Acompanhamento da legislação relacionada à Ciência, Tecnologia e Inovação.
BLOG
5G: Segurança da informação e comunicação em aplicações de missão crítica e IoT Massiva
Publicado em 29/08/2022 08h00
Prof. Dr. Lourival Moreira
A quinta geração de tecnologia de comunicações móveis celulares (5G) contempla três categorias de aplicações: (1ª) banda larga móvel aprimorada, onde a velocidade e fluidez de tráfego de bits no enlace de dados (link) é o foco (Enhanced mobile broadband - eMBB); (2ª) conexões massivas de Internet das Coisas (Internet of Things – IoT), que privilegia um alto número de dispositivos conectados (1 milhão de dispositivos por quilômetro quadrado) com baixo consumo (Massive machine type communication – mMTC); e (3ª) enlaces com ultra confiabilidade, disponibilidade e baixa latência (Ultra-reliable low latency communication - URLLC). Na primeira categoria situa-se, por exemplo, a transmissão de fluxo contínuo de áudio e vídeo (streaming ), resultando em uma qualidade de recepção sem paradas ou interrupções. A vertente de conexões massivas atende a uma demanda crescente de conectar coisas em rede, como os medidores de água, luz e gás de uma cidade, os dispositivos de monitoramento remoto de sinais vitais de pacientes, ou ainda os sensores de umidade de solo em uma fazenda. Já na terceira categoria, a URLLC, situam-se as aplicações de missão crítica, como guiamento de veículos autônomos, controle e automação de processos industriais e cirurgia robótica a distância, onde tempo de reação/resposta, exatidão e integridade, e a disponibilidade das comunicações e dos dados são essenciais. O presente artigo aborda, de forma sumária, alguns aspectos da segurança da informação e comunicação em aplicações de missão crítica que empregam enlaces 5G-URLLC ou de conexão massiva de dispositivos.
Comunicações críticas em tempo são cruciais para aplicações que necessitam de interatividade, como realidade virtual/aumentada/misturada/estendida (VR/AR/MR/XR), jogos em nuvem e manipulação robótica, ou ação e reação em tempo real, como a frenagem de um carro autônomo, um enlace de controle industrial ou um procedimento cirúrgico a distância. Têm como requisito fundamental a baixa latência, que é o atraso da comunicação de ponta a ponta: é o tempo entre o envio de uma determinada informação pelo transmissor e a resposta correspondente do receptor.
Comunicações críticas em integridade e disponibilidade são aquelas em que a corrupção de bits ou a interrupção do enlace podem causar efeitos nocivos impactantes e irreversíveis, exigindo uma taxa de bits errados muito baixa. Atendem a aplicações onde a falta de precisão poderia representar riscos às pessoas, aos ambientes ou a processos. O envio de um comando para frear um carro autônomo, ou para o posicionamento de uma garra cirúrgica, se chegar ao receptor corrompido, poderia colocar em risco até vidas humanas. O envio da dosagem de um componente em um processo industrial químico, se chegar errado ao receptor, poderia acarretar a perda da produção, um vazamento ou explosão, com riscos às pessoas, ao ambiente ou à imagem da indústria. Nos exemplos anteriores, a interrupção do enlace também poderiam trazer consequências imprevisíveis.
Como os enlaces 5G-URLLC atendem a aplicações de missão crítica (em tempo e em integridade), a segurança da comunicação e das informações que transitam naqueles links é fator primordial. Embora as especificações do 5G apresentem mecanismos robustos de segurança (5GAMERICAS, 2021), o aumento de dispositivos conectados, o potencial uso de aplicações em nuvem e a virtualização de estruturas e funções de rede trazem novas vulnerabilidades e possibilidades de frentes de ataque às infraestruturas das operadoras, aos sistemas conectados e aos dados (GENT, 2022).
Faz-se mister, então, atentar para estratégias e procedimentos que levem em conta as características e recursos de uma rede 5G, para reforçar a segurança das informações e comunicações. Dentre as providências a tomar, a literatura aponta algumas, a saber: (1ª) adoção de modelos de implementação como o ZERO TRUST 1 ; (2ª) considerar segurança de modelos de entrega distribuída em nuvens públicas, privadas e híbridas; (3ª) uso de APIs (Application Programming Interface ) seguros com emprego de tokens e criptografia, e gateways com firewall de aplicações web (WAF - Web Application Firewall ); (4ª) automação da segurança da orquestração de recursos e da gestão das redes das operadoras; e (5ª) controles de segurança por camada do 5G (infraestrutura, virtualização - nuvem, aplicações, usuários e orquestração). Estes mecanismos de segurança permitem às operadoras de celular aproveitarem melhor os recursos do 5G que facilitam a criação de serviços com escalabilidade e elasticidade, além de possibilitar uma computação distribuída, trazendo para mais perto do usuário ou dispositivo as aplicações que demandam menor latência.
Em resumo, o 5G, apesar de conter mecanismos robustos de proteção, está abrindo novas superfícies de ataque e pontos de exposição. Pelas suas características, também começa a abranger aplicações de maior criticidade, exigindo um maior cuidado em repensar os mecanismos, práticas e recursos que garantam a segurança da informação e comunicação, que garantam a confidencialidade, a integridade e a disponibilidade dos enlaces e dos dados adquiridos, processados, armazenados e transferidos ao longo das redes móveis de quinta geração.
__________________________________
1 - Zero-trust é um modelo de segurança baseado no princípio de que nenhum usuário ou função de rede, interno ou externo, pode ser confiável. Zerotrust tiraa o foco da segurança do perímetro da rede: ao invés de restringir acesso por usuários internos e externos e componentes de software, por meio de uso de autenticação forte e autorização de privilégio mínimo. A proposta do Zero-trust não é proteger segmentos de rede, mas concentrar-se na proteção de recursos, incluindo ativos, serviços, workflows e contas (ROSE, 2020).
Referências:
5GAMERICAS. Security dor 5G. IEEE Spectrum , Dezembro de 2022.
Disponível em . Acesso em 27 de agosto de 2022.
GENT,Edd. 5G Networks Are Worryingly Hackable: A shift to the cloud is opening the industry up to new attacks . IEEE Spectrum, Agosto de 2022. Disponível em . Acesso em 26 de agosto de 2022.
ROSE, Scott; BORCHERT, Oliver; MITCHELL, Stu ; CONNELLY, Sean. Zero Trust Architecture . U.S. Department of Commerce, National Institute of Standards and Technology (NIST), Agosto de 2020.
Disponível em . Acesso em 27 de agosto de 2022.
Proposta de Adesão do Brasil à Convenção de Budapeste
Publicado em 29/07/2021 21h27
Profª Drª Angela Mendes
Recentemente, foi proposto o Projeto de Decreto Legislativo (PDL) 255/21 [1] para aprovação da Convenção sobre Crime Cibernético, também conhecida como Convenção de Budapeste. A referida Convenção foi aprovada em 2001 e, desde então, outros países vêm sendo convidados a aderir. Segundo informações da Agência Câmara de Notícias o governo brasileiro recebeu o convite do Conselho Europeu em 2019, com prazo de 3 anos para responder o convite [2].
A convenção é um instrumento internacional com a finalidade de reunir os estados-parte numa soma de esforços para tratar de um tema cuja relevância ultrapassa as fronteiras nacionais, como é o caso dos crimes de natureza cibernética. O PDL 255/21 permitirá a incorporação da referida convenção na ordem interna, facilitando que as autoridades do país acessem informações que estejam sob jurisdição estrangeira, sendo o contrário também verdadeiro. Facilitar a cooperação internacional no combate aos delitos cometidos por cibercriminosos é um dos principais objetivos desse tratado.
Para o Brasil, a adesão é apenas o início de uma série de ações político-jurídicas que precisarão ser implementadas. Neste sentido, o país deverá realizar estudos para alterar leis existentes, elaborar novas, definir conceitos acerca do tema, definir políticas públicas e promover uma nova governança, sem as quais a Convenção não terá efetividade. Além disso, a adesão exigirá medidas legislativas que prevejam a cooperação para o acesso às provas eletrônicas sobre jurisdição estrangeira.
Ressaltamos que a ordem jurídica brasileira já conta com alguns instrumentos que visam a estruturação de uma nova governança sobre esse tema. Entre os principais, podemos a Política Nacional de Segurança da Informação, instituída pelo Decreto 9.637/2018; a instituição da Estratégia Nacional de Segurança Cibernética pelo Decreto 10.222/202 e, mais recentemente, o Decreto 10.748/2021 que instituiu a Rede Federal de Gestão de Incidentes Cibernéticos. Ainda há muito por fazer, por isso os primeiros passos são fundamentais para construir uma rede jurídica sólida e eficaz no combate aos delitos cibernéticos.
Encontram-se anexos o PDL 255/21, a Convenção do Conselho da Europa contra o Crime Cibernético (Convenção de Budapeste) [3] e a nota de entidades brasileiras em apoio à adesão do Brasil à Convenção. Para consultá-los, basta um click ou tap sobre a respectiva figura.
[1] Link de acesso ao PDL 255/21: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2287513
[2] Fonte: Agência Câmara de Notícias, disponível em: https://www.camara.leg.br/noticias/779447-projeto-aprova-adesao-do-brasil-a-convencao-europeia-sobre-crime-cibernetico/
[3] Fonte: https://abessoftware.com.br/abes-assina-manifesto-a-favor-da-adesao-do-brasil-a-convencao-de-budapeste-contra-o-crime-cibernetico/">
LGPD - Sanções Administrativas
Publicado em 01/08/2021 20h12
Profª Drª Angela Mendes
O início do mês de agosto coincide com o início dos efeitos da Lei 13.709/2018, mais conhecida como LGPD, quanto às sanções administrativas que podem sofrer os responsáveis pelo tratamento de dados pessoais. Diante disso, vale destacar três aspectos importantes.
Em primeiro lugar, o termo tratamento envolve qualquer atividade que manipule, de alguma forma, dados pessoais. Assim, desde a coleta até o descarte, passando pelo armazenamento, compartilhamento e o uso são alcançados pela lei.
O segundo refere-se à competência para aplicar as sanções administrativas. De acordo com a LGPD, compete à Autoridade Nacional de Proteção de Dados (ANPD), órgão com autoridade técnica e decisória, zelar pela proteção dos dados, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação. Ressalve-se outras sanções de natureza diversa, como é o caso da proteção dos direitos consumeristas previstos na Lei 8.078/1990. Em ambos os casos, respeitando o devido processo administrativo, a ampla defesa e o contraditório.
Outro aspecto diz respeito aos instrumentos regulatórios, também de competência da ANPD, que são vitais para que se possa apreciar a aplicação ou não das sanções. Depende da Autoridade o estabelecimento de parâmetros para a realização dos relatórios de impacto de proteção (RIPD), as orientações sobre critérios de proporcionalidade das multas aplicadas e outros aspectos norteadores, para que os agentes de tratamento possam melhorar adequar seus processos internos de gestão e promover a melhoria da governança.
O momento é de cautela, mas isso não quer dizer inércia. Então, mãos à obra!
11 de Agosto - Dia da Advocacia: um pouco de história
Publicado em 11/08/2021 10h32
Profª Drª Angela Dias Mendes
A Advocacia sempre foi preponderante na defesa de direitos e na assistência judiciária. Relatos da Memória do Instituto dos Advogados Brasileiros (IAB Nacional) demonstram o rol ampliado de patronos que não se furtaram à realização deste nobre ofício, ao longo da História do Brasil. Luiz Gama, na defesa de escravos; Sobral Pinto e Antônio Modesto da Silveira, na defesa de presos políticos, são grandes exemplos a serem lembrados. [1]
As mulheres tiveram atuação firme e relevante nesse processo, destacando-se, entre outras, brilhantes Advogadas como Orminda Bastos, Natércia da Silveira e Myrthes de Campos, que foi a primeira mulher a alcançar o registro profissional [2], após vencer duros obstáculos para fazer valer seu direito ao registro, em face da tradição masculina institucional preponderante à época.
Vale acrescentar que o Instituto da Ordem dos Advogados do Brasil (IOAB) deu origem à Ordem dos Advogados do Brasil, em 1930, que passou a cuidar das prerrogativas, regulação e do exercício profissional da Advocacia. O IOAB passou a chamar-se, então, Instituto dos Advogados Brasileiros (IAB), consolidando-se como a Academia do Direito no país. [2, 3]
Viva a História da Advocacia! Viva as Advogadas e os Advogados do Brasil!!!
[1] http://www.fgv.br/cpdoc/acervo/arquivo
[2] http://memorias.iabnacional.org.br
[3] www.oabrj.org.br
Dia Internacional da Proteção de Dados 2022
Publicado em 28/01/2022 06h30
Profª Drª Angela Mendes
Prof. Dr. Lourival Moreira
Em 28 de janeiro é comemorado o Dia Internacional da Proteção de Dados . Foi nesta data, no ano de 1981 em Estrasburgo, França, que foi instituída a Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares, que diz respeito ao Tratamento Automatizado de Dados Pessoais. A Convenção 108 tem a sua importância histórica: foi o primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados , consagrando-se mundialmente como um dos mais relevantes documentos jurídicos envolvendo o tema [1]. A Convenção "protege o indivíduo contra abusos que possam acompanhar a coleta e o tratamento de dados pessoais e que visa regular ao mesmo tempo o fluxo transfronteiriço de dados pessoais" [2].
No Brasil, a data tem adquirido cada vez mais relevância: é um dia especial quando se procura reforçar a importância da proteção de dados como um direito fundamental, e para estimular a realização de atividades que contribuam na construção de uma cultura de proteção de dados em prol da sociedade . Dois mil e vinte e dois é o segundo ano de comemoração no país dentro da vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) e com a atuação da Autoridade Nacional de Proteção de Dados (ANPD), que promoveu atividades durante a semana que antecede a data, algumas das quais podem ser revistas no canal da ANPD no youtube [3] e [4].
Inúmeras pesquisas no Brasil e no mundo apontam o fator humano como o principal motivo para ocorrência de ataques cibernéticos. Não é incomum falhas de seguranças relacionadas à senhas fracas e golpes de engenharia social que se aproveitam da confiança exagerada da vítima naquele que explora a sua maior fraqueza: guarda dos seus próprios dados pessoais. Por isso, o tema ganha ainda maior relevância no cenário nacional e observa-se a necessidade de reforçar o aspecto comportamental e procedimental deste elo de maior vulnerabilidade dos sistemas de coleta, armazenamento, processamento e transferência de dados. Assim, dedicar pelo menos um dia para a proteção de dados contribui para que se reflita sobre os riscos e ameaças que os dados pessoais estão sujeitos, e sobre ações de prevenção, políticas e boas práticas que minimizem o problema.
O portal legis.tec.br , que ao longo de todos os meses do ano dedica-se à disseminar a cultura da privacidade e da proteção de dados através de ações educativas e de conscientização, exalta a data e cumprimenta a todos que incansavelmente trabalham em favor do direito fundamental de privacidade e da proteção de dados pessoais!
[1] MACIEJEWSKI, Mariusz. Proteção de Dados Pessoais . Parlamento Europeu, Fichas técnicas sobre a União Europeia, 2021.
Disponível em < https://www.europarl.europa.eu/ftu/pdf/pt/FTU_4.2.8.pdf>. Acesso em 01/2022.
[2] CONSELHO DA EUROPA. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) . Counsil of Europe , 1981.
Disponível em < https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108 >. Acesso em 01/2022.
[3] GOV.BR, Notícias. Dia Internacional da Proteção de Dados e Semana da Proteção de Dados Pessoais 2022 . Publicado em 24/01/2022.
Disponível em < https://www.gov.br/pt-br/noticias/justica-e-seguranca/2022/01/dia-internacional-da-protecao-de-dados-e-semana-da-protecao-de-dados-pessoais-2022 >. Acesso em 01/2022.
[4] BRASIL, ANPD. Vídeos alusivos à Semana de Proteção de Dados 2022 . Canal no Youtube .
Disponível em < https://www.youtube.com/channel/UCDqacQvXpk4VU9MEOvPTekg >. Acesso em 01/2022.