O documento discute os desafios e oportunidades da era da ciberespionagem, abordando tópicos como espionagem na internet, agências de inteligência como a NSA e programas de vigilância em massa. Também analisa a situação da espionagem e da segurança cibernética no Brasil.
Segurança cibernética: Desafios e oportunidades na era de ciberespionagem
1. SEGURANÇA CIBERNÉTICA: DESAFIOS E
OPORTUNIDADES NA ERA DE
CIBERESPIONAGEM
Mehran Misaghi
mehran@sociesc.org.br
São Leopolodo, 21 de Novembro de 2013
2. Agenda
Introdução
Espionagem na Internet.
Espionagem Industrial.
NSA
PRISM
Para onde Vamos?
A espionagem no Brasil
Boas Práticas de Segurança
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
2/37
3. Introdução
• Advento de Internet
• Escassez de informação X Excesso de Informação
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
3/37
5. Espionagem na Internet
Espionagem X Agência de Inteligência
Todos os países de alguma forma justificam o seu uso, mas não admitem!
●
●
●
●
●
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
EUA
Reino Unido
Nova Zelândia
Canada
Austrália
5/37
6. Espionagem Industrial
A espionagem é segunda profissão mais antiga do mundo (BENNY, 2014).
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
6/37
8. Causa
Para contrariar a espionagem industrial é importante
compreender as razões de indivíduos que fazem parte de tal
atividade criminosa. Existe uma variedade de causas, como por
exemplo, monetária, vingança, uma visão religiosa, social ou
política. A causa mais comum é dinheiro.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
8/37
9. Habilidade
A pessoa que faz parte desta atividade deve ter comportamento
criminoso de tal forma, que possa ser capaz de superar alguns
inibidores naturais. Esta pessoa deve deixar de lado os valores
morais, lealdade para nação ou empregador, e a maioria dos
medos a ser descoberta.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
9/37
10. Oportunidade
É circunstância, na qual, o indivíduo tem acesso as informações
protegidas e sente que pode utilizar e roubar a informação sem ter
consequências. Atualmente qualquer brecha de segurança da
informação, como por exemplo, uma lacuna nos controles internos,
supervisão, treinamento, e auditoria cria atmosfera ideal, onde as
pessoas têm acesso às informações protegidas.
A ocorrência de
brecha de segurança, falta de uma investigação adequada e falta
uma medida disciplinar para o causador encoraja as pessoas que
querem fazer parte da espionagem industrial.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
10/37
11. Racionalização
Consiste em habilidade dos autores de espionagem
justificarem para eles mesmo, a razão pela qual, a
espionagem industrial de fato não é errada. A justificativa pode
concluir que a espionagem era por uma boa causa, porque
sustenta suas visões ideológicas ou políticas. Se a
espionagem é feita por causa de dinheiro, a racionalização
pode ser a empresa possa arcar com a perda.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
11/37
12. Gatilho
Muitas coisas podem desencadear a traição que causa um
indivíduo fazer parte de espionagem industrial. Em alguns
casos ele participa de espionagem para obter mais fundos
para ter um estilo de vida extravagante, ou consumo elevado
de drogas e bebidas alcoólicas. Em outros casos, a pressão
pode ser relacionada com à adesão a grupos criminosos,
terroristas e ideológicas que procuram por informações
protegidas que o indivíduo tem acesso.
Tais situações fornecem a base para recrutamento de
indivíduos incluindo funcionários orientadas por concorrentes
ou governos estrangeiros.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
12/37
13. National Security Agency - NSA
Conforme Burns (1990), logo após a Segunda Guerra Mundial, diversas
estruturas militares de inteligência americana tais como, Central Intelligence
Agency (CIA), Defense Intelligence Agency (DIA), National Foreign Intelligence
Board (NFIB), Federal Bureau of Investigation (FBI), serviços militares, diversos
departamento como Departamento de Tesouro, Departamento de Estado,
Departamento de Energia e Departamento de Comércio, todos envolvidos em
atividades de inteligência trabalham desde início de 1930 para estabelecer uma
central única de inteligência. Desta forma, a NSA se estabeleceu em 1952.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
13/37
14. National Security Agency - NSA
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
14/37
15. NSA em números
NSA comentou que apenas “toca” em 1,6% de tráfego diário
de Internet. Se, como dizem, a rede transporta 1.826
petabytes de informação por dia, então a NSA “toca”
aproximadamente 29 petabytes por dia, sem dizer o que
significa o “toque” nos dados. Analisar? Armazenar?
Jarfis (2013), faz comparativo com Google, que em 2010
tinha indexado somente 0,004% de dados da Internet. Desta
forma, pode se concluir que NSA seria 400 Googles? Na
mesma analogia, sete petabytes de dados são mensalmente
adicionados ao Facebook. Assim, NSA seria 126 Facebook.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
15/37
20. UTAH DataCenter - 2014
Datacenter de UTAH estará completa, com capacidade planejada de 5 exabytes
NSA terá mais poder para mineração de dados e não ficaria mais limitada.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
20/37
21. Terceirização de Vigilância
O governo americano continuará a terceirizar a vigilância e as atividades de coleta de
informações, especialmente para algumas empresas que são ainda menos sujeitas à
supervisão parlamentar e judicial
Mehran Misaghi
mehran@sociesc.org.br
21/37
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
21/22
22. Para onde vamos?
O Congresso americano continuará a manipular diversos estatutos para assegurar
a ilusão da transparência da informação.
Os políticos vão aproveitar a oportunidade da cobertura da mídia, para prevalecer
as suas opiniões.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
22/37
23. Para onde vamos?
O Congresso americano continuará a manipular diversos estatutos para assegurar
a ilusão da transparência da informação.
Os políticos vão aproveitar a oportunidade da cobertura da mídia, para prevalecer
as suas opiniões.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
23/37
25. A espionagem no Brasil
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
25/37
26. Segurança Cibernética no Brasil
Brasil ainda não possui regras específicas para
tratamento da espionagem e segurança cibernética.
Contudo, estão sendo feitos uma série de esforços para
esta finalidade. As regras a serem propostas incluem
uma versão complementar da Lei da Carolina
Dieckmann que abordará os crimes na Internet. Além
disso, um projeto da Lei que aborda o Marco Civil na
Internet com a participação popular, para definir direitos
e deveres na Internet. Tais projetos estão na fase de
tramitação e votação.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
26/37
27. Segurança Cibernética no Brasil
Conforme Freitas (2011), a consolidação do setor
cibernético na defesa brasileira ocorre através de:
Conselho De Defesa Nacional (CDN)
●
Câmera de Relações Exteriores e Defesa
Nacional(Creden)
●
Casa Civil da Presidência da República, Gabinete de
Segurança Institucional da Presidência da República
(GSI-PR)
●
Departamento de Segurança da Informação e
Comunicações (DSIC) e Agência Brasileira de
Inteligência (Abin)
●
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
27/37
28. Sistema Brasileiro de Defesa Cibernética
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
28/37
29. Desafios do setor cibernético
●
●
●
●
●
Assegurar o uso efetivo do espaço cibernético pelas Forças
Armadas e impedir ou dificultar sua utilização contra interesses
da defesa nacional.
Capacitar e gerir talentos humanos para a condução das
atividades do setor cibernético na defesa;
Desenvolver e manter atualizada a doutrina de emprego do
setor cibernético
Adequar as estruturas das Forças Armadas e implementar
atividades de pesquisa e desenvolvimento para o setor
cibernético;
Cooperar com o esforço de mobilização militar e nacional para
assegurar as capacidades operacional e dissuasória do setor
cibernético
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
29/37
30. Boas Práticas de Segurança
●
●
Rever toda a política de informação com foco em atividades
internas, registro de atividades e auditorias periódicas para
verificar a existência de brechas de segurança, conforme novos
projetos de normas NBR ISO/IEC 27001, 27002, 27032 e
27037.
A criptografia continua sendo a melhor solução. É indispensável
que os dados sensíveis e confidenciais sejam cifrados com
algum sistema criptográfico forte. No ponto de visto de
segurança, sempre existe possibilidade de interceptação. Caso
isto ocorra, o invasor ficará frustrado, se o dado interceptado já
é cifrado com algum esquema de criptografia forte.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
30/37
31. Boas Práticas de Segurança
●
●
●
Rever todos os protocolos utilizados na sua rede. Somente
utilize protocolos seguros que permitem encapsulamento e
navegação mais segura do que os protocolos tradicionais.
Utilize e implemente as premissas de segurança lógica através
de sistemas criptográficos na sua rede: confidencialidade,
autenticidade, irretratabilidade e integridade,
Não utilize programas comerciais de terceiros para
comunicação de informações sensíveis. Desenvolva a seu
programa personalizado de comunicação, a partir de programa
de fonte aberta para incrementar o que é necessário e saber o
que de fato, se passa pelo programa.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
31/37
32. Conclusão
Sempre haverá brechas de segurança.
Não se deve proteger com mecanismos triviais.
A questão de espionagem se tornou uma questão
de sobrevivência.
A utilização e atualização de política de
segurança não é modismo.
A utilização adequadas normas em conjunto com
uso adequado de ferramentas de criptografia
pode reduzir drasticamente os riscos de
exposição e roubo de informações.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
32/37
33. Referências
ABNT. Projeto da NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de Segurança –
Sistemas de gestão da segurança da informação - Requisitos. Associação Brasileira de Normas
Técnicas, 28/08/2013.
ABNT. Projeto da NBR ISO/IEC 27002:2013. Tecnologia da Informação-Técnicas de Segurança –
Código de Prática para controles de segurança da informação. Associação Brasileira de Normas
Técnicas, 28/08/2013.
ABNT. Projeto da NBR ISO/IEC 27032:2013. Tecnologia da Informação – Técnicas de segurança –
Diretrizes para segurança cibernética. Associação Brasileira de Normas Técnicas, 28/08/2013.
ABNT. Projeto da NBR ISO/IEC 27037:2013. Tecnologia da Informação – Técnicas de Segurança –
Diretrizes para identificação, coleta, aquisição e preservação de evidência digital. Associação
Brasileira de Normas Técnicas, 28/08/2013.
AMATO, Fabio, 2013. Decreto vai obrigar uso de novo e-mail em todo o governo, diz ministro.
Disponível em
<http://g1.globo.com/politica/noticia/2013/10/decreto-vai-obrigar-uso-de-novo-e-mail-em-todo-o-go
verno-diz-ministro.html>, 14/10/2013.
BENNY, Daniel J., 2014. Industrial Espionage: Developing a Counterespionage Program. CRC Press,
Taylor & Francis Group, NY, 2014.
BERGHEL, Hal, 2013. Through the PRISM Darkly. Computer: v. 46, issue 7, p.86-90. IEEE
Computer Society. ISSN : 0018-9162
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
33/37
34. Referências
BURNS, Thomas L., 1990. The Origins of the National Security Agency. Centre for Cryptologic
History, 1990.
CARVALHO, Jailton, 2013. Dilma determina ao Serpro reforço na segurança do sistema de e-mails do
governo. Dsisponível m
http://oglobo.globo.com/pais/dilma-determina-ao-serpro-reforco-na-seguranca-do-sistema-dedo-governo-10353980.htm>, 13/10/2013.
CLAPPER, James, 2013. Facts on the Collection of Intelligence Pursuant to Section 702 of the Foreign
Intelligence Surveillance Act. Disponível em
<http://www.wired.com/images_blogs/threatlevel/2013/06/PRISM-FAQ.pdf>, 08/06/2013.
EATON, Joshua, 2013. Timeline of Edward Snowden's revelations. Disponível em
<http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html>,
29/06/2013.
FANTÁSTICO, 2013a. Petrobras foi espionada pelos EUA, apontam documentos da NSA. Edição do
Programa exibido no dia 08/09/13 .Disponível em
<http://g1.globo.com/fantastico/noticia/2013/09/petrobras-foi-espionada
-pelos-eua-apontam-documentos-da-nsa.html>
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
34/37
35. Referências
FANTÁSTICO, 2013b. Ministério de Minas e Energia foi alvo de espionagem do Canadá. Edição do
programa exibio no dia 06/10/2013. Disponível em
<http://g1.globo.com/politica/noticia/2013/10/ministerio-de-minas-e-energia
-foi-alvo-de-espionagem-do-canada.html>
FREITAS, W. L., 2011. Desafios estratégicos para segurança e defesa cibernética
. Secretaria de Assuntos Estratégicos da Presidência da República, 2011
GELLMAN, Barton, 2013. NSA slides explain the PRISM data-collection program. Disponível em
<http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/>, 10/07/2013.
JARFIS, Jeff. NSA by numbers, 2013. Dipsonível em
<http://buzzmachine.com/2013/08/10/nsa-by-the-numbers/>. Acesso em 02/10/2013.
POULSEIN, Kevin, 2013. What’s in the Rest of the Top-Secret NSA PowerPoint Deck? Disponível em
<http://www.wired.com/threatlevel/2013/06/snowden-powerpoint/?viewall=true>, 10/06/2013.
RISEN, J.; POITRAS, L., 2013. N.S.A. Gathers Data on Social Connections of U.S. Citizens.
Disponível em
<http://www.nytimes.com/2013/09/29/us/nsa-examines-social-networks-of-us-citizens.html?
pagewanted=all&_r=3& >, 28/09/2013.
Mehran Misaghi
mehran@sociesc.org.br
Segurança cibernética: Desafios e oportunidades na era
de ciberespionagem
IADIS 2013 – 21 a 23 de Novembro, UNISINOS
35/37