Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Federico Pacheco
(I+D+i Manager)
COMPARTILHAR
Referências
[1] I. Drew, W. Ernest,
"Cybersecurity Applications
& Technology Conference for Homeland Security
Prototyping a ComputerBased
Simulation of the Finance Sector",
IEEE Technology Conference for Homeland Security
(CATCH) Washington, DC, EUA, 2009.
[2] INCIBE, "Taxonomia dos exercícios cibernéticos"
, 2015. Disponível em https://www.incibe.es.
[[3] M. Misto Macias,
"Workshop sobre Ciber Resiliência
do Sector Financeiro", Centro de Estudos Monetários
da América Latina (CEMLA) e Banco Mundial
(Sessão VII). Exercícios Cibernéticos para o
Sistema Financeiro, 2019.
Exercícios de simulação de TTX (II)
Introdução
Na primeira parte, discutimos os princípios básicos dos exercícios de simulação de desktop para a prática de resposta a incidentes, e detalhámos as principais questões que precisam de ser decididas a fim de executar um exercício. Além disso, discutimos alguns dos detalhes a considerar ao conceber tais actividades, e algumas das variáveis que precisam de ser determinadas. Nesta segunda parte detalharemos as duas modalidades em que estes exercícios são realizados, e analisaremos algumas vantagens em cada uma delas.
Modo tradicional
A prática deste tipo de exercício no contexto da ciber-segurança tem sido tradicionalmente baseada na perícia de um profissional que actua como facilitador e coordena a actividade, dirigindo e orientando o fluxo das conversas através dos cenários. As situações são desenvolvidas através de uma série de informações que os participantes recebem sequencialmente, revelando cada vez mais o estado e a evolução do processo. Com cada nova informação, tipicamente apresentada sob a forma de frases denotando a ocorrência de eventos específicos, o coordenador encoraja o diálogo, e as pessoas avançam através de cada situação problemática de acordo com o seu papel e nível de conhecimento. O cenário prossegue de forma linear e com informação estática, independente das respostas, uma vez que o objectivo principal é a própria prática, não alterando o fluxo dos acontecimentos.
Esta mecânica cria um ambiente sem riscos, permitindo aos participantes interagir sem as pressões acrescidas do stress situacional de um incidente ou crise real. Embora se deseje que os participantes levem o processo a sério, este deve ser visto como uma experiência de aprendizagem colaborativa, não como um teste ou competição com vencedores e perdedores.
A duração do processo depende do grupo, do tema, do âmbito e dos objectivos. A maioria concentra-se em algumas horas (3-4 horas) onde o tempo simulado pode ser de vários dias.
Os principais benefícios da modalidade tradicional são a possibilidade de discutir cada acção em tempo real sem uma duração rigorosa, e de confiar nos conhecimentos do facilitador para ajudar a melhorar a dinâmica da equipa, bem como para ser capaz de destacar atitudes pessoais e grupais e subtilezas em conversas que de outra forma poderiam passar despercebidas. Por outro lado, é de notar que nesta modalidade todas as equipas recebem a mesma informação ao mesmo tempo, resultando na progressão de um único fluxo, embora também seja possível utilizar uma sub-modalidade alternativa em que existem diferentes configurações de grupo com diferentes conversas, exigindo mais do que um coordenador para estes casos
Apesar das suas limitações, devido à relativa simplicidade da sua execução, os exercícios tradicionais continuam a ser realizados da mesma forma que foram originalmente concebidos, com a única adição nos últimos anos da possibilidade de interacção através de sistemas de videoconferência (Zoom, Google Meet, Microsoft Teams, etc.), o que lhes permite serem realizados de forma híbrida, com a participação simultânea de equipas reunidas pessoalmente e outras ligadas virtualmente.
Abordagem baseada em plataformas
Com a Internet e as tecnologias de comunicação, principalmente a partir dos anos 2000, estes exercícios começaram a ser desenvolvidos simultaneamente por várias partes de forma descentralizada, geralmente para testar riscos sistémicos numa dada indústria ou sector. Isto implicava a inclusão de mecanismos de comunicação em tempo real, tais como o clássico telefone, chamadas em conferência e correio electrónico.
Durante a segunda metade dos anos 2010, começaram a ser desenvolvidas plataformas de software especializadas e ferramentas de interacção entre os participantes, o que tornou os exercícios mais dinâmicos, embora em alguns casos em detrimento do realismo devido à diferença entre o modo de interacção proposto e o utilizado no dia-a-dia. A evolução do software para as funções específicas de um exercício destas características fora da esfera militar surgiu nos Estados Unidos a partir das necessidades colocadas pela indústria financeira, e o primeiro passo foi dado pelo Norwich University Applied Research Institute (NUARI) em 2009, com a criação de um protótipo de software concebido para a realização de exercícios de simulação baseados nos problemas deste sector, que foi denominado DECIDE (Distributed Environment for Critical Infrastructure Exercises). Devido aos resultados positivos dos testes do mercado financeiro, o Departamento de Segurança Interna concedeu à NUARI 9,9 milhões de dólares de financiamento em 2013 para a continuação e crescimento da plataforma. Em 2019, a Direcção de Ciência e Tecnologia da mesma agência prorrogou um financiamento adicional de 5,9 milhões de dólares para a expansão das capacidades de software, com o objectivo de criar cenários para o sector energético. Em 2021, o financiamento foi reforçado com 2,9 milhões de dólares num contrato de 3 anos para expansão para o sector dos transportes. Isto fez do NUARI o centro de investigação de simulação mais experiente do seu género no mundo, com mais de 100 exercícios executados [1].
Quanto à União Europeia, tanto quanto se pode apurar oficialmente, registaram 141 exercícios até 2014, dos quais 50% envolveram exclusivamente o sector público, 5% apenas o sector privado, e 45% envolveram actores conjuntos de ambos os sectores. Embora as modalidades fossem variadas (seminário, teste funcional, workshop, simulação, jogo, e escala total), a modalidade de simulação de mesa foi a mais adoptada, com 35% do número total de casos [2].
No caso da América Latina, embora existam centros de resposta a incidentes governamentais desde finais dos anos 90, não foram reportados quaisquer exercícios deste tipo no sector público, ao contrário do sector privado, que começou a implementar exercícios específicos de simulação de resposta a incidentes de cibersegurança em 2014, e apenas prestados como serviços profissionais pelas quatro principais empresas de consultoria do mercado. No entanto, só em 2018 foi realizado pela primeira vez na região um exercício deste tipo, que teve lugar na Argentina com o apoio e a participação do Banco Central da República Argentina (BCRA), que cumpriu um duplo papel, como instituição financeira e como regulador. O exercício envolveu 6 bancos participantes (públicos e privados) que realizaram reuniões organizacionais durante 5 meses, com uma participação total de 125 pessoas. A proposta e coordenação foi feita pelo banco americano JP Morgan Chase, com base nas experiências de anos anteriores com exercícios semelhantes nos Estados Unidos. Esta instituição financeira também forneceu acesso à plataforma DECIDE para implementação. Em 2019, o BCRA continuou a fazer progressos em termos de simulações de incidentes de segurança, e fez esforços para coordenar e gerir um novo exercício, desta vez com sete participantes, apenas instituições financeiras públicas [3].