Relatório de Delegação nº 20/2019/CBC3/GC-CBC
PROCESSO Nº 53500.049828/2018-29
INTERESSADO: COMISSÃO DE NORMALIZAÇÃO DE TELECOMUNICAÇÕES
origem
CBC 3: Normalização de Telecomunicações.
evento
Reunião da Comissão de Estudos 17 (CE-17) do Setor de Normalização da União Internacional de Telecomunicações - UIT-T (22 a 30/01) e Workshop sobre Inteligência Artificial, Machine Learning e Segurança (21/01).
período e local
21 a 30 de janeiro de 2019, Genebra, Suíça
delegação
Chefe da Delegação:
RAFAEL ANDRADE REIS DE ARAÚJO - Especialista em Regulação de Serviços Públicos de Telecomunicações, da Gerência de Regulamentação da Superintendência de Planejamento e Regulamentação/SPR, membro do GRN 4 da CBC3.
introdução
Comissão de Estudos 17 – “Segurança” da UIT-T:
A Comissão de Estudos 17 está encarregada da criação de confiança e segurança na utilização das Tecnologias da Informação e Comunicação (TICs), conforme estabelecido na Parte 1, do Anexo A, da Resolução, 2 da última Assembleia Mundial de Normalização das Telecomunicações (AMNT-16).
Isto inclui estudos relacionados à segurança cibernética, gerenciamento de segurança, combate a spam e gestão de identidades (IdM). Também inclui arquiteturas e arcabouços de segurança, proteção de informação pessoal e a segurança das aplicações e serviços para a Internet das coisas (IoT), redes elétricas inteligentes (smart grids), smartphones, redes definidas por software (SDN), IPTV, serviços web, redes sociais, computação em nuvem, analítica de Big Data, aplicações financeiras móveis e telebiometria.
A CE17 também é responsável pela aplicação de sistemas abertos de comunicações (OSI), incluindo diretório, identificadores de objeto, linguagens técnicas, bem como seus métodos de uso e outras questões relacionadas com os aspectos de software de sistemas de telecomunicações, com o intuito de melhorar a qualidade das Recomendações.
Em virtude da viabilidade orçamentária da Agência, foi possível, em março de 2018 reestabelecer o acompanhamento da CE-17, com o objetivo de prospectar temas em discussão na Comissão, que sejam de maior interesse de acompanhamento do ente Regulador. Neste sentido, esta reunião deu continuidade a este acompanhamento, apesar de não ter sido possível a participação na reunião realizada em setembro de 2018.
O acompanhamento se mostra relevante por existir item específico na Agenda Regulatória para o biênio de 2019-2020, com sinergia aos temas tratados na CE-17. O item nº 7 trata da reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança de redes de telecomunicações. Ainda, cabe destacar que a Anatel tem intensificado sua participação neste tema, tendo interagido com outros órgãos de governo como o Gabinete de Segurança Institucional da Presidência (GSI) e o ComdCiber, vinculado ao Exército Brasileiro. Fruto desta interação, a Anatel irá participar, juntamente com representantes das prestadoras, do exercício Guardião Ciber II a ser realizado em julho de 2019, com a participação de outros setores como o elétrico, nuclear e financeiro. Cumpre dizer que o GSI encontra-se em fase de elaboração de uma estratégia nacional de segurança que, provavelmente preverá atuações setoriais entre as quais, a no setor de telecomunicações.
ATUAÇÃO DOS DELEGADOS NOS TRABALHOS
O delegado buscou acompanhar as questões identificadas na participação anterior como as mais relevantes para o acompanhamento da Agência, tendo em vista que a CE-17 possui uma grande quantidade itens de trabalho com viés mais técnico. Desta forma, buscou-se acompanhar as questões 3, 4 e 6, nesta ordem de prioridade, visto que seriam as questões que poderiam ser mais aproveitadas em uma abordagem regulatória da Agência. A descrição das questões segue listada abaixo:
Questão 3/17 - Gerenciamento de Segurança das Informações em Telecomunicações: identificar os riscos de segurança a que estão sujeitos os sistemas de telecomunicações e estabelecer os requisitos aplicáveis ao gerenciamento dos riscos a que estão sujeitos recursos, tais como, informações, processos de suporte, facilidades e infraestrutura, utilizados no ambiente de telecomunicações.
Questão 4/17 – Segurança Cibernética: Estudo de soluções que suportem o tratamento das informações de vulnerabilidades, procedimentos padronizados para o tratamento de incidentes e o estabelecimento de estratégias para a proteção da infraestrutura crítica de redes integrantes do cyber space.
Questão 6/17 - Aspectos de segurança das redes, dos serviços de telecomunicações, e da Internet das Coisas (IoT).
PRINCIPAIS RESULTADOS
Nesta reunião, a delegação brasileira não teve como objetivo enviar contribuições, mas continuar o acompanhamento de questões relevantes para o Brasil na CE17, tendo como objetivo identificar possíveis pontos para contribuição da Administração Brasileira.
Desta forma, segue-se a um resumo do andamento dos trabalhos nas questões identificadas como mais relevantes, seguido de um resumo geral da reunião. Em relação à questão 3, por apresentar itens de trabalho mas afetos à atuação da Agência (frameworks e guias de boas práticas relativos à segurança cibernética), será apresentado um detalhamento maior.
Q3/17
O documento do item de trabalho X.sup-myuc, que trata de um guia de boas práticas, baseado na ITU-T X.1051, em relação a controles de segurança da informação em empresas de telecomunicações, foi revisado e acordado na plenária de fechamento da reunião sob a forma do Suplemento ITU-T X.Suppl.34 . Durante as reuniões de revisão do documento, o delegado sugeriu como fosse incluída como diretriz para as empresas a adoção de técnicas de compartilhamento de informações sobre segurança cibernética (Cybersecurity Information Exchange - CYBEX). A sugestão foi acatada e incorporada no documento (SEI nº 4165304).
Foi criado o item de trabalho X.ciag - "Cyber insurance acquisition guideline for Information and Communication Technologies (ICT) services provider", com previsão de conclusão em março de 2021.
Os demais itens de trabalho seguem em andamento, com as respectivas previsões de conclusão:
Q4/17
A questão 4, por apresentar um mandato bem amplo e genérico, tem funcionado, em grande parte, como um fórum para dar andamento em itens de trabalho relacionados a novos temas e tecnologias quer não se encaixam bem no mandato das outras questões. Neste sentido, contribuições abordando segurança num cenário de computação quântica têm ganhado volume dentro da questão (dos 4 novos itens de trabalho criados, 3 são sobre redes de distribuição de chaves quânticas).
Foi acordada a criação de 4 novos itens de trabalho e a recomendação ITU X.1215 - "Use cases for structured threat information expression" foi aprovada.
Q6/17
A questão 6 é focada em aspectos de segurança no ecossistema da Internet das Coisas (IoT) , nas redes e serviços de telecomunicações.
Foi acordada a criação de 2 novos itens de trabalho sobre aspectos de segurança na tecnologia 5G e a recomendação ITU-T X.1042 - "Security services using the softwaredefined networking" foi aprovada.
A questão ainda conta com o andamento de 7 itens de trabalho relacionados a segurança no ambiente de IoT, entre os quais, se destacam pelo escopo de atuação da Agência, os itens X.iotsec-3 - "Technical Framework of PII (Personally Identifiable Information) handling system in IoT environment", X. iotsec-4 - "Security requirements for IoT devices and gateway", X.nb-iot -"Security Requirements and Framework for Narrow Band Internet of Things" e X.sc-iot - "Security controls for Internet of Things (IoT) systems".
Resultados gerais
3 novas recomendações aprovadas pelo processo tradicional de aprovação (TAP):
X.1215 – Use cases for structured threat information expression
X.1249 – Technical framework for countering mobile inapplication advertising spam
X.1042 – Security services using the software-defined networking
1 novo Supplement acordado:
X.Suppl.34 – Supplement to ITU-T X.1051 Code of practice for information security controls based on ITUT X.1051 for telecommunication organizations information and network security managemen
3 novas Recomendações/Corrigendum consentidos para última chamada
10 novos itens de trabalho.
Temas em evidência:
Redes de Distribuição de chaves quânticas - Quantum Key Distribution Networks (QKD)
Machine Learning/Inteligência Artificial
Edge Computing
Segurança 5G
Segurança de plataformas em nuvem
Infraestutura da Chave Pública (PKI) pós-quantum
Gerenciamento de identidade distribuído
Análise de malware
Destaca-se a criação do CG-sg17-wtsa20-prep (Correspondence Group on SG17 preparation for WTSA-20), onde estão sendo discutidas mudanças no mandato do grupo e das questões para o próximo ciclo de estudos. A ideia é que seja formulado um documento para servir de base para tomada de decisão pela AMNT-20.
Cumpre mencionar que observou-se se resistência para debater temas afetos à padronização regulatória dentro da CE, ao passo que já se evidencia uma necessidade de harmonizar as diretrizes e normas de segurança visto que o ambiente cibernético não possui fronteiras. Tal aspecto pode ser explorado em uma eventual participação da Administração brasileira, que no momento, busca estabelecer seu ambiente regulatório nesse sentido.
Workshop sobre inteligência artificial, machine-learning e segurança
O workshop que antecedeu a reunião da CE-17 explorou os potenciais da inteligência artificial e machine learning ponderando-se sobre os risco do mau uso da tecnologia. A título de exemplo, citou-se o Adversarial Machine Learning que consiste em detectar padrões na inteligência artificial para gerar erros ou condutas pretendidas. Ainda, citou-se a possibilidade de uso de inteligência artificial nos ataques cibernéticos, tornando-os mais eficientes e eficazes.
Houve debate sobre uma possível padronização das tecnologias de inteligência artificial e machine learning com o intuito de estabelecer regras morais e éticas. Outro ponto de discussão foi sobre a transparência desses algoritmos com intuito de assegurar que a sua finalidade esteja sendo cumprida adequadamente.
Ainda, concluiu-se ser inegável o potencial destas tecnologias no aprimoramento da confiança e segurança no ambiente digital, podendo servir para detectar falsos negativos ou falsos positivos no que se refere a ataques cibernéticos.
O Detalhamento das discussões do workshop e das decisões da reunião podem ser encontrado nos relatórios anexados neste documento, conforme listagem abaixo.
Anexos
Anexo I: Sumário Executivo da reunião (SEI nº 4163039);
Anexo II: Relatório WP1 (SEI nº 4163084);
Anexo III: Relatório WP2 (SEI nº 4163093);
Anexo IV: Relatório WP3 (SEI nº 4163354);
Anexo V: Relatório WP4 (SEI nº 4163363);
Anexo VI: Relatório do Workshop sobre inteligência artificial, machine-learning e segurança (SEI nº 4163374).
PARECER DO(S) COORDENADOR(ES)
Nos termos da PCD nº 36/2018/SEI/CBC3/GC-CBC (SEI nº 3423122), a delegação cumpriu com os objetivos propostos, mapeando e acompanhando os temas de maior relevância da CE-17, com maior sinergia com a atuação da Agência.
Neste sentido, esta coordenação emite seu parecer favorável ao Relatório de Delegação aqui apresentado.
Documento assinado eletronicamente por Nilo Pasquali, Coordenador da CBC3, em 21/05/2019, às 11:27, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
Documento assinado eletronicamente por Rafael Andrade Reis de Araújo, Participante, em 28/05/2019, às 09:20, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 4154392 e o código CRC A859FDEF. |
Referência: Processo nº 53500.049828/2018-29 | SEI nº 4154392 |