gestão do risco social na sociedade em rede: a definição

Seminário: As TIC para um Mundo Mais Seguro – Segurança na Era

Digital

25 de Novembro de 2010Instituto de Estudos Superiores

Militares

Gestão do risco social na Sociedade em rede: a definição de uma estratégia da Informação Nacional.

Paulo Viegas Nunes

Patrocinadores Globais

Patrocinadores Específicos:

1

IESM, 25 Novembro 2010 TCor Tm (Eng) Paulo Nunes

Gestão do Risco Social na Sociedade em Rede:

A Definição de uma Estratégia A Definição de uma Estratégia da Informação Nacionalda Informação Nacional

TCor Tm (Eng) Paulo Viegas Nunes

[email protected]

As TIC para um Mundo Mais Seguro – Segurança na Era Digital

Instituto de Estudos Superiores Militares , 25Nov2010


SumárioSumário

Introdução

Análise e Gestão do Risco Social

Estratégia da Informação Nacional (EIN)

Ciberdefesa: Questões Pertinentes

Conclusões

IESM, 25 Novembro 2010

IrrelevânciaIrrelevância ((AparenteAparente)) dodo VirtualVirtual

““ApagãoApagão Analógico”Analógico”

DependênciaDependência Tecnológica Tecnológica ==Vulnerabilidade SocialVulnerabilidade Social

Importância da Importância da Informação Informação

““ParalisiaParalisia Institucional” Institucional”

Ideias para Reflexão …Ideias para Reflexão …

TCor Tm (Eng) Paulo Nunes IESM, 25 Novembro 2010 4

Relação entre Actores: Relação entre Actores: Visão Académica/ TradicionalVisão Académica/ Tradicional

COMPETIÇÃO

COOPERAÇÃOCOOPERAÇÃO

CONFLITO

COMPETIÇÃO É DOMINANTE� O “Conflito” constitui uma excepção da Competição

IESM, 25 Novembro 2010 5

Relação entre Actores: Relação entre Actores: Visão Realista/ PragmáticaVisão Realista/ Pragmática

CONFLITO

COOPERAÇÃOCOOPERAÇÃO

COMPETIÇÃO

CONFLITO É DOMINANTE� A “Competição Pura” constitui uma excepção do Conflito IESM, 25 Novembro 2010 TCor Tm (Eng) Paulo Nunes

IntroduçãoIntrodução

Internet e a Sociedade Internet e a Sociedade Global em RedeGlobal em Rede

Novos Parâmetros Novos Parâmetros de Competitividade de Competitividade

das Naçõesdas Nações

InfraInfra--estruturas estruturas de Informação de Informação e a Soberania e a Soberania dos Estadosdos Estados

Conflitualidade Conflitualidade da Informaçãoda Informação

2


Sociedade em Rede:Sociedade em Rede:um Sistema de Sistemasum Sistema de Sistemas

Económica

Social e Cultural

Militar

Física

Cientificae Técnica

Política

Legal, Éticae Moral

Vulnerabilidades

FraquezasOportunidades

Dependências

Compreensão dos Sistemas de Sistemas

Serviços de Informações

Forças de Segurança

Empresas

Defesa

Meio Académico

OIs, ONGs

NÓS Ameaças

Fon

te:G

ross

man

-Ver

maa

s(2

004)

TCor Tm (Eng) Paulo Nunes IESM, 25 Novembro 20108

Estudo do Estudo do CiberespaçoCiberespaço

Estudo do Ciberespaço pode ser sistematizado segundo duas perspectivas:

Espaço Virtual(interacções sociais, económicas, políticas e culturais);

Infra-estructura Tecnológica da Informação(Internet).

TCor Tm (Eng) Paulo Nunes

IESM, 25 Novembro 2010 9O Alargamento do espaço de influência dos Estados passa pelo desenvolvimento de O Alargamento do espaço de influência dos Estados passa pelo desenvolvimento de

uma Política para a Internet, palco de uma constante uma Política para a Internet, palco de uma constante Competição e “e “Guerra CulturalGuerra Cultural ”.”.

Língua da População On-Line Total: 605,6 Milhões de Pessoas

(Setembro 2002)

Inglês

Francês

Italiano

Coreano

Alemão

Espanhol Japonês

Chinês

Português

Russo Holandês

Evolução do Pensamento Geopolítico: Evolução do Pensamento Geopolítico: Os Interesses NacionaisOs Interesses Nacionais


Informação de Interesse NacionalInformação de Interesse Nacional(Caso Português)(Caso Português)

Desenvolvimentos da Internet

PÚBLICO

PRIVADO

ABERTO FECHADO

Diplomacia Pública

Diplomacia Tradicional (Fechada)

Sistemas de Informações(Intelligence)

CiberguerraGuerra de Informação

“Efeito CNN”

Implementação de Directivas Comunitárias

Regulamentação de Algoritmos de Cifra

Cifra

Comércio Electrónico

EDI(Enterprise Data Interchange)

Internet Marketing

Ensino à Distância(e-learning)

Ada

ptad

o de

Wils

on (1

999)



Fonte:Fonte:

Registo de Actividade da InternetRegisto de Actividade da Internet

Análise e Gestão Análise e Gestão do Risco Social:do Risco Social:

““ DisasterDisaster RecoveryRecovery e e BusinessBusinessContinuityContinuity ” do Estado ?” do Estado ?

3


InfraInfra--estrutura Nacional de Informação estrutura Nacional de Informação


InfraInfra--Estruturas Críticas Nacionais: Estruturas Críticas Nacionais: Modelo de InterdependênciasModelo de Interdependências

TransportesTransportes(ex: Controlo Trafego Aéreo,

Ferroviário, Metro, etc.)

Sist. FinanceiroSist. Financeiro(ex: Banca, Bolsa, Multibanco, etc.)

DefesaDefesa(ex: Sist. C3I, Radares,

Mísseis, etc.)

Protecção CivilProtecção Civil(ex: Bombeiros, 112,

Forças Seg., etc.)

Outras InfraOutras Infra--estruturas estruturas CríticasCríticas

(ex: Governo, Saúde, Sist. Distrib. Água, etc.)

Redes de TelecomunicaçõesRedes de Telecomunicações

Rede Eléctrica NacionalRede Eléctrica Nacional

Fonte: Adaptado Gen Pinto Ramalho (2003); Eng. Sousa Cardoso (2003).

Dependência

ESTRUTURALESTRUTURAL

DependênciaFUNCIONALFUNCIONAL


Aceitação do Risco Transferência do Risco

Gestão do Risco

Adopção de Contra-Medidas

RISCOS

Modelo de Análise e Gestão do RiscoModelo de Análise e Gestão do Risco

Análise do Risco

Recursos(Alvos Potenciais) Ameaças

Vulnerabilidades

IESM, 25 Novembro 2010 TCor Tm (Eng) Paulo Nunes 16

AnáliseAnálise do do EspectroEspectro da da CiberameaçaCiberameaça

Fon

te: M

icha

el E

rbsc

hloe

(20

01)

Actividades de Guerra InformaçãoActividades de Guerra Informação ProbabilidadeProbabilidade

OfensivasDestrutivas (foco alargado) ModeradaModerada (circunscrita a poucos países)

De Contenção IdemIdem

Defensivas

Destrutivas (foco alargado) ReduzidaReduzida (custa biliões e requer coligação de países)

De Contenção ModeradaModerada (circunscrita a poucos países)

Preventivas ModeradaModerada (os EUA já iniciaram esta estratégia em resultado dos Ataques de 11Set01e têm Cibercomando)

TerroristasDe Contenção ElevadaElevada (vários grupos terroristas)

Preventivas IdemIdem

CriminosasContínuas Muito ElevadaMuito Elevada (actividades subversivas)

Aleatórias ElevadaElevada (Organizações Criminosas)

Amadoras ModeradaModerada (Pequenos Grupos ou Actores Individuais)


Nível da Nível da CiberameaçaCiberameaça

Terroristas

Grupos de Pressão

Inte

nçõe

s

Capacidades

Crackers

Crime Organizado

Estados

Hackers

AmadoresFontes: Martin Libicki (1996); Morris (1995)

Ataque de Informação

Poder DisruptivoPoder DisruptivoProbabilidade X Nível do AtaqueNível do Ataque

Capacidades Capacidades vsvs

IntençõesIntenções

Importante Importante vsvs

Nível Nível EstratégicoEstratégico

Armas da Armas da Guerra de InformaçãoGuerra de Informação

podem ser podem ser consideradasconsideradas

Armas de Armas de “Disrupção Massiva”“Disrupção Massiva”


Terrorismo

Extremismo

Chantagem

Manipulaç.

Desinfor.

Destabiliz.

Acidentes

Virus & Co

Ciberataq.

Insiders

Espiona gem

Echelon

Energia + TransportesEconomiaFinançasDefesa

Justiça + Forças Polic.

Administ.Interna

Negócios EstrangeirosPM / Governo

Ameaças da Guerra de Informação Ameaças da Guerra de Informação ((CiberataquesCiberataques ) para o Governo Português …) para o Governo Português …

Adaptado: LTC Gérald Vernez (2004)

4

Enquadramento Enquadramento Estratégico:Estratégico:

A “A “BigBig Picture”Picture”


Estratégia da Informação NacionalEstratégia da Informação NacionalEnquadramento e DefiniçãoEnquadramento e Definição

INFORMAÇÃOINFORMAÇÃO

Política da Política da InformaçãoInformação

POLÍTICAPOLÍTICA

Estratégia da Estratégia da InformaçãoInformação

ESTRATÉGIAESTRATÉGIA

Utilização Utilização CompetitivaCompetitiva

Utilização Utilização ConflitualConflitual

AA ciênciaciência ee aa artearte dede desenvolverdesenvolver capacidadescapacidades eeexplorarexplorar aa informaçãoinformação (recurso/arma)(recurso/arma) ,, comcom vistavista ààconsecuçãoconsecução dosdos objectivosobjectivos fixadosfixados pelapela PolíticaPolítica..

EstratégiaEstratégia dada InformaçãoInformação NacionalNacional


Garantia da InformaçãoGarantia da Informação

Domínio da InformaçãoDomínio da Informação

Superioridade da Informação

Assegurar aAssegurar a Garantia da Informação Garantia da Informação (1ª Fase);(1ª Fase);

Perspectivar a Superioridade da Informação Superioridade da Informação (2ª Fase).(2ª Fase).

Finalidade da Estratégia da Informação Nacional :Finalidade da Estratégia da Informação Nacional :

EstratégiaEstratégiada Informação Nacional:da Informação Nacional: FinalidadeFinalidade


EstratégiaEstratégiada Informação Nacional:da Informação Nacional:Domínios de CompetênciaDomínios de Competência

Preocupações Nacionais:Preocupações Nacionais:

Disponibilidade e integridade da informação de interesse Nacional;

Eficiência com que o País processa e utiliza a informação.

Operações de Informação Defensivas / Guerra de Informação Defensiva

Protecção da Infra-estruturade Informação Crítica

Garantia da InformaçãoGarantia da Informação


Estratégia da Informação Nacional:Estratégia da Informação Nacional:Modelo de ImplementaçãoModelo de Implementação

Estratégia da Informação NacionalEstratégia da Informação Nacional(Garantia da Informação Nacional)

Operações de InformaçãoOperações de Informação Segurança da Informação NacionalSegurança da Informação Nacional

Diplomacia Pública

Diplomacia Económica

Gestão de Percepções

Actividades Criminosas

Outras

C2WC2W

MilitarMilitarCivilCivil

Segurança OperacionalSegurança Operacional

Decepção MilitarDecepção Militar

Operações PsicológicasOperações Psicológicas

Guerra ElectrónicaGuerra Electrónica

Destruição FísicaDestruição Física

Informação Informação PúblicaPública

CIMICCIMIC

Protecção da InfraProtecção da Infra--estrutura estrutura de Informação Nacionalde Informação Nacional

Planeamento, Segurança e InformaçõesPlaneamento, Segurança e Informações

INFO OPS MilitaresINFO OPS Militares(Ofensivas e Defensivas)(Ofensivas e Defensivas)

INFO OPS Civis(Defensivas)(Defensivas)

OperacOperac Redes Computadores Redes Computadores (CNO)(CNO)


.

Estratégia da Informação NacionalEstratégia da Informação NacionalEstrutura do SPIIN: uma solução …Estrutura do SPIIN: uma solução …

Legenda

Relação Funcional

Relação Hierárquica

Primeiro-Ministro

SISSIS

SIRP

SIEDSIED

ForçasForçasArmadasArmadas ANPCANPCForças deForças de

SegurançaSegurança

Autoridade Nacional de Informação (ANI)

Célula Seg. Célula Seg. Op. InfOp. Inf ..

Centro Seg. Op. Centro Seg. Op. Inf. MilitaresInf. Militares

Célula Seg Célula Seg Op. Inf.Op. Inf.

Célula Seg. Célula Seg. Op. InfOp. Inf .. OSAROSAR OSAR OSAR

Outros Outros MinistériosMinistérios

Ministério da Ministério da Administração Administração

InternaInterna

Ministério Ministério da Defesada Defesa

Ministério Ministério dos Negócios dos Negócios EstrangeirosEstrangeiros

CNPCECNPCE

OBJECTIVO

Assegurar a protecção dasinfra-estruturas e recursos de

informação nacionais contra eventuais ataques, de âmbito nacional ou internacional, que, afectando a

Infra-estrutura de Informação Crítica Nacional , ponham em causa a ponham em causa a

consecução dos interesses nacionaisconsecução dos interesses nacionaise afectem a Sociedade Portuguesa

5


Aplicação e Validação do Modelo Aplicação e Validação do Modelo

Exercício “O dia Seguinte … no Ciberespaço”;

Adaptação e desenvolvimento de ferramentas deanálise e apoio ao planeamento da Gestão deCrises no Ciberespaço;

Duas fases :• “ TomadaTomada dede ConsciênciaConsciência ”: implicações do

surgimento de uma Crise no Ciberespaço (acçõesde curto prazo);

• “ RealismoRealismo ee PragmatismoPragmatismo ”: Visão político-estratégica da gestão do risco social (propostas einiciativas I&D para reduzir as vulnerabilidadesnacionais).

Estruturação de um Exercício Nacional deCiberdefesa e Cibersegurança


CIBERDEFESA:CIBERDEFESA:

Questões Pertinentes Questões Pertinentes para a Protecção da IINpara a Protecção da IIN


� Quais são as Ameaças?

� Podemos aplicar o conceito tradicional de Defesa ao Ciberespaço?

� Quais são os desafios da adopção de uma estratégia coerente de Ciberdefesa?

Ciberespaço: Ciberespaço: Questões PertinentesQuestões Pertinentes

Terroristas

Grupos de Pressão

Inte

nçõe

s

Capacidades

Crackers

Crime Organizado

Estados

HackersAmadores

Fon

tes:

Mar

tin L

ibic

ki (1

996)

; M

orris

(199

5)


Ciberespaço: Ciberespaço: NATO NATO CyberCyber DefenceDefence ConceptConcept

DEFINIÇÃODEFINIÇÃO� Aplicação de medidas de segurançamedidas de segurança destinadas a

protegerproteger as componentes da infra-estrutura de Comunicações e Sistemas de Informação (CSI) contra ciberataques .

INFORMATION ASSURANCEINFORMATION ASSURANCEINFORMATION ASSURANCEINFORMATION ASSURANCE

CIBERDEFESACIBERDEFESAINFOSECINFOSEC

INFORMATION ASSURANCEINFORMATION ASSURANCE

CIBERDEFESAINFOSEC


29

CibersegurançaCibersegurança e e CiberdefesaCiberdefesa: : Actores Principais a ConsiderarActores Principais a Considerar

Estrutura Nacional de Gestão de Crises

Forças Armadas

Forças de Segurança

Cooperação Internacional

Empresas Privadas

OutrosOutrosGruposGrupos

de Interessede Interesse

TCor Tm (Eng) Paulo Nunes IESM, 25 Novembro 2010 TCor Tm (Eng) Paulo Nunes

Nível Estratégico

Cooperação com outros players de forma a garantir a Segurança e a Defesa do Ciberespaço(nosso e partilhado)

Nível Operacional

Protecção (IA, CND) dasRedes e SI“Cibercapacidade - CNO”(CND, CNA, CNE)

6


CIBERSEGURANÇA GLOBAL

CIBERSEGURANÇA PT

CIBERDEFESA(Computer Network Operations - CNO)

Ciberespaço Global (Comum)

Ciberespaço Nacional

Missões de Segurança e Defesa Nacional


Protecção da IIN: Protecção da IIN: Dados a ConsiderarDados a Considerar

Nova Nova organizaçãoorganização//estruturaestrutura? Nova ? Nova funçãofunção??

DefinirDefinir normasnormas de de segurançasegurança parapara as infraas infra--estruturasestruturas de de informaçãoinformaçãocríticascríticas ((governamentaisgovernamentais e e privadasprivadas ););

CERT CERT NacionalNacional ((RedeRede de de AlertaAlerta e e RegistoRegisto))

ProgramasProgramas de de EducaçãoEducação e e TreinoTreino ;;

FinanciamentoFinanciamento de de mecanismosmecanismos de de segurançasegurança e e redundânciaredundância das das InfraInfra--estruturasestruturas de de InformaçãoInformação CríticasCríticas;;

ProgramasProgramas dede CooperaçãoCooperação InternacionalInternacional ((ex:ONUex:ONU, UE, OTAN)., UE, OTAN).

FilosofiaFilosofia orientadaorientada parapara a a GestãoGestão do do RiscoRisco : : ProtecçãoProtecção , , DetecçãoDetecçãoe e ReacçãoReacção ..

ProtecçãoProtecção :: Condução de Operações de Informação Condução de Operações de Informação (Militares/Civis);(Militares/Civis);

Detecção e ReacçãoDetecção e Reacção :: Segurança da Informação Nacional.Segurança da Informação Nacional.


Como Construir o Futuro?Como Construir o Futuro?


ConclusõesConclusões

Interdependência das Infra-estruturas de Informação Nacionais relativamente à Internet;

Situação Paradigmática : Bem-Estar / Desenvolvimento e Segurança;

Guerra Assimétrica : Segurança vs. dinâmicadas vulnerabilidades ( Militarização da Internet)

Ciberdefesa é imprescindível em Sociedadesbaseadas/dependentes da Informação (Information-Based Societies ).

Revisão do actual quadro legal , criação de doutrinas , estruturas e meios para implementar a Estratégia da Informação Nacional



Mesmo uma viagem de 10.000 Km ... tem início com um simples passo ...


Gestão do Risco Social na Sociedade em Rede:

A Definição de uma Estratégia A Definição de uma Estratégia da Informação Nacionalda Informação Nacional

TCor Tm (Eng) Paulo Viegas Nunes

[email protected]

As TIC para um Mundo Mais Seguro – Segurança na Era Digital

Instituto de Estudos Superiores Militares , 25Nov2010

gestão do risco social na sociedade em rede: a definição

Documents