Segurança Cibernética e Infraestruturas Críticas A atuação de reguladores na Comissão Europeia Seminário Novos temas de regulação: Neutralidade de redes e Segurança cibernética Anatel ARCTEL Manuel Pedrosa de Barros ireção de Segurança das Comunicações Brasília, 9 novembro 2012
ÍNICE Enquadramento Os artigos 13.º-A e 13.º-B do Q.R. Plano Ação Europeu CIIP e a futura Estratégia Europeia de Cibersegurança
Cibersegurança: Natureza e Âmbito Que perspetiva devemos privilegiar? técnica, relativa ao tratamento e resposta aos incidentes de segurança dos sistemas de informação ou da informação; ou proteção de direitos fundamentais dos cidadãos, relativa ao tratamento de dados pessoais e à proteção da privacidade; ou segurança interna, relativa ao cibercrime e à criminalização do mau uso das TICs; ou
Cibersegurança: Natureza e Âmbito Que perspetiva devemos privilegiar? segurança e defesa nacional, relativa à protecção das infraestruturas críticas da informação, à garantia da liberdade de ação no ciberespaço, ou à garantia da continuidade da ação governativa; ou desenvolvimento da sociedade da informação e do conhecimento, relativa ao comércio eletrónico e ao governo eletrónico ou ao acesso à informação;
Cibersegurança: Natureza e Âmbito Que perspetiva devemos privilegiar? desenvolvimento económico, relativo à construção de vantagem económica por: Criação de vantagens comparativas relevantes para o investimento ou para o desenvolvimento do comércio, porque muitos setores económicos dependem do acesso a serviços e redes de comunicações seguros e confiáveis, ou por Promoção da inovação, por aproveitamento e dinamização da I&, ou por Criação de novas oportunidades de negócio, ou ainda por Rentabilização de capacidade instalada, e.g. em banda larga, ou...
Cibersegurança: Natureza e Âmbito Qualquer Plano de Acção para a Cibersegurança deve endereçar todas estas perspetivas. Todavia, devemo-nos questionar sobre: Qual é o conhecimento de situação? Quais são os objetivos? Quais são os requisitos essenciais? Quais são os indicadores de desempenho e de concretização que utilizaremos para tomada de decisão? Quais são os participantes/cooperantes? Quais são os recursos?
Objetivos da Regulação Promover a concorrência na oferta de redes e serviços de comunicações electrónicas, de recursos e serviços conexos; Contribuir para o desenvolvimento do mercado interno da União Europeia; efender os interesses dos cidadãos, nomeadamente: Contribuir para garantir um elevado nível de protecção dos dados pessoais e da privacidade; Assegurar que seja mantida a integridade e a segurança das redes de comunicações públicas. Fonte: Lei n.º 51/2011, de 13 de setembro
Objetivos Adicionais - segurança Promoção da cooperação Alteração de perspetiva de técnica para estratégica envolvimento dos CA Melhoria da informação do lado da procura Promoção de uma abordagem de análise e gestão de risco Adaptação a aspetos dinâmicos Resposta a incidentes vs. Reporte de incidentes Requisitos para os Estados Membros
O Artigo 13.º-A do Quadro Regulatório Operadores e Prestadores de Serviço (OPS): Adopção de MEIAS TÉCNICAS E ORANIZACIONAIS (c/ base) Análise e gestão do risco e no estado da técnica (para) Impedir/minimizar impacto incidentes de segurança nos utilizadores e nas redes interligadas Operadores: Adopção MEIAS ARANTIA E INTERIAE AS REES (para) Assegurar a continuidade do fornecimento dos serviços que utilizam essas redes
O Artigo 13.º-A do Quadro Regulatório Technical uideline for Minimum Security Measures, ENISA omínios: overnança e gestão de risco Segurança dos recursos humanos Segurança de sistemas e instalações estão de operações estão de incidentes estão da continuidade do negócio Monitorização, auditoria e teste
O Artigo 13.º-A do Quadro Regulatório Operadores e Prestadores de Serviço (OPS) Fazem Notificação à ANACOM de qualquer Violação da segurança ou Perda da integridade com impacto significativo no funcionamento das redes ou serviços, independentemente da sua causa.
O Artigo 13.º-A do Quadro Regulatório ANACOM Tratamento de cada notificação e ainda Informação a outras ARN s e à ENISA (se adequado) Informação ao público em resultado de avaliação de interesse público directamente ou exige que o operador ou prestador o faça Relatório Anual sobre notificações e medidas tomadas enviado à Comissão Europeia e à ENISA
Fluxos de Informação associados a Incidente de Segurança (visão em sequência) Artigos 13.ºA e B
ESTAO MEMBRO A OPS A1 OPS A2 Incidente de segurança com impacto no utilizador e na interligação C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Notificação inicial à ANACOM (1) C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Solicitação de Informação (2) Caracterização de Impacto C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Comunicação à ANACOM (3) Caracterização de Impacto C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 ecisão de interesse público determina: Instrução ao OPS A2 de comunicação aos utilizadores (4) C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Comunicação pelo OPS A2 aos utilizadores (5) C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 ANACOM comunica a outras ARN s ou à ENISA (6) por ecisão quanto à dimensão ou à gravidade C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Notificação final à ANACOM (7) C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Relatório Anual da ANACOM à ENISA/CE (8) C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
Fluxos de Informação associados a Incidente de Segurança (visão agregada) Artigos 13.ºA e B
ESTAO MEMBRO A OPS A1 OPS A2 Impacto no utilizador e na interligação C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
ESTAO MEMBRO A OPS A1 OPS A2 Impacto no utilizador e na interligação internacional C ESTAO MEMBRO B ARN A OPS B1 A ENISA ARN B
O Artigo 13.º-B do Quadro Regulatório ANACOM Emitir instruções vinculativas (incl. Prazos) Exigir informações e documentação para Avaliar segurança e/ou integridade redes e serviços Exigir/realizar auditoria de segurança Investigar casos de incumprimento e os seus efeitos sobre a segurança e a integridade das redes Aplicar regime sancionatório definido Outros Promover realização exercícios
Mapa de estão de Incidentes de Segurança das Redes e da Informação Redes overno ARN s ARN s ARN s ARN s ENISA Redes Militares Rede Académica Outros etentores de outras Inf. Críticas TIC ANACOM ISP s PS Operadores Utilizadores
CIIP Plano de Ação Europeu CIIP e a futura Estratégia Europeia de Cibersegurança Cyber Europe 2012 Consulta SRI Comissão Europeia Objetivos anunciados
Consulta algumas questões Falta de incentivos ao investimento e à transparência (ameaças, incidentes) Barreiras à partilha de informação esconhecimento dos utilizadores do contexto de ameaça Introdução de requisitos de SRI em setores como: banca, energia, saúde, serviços da Internet e administração pública
Objetivos da Estratégia Estímulo à competitividade da indústria e à procura de funcionalidades de segurança Uniformização de requisitos SRI a nível nacional Estabelecimento de mecanismos coordenados de prevenção, deteção, resposta e mitigação a nível europeu Uniformização de requisitos SRI para operadores de mercado e administrações públicas estão de risco e reporte de incidentes de segurança Alargamento a outros setores Cooperação internacional
Obrigado Manuel Pedrosa de Barros ireção de Segurança das Comunicações Brasília, 9 novembro 2012