Cibersegurança: da tecnologia à economia Luis M. Correia Instituto Superior Técnico / INOV-INESC Universidade de Lisboa, Portugal 1 Resumo • Aprendendo com o passado. • Infraestruturas críticas. • Ciberataques. • Os serviços do futuro. • Conclusões. 2 Os Media • O assunto da cibersegurança não é novo nos media. (Time, 1995) 3 (The Economist, 2010) Aprendendo com o passado (1) • A segurança é um fator essencial para o desenvolvimento de novos serviços que façam uso de pagamentos. (Artfile, 2007) • Nas comunicações móveis, a encriptação foi introduzida para garantir a privacidade. 4 • Novos serviços podem constituir uma barreira à privacidade dos utilizadores (e.g., localização, uso de serviços, e origem de pagamentos)? (MIT, 2005) (Inmagine, 2007) Aprendendo com o passado (2) • Os possíveis efeitos nocivos das radiações eletromagnéticas têm constituído um problema. • A comunicação e aceitação de risco deve fazer parte integrante da introdução de novas tecnologias. 5 • Será que existem problemas não previstos no desenvolvimento do comércio eletrónico e dos novos serviços de comunicações? (MobileCom, 2001) Aprendendo com o passado (3) • No início, o objetivo era ter carros mais rápidos. (T Ford, 1927) • Depois, os carros evoluíram para o aumento do conforto e segurança dos passageiros. (BMW, 1978) • Hoje, os carros vendem-se pela eficiência energética. 6 (Lexus, 2008) Tecnologias de Informação e Comunicação (1) • As tecnologias de informação e comunicação, e as redes e equipamentos que as suportam, são hoje em dia um fator crítico para o normal funcionamento da economia e da sociedade. (Stock Photo, 2013) 7 Tecnologias de Informação e Comunicação (2) • “A Internet e as TICs são essenciais para o desenvolvimento económico e social, e formam uma infraestrutura vital.” • “As ciberameaças estão a evoluir e a aumentar a um ritmo rápido.” • “A cibersegurança tornou-se numa prioridade de políticas nacionais.” 8 (OECD Digital Economy Papers, No. 211, Nov. 2012) (Cyberhoodwatch, 2013) Infraestruturas Críticas (1) • “O elemento, sistema ou parte deste situado nos Estados-Membros que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo num EstadoMembro, dada a impossibilidade de continuar a assegurar essas funções.” 9 (Diretiva 2008/114/CE do Conselho, Dez. 08) (Bobby’s, 2013) Infraestruturas Críticas (2) • As infraestruturas críticas incluem: • água, • alimentação, • comunicações, • energia, • finanças, • governação, • proteção civil, • saúde, • transportes. (NH-ISAC , 2013) 10 Os Ciberatacantes • Os tipos de atacantes incluem: • hackers; • crime organizado; • Estados. (SundayTimes , 2013) 11 Os Ciberataques (1) • Os ataques podem ser: • vírus (programas autoreplicantes, anexados a ficheiros); • vermes (programas autoreplicantes, através de rede ou email); • troianos (programas aparentemente benignos, mas maliciosos); • buffer overflows (processos que tomam controlo do computador); 12 (WordPress , 2011) (Soxfirst , 2013) Os Ciberataques (2) 13 • denial of service (impedimento de utilizadores legítimos acederem a um portal); • ataques de rede (manipulação de protocolos de rede); • ataques físicos (destruição física de componentes); • comprometimento de utilizadores (acesso indevido a passwords); • acesso a informação (acesso indevido a informação); … (PhuturNews , 2013) (Coxtoday , 2013) Alguns Exemplos (1) • 1988 - O verme MORRIS replicou-se em computadores UNIX, tornando os computadores lentos ao ponto de não serem utilizáveis. (limnit, 2013) • 2007 - A Estónia sofreu um ataque massivo de denial of service, depois da remoção de um memorial de guerra russo. 14 (DW, 2007) Alguns Exemplos (2) • 2010 - O vírus STUNEXT interferiu com sistemas de controlo industrial SIEMENS no Irão. (Telegraph, 2010) • 2010 - A Arábia Saudita e os EAU ameaçaram banir os telefones da Blackberry se não tivessem acesso aos emails. (Blackberry, 2010) 15 Alguns Exemplos (3) • 2011 - Os dados de 77 000 000 de utilizadores das consolas PlayStation 3 e PlayStation Portable da Sony foram roubados (o regulador britânico multou a Sony em ~313 000 €). • 2011 - Uma empresa americana teve acesso a 24 000 ficheiros do Departamento de Defesa dos EUA. 16 (Sony, 2011) (defensetech, 2013) Receios de Comércio Eletrónico (1) • Os receios de consumidores na utilização de comércio eletrónico são principalmente: • roubo de informação do cartão de crédito; • venda ou roubo de informação pessoal. 17 (dreamstime, 2013) (sheknows, 2013) Receios de Comércio Eletrónico (2) • Apesar de tudo, os receios de segurança não são as maiores barreiras. 18 (Consumer market study on the functioning of …, Civic Consulting, Berlin, DE, Sep. 2009) Acesso a Informação • O crescimento da “sociedade sem papel” vai ter um impacto enorme: a informação e o consumo serão feitos crescentemente por dispositivos móveis. 19 (Apple, 2010) (musingsfrommedway, 2010) Serviços com Localização • Já existem muitos serviços baseados em localização disponíveis para o consumidor. • O oposto está a ser introduzido, isto é, um serviço saber onde está o utilizador. (Unwired, 2007) (Minority Report, 2002) 20 Segurança nas Comunicações • Poderemos ter uma situação de generalização de spam e vírus para os dispositivos móveis? (SpamSy, 2008) 21 Internet das Coisas • Os sistemas de comunicações atuais ainda estão muito baseados nas pessoas como utilizadores. • Os sistemas de comunicações do futuro irão ter uma componente dominante de comunicações entre máquinas, sem intervenção humana. (Kenwood, 2007) (DHD, 1998) 22 A Ligação às Redes de Sensores • As redes de sensores estão a emergir como uma das aplicações mais importantes do futuro. • As redes de sensores têm aplicações múltiplas em pessoas e em máquinas. (SensorProd, 2007) (Libelium, 2012) 23 Prosumidores • Os utilizadores estão a ter um papel crescente na produção de informação e serviços, para além de exercerem o mero papel de consumidores. (enriquedans, 2006) 24 A Evolução da Internet • A evolução da Internet implica uma nova visão sobre os problemas e as soluções. Pages & Media Subjects & Objects Files & Mails sip http NetInf INM VNet IPv4 IPv6 INM GP 25 (4WARD, 2009) Redes de Informação • As redes de informação vão possibilitar uma nova maneira de pesquisar informação, baseada em objetos. A D B AE 26 BA E C (4WARD, 2010) B A E C D AE E D BE A Redes em Nuvem • As redes em nuvem vão permitir uma maneira muito eficiente de processar e distribuir informação. Router 27 (SAIL, 2010) CloNeenabled Router NetInf node 2D data flow CloNebased server 3D data flow Cidades Inteligentes (1) • O conceito de cidades inteligentes pode ter múltiplas interpretações. • As cidades inteligentes envolvem a aplicação de TICs a muitos outros setores, numa perspetiva de integração. (oneness4all, 2010) (artandecology, 2009) 28 Cidades Inteligentes (2) • Identificam-se várias dimensões: • económica (competitividade), • pessoal (capital social e humano), • governação (participação), • mobilidade (transportes e TICs), • ambiente (recursos naturais), • vivência (qualidade de vida). 29 (smartcities, 2010) (smart-cities, 2009) (smartsantander, 2010) (smartcityevent, 2011) Demasiados Protagonistas • Identificam-se muitas oportunidades, assim como desafios e barreiras. • Há que incorporar as dimensões económica, social e política, para além das TICs. 30 • O mercado é muito fragmentado, com muitos intervenientes, e uma grande variedade de sistemas (interoperabilidade?). (inetgiant, 2010) (LynTopinka, 2006) Saúde, Inclusão e Vivência Assistida ( • Existem várias áreas de aplicação: ) • consultas hospitalares e cenários de emergência, ( • tecnologias de inclusão e vivência assistida, 2 0 1 0 ) 31 E n n o k n i P r i c e i n c 2 0 1 0 ) ( • personalização e bem estar. M2 e 0 d 1 g 0 e a r 2 0 1 0 ) ( • diagnóstico remoto e gestão de doentes, T e c h s h o u t Sistemas de Transportes Inteligentes ( • Identificam-se várias áreas: • gestão de tráfego urbano e rodoviário, 2 0 1 0 (webcredible, 2010) v e h i c l e t r a c k 2 0 1 0 ) 32 a u t o m k ) • prosumidor móvel. ( • serviços de comunicação (entre viaturas, ou com a infraestrutura), ( • gestão eficiente de viagens, 2 0 1 0 ) I D R C Energia e Ambiente ( • Pode atuar-se em várias áreas: ( • redes inteligentes e mobilidade, (allthingsgreen, 2010) s o l a r s t r e e t 2 0 1 0 ) 33 ( • dispositivos inteligentes. 2 0 1 0 ) • processos inteligentes, c o n s u m e r e n e r g y 2 0 1 0 ) • integração de infraestruturas, b e s t b u i l d i n g s Regulação & Normalização • Tradicionalmente, a Europa tem uma perspetiva sobre a normalização diferente da dos EUA. • Com uma tão grande diversidade de setores, que organismos irão fazer a regulação? 34 Políticas Públicas • O acesso de entidades governamentais a dados é um facto. • Como compatibilizar os interesses de setores tão diferentes (telecomunicações, distribuição, media, bancos, ...), com ciclos de desenvolvimento tão distintos? (Swissbank, 2008) (Tecnotrekos, 2008) 35 (GeeAyBee, 2007) Conclusões • Há que criar uma cultura de segurança. • É necessário ter uma coordenação multisetorial. • É necessário proteger as infraestruturas críticas. • A ausência de cibersegurança pode ter um impacto económico enorme. 36