y el Comit de las Regiones. Programa de Trabajo de la Comisin para 2012. 2011.

33 Disponvel em http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-inter-net-and-online-freedom-and-opportunity-cyber-security.

34 EU Concept for Computer Network Operations in EU-led Military Operations (CNO) [13537/09. dated 22 September 2009]

35 EU Concept for Cyber Defence for EU-led Military Operations [EEAS 01729/12. dated 08 October 2012]36 Mercedes Oriol Vico, Apoyo Personal del Ministro del Interior a la Ciberseguridad, SEGURITECNIA,

pp. 2224, jun-2012.

IDN CADERNOS 15

Do mesmo modo, o Governo de Portugal, mediante resoluo ministrial 37 estabe-leceu como prioritria a reviso da Estrutura Nacional de Segurana da Informao e o levantamento de um Centro Nacional de Cibersegurana, tendo para esse efeito j sido apresentada uma primeira proposta de Estratgia Nacional de Cibersegurana38.

37 Resoluo Conselho de Ministros n. 12 de 2012, Dirio da Repblica, 1. Srie, n. 27, 7 de fevereiro.38 ENC, (2012). Proposta de Estratgia Nacional de Cibersegurana. Disponvel em http://www.gns.gov.pt/NR/

rdonlyres/ED57762F-3556-4C05-9644-888E35C790BB/0/PropostaEstratgiaNacionaldeCiberseguran-aPortuguesa.pdf. Consultado em 23 de novembro de 2012.


Parte II Segurana no Ciberespao

1. Anlise e Gesto de Risco Social

A anlise da cartografia tradicional no nos permite verificar que no interior do terri-trio nacional existem diversos cabos de telecomunicaes e infraestruturas de informao, materializando os milhares de ligaes transnacionais que permitem dar suporte internet (World Wide Web). Existe assim uma falta de perceo sobre a natureza e limites do ciberes-pao, caracterizado pela indefinio de fronteiras tais como se conhecem na sua expresso fsica ou geogrfica. Esse facto, gera a dificuldade de definir a maneira pela qual um Estado pode exercer a sua soberania sobre uma rea ou ambiente que no domina e no controla.

O elevado ritmo da evoluo tecnolgica tem vindo tambm a reduzir significati-vamente o ciclo de vida til dos produtos associados s novas TIC. O facto de as suas aplicaes serem objeto de ampla aceitao por grande parte da sociedade e possurem um ciclo de vida cada vez mais curto, faz com que muitas empresas acelerem o processo de comercializao, lanando produtos para o mercado (hardware e software) sem que es-tejam completamente testados. Esta situao induz novas vulnerabilidades estruturais e funcionais nas redes e nos sistemas que integram as infraestruturas de informao uma vez que estas passam a incluir no s diferentes geraes de equipamentos mas tambm equipamentos com potenciais problemas de funcionamento.

A preocupao com estas vulnerabilidades assumiu especial importncia e evidncia na transio do milnio passado, em que um problema informtico (bug do ano 2000) obrigou realizao de testes exaustivos a todas as infraestruturas que utilizassem pro-cessadores. S a completa compreenso da extenso das interdependncias de uma in-fraestrutura (verticais e/ou horizontais) permite identificar as necessrias medidas corre-tivas, destinadas a controlar este efeito. O facto de esta interdependncia transcender as fronteiras de soberania do Estado introduz ainda, como vimos, um fator de complexi-dade adicional ao problema.

Neste contexto, tambm motivo de preocupao o facto de existir uma forte de-pendncia das infraestruturas de informao relativamente do funcionamento de uma grande heterogeneidade de redes de todos os tipos. Se falhar uma destas redes produz-se um efeito domin e em pouco tempo deixam de operar muitos dos sistemas de que dependem infraestrutura crticas, essenciais para a vida da sociedade.

Neste caso, atribui-se um especial destaque s redes de energia e de telecomunicaes, das quais dependem fsica, estrutural e funcionalmente mltiplos organismos e servios, como as centrais de produo e distribuio de energia eltrica, os servios de emergncia, o sistema bancrio e os prprios sistemas de comando e controle das Foras Armadas.

A dimenso do risco est intimamente ligada ao valor/dependncia que um ator apresenta face ao recurso (informao) e s consequncias negativas que a sua utilizao incorreta pode implicar para a sua atividade. Os recursos de informao so considerados

IDN CADERNOS 17

tanto mais crticos quanto maior for o grau de dependncia existente sobre eles. As me-didas de segurana a adotar, devem ser proporcionais ao impacto negativo previsto para a sua indisponibilidade ou funcionamento incorreto.

De acordo com esta abordagem, como se discutir adiante, possvel determinar o risco atravs de mtodos qualitativos/quantitativos que permitam realizar a sua avalia-o39 com base no valor da ameaa esperada, na vulnerabilidade avaliada/determinada, no valor da medida de salvaguarda adotada para o minimizar e no valor do impacto pre-visto para o ataque/ameaa na infraestrutura de informao.

Quando se analisa o risco associado s infraestruturas de informao nacionais, ne-cessrio ter em ateno que este resulta do efeito conjugado de trs fatores importantes: dos recursos a proteger (alvos potenciais), da deteo das vulnerabilidades da infraestru-tura de informao e das ameaas que, explorando essas vulnerabilidades, podem afetar os recursos que pretendemos proteger.

Avaliado o risco, aps a anlise realizada, este pode ser gerido de diversas formas, nomeadamente atravs da sua reduo (adoo de contramedidas), manuteno (aceita-o do risco) ou transferncia para terceiros. A escolha associada a cada uma destas trs opes est, naturalmente, intimamente relacionada com o valor que se atribui ao recurso a proteger. Quanto mais crtico for um recurso, maior ser a necessidade de assegurar a adoo das contramedidas necessrias para reduzir o risco que se lhe encontra associado. Procura-se assim garantir a disponibilidade do recurso e evitar a possvel rutura da in-fraestrutura crtica, mesmo quando em presena de um ciberataque.

Face a este objetivo, a segurana e a proteo contnua das infraestruturas de in-formao tem de ser encarada como um processo contnuo e sistmico. Associada realizao de uma contnua anlise do risco, todos os pases tero tambm de assegurar permanentemente a sua gesto, conforme se pretende detalhar adiante.

2. Gesto de Riscos

2.1. Ativos Estratgicos: Infraestruturas CrticasTodos os dias fazemos uso das inovaes oferecidas pelas tecnologias mveis, pelas

comunicaes eletrnicas e pela internet, conforme se encontra refletido nos relatrios de organismos como a CMT (Comisin del Mercado de las Telecomunicaciones)40, que indica que, em abril de 2012, o nmero de linhas de telefones celulares em operao em Espa-nha atingiu os 55,2 milhes; existiam 119,6 linhas para cada 100 habitantes; e havia 11,2 milhes de linhas de banda larga, 24,4 por 100 habitantes41.

39 Pode-se quantificar o risco por meio da seguinte expresso: R = (A.V / Ms), onde R o valor do risco, A o da ameaa, V o da vulnerabilidade, Ms o da medida de salvaguarda e I o do impacto previsto . Ver Jesus Bispo (2002). A Sociedade de Informao e a Segurana Nacional. Lisboa: Instituto Portugus da Conjun-tura Estratgica.

40 Disponvel em http://www.cmt.es/.41 Comisin del Mercado de las Telecomunicaciones, NOTA MENSUAL, CMT, abr. 2012.


As pessoas, os Estados e as empresas esto cada vez mais digitalmente dependen-tes, como demonstra o facto de que hoje cerca de 30% do comrcio mundial se basear na internet42. Deste modo, as TIC (Tecnologias da Informao e Comunicao) e a segu-rana da informao revelam-se cada vez mais de uma importncia fundamental, tanto para proteger a privacidade e construir a confiana nos canais eletrnicos, como para garantir o funcionamento eficaz dos Estados e das organizaes.

Por outro lado, as redes de comunicaes esto a tornar-se cada vez mais complexas e, em consequncia, as suas vulnerabilidades tambm aumentam com a sua complexi-dade. As violaes de segurana e os ciberataques podem causar danos considerveis a pessoas e organizaes, e o seu elevado grau de interconexo pode propagar muito rapidamente o seu impacto tanto a nvel nacional como internacional. Em suma, a ciber-segurana deve ser uma preocupao para todos.

As infraestruturas sobre as quais assentam os servios essenciais, isto , as funes sociais vitais, como a sade, os servios de emergncia, a segurana, o bem-estar social e econmico da populao, no esto imunes a esta tendncia. Assim, por exemplo, cen-tros geradores e sistemas de transporte de energia, as refinarias de petrleo ou os sistemas de distribuio de gs, utilizam os Sistemas de Controlo Industrial (ICS Industrial Control Systems)43 para a gesto e a monitorizao dos correspondentes processos. Estes ICS tm passado por uma transformao significativa nos ltimos anos, passando de sistemas au-tnomos de tecnologias proprietrias, a arquiteturas abertas, altamente interligadas com sistemas corporativos e inclusive com a internet44. Estas infraestruturas passam a ser con-sideradas infraestruturas crticas (IC)45, porquanto a sua perturbao ou destruio pode afetar gravemente um Estado a ponto de este passar a ser incapaz de manter a funcionar os servios essenciais que elas asseguram46.

Os antecedentes relacionados com a proteo das IC na Europa47 remontam ao Livro Verde, de 17 de novembro de 2005, onde se coloca a necessidade de lanar um Programa Europeu para a Proteo de Infraestruturas Crticas48. Este documento apre-sentou as opes para uma resposta da Comisso ao pedido do Conselho para estabele-cer um Programa Europeu orientado para a Proteo de Infraestruturas Crticas (PEPIC, em ingls EPCIP European Programme for Critical Infrastructure Protection) e para a criao

42 ENISA, Protecting Europes Citizens against Cyber Attacks, 2008.43 Sistemas e redes de comando e controlo desenhados para apoiar os processos industriais. O maior subgru-

po das ICS so os sistemas SCADA (Supervisory Control and Data Acquisition).44 ENISA, Protecting Industrial Control Systems. Recommendations for Europe and Member States,

Report/Study, dic. 2011.45 Department of Homeland Security, Critical Infrastructure. [Online]. Available: http://www.dhs.gov/

critical-infrastructure. [Accessed: 14-ago2012].46 Department of Homeland Security, Homeland Security Presidential Directive 7. 2003.47 Infraestruturas crticas europeias so as infraestruturas crticas situadas em algum Estado membro da

Unio Europeia, cuja perturbao ou destruio afetaria gravemente, pelo menos as desse Estado mem-bro.

48 Comisin Europea, COM(2006) 786 final Comunicacin de la Comisin sobre un Programa Europeo para la Protec-cin de Infraestructuras Crticas. 2006.

IDN CADERNOS 19

de uma Rede de Informao para a Comunicao de Alertas em Infraestruturas Crticas (CIWIN Critical Infrastructure Warning Information Network).

A 12 de dezembro de 2006, a Comisso aprova a comunicao sobre o PEPIC da qual se estabelece um quadro legislativo para as atividades de proteo das infraestrutu-ras crticas na UE (Unio Europeia) e, posteriormente, surge a Diretiva 2008/114/CE do Conselho49, que estabelece um procedimento para a identificao e designao das Infraestruturas Crticas Europeias (ICE), onde se defende uma abordagem comum para avaliar a segurana de tais infraestruturas, a fim de melhorar e, assim, proteger as neces-sidades da populao.

Em Espanha, a transposio da citada diretiva, a Lei 8/2011, pela qual se estabele-cem medidas para a proteo das infraestruturas crticas, define 12 setores estratgicos responsveis por proporcionar os servios essenciais para o Estado e para os cidados50.

Dentro de cada um destes setores (Administrao, Espao, Indstria Nuclear, Inds-tria Qumica, Centros de Investigao, gua, Energia, Sade, Tecnologias da Informao e Comunicaes, Transporte, Alimentao, Sistema Financeiro e Tributrio), existem infraes-truturas de cujo funcionamento dependem estes servios essenciais, designadas por Infraes-truturas Estratgicas (IE)51. As IE que so reconhecidas como indispensveis para o bom funcionamento dos servios essenciais so designadas por Infraestruturas Crticas (IC)52.

Nesta lei, define-se o Sistema de Proteo das Infraestruturas Crticas, composto por uma srie de instituies, organismos e empresas, quer dos setores pblico quer do privado, com responsabilidades atribudas ao nvel da garantia do normal funcionamento dos servios essenciais ou da segurana dos cidados, traduzindo um particular nfase na necessidade de perspetivar a segurana a partir de uma viso holstica.

Com a finalidade de desenvolver, definir e ampliar os aspetos contemplados nesta lei foi publicado o Real Decreto 704/201153, atravs do qual se aprova o Regulamento relativo proteo das infraestruturas crticas. Como aspetos a rever, podemos citar os diferentes planos de proteo includos neste Real Decreto:

Planos Estratgicos Setoriais (PES): constituem os instrumentos de estudo e planeamento que abrangem todo o territrio nacional e que permitiro conhecer, em cada um dos setores abrangidos, quais so os servios essenciais prestados sociedade, o seu desempenho global, as vulnerabilidades do sistema, as potenciais consequncias da sua indisponibilidade e as medidas estratgicas necessrias para a manuteno da sua atividade.

49 Consejo de la Unin Europea, Diretiva 2008/114/CE. 2008.50 Jefatura del Estado, Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestruc-

turas crticas. 2011.51 Infraestruturas Estratgicas so instalaes, redes, sistemas e equipamentos e as tecnologias da informao

sobre as quais reside o funcionamento dos servios essenciais.52 Infraestruturas Crticas so infraestruturas estratgicas cujo funcionamento indispensvel e no permite

solues alternativas, pelo que a sua perturbao ou destruio teria um grave impacto sobre os servios essenciais.

53 Ministerio del Interior, Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas. 2011.


Plano de Segurana do Operador (PSO): so os documentos estratgicos que definem as polticas gerais dos operadores crticos, destinados a garantir a seguran-a do conjunto de instalaes ou sistemas da sua propriedade ou gesto.

Planos de Proteo Especficos (PEP): so documentos operacionais onde se devem definir medidas concretas j tomadas e aquelas que se prev venham a ser adotadas pelos operadores crticos para garantir a segurana integral (fsica e lgi-ca) das suas infraestruturas crticas.

Como j foi mencionado anteriormente, as IC no esto imunes ao impacto dos avanos tecnolgicos e, portanto, podemos dizer que quase todas tm como denomina-dor comum uma base tecnolgica que as sustenta, as TIC. Portanto, quando se fala em proteo das IC, espera-se que a cibersegurana v ter um peso muito importante:

Por um lado, temos as TIC que em si mesmas prestam um servio essencial e que, portanto, constituem as IC do setor estratgico das TIC, ou infraestruturas crticas da informao.

Por outro, as TIC so necessrias prestao adequada de servios essenciais por parte de IC de outros setores estratgicos, como por exemplo, os ICS, os sistemas SCADA, etc.

Quanto ao primeiro aspeto, os antecedentes a nvel europeu tm origem na Diretiva COM (2006) 251 da Comisso Europeia54, na qual se estabelece uma abordagem a trs nveis, que inclui medidas especficas para a segurana das redes e da informao, o qua-dro regulamentar das comunicaes eletrnicas e define o combate ao cibercrime como uma prioridade.

Posteriormente, com a Diretiva COM (2009) 149 da Comisso Europeia55, foram definidos cinco pilares para a segurana das TIC: preparao e preveno, deteo e res-posta, mitigao e recuperao, a cooperao internacional e a definio de critrios para o setor estratgico das TIC.

Surge entretanto tambm a Diretiva COM (2011) 163 da Comisso Europeia56, que se pode considerar o detonador para a materializao de uma Estratgia Europeia para a Segurana da Internet (ESIS European Strategy for Internet Security), que tem j como ob-jetivo a proteo das IC do setor estratgico TIC e no s da internet, contrariamente ao que sugere a sua designao. Finalmente, mais recentemente, foi aprovada essa estratgia que prope, entre outras, as seguintes aes57:

Designar agncias em cada Estado-membro. Integrar os CERT (Computer Emergency Response Teams) governamentais numa rede

europeia para fomentar a troca de informaes.

54 Comisin Europea, COM(2006) 251 final - Una estrategia para una sociedad de la informacin segura Dilogo, asociacin y potenciacin. 2006.

55 Comisin Europea, COM(2009) 149 final sobre proteccin de infraestructuras crticas de informacin Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparacin, seguridad y resistencia. 2009.

56 Comisin Europea, COM(2011) 163 final sobre la proteccin de infraestructuras crticas de informacin logros y prximas etapas: hacia la ciberseguridad global. 2011.

57 Disponvel em http://ec.europa.eu/information_society/newsroom/cf/dae/ document.cfm?doc_id=1667.

IDN CADERNOS 21

Definir medidas orientadas para criar uma cultura de segurana da informao e incentivar a colaborao pblico/privado.

Acordo para o estabelecimento de protocolos em caso de incidentes. Incentivar o setor privado para melhorar a adoo das boas prticas de segurana e

para que se melhore a segurana de produtos e servios. Reforar e coordenar melhor os esforos de I&D + I na rea da segurana da

informao. Incentivar, a partir da UE, os Estados membros a reforar os mecanismos apro-

priados para melhorar a sua cibersegurana.Como j mencionado anteriormente, a maioria das naes no se encontra alheia

a esta tendncia, sendo possvel identificar muitas estratgias nacionais em matria de cibersegurana, algumas das quais j foram inclusivamente sujeitas a revises: Estnia, Finlndia, Eslovquia em 2008, Canad e Japo em 2010, Repblica Checa, Frana, Ale-manha, Litunia, Luxemburgo, Holanda e Reino Unido em 2011.

No estudo realizado pela ENISA sobre as estratgias nacionais de segurana ciber-ntica58, os aspetos comuns a todas elas, relacionados especificamente com as IC, so os seguintes:

Necessidade de identificar as IC, incluindo os ativos crticos, os servios e as inter-dependncias entre elas.

Desenvolver ou melhorar, tanto a preveno, deteo e a capacidade de resposta como os planos de recuperao e as medidas de proteo das IC.

Por outro lado, merecem uma meno especial as iniciativas levadas a cabo pelos Estados Unidos, que j no ano de 2002 aprovaram o Projeto de Implementao da Lei de Gesto Federal da Segurana da Informao (FISMA Federal Information Security Ma-nagement Act), que visava a proteo das infraestruturas crticas de informao no mbito federal59. Mais tarde, no Plano de Proteo das Infraestruturas Nacionais (NIPP Na-tional Infrastructure Protection Plan), aprovado em 2009, enfatiza-se a necessidade de incluir as ameaas cibernticas nas anlises de risco das IC60. Atualmente, o Cybersecurity Act de 201261, j requer que os operadores realizem a anlise de risco ciberntico das suas IC.

Como se tem indicado, tanto em Espanha como em Portugal ainda esto a ser desen-volvidos os trabalhos para a publicao da Estratgia Nacional de Cibersegurana, onde se espera que venha a ser atribuda uma nfase especial proteo das IC, em linha com o que acontece com as restantes estratgias nacionais j publicadas.

A respeito da proteo das TIC que sustentam as IC de outros setores estratgicos, podemos citar como referncias nacionais em Espanha as Diretrizes STIC, do CCN

58 ENISA, National Cyber Security Strategies - Setting the course for national efforts to strengthen security in cyberspace, Report/Study, may 2012.

59 Senate and House of Representatives of the United States of America, Federal Information Security Manage-ment Act of 2002 - Title III of the E-Government Act (Public Law 107-347). 2002.

60 Department of Homeland Security, National Infrastructure Protection Plan - Partnering to enhance protection and resiliency. 2009.

61 Senate and House of Representatives of the United States of America, Cybersecurity Act. 2012.


(Centro Criptolgico Nacional)62, nomeadamente, as pertencentes srie 480, focadas na proteo dos sistemas SCADA:

CCN-STIC 480A SCADA - Guia de boas prcticas. CCN-STIC 480B SCADA Compreender o risco do negcio. CCN-STIC 480C SCADA Implementar uma arquitetura segura. CCN-STIC 480D SCADA Estabelecer capacidades de resposta. CCN-STIC 480E SCADA Melhorar a consciencializao e as competncias

especficas. CCN-STIC 480F SCADA Gerir o risco de terceiros. CCN-STIC 480G SCADA Desenvolvimento estruturado de projetos. CCN-STIC 480H SCADA Estabelecer uma direo permanente dos processos.

2.2. AmeaasA ameaa segurana das TIC pode ser definida como qualquer circunstncia ou

evento passvel de explorar, intencionalmente ou no, uma vulnerabilidade especfica num sistema de TIC, resultando numa perda de confidencialidade, integridade e disponi-bilidade da informao manipulada ou da integridade ou disponibilidade do Sistema63. Tomando como base esta definio, existem diferentes tipologias de ameaas que, por afetarem os sistemas, podem ser agrupadas em:

Desastres naturais; Ameaas de origem industrial; Erros ou falhas no intencionais; Ataques deliberados.Ainda que as ameaas associadas s catstrofes naturais, a origem industrial e a erros

ou falhas no intencionais, estejam sempre presentes, necessrio analisar com maior profundidade os ataques deliberados, j que a sua sofisticao, preciso e potencial im-pacto esto em constante evoluo, elevando o nvel de risco a que os sistemas esto sub-metidos. A sua identificao e catalogao correta a chave para se poderem estabelecer estratgias adequadas de proteo do ciberespao.

Dependendo da motivao associada aos ataques deliberados, podemos agrupar as ameaas em64:

Cibercrime, centradas essencialmente na obteno de benefcios econmicos atra-vs de aes ilegais. As aes relacionadas com a fraude bancria, com cartes de crdito ou a realizao de transaes em diferentes pginas web, constituem exem-plos de aes comuns relacionadas com este tipo de ameaas.

62 Disponvel em https://www.ccn.cni.es/.63 Centro Criptolgico Nacional y Jos A. Maas, Gua de Seguridad de las TIC (CCN-STIC401) Glosario

y Abreviaturas. dic-2006.64 O. Pastor Acosta, J. A. Prez Rodrguez, D. Arniz de la Torre, y P. Taboso Ballesteros, Seguridad Nacional y

Ciberdefensa, 1a. ed., vol. 6, 7 vols. Madrid: Fundacin Rogelio Segovia para el Desarrollo de las Telecomu-nicaciones, 2009.

IDN CADERNOS 23

Ciberespionagem, com foco na obteno de informaes, seja para benefcio prprio ou para deter um benefcio monetrio posterior com a sua venda. A in-formao mais suscetvel de identificar-se neste campo pode pertencer, nomeada-mente, a um governo ou at a organizaes privadas, e ser classificada, sendo esta uma mais valia para os atacantes.

Ciberterrorismo, onde se procura um impacto social e poltico significativo pela destruio fsica. Neste contexto, as infraestruturas crticas constituem os alvos de ataque mais provveis.

Ciberguerra, pode ser definida como uma luta ou conflito entre duas ou mais naes ou entre diferentes faes dentro de uma nao onde o ciberespao o campo de batalha.

Finalmente, o "hacktivismo" ou ciberactivismo, pelo seu impacto crescente tambm tem vindo a assumir-se como um campo de ao da ciberameaa.

Para se poder analisar as ameaas que podem afetar cada infraestrutura conveniente determinar quais so as possveis fontes de ameaas ou atores com mais possibilidade de ataque, assim como a probabilidade de que este ataque ocorra com base nas suas moti-vaes. Estas fontes de ameaa podem ser classificadas da seguinte forma65:

Cibercriminosos; Espies industriais; Hacktivistas; Terroristas; Naes; Hackers; Pessoal interno.Por outro lado, as motivaes, que podem ser independentes da origem da ameaa

podem, por sua vez, classificar-se do seguinte modo66: Benefcios econmicos. Constituem a motivao mais comum no domnio do

ciberespao. A realizao de atos fraudulentos para conseguir dinheiro, o roubo de informaes para venda pela melhor oferta ou a execuo de ataques (ou fornecer os meios para isso) em troca de um benefcio monetrio so atos comuns que se enquadram nesta motivao. Cibercriminosos, espies industriais e o pessoal inter-no so tradicionalmente os perfis do atacante com essa motivao.

Vantagens tticas ou competitivas. Esta outra motivao que pode suscitar a atuao de diferentes agentes. Por exemplo, o roubo de informao militar de uma nao no meio de um conflito pode dar uma vantagem ttica ao inimigo, ou a obteno de informaes relacionadas com uma organizao ou empresa pode dar uma vantagem competitiva a outra entidade. As naes e os espies industriais so os agentes mais suscetveis a ter essa motivao.

65 Daniel Benavente y Spanish Defence Staff, Threat Analysis Methodology. Spanish input for MNE 7 Objetive 3.1 Risks, Vulnerabilities and Threats. 2012.

66 Idem.


Motivaes polticas. Podem levar diferentes organizaes a atacar ou realizar aes prejudiciais contra governos ou organizaes pblicas. Os perfis de ameaa que mais se encaixam nesta motivao so os terroristas e os hacktivistas. Os conflitos entre diferentes naes tambm se encaixam, por vezes, dentro deste mbito.

Destruio ou dano. Os terroristas surgem tambm associados claramente a essa motivao, pois tendem a procurar a execuo de ataques que tm esse efeito. Por outro lado, as naes que entram em conflito tambm podem vir a inserir-se neste grupo.

Fama ou vingana. A procura de notoriedade e fama est geralmente associada aos hackers, que buscam reconhecimento em diferentes comunidades e fruns, ten-do como objetivo saltar as barreiras de segurana, mas no causar nenhum dano, embora possam aceder a informaes sensveis. Pessoal interno de uma organiza-o tambm pode ser movido por esta motivao, mas estes tendem a perpetrar aes mais relacionadas com vingana.

Um primeiro critrio para determinar a classificao dos ciberataques pode passar tambm por analisar o nvel de organizao dos mesmos, agrupando-os em67:

Ataques simples. Ataques sem coordenao ou com um nvel de organizao muito reduzido, executados por uma pessoa ou vrias mas sem nunca formar uma organizao propriamente dita. O seu impacto mdio-baixo.

Ataques organizados. Ataques que so executados e coordenados por um nme-ro significativo de pessoas que fazem parte de um grupo organizado. O impacto normalmente mdio, mas depende do tipo de objetivos que buscam.

Ameaas Persistentes Avanadas (APT Advanced Persistent Threats). Estas ameaas so criadas por um grupo de pessoas com um perfil de elevada percia tecnolgica; permanecem ao longo do tempo e o seu desenvolvimento est parti-cularmente focado num alvo especfico. Com uma preciso muito elevada, a pro-babilidade de ocorrncia alta e o seu impacto pode ser bastante forte.

Ataques coordenados de grande escala. Esses ataques so executados e diri-gidos por uma organizao ou uma nao, e envolvem um elevado nmero de atores, que podem pertencer ou no organizao. O impacto pode ser elevado ou muito elevado.

Ciberataques coordenados com ataques fsicos. O nvel de coordenao que requer este tipo de ataque o mais elevado, e a combinao entre ataques em diferentes dimenses (terra, mar e ar) deve ser executado com grande preciso. O impacto extremamente elevado.

De acordo com o ltimo relatrio sobre o estado das ciberameaas em 2011, do Centro Criptolgico Nacional de Espanha68, as tendncias reveladas pelas ameaas mais comuns so:

67 Idem.68 CCN-CERT, Ciberamenazas 2011 y Tendencias 2012, mar. 2012.

IDN CADERNOS 25

Ameaas relacionadas com o campo da ciberespionagem so as mais dinmicas e, dentro deste mbito, as APT esto a aumentar o risco progressivamente, preven-do-se que venham a proporcionar um nvel de risco bastante elevado. Os ataques direcionados podem ser precedidos de uma APT.

O Hacktivismo tornou-se especialmente importante em 2011, no apenas pelo n-mero de ataques e pela sua frequncia de execuo, mas tambm pela sua agressi-vidade e pelo seu elevado nvel de divulgao social.

Ataques contra ferramentas e produtos de autenticao e Autoridades de Certifi-cao (CA Certification Authority69), sendo o objetivo final atacar as organizaes com um alto valor em propriedade intelectual. A estratgia proposta, baseia-se em atacar entidades que podem proporcionar meios para atacar as primeiras de forma mais eficiente.

O malware continua a evoluir, sendo os Cavalo de Troia o tipo de malware domi-nante e a evoluo do cdigo malicioso ZeuS um problema a considerar. Os exploits kits e botnets ainda so amplamente utilizados e as tcnicas de spam e de phishing permanecem em nveis bastante elevados.

Os ataques contra os dispositivos mveis tm aumentado a par do uso de smartpho-nes, aumentando especialmente as ameaas relacionadas com o malware mvel e a perda de dados.

Os ataques contra as instituies financeiras e cartes de crdito, relacionadas dire-tamente com a rea do cibercrime, continuam a proliferar, tendo ainda em conta que o chamado mercado negro se diversificou nos produtos que oferece.

Ameaas contra redes sociais continuam a ser especialmente ativas. As ameaas de natureza tecnolgica, que podem afetar as infraestruturas crticas e

podem causar danos muito elevados, tambm registaram um forte aumento sen-do os ciberataques os mais perigosos pela probabilidade de ocorrncia e impac-to potencial. Foram detetados ataques direcionados contra IC, como o Stuxnet. O risco a que esto sujeitas as IC subsiste como um dos pontos mais preocupantes.

2.3. VulnerabilidadesDo ponto de vista da segurana da informao, uma vulnerabilidade pode ser defi-

nida como qualquer fraqueza/debilidade de um equipamento/recurso (ativo) ou grupo de ativos que podem ser exploradas por uma ou mais ameaas70. As vulnerabilidades no so s consideradas caractersticas inerentes natureza dos ativos, uma vez que tambm se

69 Entidade que garante a autenticidade e veracidade dos dados recolhidos num certificado digital expedi-do. Trata-se de um tipo de instituio notarial que oferece validade a um facto jurdico. O procedimento da Autoridade de Certificao produz-se graas posse e utilizao de uma chave privada que garante a identidade do proprietrio do certificado digital. Isto possibilita a assinatura e a validao eletrnica dos certificados emitidos.

70 ISO - International Organization for Standardization, ISO/IEC 13335-1:2004 - Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. 2004.


considera uma vulnerabilidade a presena de erros de projeto, implementao, operao ou gesto de um sistema de informao que pode ser explorado e a partir da qual resulta um efeito no desejado ou no esperado que comprometa a poltica de segurana do sistema71.

Uma mesma vulnerabilidade afeta de forma diferente o nvel global de risco de uma organizao. Isto depende de fatores como a facilidade com que ela pode ser explorada ou o prprio ativo ser atingido dentro da organizao por um atacante. Tambm depende do valor do prprio ativo ou se existem contramedidas na organizao que evitem a materializao de ameaas sobre essa vulnerabilidade. No momento de gerir as vulnera-bilidades, os Sistemas de Gesto da Segurana de Informao (SGSI)72 e as diferentes metodologias adotadas, introduzem fatores de ponderao e medida das vulnerabilidades no contexto do sistema de TI afetado.

Figura 1 - Ciclo de vida das vulnerabilidades

A partir do momento em que uma vulnerabilidade criada intencionalmente no sistema e at que seja mitigada, ela passa por diferentes fases, incluindo as fases de desc-oberta, explorao, publicao e resoluo ou mitigao. Na figura 1 representa-se o que pode ser o ciclo de vida das vulnerabilidades, identificando as suas diversas fases e refletindo as atividades desenvolvidas de forma a explorar as oportunidades oferecidas ao longo da sua evoluo, ao invs de se colocar o foco na sua eliminao para deix-la definitivamente resolvida.

71 Internet Engineering Task Force (IETF), RFC 4949 - Internet Security Glossary, Version 2. ago-2007.72 Wikipedia contributors, ISO/IEC 27001, Wikipedia, la enciclopedia libre. Wikimedia Foundation, Inc., 07-

ago2012.

DESCOBERTA

EXPLORAO

PUBLICAO

MITIGAO

Explorao "dia zero"

Explorao "in the wild"

Desenvolvimento de exploit

Criao

Publicao da vulnerabilidade

Desenvolvimento da soluo

Distribuio da soluo (patch)

Publicao de "provas

de conceito"

IDN CADERNOS 27

As fases acima indicadas no so necessariamente sequenciais, uma vez que existem vulnerabilidades que so ativamente exploradas por atacantes sem que o fabricante ou o gestor do sistema esteja ciente do problema. Essas vulnerabilidades so designadas como de dia zero73, sendo extremamente perigosas porque, ao no serem conhecidas dos fabricantes, fazem com que no existam mecanismos de mitigao pblicos, como patches para um pacote de software ou mesmo um conjunto de regras que permita aos elementos de proteo de permetro da rede prevenir o progresso dos ataques at aos elementos mais vulnerveis do sistema.

Neste sentido, as empresas e organizaes de desenvolvimento de software informti-co estabeleceram um sistema de compensaes, destinado a retribuir os indivduos que descubram vulnerabilidades em aplicaes e informem de bugs (erros) nos seus progra-mas74. Os programas de recompensas orientados para a descoberta de vulnerabilidades nas aplicaes constituem uma das medidas de segurana cada vez mais implementadas pelas empresas relacionadas com o mundo das tecnologias. Este estmulo positivo, pode levar a reduzir significativamente as vulnerabilidades publicadas das suas aplicaes lim-itando as situaes em que a informao dos seus utilizadores esteja exposta a possveis ataques que violem a sua privacidade e confidencialidade.

Por outro lado, em fora mais ou menos clandestinos da internet, pode-se encontrar o lado mais obscuro do mercado das vulnerabilidades, atravs de ofertas de venda de ferramentas de ataque ou exploits75 que afetam os diferentes produtos para serem usa-das de forma ilegal. As organizaes criminosas oferecem valores semelhantes ou ainda maiores do que aqueles que oferecem as empresas responsveis pelo cdigo afetado. Estas vulnerabilidades podem ser exploradas em ataques dirigidos contra alvos e organi-zaes concretas ou massivamente contra utilizadores domsticos, para lhes roubar, por exemplo, informao bancria que possam guardar nos seus equipamentos informticos.

A grande experincia adquirida tem sido capaz de fortalecer as empresas de de-senvolvimento de software que anteriormente foram afetadas por um grande nmero de vulnerabilidades. Esta experincia, tem tornado mais difcil a tarefa de explorar e/ou lo-calizar falhas de segurana nas aplicaes fazendo com que o utilizador mal intencionado tenha que evoluir e procurar novas frentes de ataque.

73 Um ataque de dia zero, 0day ou zero day, um ataque contra um sistema de informao que se baseia em encontrar vulnerabilidades desconhecidas nas suas aplicaes informticas. Este tipo de informao circula geralmente entre potenciais atacantes at que finalmente publicado em foruns de acesso pblico.

74 Exemplos deste tipo de programas so o Mozilla Security Bug Bounty Program, disponvel em http://www.mozilla.org/security/bug-bounty.html, que, segundo os seus prprios criadores, est desenhado para in-centivar a investigao de segurana no software Mozilla e para recompensar aqueles que nos ajudam a tornar os clientes mais seguros na sua navegao na Internet; ou o Google Vulnerability Reward Program, disponvel em http://www.google.com/about/company/rewardprogram.html, que sendo baseado na es-treita colaborao com a comunidade de investigao de segurana convida a investigao de vanguarda externa a ajudar-nos a manter os nossos utilizadores seguros.

75 Exploit, que podemos traduzir por explorar ou aproveitar, uma sequncia de comandos cujo fim o de causar um erro em alguma aplicao, com o objetivo de originar um comportamento no desejado ou imprevisto nos programas informticos, hardware ou componentes eletrnicos.


por esta razo que as novas tecnologias e as tendncias de evoluo das vulnera-bilidades tm permitido a localizao de novos vetores de ataque que violam por com-pleto a privacidade dos utilizadores comuns. Conceitos e plataformas tecnolgicas como servios em nuvem76, redes sociais77 e tecnologias mveis tm oferecido ao utilizador mal intencionado uma nova porta para explorar nos seus ataques e, o que pior, utilizando como alvo sistemas pouco testados.

Se problemtica anterior, se juntar o uso indevido de dispositivos portteis como telefones celulares e/ou os mais recentes tablets78, onde se mistura a informao pessoal com a informao do trabalho, por mera convenincia, no s se pe em perigo a privaci-dade dos dados do utilizador, como tambm a confidencialidade de valiosa informao empresarial.

Um exemplo da utilizao centralizada da tecnologia, e da elevada vulnerabilidade da decorrente, pode ser ilustrada pelo famoso caso do apago BlackBerry79 onde, devido a uma falha nas instalaes da empresa comercializadora do telefone BlackBerry80, os utilizadores deste dispositivo no puderam dispor de ligao internet durante vrios dias, impedindo assim o acesso a aplicaes e informaes necessrias ao seu trabalho dirio.

Por outro lado, porque o utilizador final continua sem estar suficientemente des-perto para a segurana e para os riscos decorrentes de no atualizao do seu sistema operativo81 e das aplicaes que dispe instaladas no seu computador, vamos continuar a detetar novas famlias de malware, cada dia mais sofisticadas e mais difceis de detetar e eliminar. Isso possvel em grande medida porque a automao e o desenvolvimento de malware por parte do utilizador mal-intencionado se encontra muito avanada, aproveit-ando a persistncia das vulnerabilidades em certos dispositivos, apesar de serem conhe-cidas e de se encontrarem ao seu dispor atualizaes para solucionar definitivamente os problemas existentes.

76 Computao na nuvem, do ingls cloud computing, um paradigma que permite oferecer servios de com-putao atravs da internet.

77 Neste caso refere-se s redes sociais no mbito da internet, isto , portais web que permitem s pessoas conectar-se com os seus amigos, inclusive realizar novas amizades, a fim de partilhar contedos, interagir, criar comunidades sobre interesses similares: trabalho, leituras, jogos, amizades, relaes interpessoais.

78 Tablet um tipo de laptop, maior que um smartphone, construdo sobre uma tela sensvel ao toque, com o qual se interage com os dedos ou com uma caneta (passiva ou ativa), sem necessidade de teclado fsico ou rato, que so substitudos por um teclado virtual.

79 Trata-se do incidente que ocorreu a partir aproximadamente das 11:00 (hora espanhola) de segunda-feira, 10 de outubro, em que os utilizadores do BlackBerry na Europa, frica e Mdio Oriente tiveram proble-mas de ligao internet. O problema foi generalizado e atingiu todas as operadoras mveis, pelo modo evidente com que a incidncia afetou este tipo de telefones, independentemente da empresa com quem se havia contratado a conexo.

80 BlackBerry um modelo de smartphone desenvolvido pela empresa canadiana Research In Motion (RIM), que integra o servio de e-mail mvel e inclui aplicaes tpicas destes dispositivos: livro de endereos, calendrio, lista de tarefas, bloco de notas, etc. principalmente conhecido pelo seu teclado incorporado. Consultar http://es.blackberry.com/.

81 Sistema operativo denomina um conjunto de programas que, num sistema informtico, gerem os recursos de hardware e providenciam servios aos programas de aplicao, executando-se em modo privilegiado em relao aos restantes programas.

IDN CADERNOS 29

2.3.1. Catalogao das VulnerabilidadesDesde as origens da informtica, muitas organizaes e instituies tm procurado

modelar e classificar as vulnerabilidades, inicialmente de forma quase exclusivamente fo-cada nas inerentes ao software, para logo se expandir o conceito e estend-lo a todos os aspe-tos de um Sistema de Informao. Deste modo, a partir de 1978 pode ser encontrada uma classificao inicial dos erros de proteo no cdigo do projeto Protection Analysis, pro-movido pela diviso de investigao do Departamento de Defesa dos EUA (DoD United States Department of Defense)82. Este projeto j procurava na dcada de 70 os mecanismos de identificao automatizados de vulnerabilidades no software dos sistemas da poca, enquad-rando-as dentro de um processo de melhoria da avaliao da proteo desses sistemas.

Muitas das categorizaes clssicas de vulnerabilidades geram alguns problemas de classificao por utilizarem taxonomias fixas de vulnerabilidades que, pela sua natureza ou variveis de explorao, no so simplesmente categorizveis sob um nico critrio. Certas vulnerabilidades de software podem, por exemplo, ser exploradas local ou remota-mente, o que depende de certas configuraes especficas do ambiente, alcanando um maior ou menor impacto na organizao. Estas metodologias baseadas na categorizao clssica tendem a ser substitudas por metodologias estruturadas com base na teoria do prototipado, que prope uma conceo de categorias com classes heterogneas e no distintas/discretas. Segundo esta viso, ser possvel identificar alguns membros mais representativos da categoria do que outros. Os membros mais representativos de cada classe so designados por prottipos, da o nome atribudo a esta teoria.

Devido s dificuldades de identificao e catalogao de vulnerabilidades, normal-mente associadas a muitas metodologias clssicas de anlise e gesto de riscos, necessrio definir uma srie de atributos, dimenses e mtricas de forma a servir de suporte e per-mitir classificar as vulnerabilidades existentes em diversas organizaes.

Mtricas e controlos: so valores atribudos a vulnerabilidades com base em v-rios fatores, tais como o conhecimento ou desconhecimento da existncia de vul-nerabilidades, o impacto de cada vulnerabilidade na organizao, etc. por exemplo, quantas vezes se realiza o procedimento de atualizao de patches. Se este controlo se cumpre mensalmente existe uma janela de tempo em que o sistema pode ser mais vulnervel do que se o processo for realizado semanalmente.

Atributos: so as caractersticas inerentes s vulnerabilidades que possam surgir no desenho ou arquitetura da organizao, decorrentes do comportamento ou aes do prprio sistema ou das caractersticas gerais que o caracterizam como, por exemplo, o grau de dificuldade que est associado gesto de uma dada vul-nerabilidade.

Dimenso: tambm se pode catalogar a vulnerabilidade atendendo ao impacto e alcance que esta tem sobre o tipo de objetivo que pode explorar. Neste contexto, podemos ter vulnerabilidades sobre objetos (hardware ou software), vulnerabilidades

82 R. BisbeyII. y D. Hollingworth, Protection Analysis: Final Report, University of Southern California Marina del Rey Information Sciences Inst, ISI/SR-78-13, may 1978.


que afetam os fatores humanos ou sociais, vulnerabilidades associadas s condi-es ambientais, etc.

Existem diferentes metodologias que, de acordo com um nmero de critrios espec-ficos, catalogam as vulnerabilidades de diferentes maneiras. Embora os conceitos utiliza-dos por cada uma delas sejam distintos, todos perseguem o mesmo objetivo: simplificar, homogeneizar e normalizar a classificao das vulnerabilidades. Estas vulnerabilidades so normalmente tratadas individualmente, pelo que tambm se esto a realizar estudos83, onde se perspetiva e analisa o comportamento das vulnerabilidades no seu todo.

O Anexo I apresenta um breve resumo de algumas das metodologias comuns mais utilizadas hoje em dia.

2.4. Metodologias e Boas Prticas para a Anlise e a Gesto de RiscosPara levar a cabo uma adequada anlise/avaliao e gesto de risco relativa segu-

rana da informao, essencial analisar os ativos que devemos proteger, as ameaas a que esto sujeitos e as vulnerabilidades que lhe so prprias. Alm disso, convm seguir uma metodologia, definida e formalmente estabelecida, que guie os nossos passos neste processo, garantindo que consideramos todas as atividades que necessrio realizar e no nos perdermos na anlise, ajudando-nos a selecionar medidas de proteo para gerir adequadamente o risco que enfrentamos.

No anexo II apresenta-se um breve resumo84 das principais metodologias, reconhe-cidas como tal a nvel internacional85, para a Anlise e Gesto de Risco de Segurana da Informao.

3. Segurana da Informao no Ciberespao e Capacidade de Resposta a Incidentes Informticos

Importa iniciar esta seco com uma clarificao da terminologia utilizada, uma vez que existem muitas siglas (formadas a partir dos termos em ingls), que so muitas vezes utilizadas como sinnimos ou com um significado muito semelhante Capacidade de Resposta a Incidentes Informticos.

Provavelmente, o termo mais utilizado internacionalmente CERT86, designando uma Equipa de Resposta a Emergncias Informticas, provavelmente porque foi o

83 Su Zhang, Xinming Ou, Anoop Singhal, e John Homer, An empirical study of a vulnerability metric ag-gregation method. NIST - National Institute of Standards and Technology, 2011.

84 Technical Department of ENISA Section Risk Management, ENISA - Risk Management - Principles and Inventories for Risk Management / Risk Assessment methods and tools. ENISA, 01-jun2006.

85 Filipe Neto Rodeia Macedo, Models for Assessing Information Security Risk, Dissertao para obteno do Grau de Mestre em Engenharia Informtica e de Computadores, Universidade Tcnica de Lisboa, 2009.

86 Embora seja este o significado original de CERT, conforme o mantm a Universidade Carnegie Mellon, convm referir que, para evitar confuso, mais tarde o Departamento de Segurana Nacional dos Estados Unidos passou a utilizar esta mesma sigla no seu US-CERT, modificando porm o sentido da letra R, que desta feita j no corresponde a Response, mas sim a Readiness. Seguramente, reconhece-se esta designao como mais consistente com a realidade do servio que presta.

IDN CADERNOS 31

primeiro a aparecer no final dos anos oitenta. A agncia DARPA (Defense Advanced Research Projects Agency), pertencente ao Departamento de Defesa dos EUA; poucos dias depois do seu lanamento, criou o primeiro Centro de Coordenao de Equipas de Resposta a Emergncias Informticas (CERT/CC Computer Emergency Response Team/Coordination Center87), localizado na Carnegie Mellon University88, em Pittsburgh, Pennsylvania.

Logo depois, com um objetivo similar dentro de seu mbito, o Departamento de Energia dos EUA constituiu o seu CIAC (Computer Incident Advisory Capability), ou seja, uma Capacidade de Aconselhamento face a Incidentes Informticos.

Depois de um certo tempo, o modelo foi adotado na Europa, mas, neste caso, us-ando o nome de CSIRT (Computer Security Incident Response Team Equipa de Resposta a Incidentes de Segurana Informtica), posto que o termo CERT tinha sido protegido como uma marca registrada pela Universidade Carnegie Mellon.89

Desta forma, constata-se o aparecimento de muitas outras siglas para referenciar este mesmo tipo de capacidades, como IRT (Incident Response Team Equipa de Resposta a Incidentes), CIRT (Computer Incident Response Team Equipa de Resposta a Incidentes In-formticos) ou SERT (Security Emergency Response Team Equipa de Resposta a Emergn-cia de Segurana) mas todas de utilizao muito menos frequente do que as mencionadas anteriormente.

Na sequncia das decises tomadas na Cimeira de Praga (2002) e Istambul (2004), a OTAN tambm se comprometeu a implantar uma capacidade semelhante a um CERT, denominando-a como CIRC (Computer Incident Response Capability) da OTAN ou NCIRC (NATO Computer Incident Response Capability Capacidade de Resposta a Incidentes In-formticos da OTAN).

Apesar de ser possvel concluir que os termos CERT, CSIRT ou CIRC so utilizados para referenciar o mesmo tipo de capacidades cibernticas, no podemos pensar que es-tas so sempre as mesmas. Dependendo da comunidade a que devem servir, ou a misso que cumprem, haver diferentes tipos de CIRC especializados90, entre os quais podemos citar: acadmicos, comerciais, para a proteo das infraestruturas crticas de informao (CIIP Critical Information Infrastructure Protection), do setor pblico, da defesa, nacionais, para as PME (Pequenas e Mdias Empresas), etc.

Dependendo do seu carter especfico, cada CERT estruturar o seu funcionamento de diversas formas segundo, nomeadamente, um dos seguintes modelos organizativos91:

87 Consultar http://www.cert.org./88 Consultar http://www.cmu.edu/89 Em todo caso, a Universidade de Carnegie Mellon permite o uso da marca CERT a todos os CSIRT

que partilhem um compromiso com a melhoria da segurana das redes ligadas internet, devendo estas solicitar-lhes, para esse efeito, a correspondente autorizao para utilizar a marca CERT junto ao nome de cada CSIRT.

90 Henk Bronk, Marco Thorbruegge, y Mehis Hakkaja, Cmo Crear un CSIRT Paso a Paso. ENISA - Eu-ropean Network and Information Security Agency, 22-dic2006.

91 Centro Criptolgico Nacional, Gua de Seguridad de las TIC (CCN-STIC810) Gua de Creacin de un CERT / CSIRT. sep-2011.


Independente um CERT que age como uma organizao independente, sendo dotado com os seus prprios responsveis e recursos. Este o modelo que, em regra, melhor se adapta aos CERT comerciais, que se constituem invariavelmente como empresas independentes para prestar os seus servios.

IntegradoNeste modelo, o CERT est incorporado na organizao a que presta servios ou que o patrocina, funcionando como um departamento, mais ou menos autnomo, da mesma. Geralmente dirigido por um responsvel das atividades que, alm dos trabalhadores prprios do CIRC, tem a possibilidade de recrutar o pessoal tcnico necessrio para a resoluo de um incidente, recorrendo, se for necessrio, a outras reas da organizao para solicitar assistncia especializada. Este o modelo mais comum de CIRC.

Campus o modelo que surge nas universidades e nos ambientes de investigao, da o seu nome, em que h uma sede/localizao central, que se denomina CERT principal ou me, e muitos locais subsidirios distribudos (CERT filhos) dependentes do principal, que so mais pequenos e contam com uma grande autonomia de ao. Este constitui o modelo que melhor se ajusta a empresas e organizaes multina-cionais, com um alto grau de descentralizao.

VoluntrioNeste modelo, a capacidade CIRC constitui-se ad hoc, sendo formada com base num grupo de especialistas que se juntam voluntariamente para prestar servio a uma comunidade. As redes WARP (Warning, Advice, and Reporting Points)92 so um exemplo deste modelo.

Dependendo do tipo e modelo organizativo de cada CERT, encontraremos um per-fil e nmero diferente de pessoas que nele trabalham mas, geralmente, todos possuem funcionrios com altas qualificaes tcnicas e uma srie de caractersticas pessoais, que os tornam aptos para trabalhar neste tipo de ambientes to exigentes. Em geral, o pessoal de um CERT dever ser93: dedicado, inovador, minucioso, flexvel, paciente, analtico, bom comunicador, tolerante ao stress, orientado para a resoluo de problemas e, sobr-etudo, ntegro.

Embora, como j foi referido, a composio de cada CERT varie muito de caso para caso, encontramos em geral os seguintes papis/funes atribudas94:

92 Trata-se de um tipo de comunidades, amplamente divulgadas no Reino Unido, de troca de informao de segurana que se foram desenvolvendo para proporcionar um mtodo eficaz para apoiar a defesa contra ataques a pequenas organizaes.

93 Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, y Mark Zajicek, Handbook for Computer Security Incident Response Teams (CSIRTs). Carnegie Mellon Uni-versity, abr-2003.

94 Carnegie Mellon University, CERT/CC: Computer Security Incident Response Team FAQ, 01-abr2008. [Online]. Available: http://www.cert.org/csirts/csirt_faq.html. [Accessed: 25-ago2012].

IDN CADERNOS 33

Gestor ou lder da equipa; Subgerentes, supervisores ou lderes de grupo; Pessoal responsvel por prestar ajuda numa situao de crise; Pessoal responsvel pela gesto de incidentes; Pessoal responsvel pela anlise de vulnerabilidades; Pessoal responsvel pela anlise de dispositivos/equipamentos; Especialistas em diferentes plataformas; Formadores; Investigadores.Embora com menos frequncia, tambm se pode encontrar outro tipo de papis/

funes num CIRC: Equipe de apoio; Redatores tcnicos; Administradores de rede ou sistemas da infraestrutura proprietria; Programadores ou responsveis pelo desenvolvimento de ferramentas especficas; Tcnicos de desenvolvimento e manuteno de sistemas web; Responsvel pela comunicao e relao com os media; Pessoal jurdico; Pessoal das Foras e Corpos de Segurana do Estado; Auditores ou pessoal responsvel pela garantia de qualidade; Pessoal da rea comercial.As capacidades CIRC so implementadas com o objetivo de proporcionarem diver-

sos servios, que variam de acordo com a sua misso, mas que podem ser divididos nos seguintes tipos95:

Servios ReativosServios que so ativados por um evento ou uma solicitao, como um relatrio tcnico sobre um servidor comprometido, cdigo malicioso amplamente difun-dido, vulnerabilidades de software ou algo que foi identificado por um sistema de deteo de intruses ou um registo de eventos. Os servios reativos constituem a componente central do trabalho de um CIRC. Estes tipos de servios incluem:

Alertas e Avisos.Tratamento de incidentes, como:

- Anlise de incidentes;- Apoio na resposta a incidentes;- Coordenao da resposta a incidentes;- Resposta a incidentes no local.

Tratamento de vulnerabilidades, que inclui:- Anlise de vulnerabilidades;- Resposta a vulnerabilidades;

95 Carnegie Mellon University, Stelvio bv, y PRESECURE Consulting GmbH, CSIRT Services. Carnegie Mellon University, 26-nov2002.


- Coordenao da resposta a vulnerabilidades.Tratamento de dispositivos ou artefactos, que inclui:

- Anlise de dispositivos ou artefactos;- Resposta a dispositivos ou artefactos;- Coordenao da resposta a dispositivos ou artefactos.

Servios ProactivosEstes servios oferecem assistncia e informao para ajudar a preparar, proteger e garantir a segurana dos sistemas protegidos, em antecipao de ataques, pro-blemas ou eventos. A prestao desses servios est essencialmente orientada para reduzir o nmero de futuros incidentes. Esses servios incluem:

- Comunicaes e anuncios;- Observatrio de

cadernos nº 12 cadernos - Biblioteca de Segurança · Métodos ISF para a Gestão e Valorização...

Documents

Transcript of cadernos nº 12 cadernos - Biblioteca de Segurança · Métodos ISF para a Gestão e Valorização...