Em 03 de
outubro, durante a Futurecom 2017 em São Paulo (evento em que este autor foi palestrante), foi lançado pelo BNDES e o
MCTIC o estudo “Internet das Coisas: um plano de ação para o Brasil”
(Produto 8: Relatório do plano de ação – Iniciativas e Projetos Mobilizadores), que subsidiará elaboração do Plano Nacional
de IoT (Internet of Things). O estudo reúne mais de 70 proposições para guiar as políticas públicas
e ações para IoT entre 2018 e 2022.
O estudo
destaca – no seu item 4.4.3 – que um dos principais pontos necessários
para o adequado desenvolvimento da Internet das Coisas está relacionado com a disponibilidade
de conectividade. Desse modo, a análise e revisão do quadro regulatório
de telecomunicações é de suma importância para se assegurá-la, com as
especificidades necessárias, em especial diante da variedade de aplicações e de
novos modelos de negócio em IoT.
Além dos desafios na regulamentação de
telecomunicações, é essencial endereçar os atuais gargalos nos temas de privacidade
e proteção de dados pessoais e de segurança da informação. Embora se
tratem de temas maiores do que IoT, são catalisadores para seu adequado
desenvolvimento, em especial em ambientes como o de cidades e de saúde. Há um
conjunto de questões regulatórias específicas dos ambientes cidades, saúde,
rural e indústria que devem ser analisadas para o desenvolvimento da IoT.
Portanto,
no que tange à garantia da Segurança das conexões, o estudo lista os 4
objetivos específicos da horizontal de Regulatório, Segurança e
Privacidade, que possui diversos aspectos que são mais amplos do que
IoT e cuja análise detalhada excede o escopo do estudo:
- Endereçar
questões da regulamentação de Telecom com vistas a acelerar o
desenvolvimento de aplicações IoT.
- Identificar
e tratar questões regulatórias específicas nas verticais
priorizadas.
- Estruturar
a criação de um marco regulatório de proteção de dados pessoais
adequado para fomentar a inovação e a proteção aos direitos individuais.
- Estabelecer desenho institucional adequado para enfrentar os desafios em privacidade e segurança para IoT.
Os três
elementos dessa horizontal em pauta foram descrito sucintamente no item 6.4 do
estudo:
- Regulação
de Telecomunicações (6.4.1) – um dos requisitos essenciais
de aplicações Internet das Coisas é a existência de conectividade,
conceito este diretamente relacionado à infraestrutura de suporte à prestação
de serviço de telecomunicações, o que traz para o debate de Internet das
Coisas a necessidade de uma análise aprofundada da regulamentação setorial
para identificar potenciais obstáculos ao desenvolvimento de IoT no país.
- Privacidade
e Proteção de Dados Pessoais (6.4.2) – com a
proliferação de novos dispositivos conectados à Internet aptos a
armazenar, coletar e tratar uma significativa quantidade de dados, tem
sido recorrente a discussão sobre usos legítimos dos dados e sobre as
vulnerabilidades das bases de dados gerados. Em adição, a formulação de
políticas públicas, a gestão eficiente e transparente dos órgãos
governamentais e a criação de novos modelos de negócios são influenciados
pelo crescimento exponencial de análises baseadas em grandes volumes de
dados. Assim, o desenvolvimento de soluções de IoT demanda edição de norma
sobre proteção de dados pessoais que lide com a complexidade deste
contexto tecnológico. É preciso existir instância regulatória para lidar
com estes desafios, com uma autoridade capaz de apresentar opiniões
técnicas específicas com controle unificado e homogêneo do cumprimento das
disposições sobre proteção de dados pessoais.
- Segurança da Informação (6.4.3) – diante do desenvolvimento da IoT no Brasil, da expansão de vulnerabilidades em redes e da natureza “sem fronteiras” de incidentes em segurança da informação, a discussão sobre medidas relacionadas à cibersegurança nos âmbitos do Poder Público e da iniciativa privada ganha destaque. Discutem-se modelos de governança tanto para a cooperação internacional, quanto em relação ao arranjo institucional interno brasileiro. No âmbito local, faz-se necessário, ainda, encontrar alternativas para incentivar a adoção de medidas protetivas à segurança da informação pela iniciativa privada, seja pela adoção de mecanismos voluntários de certificação de dispositivos ou pelo respeito a critérios mínimos de segurança em infraestruturas críticas. Uma alternativa prevista no estudo seria a certificação voluntária sobre a segurança de dispositivos ligados à IoT. A estruturação de sistema de certificação baseado na autoavaliação voluntária, sem imposição de obrigações legais, tem potencial de criar cultura de transparência na prestação de informações ao usuário e incentivar a adoção de alto padrão de segurança pela iniciativa privada. Para viabilizá-lo, uma alternativa seria a criação de aliança por representantes da iniciativa privada, responsável pela organização estrutural e elaboração de diretrizes. Possíveis encaminhamentos:
- Cooperação
internacional – Aprimorar mecanismos de
cooperação internacional para prevenção e tratamento de incidentes de
segurança da informação, como pela adesão a Acordos de Troca e Proteção
Mútua de Informações Classificadas; Incentivar a adoção de standards
internacionais na temática de segurança da informação pela iniciativa
privada.
- Arranjo
institucional brasileiro – Estruturar governança
baseada em modelo multissetorial, com criação ou designação de estrutura
para coordenar atividades baseadas em segurança da informação, na forma
de conselho permanente, entidade pública ou agência reguladora, visando
apoiar a elaboração de políticas nacionais, criação de mecanismos de
resposta a incidentes, dentre outras; Estimular a cooperação e interação
entre o Poder Público, sociedade civil, iniciativa privada e academia,
com o fim de promover medidas de conscientização e fomento da segurança
da informação.
- Incentivo
à adoção de certificação voluntária de dispositivos – Incentivar a criação de sistema de certificação de segurança da
informação em dispositivos em Internet das Coisas, baseada em modelo de
autorregulação pela iniciativa privada, baseado em autoavaliação
voluntária, com adoção de selo/sinalização de conformidade ao consumidor,
o que evitaria alto custo de entrada; Estruturar modelo de corregulação
ou regulação híbrida para certificação de dispositivos IoT, com
participação de conselho multissetorial ou agência pública focada em
segurança da informação.
- Segurança
da informação em infraestruturas críticas –
Fortalecer a estrutura institucional dedicada à segurança de
infraestruturas críticas no âmbito da Administração Pública Federal, e
incentivar os setores regulados a respeitarem aspectos mínimos de
segurança da informação em setores de infraestrutura crítica.
Por fim, ressalta-se que o
item 7.2.2.2 do estudo em pauta considera, no tema de competências
tecnológicas, a alta complexidade inerente aos sistemas IoT, decomposta nas
camadas de dispositivos, conectividade, suporte à aplicação e segurança. No que
tange à camada de segurança, o estudo destaca a importância da tecnologia para:
- Segurança
embarcada: o desenvolvimento de robustos mecanismos de
segurança passa a ser mais difícil quando executados em ambientes com
restrições de capacidade computacional e disponibilidade energética.
Assim, é alto o grau de competência necessário nesta área para garantir
que os sistemas atendam aos requisitos exigidos por muitas aplicações
sensíveis ao roubo de dados ou em que a atuação no mundo físico pode
trazer perdas financeiras ou mesmos da seguridade das pessoas.
- Segurança
de redes: A criticidade na segurança da informação de
algumas aplicações IoT também se estende à rede de comunicação. Duas
questões se destacam nesta área: o ingresso dos dispositivos na rede de
acesso e a prevenção de ataques de negação de serviço.
- Acreditação
da informação: várias operações realizadas a
partir da interação com o mundo físico geram registros digitais
armazenados em nuvem, que precisam ser acreditados com grande
confiabilidade. Neste aspecto, tecnologias para a realização de
assinaturas digitais e armazenamento confiável das informações ganham
importância.
Dr. Paulo Pagliusi, Ph.D., CISM