O documento discute a segurança holística, abordando a integração entre segurança física e informática após os ataques de 11 de setembro de 2001. Também discute inteligência de segurança, redução de riscos, e casos práticos de infraestruturas críticas e consultoria de segurança física.
1. Segurança Holística
O todo será maior que a soma das partes, quando cada um
sabe, que é o que é, porque todos nós somos
Fernando Martins
ONI Telecom
Physical Security Strategy
fernando.martins@knewon.pt
2. Índice
• Introdução
– 11 de Setembro de 2001
– Segurança V. Holísmo V. Ubuntu
– Tripés de Segurança
– A Segurança está onde?
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
3. 11 de Setembro de 2001
Evento de impacto mundial que chamou a
atenção dos especialistas de segurança para a
lacuna existente entre sistemas de segurança
física e informática
Dados acerca da segurança física de edifícios,
portos, aeroportos, incluindo projetos e
diagramas de sistemas e cablagem passaram a
ser uma informação com caráter de elevada
confidencialidade pelo que têm de ser
protegidos de acordo com as melhores
práticas da segurança informática
4. 11 de Setembro de 2001
Relatório GAO-02-687T (2002)
“Os ataques terroristas de 11 de Setembro aumentaram as
preocupações acerca da segurança física dos edifícios federais e
da necessidade de proteger aqueles que lá trabalham e seus
visitantes. (...) Estão disponíveis comercialmente diversas
soluções técnicas que podem ser aplicadas, desde torniquetes a
cartões de acesso inteligentes e sistemas biométricos. Apesar
destas tecnologias permitirem um elevado controlo técnico, a
segurança global vai depender de processos de gestão de risco
robustos e na implementação de três conceitos no processo de
segurança holística: proteção, deteção e reação.”
5. Segurança V. Holísmo V. Ubuntu
• SEGURANÇA: sentimento, vulnerável, relacionado com perceção
de se estar protegido contra perigos, o que é difícil de atingir e
muito fácil de fragilizar
• HOLÍSMO: "the tendency in nature to form wholes that are
greater than the sum of the parts through creative evolution“ (Jan
Smuts)
• UBUNTU (palavra Zulu/Xhosa): "I am what I am because of who
we all are.“ (Leymah Gbowee) “Ubuntu does not mean that
people should not enrich themselves. The question therefore is:
Are you going to do so in order to enable the community around
you to beable to improve?” (Nelson Mandela)
7. Na prática a Segurança está onde?
• presença ou ausência de energia?
• firewall, vpn e ids?
• sistemas operativos, bases de dados, apps?
• canais de comunicação cobre/fibra/wireless?
• sensores e barreiras de proteção físicas?
• vídeo proteção e análise de vídeo?
Tudo isto é baseado em DECISÕES, que são baseada em INFORMAÇÃO, que é
necessária para definir uma ESTRATÉGIA, para isso é preciso INTELIGÊNCIA
As FERRAMENTAS TECNOLÓGICAS, como os recursos humanos, são apenas
uma pequena parte da equação, que define um sistema de segurança, para
pessoas, bens ou informação
8. Índice
• Introdução
• Inteligência
– Falar com o Povo
– Adivinhar perigos
– Agentes
– Ciclo de Informações
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
9. Inteligência
Enquadrar o termo:
Política, Estratégica ... Pensar antes
de fazer, informar-se antes de decidir,
analisar antes de desenhar a solução
técnica
Serviços de Inteligência = Serviços de
Informações de Segurança e Defesa
do Estado
Serviços de Inteligência Privada?
Data Warehouse?
10. Inteligência
“O teu espírito só poderia melhorar se tivesses diante de ti homens
livres cujas resistências vencerias pela única arma da inteligência ou
que te levariam a modificar as tuas opiniões, a alcançar porventura
uma visão mais nobre e mais vasta da vida universal; a inteligência
tem de incluir aquilo que não consegue eliminar. (...) O grande defeito
dos intelectuais portugueses tem sido sempre o só lidarem com
intelectuais. Vão para o povo. Vejam o povo. Vejam como eles
refletem, como ele entende a vida, como eles gostariam que a vida
fosse para eles.”
Agostinho da Silva
11. Inteligência
«Tal há-de ser quem quer, co dom de Marte,
Imitar os Ilustres e igualá-los:
Voar co pensamento a toda parte,
Adivinhar perigos e evitá-los,
Com militar engenho e sutil arte,
Entender os imigos e enganá-los,
Crer tudo, enfim; que nunca louvarei
O capitão que diga: “Não cuidei.”»
Luis de Camões
Gen. Pedro Cardoso Gen. Rodolfo Begonha
Pêro da Covilhã
12. Inteligência
«Os agentes vivos são aqueles que voltam com
informações. Escolhem-se homens espertos,
talentosos, inteligentes e com fácil acesso àqueles
que privam com o soberano ou elementos da
nobreza. (…) Tratam-se de pessoas que podem ir e
voltar apresentando relatórios. Para agentes vivos
temos de contratar homens inteligentes que
pareçam estúpidos, que se mostrem moles, mas
sejam de coração duro, e ainda ágeis, vigorosos,
resistentes e corajosos, conhecedores de coisas
baixas, capazes de aguentar a fome o frio, a
porcaria e a humilhação.»
A Arte da Guerra, Sun Tzu
14. Índice
• Introdução
• Inteligência
• Redução de Riscos
– Vulnerabilidade e Nível de Risco
– Evolução Tecnológica V. Envolvimento RH
– Evolução Tecnológica V. Evolução de Risco
– Ciclo da Integração
• Filmes antigos e realidades novas
• Casos Práticos
15. Redução de Riscos
Evolução Tecnológica V. Envolvimento RH
Envolvimento de RH
Evolução Tecnológica
Ex-Polícias
Vigilantes treinados
Técnico de Electrónica
Técnico de Informática
Analista de Risco
16. Redução de Riscos
Evolução Tecnológica V. Evolução de Risco
Elementos em Risco
Evolução Tecnológica
Pessoas e Valores
Edifícios
Equipamentos
Informação
Comércio ElectrónicoPessoas
Informação
Instalações
Equipamentos
17. Redução de Riscos
Vulnerabilidade
Qualquer fraqueza intrínseca, induzida ou provocada no bem a
proteger, que possa ser explorada pela ameaça para produzir
um dano.
Risco = Probabilidade x Consequência
Probabilidade = Ameaça x Vulnerabilidade
Ameaça = Intenção x Capacidade x Oportunidade
Nível de Risco = Ameaça x Vulnerabilidade x Consequência
19. Índice
• Introdução
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
– Relações entre as áreas da Defesa e
Segurança - física, eletrónica, informática,
humana
• Casos Práticos
20. Ataques a SCADA (Supervisory Control And Data Acquisition)
HACKERS (1995)
DIE HARD 4 (2007)
WARGAMES (1983)
21. Explosão de Pipeline na Sibéria.
O evento resultante é
supostamente a maior explosão
não nuclear na história (1982)
Interrupção de abastecimento
de água em Springfield
(Illinois, USA, 2011)
Vladimir Vetrov a.k.a. Farewell
Ataques a SCADA (Supervisory Control And Data Acquisition)
Under attack: The water plant in Springfield, Illinois, where a pump stopped working
23. Duqu (2011) – novo worm, aparentemente, uma evolução do Stuxnet
Flame (2012) – novo worm, outra evolução, aparentemente ainda
relacionado com ataques ao Irão
Ataques a SCADA (Supervisory Control And Data Acquisition)
24. Ataques a SCADA (Supervisory Control And Data Acquisition)
Iranian Hackers targeting US oil, gas, and electric companies
May 26, 2013 (thehackernews.com)
Hackers Iranianos conseguiram acesso a
sistema SCADA nos EUA.
Foi encontrado Malware que pode danificar
diversas instalações.
Os alvos foram diversas infraestruturas de
petróleo, gás e eletricidade, não
identificadas.
É reconhecido que o objetivo seria
sabotagem e não espionagem.
29. Membro do Chaos
Computer Club que
descobriu a clonagem
de cartões telefónicos.
Aos 26 anos de idade foi
encontrado enforcado
num parque público em
Berlim
30. Testosterona V. Profissionalismo
The problem is a lot more complex then just people
with green hair and body piercing, that can solve
puzzles where people with computer engineering
backgrounds can't solve.
Hackers get caught, because they end up in the
headlines. They're not professionals. They are out for
the adventure. They are out for bragging rights. They
are out for exploration.
The professionals, the person from Intelligence, they're
not going to get caught. And when they are detected,
the people who detect them are not going to want to
acknowledge that they've been there.
Marc Maiffret a.k.a. Chameleon
Kevin Mitnick a.k.a. Condor
Richard Power (CSI/FBI)
31. Índice
• Introdução
• Inteligência
• Redução de Riscos
• Filmes antigos e realidades novas
• Casos Práticos
– Infraestruturas Críticas Nacionais
• Consultoria de Segurança
• Segurança Física
Legislação para ICN/ICE em Portugal:
MINISTÉRIO DA DEFESA NACIONAL
Decreto-Lei n.º 62/2011
de 9 de Maio
33. Consultoria de Segurança
Algumas das Disciplinas em Análise
Caracterização da História e Geoestratégia
Caracterização do regime jurídico, em termos de Direito Internacional
e Direito Interno
Caracterização da Regulamentação de Segurança a aplicar, para a
construção de Políticas de Segurança, que enquadrem o Porto no
contexto da sua realidade como plataforma logística internacional e
uma fronteira desse país com o exterior.
34. Consultoria de Segurança
Plano Estratégico
Para quê? Qual o objetivo
Contra quem? Qual o adversário
Contra o quê? Caracterização da ameaça
Com quê? Meios a utilizar
Quando? Momento para desenvolver a ação, duração da
implementação da estratégia, duração da ação, momento em que os
efeitos da estratégia se começam a sentir
Como? Como se aplica a estratégia, considerando a geografia, a
proporção e credibilidade dos recursos a usar, tendo em conta as
questões diplomáticas e políticas, os procedimentos de informação e
ação e de solidariedade com outras entidades
35. Consultoria de Segurança
Controlos de segurança a implementar no âmbito do ISPS
(SOLAS – Safety Of Life At Sea)
Acesso público controlado e restrito, com a implementação de sistemas
automáticos de controlo de acessos e videovigilância
Delimitação e sinalização de áreas para equipamentos, com a
implementação de sistemas automáticos de controlo de acessos e
videovigilância
Identificação de pontos sensíveis e vulnerabilidades, através de
processos de análise de risco e medidas consequentes para a sua
mitigação e controlo, para a segurança de pessoas, bens e informação
Existência de Iluminação de emergência
Existência de Informação centralizada para apoio a tomadas de decisão,
como a existência de uma sala de segurança e receção de alarmes.
36. Consultoria de Segurança
Controlos de segurança complementares a implementar
• Segurança da Informação segundo a norma ISO 27001
• Segurança Física segundo a parte correspondente da norma ISO 27001
• Segurança Eletrónica segundo as normas EN 50131
• Monitorização de Segurança eletrónica segundo a norma BS 8418
• Gestão de Continuidade de Negócio segundo a norma ISO 22301
37. PREVENÇÃO & SEGURANÇA
Segurança Física
3 Centros de Monitorização
61 Câmaras (CCTV)
826 Detetores de Incêndio (SDI)
Extinção Automática
Compartimentação de Incêndio
Comunicações
VLAN em Fibra Ótica
Barreiras Físicas
Vigilância Humana
38. Poço e Galeria de
Drenagem (P0)
Vídeo Vigilância
Segurança
Física
49. Sala de Telecomando
Sede a 13Km da barragem
. SCADA
Supervisory Control And
Data Acquisition
. PSIM
Physical Security
Information
Management
. VMS
Video Management System
. CRA
Central Recetora de Alarmes
Segurança
Física
50. Obrigado
Fernando Martins
ONI Telecom
Physical Security Strategy
fernando.martins@knewon.pt
http://www.oni.pt
(site corporativo)
http://www.enterprisecloud.oni.pt
(site dedicado à oferta de Cloud Computing com simulador on-line)
http://municipiosseguros.oni.pt
(microsite de evento - posterior disponibilização de vídeo de workshop técnico de vídeo analítico)