Proposta de Estratégia Nacional de Segurança Cibernética

Transcrição

1 REPÚBLICA DE MOÇAMBIQUE MINISTÉRIO DOS TRANSPORTES E COMUNICAÇÕES Proposta de Estratégia Nacional de Segurança Cibernética Maputo, Agosto de 2016 Maputo, 12 de Outubro de 2016 Maputo, Out. Nov. de 2016 Maputo, 24 de Outubro de 2016 Quelimane, 3 de Março de 2017 Tete, 09 de Março de 2017 Nampula, 10 de Março de 2017 Maputo, 14 de Março de 2017 Eng.º Adilson Gomes

2 Agenda? 1. Percurso 2. Proposta de Estratégia 3. Comentários e contribuições

3 Número de subscritores Onde estamos em termos de Telecomunicações

4 Onde estamos em termos de Telecomunicações

5 Enquadramento da Iniciativa Moçambique faz farte do espaço cibernético Há um crescente uso das TICs no dia a dia dos cidadãos e do Estado TICs usadas em quase tudo A economia cada vez mais dependente do digital Infraestruturas dependentes das TICs Críticas Já há alguma legislação que trata dos aspectos ligados ao ciberespaço Ataques por vírus às organizações Roubos ligados a área financeira (cartões, acesso indevido a contas bancárias etc.) Raptos Difamação Uso indevido de informações classificadas Blackout (funcional e económico) em casos de ataques as infraestruturas críticas

6 Enquadramento da iniciativa Em 2015 o MTC iniciou a busca de parceiros com vista a apoiar Moçambique na elaboração da Estratégia Nacional de Cibersegurança e na criação do CERT A CTO (Commonwealth Telecommunications Organization), se disponibilizou em fornecer assistência técnica A UIT se predispôs a apoiar na implementação do CERT CM de 21 de Junho de 2016: orientou-se de elaborar acções concretas com vista a melhorar a segurança cibernética Ago. 2016: iniciaram os trabalhos tendo sido convidados instituições publicas, privados e sociedade Civil. Seguido de: 3 reuniões e diversas reuniões de grupos de trabalho Fev. 2017: O trabalho resultou no presente proposta.

7 Sobre a proposta da Estratégia Pensamento Elaborar uma estratégia de 4 anos ( ) Avaliar o estado do ambiente Cibernético em Moçambique Identificar os riscos e ameaças Rever os níveis institucionais para lidar com os crimes cibernéticos Implementar acções que visam minimizar o impacto dos ataques cibernéticos

8 Sobre a proposta da Estratégia Situação actual (1/3) Toda a Sociedade está directa ou indirectamente no mundo virtual (Redes Sociais, Banca electrónica, ) O Governo cada vez mais usa as TICs (Rede do Governo, SISTAFE, JUE, Interoperabilidade, ) Necessidade de melhoramento comportamental das pessoas num ambiente virtual Fraca consciência sobre o impacto negativo do ciberespaço na sociedade Fraca capacidade institucional para lidar com assuntos de cibersegurança e cibercrimes Poucas acções com vista a criar capacidade humana no âmbito do cibercrimes Inexiste estratégia que visa orientar acções concretas sobre a cibersegurança, com vista a assegurar a protecção das crianças, infraestruturas críticas, Estado,...

9 Sobre a proposta da Estratégia Situação actual (2/3) - Reflexão 1. Posso ser punido criminalmente se utilizar no meu computador um programa «pirateado»? 2. Posso ser punido se aceder ilegalmente aos sistemas informáticos ou dados computorizados? 3. É punida em Moçambique a difamação na Internet? Como identificar o actor? Há capacidade institucional para investigar e produzir provas? 4. Que legislação existe sobre contratos celebrados à distância entre um provedor de Internet e um cidadão? 5. Estão as nossas crianças seguras no ciberespaço? 6. Há garantias de que as nossas infraestruturas críticas estão seguras contra ataques cibernéticos? 7. Há um efectivo alinhamento entre as legislações dos diferentes sectores com vista a assegurar o não cibercrime? 8. Está Moçambique a tirar a verdadeira vantagem da Internet para o melhoramento da economia?

10 Sobre a proposta da Estratégia Situação actual (3/3) Há acções iniciadas: Regulamento de Registo de Cartões SIM Regulamentos de Controlo de Tráfego de Telecomunicação Internacionais Regulamento de Qualidade de Serviço Regulamento ITED/ITUR Lei das Transações Electrónicas Criado o Regulador das TICs Rede Electrónica do Governo estabelecida Inclusão no código penal de aspectos ligados as TICs

11 Agenda? 1. Ciberespaço e seus conceitos 2. Proposta de Estratégia 3. Comentários e contribuições

12 Sobre a proposta da Estratégia Componentes do documento Princípios de orientação Visão Missão Metas Estratégicas Objectivos Estratégicos e Acções 12 Papéis institucionais, responsabilidades, financiamentos e recursos Acompanhamento e avaliação

13 Sobre a proposta de Estratégia Proposta de princípios de orientação ESTADO DE DIREITO ABORDAGEM BASEADA EM RISCO COORDENAÇÃO E COLABORAÇÃO RESPONSABILIDAD E PARTILHADA E CRIMINALIDADE CIBERNÉTICA ACESSO UNIVERSAL AO CIBERESPAÇO

14 Sobre a proposta de Estratégia Proposta da Visão e Missão Visão: Uma nação com um ciberespaço seguro, garantido e resiliente, que permite uma economia digital baseada no conhecimento Missão: Desenvolver a necessária capacidade e ambiente de segurança cibernética que apoia uma economia digital baseada no conhecimento

15 Sobre a proposta de Estratégia Proposta de metas I - Melhorar a protecção da infraestrutura crítica de informação de Moçambique II - Reforçar o quadro jurídico, regulamentar, técnico e operacional de segurança de Moçambique III - Estabelecer um quadro de governação e institucional para promover a partilha de informação, coordenação e a colaboração IV - Desenvolver capacidades de investigação e desenvolvimento em matéria de segurança cibernética V - Criar uma mentalidade e cultura nacional de segurança cibernética em Moçambique

16 Sobre a proposta de Estratégia Meta I - Melhorar a protecção da infraestrutura crítica de informação de Moçambique ObjE1 - Monitorar e gerir continuamente ameaças cibernéticas e riscos para melhorar a resposta a incidentes ObjE2 - Proteger a infra-estrutura de informação crítica de Moçambique

17 Sobre a proposta de Estratégia Meta II - Reforçar o quadro jurídico, regulamentar, técnico e operacional de segurança de Moçambique Obj3 - Reforçar os quadros jurídicos e regulamentares de Moçambique para reforçar a cibersegurança e combater o cibercrime Obj4 - Melhorar os quadros técnicos e operacionais que promovem a segurança das CIIs, ISPs e outros usuários finais

18 Sobre a proposta de Estratégia Meta III - Estabelecer um quadro de governação e institucional para promover a partilha de informação, coordenação e a colaboração Obj5 - Reforçar a colaboração e o intercâmbio de informações sobre a segurança cibernética Obj6 - Reforçar o intercâmbio de informações, a coordenação e a colaboração na luta contra a cibercriminalidade

19 Sobre a proposta de Estratégia Meta IV - Desenvolver capacidades de investigação e desenvolvimento em matéria de segurança cibernética Obj7 - Desenvolver e reforçar continuamente a capacidade técnica de segurança cibernética em Moçambique Obj8 - Facilitar o recrutamento e a retenção de conhecimentos em matéria de segurança cibernética em Moçambique Obj9 - Aumentar a capacidade nacional para fazer cumprir as leis de segurança cibernética, bem como detectar e processar os cibercrimes

20 Sobre a proposta de Estratégia Meta V - Criar uma mentalidade e cultura nacional de segurança cibernética em Moçambique Obj10 - Aumentar a consciencialização da segurança cibernética entre o público em geral e as instituições nacionais Obj11 - Colaboração intersectorial, incluindo o sector privado, para garantir que o ciberespaço apoie a partilha de informações, a R&D e o empreendedorismo em Moçambique Obj12 - Criar uma cultura de segurança online para crianças e outros grupos vulneráveis em Moçambique

21 Quem tem a Responsabilidade de Garantir a Segurança Cibernética? Ministérios (MTC, MDN, MCTESTP, MJACR, MINT, etc.) Outras instituições do Governo (INTIC, INCM, Maluana, etc.) Justiça Sector Privado Sociedade Civil

22 Próximos Passos Contacto com intervenientes Consultas públicas a nível nacional Março: reunião de avaliação e harmonização final Abril: final da harmonização e submissão ao Conselho de Ministros

23 Agenda? 1. Ciberespaço e seus conceitos 2. Proposta de Estratégia 3. Comentários e contribuições

24 Contribuintes: CEDSIF A POLITÉCNICA TDM MCEL VM GOV. PROV. TETE GOV. PROV. NAMPULA GOV. PROV. ZAMBÉZIA ICS UCM UP AIM INATTER IPAJ CORNELDER-QUL CDM MINT ESC. SEC. NPL AIM BIM LAM CMCQ CPRD-QUL CPRD-TETE CPRD-NPL FGH FIPAG BAU-QUL INAMAR MCM BANCO OPORT. PPZ CTA-QUL INSS MDN CMCN CIFP AEROPORTOS VM MOVITEL PGR-TETE RM SERNIC TA-NPL INST. INDUSTRIAL NPL UNI. LÚRIO TVM REC. MIN. ENERGIA RAD. ISLÁMICA ASSHOTUR/FEMOTUR INE SISE INAM TELEDATA

25 Sobre o documento 1. Falta incluir uma análise da situação actual A análise apresentada é muito generalizada Dados estatísticos Principais desafios da cibersegurança Situação de outros países Analisar o impacto a economia Digital da cibersegurança e o uso de plataformas cloud Identificar qual é o impacto (+/-) para o cidadão o uso da Cloud 2. Incluir um capítulo ou apêndice de conceitos Cyberspaço Cybernética Cybersegurança Cybercrime Economia Digital Cloud

26 Sobre a estratégia (Objectivas) 3. Definição/eleição das infraestruturas críticas para Moçambique 4. Incluir no Objectivo específico 1: as principais Agencias de implementação deve ser da competência do CERT, que será um orgão multisectorial e multidisciplinar idem para o financiamento Métricas/Indicadores: Número de incidentes de segurança cibernética que causam impacto negativo ou constragimentos socio-económico nacional; Percentagem de incidentes de segurança cibernética resolvidos ou tratados dentro do período de tempo aceitável; Número de incidentes de segurança cibernética nacional relatados/reportadoe e documentados em um repositório; Acções Criação de CERTs Regionais

27 Sobre a estratégia (Objectivas) 5. Incluir no Objectivo específico 2: Métricas/Indicadores: Número ou percentagem de incidentes cibernéticos nacionais devido a vulnerabilidades não registadas

28 Sobre a estratégia (Objectivas) 6. Incluir no Objectivo específico 5: Métricas/Indicadores: Número de participações em fóruns e conferencias internacionais relevantes sobre segurança Grau de participação das partes interessadas no fórum nacional anual sobre cibersegurança em Moçambique Metas: Praticipar em 30 % dos fóruns e conferências internacionais relevantes sobre cibersegurança por ano 7. Incluir no Objectivo específico 6: Métricas/Indicadores: Número de acordos com os Estados e parceiros regionais e internacionais no combate à cibercriminalidade Metas: Acordos com todos Estados e parceiros regionais e internacionais no combate à cibercriminalidade

29 Sobre a estratégia (Objectivas) 8. Incluir Objectivo específico 7: Métricas/Indicadores: Número de novos programas de estudos relaccionados com segurança cibernética Acções Formações, publicidades nos autodoors, programas radiofónicos, uso de línguas nativas Publicidades difundidas pelas operadoras de telefonias móveis Metas: Conteúdos de segurança cibernética integrados nos curriculos académicos nacionais

30 Sobre a estratégia (Objectivas) 9. Incluir Objectivo específico 10: Métricas/Indicadores: Número ou percentagem da pessoas intervenientes no ciberspaço abrangidos pelas campanhas de divulgação da melhores práticas nacionais de segurança cibernética Acções Envolver mais entidades nos Workshops Difundir ao público Metas: 20% da população interveniente no ciberspaço abrangido pelas campanhas divulgação das melhores práticas nacionais de segurança cibernética

31 Sobre a estratégia (Objectivas) 10. Incluir nos Objectivo específico 11: Métricas/Indicadores: Número de incidentes de segurança cibernético causados por falta ou falha no uso da chave pública(pki) no governo electronico e comércio electrónico por ano Metas: Reduzir o número de incidentes de segurança cibernéticos causados por falta ou falha no uso da chave pública (PKI) no governo electrónico e comércio electrónico 11. Incluir nos Objectivo específico 12: Métricas/Indicadores: Percentagem ou número de cibercrimes envolvendo crianças por ano; Número de crianças abrangidas por programas especiais de conscientização para direccionar e informar sobre o uso seguro e responsável da internet

32 Sobre a estratégia (Genéricas) 1. Rever os papeis das instituições constantes do documento em função das suas atribuições 2. Assegurar um forte papel e intervenção dos seguintes intervenientes: MCTESTP e INTIC MINED MDN MINT MTC e INCM MINEC 3. É entendimento de alguns que a estratégia dá mais primazia as cidades e menos ao campo. Há necessidade de sermos mais claros e objectivos 4. Criação de uma comissão multi-stackholder chefiado pelo Gab. do PM para o acompanhamento da implementação da estratégia

33 Sobre a estratégia (Genéricas) 5. É necessário pensar-se na legislação sobre protecção de dados e privacidade, o que existe na constituição da República e na legislação sobre transações electrónicas não vai ajudar muito para cooperação com outros países na troca de informação 6. Desenvolver um elevado numero de actividade de awareness com vista a aumentar o nível de consciencialização 7. O Estado deve assegurar o seu papel fiscalizador e de controlo no Ciberespaço assegurando assim o seu papel de garante da Soberania nacional Tráfego e acesso a Internet Terminais (características técnicas e contrafeitos) Controlo e capacidade de rastreio de conteúdo Regulamentar a entrada de novos serviços

34 Sobre a estratégia (Genéricas) 8. Criar legislação que assegure a criação de mecanismos para protecção das crianças on-line e responsabiliza os pais no controlo das mesmas 9. Incluir em todo o ensino matérias ligadas a cibersegurança 10. Assegurar a inclusão linguística no ciberespaço moçambicano por forma a garantir o mesmo entendimento de toda a sociedade no uso e cuidados no ciberespaço 11. Incentivar a criação de academias de especialidade em cibersegurança 12. Uso massivo dos meios de comunicação social para divulgação da cibersegurança 13. Incluir no ensino primário aulas sobre o uso dos meios electrónicos, telemóveis,

35 Sobre a estratégia (Genéricas) 14. Necessidade de o Governo assegurar o conhecimento prévio dos serviços a serem implementados incluindo o seu impacto social no ponto de vista de segurança e outros aspectos que contribuam para a protecção dos interesses e da segurança do cidadão 15. Necessidade de o Estado ter o controlo sobre o ciberespaço Fugas fiscais Criminalidade descontrolada Branqueamento de capitais Pornografias Violência, raptos,... Burlas, Criar capacidade de forma que haja uma intervenção imediata na busca de provas em caso de crimes

36 Sobre a estratégia (Genéricas) 17. Incentivar a interoperabilidade dos sistemas do Estado e dos privados 18. Criação do número único do cidadão, integrado a ele o numero de telefone, NUIT, BI, Carta de Condução, 19. Abrir espaço para a introdução de mecanismo de pagamentos online 20. Criação de PKI 21. Criação da Ordem do IT s por forma a acreditar os técnicos informáticos ligados a segurança informática 22. Adopção obrigatória, pelo estado e ou entidades que se relacionam com o Estado, de normas de segurança informática para assegurar a segurança cibernética 23. Criação de unidade especializadas nas forcas de defesa e segurança e nas instituições de administração da justiça

37 Sobre a estratégia (Genéricas) 24. O Estado deve encontrar mecanismo para garantir o controlo das plataformas tecnológicas na cloud 25. Regulamentar a segurança cibernética 26. Este processo deve necessariamente e essencialmente responder a necessidade de defesa da rede de informação em Moçambique e garantir os interesses vitais de cada cidadão moçambicano 27. Impõe-se uma segurança cibernética ajustada de responsabilidades dos direitos humanos 28. Controlar o fluxo de informação interna e externa 29. Clarificar e ou incluir os aspectos ligados a: Espionagem Industrial Cyber Terrorism 30. Definição de política de segurança de infraestruturas informática

38 Sobre a estratégia (Genéricas) 31. Assegurar o alinhamento com outros documentos: Código Penal Estratégia de Governo Electrónico Estratégia de melhoria de negócio Política de informática Quadro de interoperabilidade Estratégia do sector das telecomunicações Estratégia de Banda Larga FSAU Plano quinquenal PARPA Legislações específicas dos sectores...

39 Sobre a estratégia (Genéricas) 32. Identificar os possiveis nós de estrangulamento/desafios e forma de os mitigar Capacidade humana Falta de consciencialização Crescente ataques e capacidade de ataques (sofisticação) Recursos financeiros 33. Sobre as fontes de financiamentos, é nosso entendimento que esta devem vir de cada um dos intervenientes do processos 34. Incluir acções concretas para os operadores e prestadores de serviços de TICs, incluindo os operadores bancários

40 Sobre a estratégia (Genéricas) 35. Criar capacidade de armazenamento e processamento interno para assegurar a retenção do tráfego nacional, controlo e captação de divisas 36. Assegurar a interação interinstitucionais com vista a harmonização de esforços em torno da cibersegurança 37. Valorizar e assegurar o uso de Mão-de-obra nacional na implementação e operação de sistemas críticos 38. Assegurar ratificações de acordos internacionais relacionados com a cibersegurança 39. Incluir na estratégia aspectos práticos e concretos (tangíveis) 40. Não fazer recair as responsabilidade para uma única instituição sob pena de não ter capacidade para implementar as suas acções 41. Eleger acções concretas e tangíveis que irão contribuir para um salto tangível no ambiente de ciberespaço para moçambique ex: NUIC, PKI, Interoperabilidade, CERT, e dentre estes, definir as balizas da sua implementação devidamente mensurável

41 Sobre a estratégia (Genéricas) 42. Os maiores desafios da cibersegurança em Moçambique são: Consciencialização Capacidade Técnica Controlo e responsabilização Papel do Estado como garante do bem estar do Cidadão e da soberania Nacional

42 Para mais informações e contribuições: ciberseguranca@incm.gov.mz agomes@incm.gov.mz Adilson Gomes