A Ag・cia Nacional de Seguran・ "est?usando as suas habilidades especiais para desenvolver a tecnologia fundamental para a cria艫o de uma capacidade nacional de detec艫o e rea艫o contra ataques cibern・icos," diz o general Kenneth A. Minihan, da For・ A・ea dos Estados Unidos. Ele enfatiza o fato de que "a superioridade em informa艫o da Era da Inform・ica ? sem d・ida, um dos principais objetivos do pa・.") .

Estamos correndo riscos. A Am・ica depende dos computadores. Eles controlam o fornecimento de energia, as comunica苺es, a avia艫o, e os servi・s financeiros. Eles s・ usados para armazenar informa苺es vitais, desde registros m・icos at?planos de neg・ios, e incluindo at?fichas policiais. Embora confiemos neles, eles s・ vulner・eis -- aos efeitos de projetos deficientes e de um controle de qualidade insuficiente, a acidentes, e talvez o que mais nos preocupa: a ataques intencionais. O ladr・ moderno pode roubar mais com um computador do que com uma arma. O terrorista do futuro pode ser capaz de causar mais danos com um teclado do que com uma bomba. "Computadores Amea・dos," Conselho Nacional de Pesquisa [National Research Council], 1991

Introdu艫o

Talvez a coisa mais extraordin・ia a respeito das palavras citadas acima ?que elas foram escritas praticamente nos prim・dios da Era da Inform・ica. At?recentemente, n・, como na艫o, demos pouca aten艫o a elas. Os Estados Unidos, assim como o resto do mundo, continuam a avan・r incessantemente para a revolu艫o da inform・ica -- a tecnologia da informa艫o est?penetrando profundamente no pr・rio tecido da nossa sociedade, e na nossa economia como na艫o, na comunidade global. Na verdade, a "Infovia" se tornou a art・ia econ・ica vital da nossa na艫o.

Os Estados Unidos est・ liderando o mundo rumo ?Era da Inform・ica, mas tamb・ dependem, de maneira extraordin・ia, da tecnologia da informa艫o -- os computadores e a rede global que estabelece as liga苺es entre eles. Esta depend・cia se tornou uma amea・ clara e dominante ao nosso bem-estar econ・ico, ?nossa seguran・ p・lica, e ?nossa seguran・ nacional.

As redes do mundo, chamadas por muitos de "espa・ cibern・ico", n・ conhecem limites f・icos. Nossa conectividade cada vez maior ao espa・ cibern・ico e atrav・ dele, nos exp・ cada vez mais aos advers・ios tradicionais e a um grupo crescente de novos inimigos. Terroristas, grupos radicais, traficantes de drogas, e o crime organizado, podem se unir a na苺es-estado inimigas, utilizando um enorme arsenal de ferramentas sofisticadas para o ataque informatizado. Os ataques informatizados podem complementar ou substituir os ataques militares tradicionais, complicando enormemente e expandindo as vulnerabilidades que devemos prever e ・ quais devemos reagir. Os recursos que se encontram amea・dos n・ incluem somente as informa苺es armazenadas ou que est・ sendo transmitidas pelo espa・ cibern・ico, mas todos os componentes da nossa infra-estrutura nacional que dependem da inform・ica e da disponibilidade, em tempo h・il, de dados precisos. Esses componentes incluem a pr・ria infra-estrutura de telecomunica苺es; os nossos sistemas banc・ios e financeiros; os sistemas de energia el・rica; outros sistemas energ・icos, como oleodutos e gasodutos; as nossas redes de transporte; sistemas de distribui艫o de ・ua; sistemas de atendimento m・ico e servi・s de sa・e em geral; servi・s de emerg・cia, como pol・ia, bombeiros, e resgate; e atividades relacionadas aos governos de todos os n・eis. Todos esses componentes s・ necess・ios para que se obtenha o sucesso econ・ico e para que seja mantida a seguran・ nacional.

A Garantia da Informa艫o -- Objetivo Nacional

No dia 22 de maio de 1998, o presidente assinou a Determina艫o Presidencial 63 [Presidential Decision Directive 63] (PDD-63) sobre a Prote艫o da Infra-Estrutura Cr・ica. Nesse documento, ele declara: "Quero que os Estados Unidos tomem todas as medidas necess・ias para eliminar, rapidamente, qualquer vulnerabilidade significativa a ataques, tanto f・icos quanto cibern・icos, ・ nossas infra-estruturas cr・icas, incluindo, especialmente, os nossos sistemas de inform・ica.

O objetivo nacional ?o seguinte: no m・imo at?o ano 2000, os Estados Unidos dever・ ter uma capacidade operacional inicial e, no m・imo daqui a cinco anos, os Estados Unidos dever・ ter e manter a capacidade de proteger as infra-estruturas cr・icas do nosso pa・ contra atos intencionais que possam comprometer de maneira significativa:

A capacidade, por parte do governo federal, de cumprir as miss・s essenciais de seguran・ nacional e de assegurar a sa・e e a seguran・ do p・lico em geral;

A capacidade, por parte dos governos estaduais e municipais, de manter a ordem e de prestar os servi・s p・licos essenciais m・imos;

A capacidade, por parte do setor privado, de assegurar o funcionamento adequado da economia, e a presta艫o dos servi・s essenciais de telecomunica艫o, energia, servi・s financeiros e de transporte."

Elementos Essenciais

Qualquer estrat・ia para real・r a solidez das nossas infra-estruturas cr・icas deve conter tr・ elementos b・icos: maior prote艫o contra os ataques cibern・icos, a capacidade de detectar um ataque no momento em que ele estiver ocorrendo, e a capacidade de reagir e/ou de se recuperar quando um ataque for detectado.

Uma prote艫o mais abrangente contra os ataques cibern・icos ?baseada em tecnologia de criptografia -- incluindo assinaturas digitais -- para proporcionar os servi・s de autentica艫o, integridade, n・-repudia艫o, e privacidade/confidencialidade necess・ios para que as informa苺es sejam asseguradas. Uma s・ida autentica艫o, baseada em assinatura digital usada para proporcionar o controle positivo de acesso, talvez seja a ferramenta mais poderosa para a prote艫o contra os ataques cibern・icos. A assinatura digital tamb・ proporciona integridade das informa苺es eletr・icas e a n・-repudia艫o das transa苺es cibern・icas. A criptografia ?utilizada em computadores de mesa, servidores de arquivos, e em redes, para assegurar a privacidade de informa苺es sens・eis de car・er governamental, comercial, e pessoal. A tecnologia de criptografia, que no passado era praticamente uma exclusividade dos governos, atualmente se encontra facilmente dispon・el no mercado comercial, e ?uma das condi苺es fundamentais para a garantia da informa艫o. Na verdade, no dia 16 de setembro de 1998, o vice-presidente anunciou uma grande atualiza艫o da Pol・ica de Controle de Exporta艫o dos Estados Unidos a Respeito da Tecnologia de Criptografia [U.S. Export Control Policy on Encryption Technology], uma clara indica艫o da sua import・cia para a prote艫o da infra-estrutura cr・ica, e tamb・ para o com・cio eletr・ico e para a prosperidade econ・ica em n・el global.

Tendo em vista o amadurecimento da tecnologia de criptografia, o desafio que persiste ?a utiliza艫o da tecnologia, de forma coerente e eficaz, em todas as nossas infra-estruturas cr・icas. Isso requer uma estrutura para a utiliza艫o dos servi・s de criptografia de uma forma escal・el, inter-oper・el, em conjunto com a implanta艫o de uma estrutura de apoio de infra-estrutura de chave p・lica [public key infrastructure (PKI)], para proporcionar certificados s・idos e reconhecidos em n・el global, de assinatura digital e de chave de criptografia, a "carteira de identidade" ・ica, individual, da Era da Inform・ica. No momento, os servi・s de PKI est・ surgindo no setor privado para atender ・ necessidades do com・cio eletr・ico global, e podem ser utilizados como uma alavanca para proporcionar apoio ?prote艫o da infra-estrutura cr・ica.

Nas ・eas de diagnose, detec艫o e resposta aos ataques cibern・icos, as tecnologias ainda n・ est・ t・ amadurecidas ou eficazes. Atualmente, os Estados Unidos possuem pouca capacidade para detectar ou reconhecer um ataque cibern・ico, seja ele contra as infra-estruturas governamentais ou do setor privado, e menos capacidade ainda para reagir. A capacidade de identificar um ataque cibern・ico estrat・ico contra um ou v・ios componentes da infra-estrutura cr・ica, e de reagir adequadamente ? sem d・ida, um problema significativo de seguran・ nacional. Um fator complicador ?que as invas・s dos computadores t・ sido tradicionalmente consideradas como crimes e como "casos de pol・ia". Quando uma invas・ ocorria, o invasor era (assim se esperava) localizado, preso e processado. Al・ disso, muitas entidades do setor privado relutavam em compartilhar informa苺es sobre invas・s dos seus computadores, temendo serem prejudicadas pela imprensa (por exemplo, manchetes de jornal do tipo "Banco Perde Milh・s em Invas・ de Computador" ou "Hackers Tornam o Servi・ de Telefonia Inoperante") e pela rea艫o do p・lico. Para que se possa criar uma capacidade eficaz de defesa cibern・ica em n・el nacional, novas normas de envolvimento precisam ser desenvolvidas, para permitir uma colabora艫o aberta e din・ica entre o setor privado, as autoridades policiais, e a comunidade de seguran・ nacional.

A Garantia da Informa艫o: Uma Nova Atribui艫o da Ag・cia Nacional de Seguran・

Na Era da Inform・ica, as miss・s tradicionais da Ag・cia Nacional de Seguran・, de Intelig・cia de Comunica苺es e Seguran・ na ・ea de Inform・ica est・ evoluindo no sentido de proporcionar superioridade, no que diz respeito ?informa艫o, aos Estados Unidos e seus aliados. Uma parte essencial dessa estrutura ?uma profunda compreens・ da Infra-Estrutura Global de Informa苺es e das vulnerabilidades dos sistemas de inform・ica em rede aos ataques cibern・icos. Na parte dessa miss・ referente ?defesa, a NSA desenvolveu uma s・ie de iniciativas para proporcionar um arcabou・ t・nico para proteger as nossas infra-estruturas cr・icas.

Como mencionamos anteriormente, a tecnologia de criptografia se tornou amplamente dispon・el no mercado comercial e ela ?a base para que se possa proteger os sistemas de informa艫o contra os ataques cibern・icos. O lado ruim ?que muitos produtos dispon・eis n・ s・ compat・eis entre si, sua solidez varia, e h?muitas maneiras, freq・ntemente confusas, de utilizar a criptografia. Por exemplo, existe criptografia de e-mail, criptografia de arquivos, criptografia da web, criptografia de links, e criptografia de redes virtuais privadas, s?para citar alguns tipos. Para remediar a situa艫o, a NSA formou uma parceria com os principais fornecedores de tecnologia de informa艫o provida de seguran・, para desenvolver uma estrutura comum para servi・s de criptografia, de modo a proporcionar solu苺es de garantia da informa艫o que possam incorporar toda a ind・tria. Essa estrutura define uma maneira coerente de aplicar a tecnologia de criptografia ?empresa, assim como o meio pelo qual a criptografia interage e ap・a outras tecnologias e produtos relacionados ?seguran・, como por exemplo, "firewalls", servidores, roteadores, sistemas operacionais, ferramentas para a detec艫o de invas・, c・igos prejudiciais, ferramentas de auditoria, e servi・s de infra-estrutura de chave p・lica.

Outra dimens・ do problema ?o fato de existirem diferen・s na solidez dos muitos produtos associados ?seguran・, que se encontram dispon・eis no mercado. Para tratar dessa quest・, a NSA formou uma parceria com o Instituto Nacional de Normas e Tecnologia [National Institute for Standards and Technology] (NIST). Mediante esse acordo, a NSA e o NIST certificar・ laborat・ios comerciais para avaliar produtos comerciais relacionados ?seguran・, seja para validar as declara苺es do fornecedor quanto ?seguran・, ou para verificar a conformidade com os requisitos da estrutura de seguran・ da rede. Os testes dos produtos ser・ feitos pelos laborat・ios certificados, que receber・ honor・ios pelos servi・s prestados, com o custo e o prazo sendo negociados entre o laborat・io e o fornecedor do produto.

Finalizando, a Ag・cia Nacional de Seguran・ acredita que a na艫o precisa compartilhar uma s・ie de elementos de garantia de informa苺es referentes ?seguran・ nacional, e est?utilizando a sua not・el e exclusiva capacidade para desenvolver a tecnologia fundamental para criar uma capacidade, em ・bito nacional, de detectar e reagir a ataques cibern・icos. A abordagem integra uma variedade de sensores que podem ser instalados em pontos cr・icos da infra-estrutura e na pr・ria infra-estrutura subjacente de telecomunica苺es, com t・nicas anal・icas sofisticadas e de ampla escala, para proporcionar uma vis・ din・ica das amea・s ・ infra-estruturas cr・icas, provenientes do espa・ cibern・ico global. Essas t・nicas devem ser compartilhadas por uma s・ie de componentes das ・eas federal, industrial, regional e de seguran・ nacional, para permitir, concomitantemente, a detec艫o, defesa, reconstitui艫o e recupera艫o de servi・s vitais.

Conclus・

A prosperidade econ・ica que a nossa na艫o desfruta atualmente tem como alicerce, em grande parte, a Era da Inform・ica e a nossa lideran・ global em tecnologia de informa艫o. A continuidade da nossa lideran・ e prosperidade na economia global pode depender do nosso compromisso, em n・el nacional, no sentido de agir como l・eres, trazendo integridade e responsabilidade -- garantia de informa艫o -- ao ambiente de informa艫o global que ajudamos a criar. O recado do governo -- por meio da PDD-63 -- ?claro: a hora de agir ?agora, e a NSA est?em posi艫o e preparada para apoiar a iniciativa com o nosso know-how t・nico. A superioridade na informa艫o, na Era da Inform・ica, ? sem d・ida, um objetivo nacional da maior import・cia.