SEI/ANATEL - 4154392 - Relatório de Delegação

Reunião da Comissão de Estudos 17 (CE-17) do Setor de Normalização da União Internacional de Telecomunicações - UIT-T (22 a 30/01) e Workshop sobre Inteligência Artificial, Machine Learning e Segurança (21/01).

RAFAEL ANDRADE REIS DE ARAÚJO - Especialista em Regulação de Serviços Públicos de Telecomunicações, da Gerência de Regulamentação da Superintendência de Planejamento e Regulamentação/SPR, membro do GRN 4 da CBC3.

A Comissão de Estudos 17 está encarregada da criação de confiança e segurança na utilização das Tecnologias da Informação e Comunicação (TICs), conforme estabelecido na Parte 1, do Anexo A, da Resolução, 2 da última Assembleia Mundial de Normalização das Telecomunicações (AMNT-16).

Isto inclui estudos relacionados à segurança cibernética, gerenciamento de segurança, combate a spam e gestão de identidades (IdM). Também inclui arquiteturas e arcabouços de segurança, proteção de informação pessoal e a segurança das aplicações e serviços para a Internet das coisas (IoT), redes elétricas inteligentes (smart grids), smartphones, redes definidas por software (SDN), IPTV, serviços web, redes sociais, computação em nuvem, analítica de Big Data, aplicações financeiras móveis e telebiometria.

A CE17 também é responsável pela aplicação de sistemas abertos de comunicações (OSI), incluindo diretório, identificadores de objeto, linguagens técnicas, bem como seus métodos de uso e outras questões relacionadas com os aspectos de software de sistemas de telecomunicações, com o intuito de melhorar a qualidade das Recomendações.

Em virtude da viabilidade orçamentária da Agência, foi possível, em março de 2018 reestabelecer o acompanhamento da CE-17, com o objetivo de prospectar temas em discussão na Comissão, que sejam de maior interesse de acompanhamento do ente Regulador. Neste sentido, esta reunião deu continuidade a este acompanhamento, apesar de não ter sido possível a participação na reunião realizada em setembro de 2018.

O acompanhamento se mostra relevante por existir item específico na Agenda Regulatória para o biênio de 2019-2020, com sinergia aos temas tratados na CE-17. O item nº 7 trata da reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações. Ainda, cabe destacar que a Anatel tem intensificado sua participação neste tema, tendo interagido com outros órgãos de governo como o Gabinete de Segurança Institucional da Presidência (GSI) e o ComdCiber, vinculado ao Exército Brasileiro. Fruto desta interação, a Anatel irá participar, juntamente com representantes das prestadoras, do exercício Guardião Ciber II a ser realizado em julho de 2019, com a participação de outros setores como o elétrico, nuclear e financeiro. Cumpre dizer que o GSI encontra-se em fase de elaboração de uma estratégia nacional de segurança que, provavelmente preverá atuações setoriais entre as quais, a no setor de telecomunicações.

O delegado buscou acompanhar as questões identificadas na participação anterior como as mais relevantes para o acompanhamento da Agência, tendo em vista que a CE-17 possui uma grande quantidade itens de trabalho com viés mais técnico. Desta forma, buscou-se acompanhar as questões 3, 4 e 6, nesta ordem de prioridade, visto que seriam as questões que poderiam ser mais aproveitadas em uma abordagem regulatória da Agência. A descrição das questões segue listada abaixo:

Nesta reunião, a delegação brasileira não teve como objetivo enviar contribuições, mas continuar o acompanhamento de questões relevantes para o Brasil na CE17, tendo como objetivo identificar possíveis pontos para contribuição da Administração Brasileira.

Desta forma, segue-se a um resumo do andamento dos trabalhos nas questões identificadas como mais relevantes, seguido de um resumo geral da reunião. Em relação à questão 3, por apresentar itens de trabalho mas afetos à atuação da Agência (frameworks e guias de boas práticas relativos à segurança cibernética), será apresentado um detalhamento maior.

O documento do item de trabalho X.sup-myuc, que trata de um guia de boas práticas, baseado na ITU-T X.1051, em relação a controles de segurança da informação em empresas de telecomunicações, foi revisado e acordado na plenária de fechamento da reunião sob a forma do Suplemento ITU-T X.Suppl.34 . Durante as reuniões de revisão do documento, o delegado sugeriu como fosse incluída como diretriz para as empresas a adoção de técnicas de compartilhamento de informações sobre segurança cibernética (Cybersecurity Information Exchange - CYBEX). A sugestão foi acatada e incorporada no documento (SEI nº 4165304).

Foi criado o item de trabalho X.ciag - "Cyber insurance acquisition guideline for Information and Communication Technologies (ICT) services provider", com previsão de conclusão em março de 2021.

Os demais itens de trabalho seguem em andamento, com as respectivas previsões de conclusão:

A questão 4, por apresentar um mandato bem amplo e genérico, tem funcionado, em grande parte, como um fórum para dar andamento em itens de trabalho relacionados a novos temas e tecnologias quer não se encaixam bem no mandato das outras questões. Neste sentido, contribuições abordando segurança num cenário de computação quântica têm ganhado volume dentro da questão (dos 4 novos itens de trabalho criados, 3 são sobre redes de distribuição de chaves quânticas).

Foi acordada a criação de 4 novos itens de trabalho e a recomendação ITU X.1215 - "Use cases for structured threat information expression" foi aprovada.

A questão 6 é focada em aspectos de segurança no ecossistema da Internet das Coisas (IoT) , nas redes e serviços de telecomunicações.

Foi acordada a criação de 2 novos itens de trabalho sobre aspectos de segurança na tecnologia 5G e a recomendação ITU-T X.1042 - "Security services using the softwaredefined networking" foi aprovada.

A questão ainda conta com o andamento de 7 itens de trabalho relacionados a segurança no ambiente de IoT, entre os quais, se destacam pelo escopo de atuação da Agência, os itens X.iotsec-3 - "Technical Framework of PII (Personally Identifiable Information) handling system in IoT environment", X. iotsec-4 - "Security requirements for IoT devices and gateway", X.nb-iot -"Security Requirements and Framework for Narrow Band Internet of Things" e X.sc-iot - "Security controls for Internet of Things (IoT) systems".

3 novas recomendações aprovadas pelo processo tradicional de aprovação (TAP):

X.1249 – Technical framework for countering mobile inapplication advertising spam

X.Suppl.34 – Supplement to ITU-T X.1051 Code of practice for information security controls based on ITUT X.1051 for telecommunication organizations information and network security managemen

Redes de Distribuição de chaves quânticas - Quantum Key Distribution Networks (QKD)

Destaca-se a criação do CG-sg17-wtsa20-prep (Correspondence Group on SG17 preparation for WTSA-20), onde estão sendo discutidas mudanças no mandato do grupo e das questões para o próximo ciclo de estudos. A ideia é que seja formulado um documento para servir de base para tomada de decisão pela AMNT-20.

Cumpre mencionar que observou-se se resistência para debater temas afetos à padronização regulatória dentro da CE, ao passo que já se evidencia uma necessidade de harmonizar as diretrizes e normas de segurança visto que o ambiente cibernético não possui fronteiras. Tal aspecto pode ser explorado em uma eventual participação da Administração brasileira, que no momento, busca estabelecer seu ambiente regulatório nesse sentido.

O workshop que antecedeu a reunião da CE-17 explorou os potenciais da inteligência artificial e machine learning ponderando-se sobre os risco do mau uso da tecnologia. A título de exemplo, citou-se o Adversarial Machine Learning que consiste em detectar padrões na inteligência artificial para gerar erros ou condutas pretendidas. Ainda, citou-se a possibilidade de uso de inteligência artificial nos ataques cibernéticos, tornando-os mais eficientes e eficazes.

Houve debate sobre uma possível padronização das tecnologias de inteligência artificial e machine learning com o intuito de estabelecer regras morais e éticas. Outro ponto de discussão foi sobre a transparência desses algoritmos com intuito de assegurar que a sua finalidade esteja sendo cumprida adequadamente.

Ainda, concluiu-se ser inegável o potencial destas tecnologias no aprimoramento da confiança e segurança no ambiente digital, podendo servir para detectar falsos negativos ou falsos positivos no que se refere a ataques cibernéticos.

O Detalhamento das discussões do workshop e das decisões da reunião podem ser encontrado nos relatórios anexados neste documento, conforme listagem abaixo.

Anexo VI: Relatório do Workshop sobre inteligência artificial, machine-learning e segurança (SEI nº 4163374).

Nos termos da PCD nº 36/2018/SEI/CBC3/GC-CBC (SEI nº 3423122), a delegação cumpriu com os objetivos propostos, mapeando e acompanhando os temas de maior relevância da CE-17, com maior sinergia com a atuação da Agência.

Neste sentido, esta coordenação emite seu parecer favorável ao Relatório de Delegação aqui apresentado.

Documento assinado eletronicamente por Nilo Pasquali, Coordenador da CBC3, em 21/05/2019, às 11:27, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Rafael Andrade Reis de Araújo, Participante, em 28/05/2019, às 09:20, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 4154392 e o código CRC A859FDEF.