Segurança de computadores

Segurança de computadores ou cibersegurança é a proteção de sistemas de computador contra roubo ou danos ao hardware, software ou dados eletrônicos, bem como a interrupção ou desorientação dos serviços que fornecem.^[1] O campo está crescendo em importância devido à crescente dependência de sistemas de computadores, internet^[2] e redes sem fio, como Bluetooth e Wi-Fi, e devido ao crescimento de dispositivos "inteligentes", incluindo smartphones, televisores e vários dispositivos pequenos que constituem a internet das coisas. Devido à sua complexidade, tanto em termos de política quanto de tecnologia, é também um dos maiores desafios do mundo contemporâneo.^[3]

Embora a maioria dos aspectos de segurança de computadores envolva medidas digitais, tais como senhas eletrônicas e criptografia, medidas de segurança física, como cadeados de metal, ainda são usadas para evitar adulterações não autorizadas

Vulnerabilidades e ataques

 Ver artigo principal: Vulnerabilidade (computação)

Uma vulnerabilidade é um ponto fraco no design, implementação, operação ou controle interno. A maioria das vulnerabilidades descobertas está documentada no banco de dados Common Vulnerabilities and Exposures (CVE). Uma vulnerabilidade explorável é aquela para a qual existe pelo menos um ataque funcional ou "exploit".^[4] Vulnerabilidades podem ser pesquisadas, submetidas a engenharia reversa, caçadas ou exploradas usando ferramentas automatizadas ou scripts personalizados.^[5][6] Para proteger um sistema de computador, é importante entender os ataques que podem ser feitos contra ele, e essas ameaças podem normalmente ser classificadas em uma das categorias abaixo:

Backdoor

Uma backdoor em um sistema de computador, um sistema criptográfico ou um algoritmo, é qualquer método secreto de contornar a autenticação normal ou os controles de segurança. Eles podem existir por uma série de razões, incluindo pelo design original ou configuração inadequada. Eles podem ter sido adicionados por uma parte autorizada para permitir algum acesso legítimo ou por um invasor por motivos maliciosos; mas, independentemente dos motivos de sua existência, eles criam uma vulnerabilidade. Backdoors podem ser muito difíceis de detectar, e a detecção de backdoors geralmente é feita por alguém que tem acesso ao código-fonte do aplicativo ou conhecimento íntimo do Sistema Operacional do computador.

Ataque de negação de serviço

Ataques de negação de serviço (DoS) são projetados para tornar uma máquina ou recurso de rede indisponível para seus usuários pretendidos.^[7] Os invasores podem negar o serviço a vítimas individuais, por exemplo, digitando deliberadamente uma senha errada várias vezes consecutivas para fazer com que a conta da vítima seja bloqueada ou eles podem sobrecarregar os recursos de uma máquina ou rede e bloquear todos os usuários de uma vez. Embora um ataque à rede de um único endereço IP possa ser bloqueado com a adição de uma nova regra de firewall, muitas formas de ataques negação de serviço distribuída (DDoS) são possíveis, onde o ataque vem de um grande número de pontos - e a defesa é muito mais difícil. Esses ataques podem se originar dos computadores zumbis de um botnet ou de uma série de outras técnicas possíveis, incluindo ataques de reflexão e amplificação, onde sistemas inocentes são enganados para enviar tráfego para a vítima.

Ataques de acesso direto

Um usuário não autorizado que obtém acesso físico a um computador provavelmente é capaz de copiar dados diretamente dele. Eles também podem comprometer a segurança fazendo modificações no sistema operacional, instalando software worms, keyloggers, dispositivos de escuta ou usando microfone sem fio. Mesmo quando o sistema está protegido por medidas de segurança padrão, elas podem ser contornadas inicializando outro sistema operacional ou ferramenta de um CD-ROM ou outra mídia inicializável. Criptografia de disco e o padrão Trusted Platform Module são projetados para evitar esses ataques.

Eavesdropping

Eavesdropping é o ato de escutar sorrateiramente uma "conversa" (comunicação) de um computador privado, normalmente entre hosts em uma rede. Por exemplo, programas como Carnivore e NarusInSight foram usados pelo FBI e Agência de Segurança Nacional (NSA) para espionar os sistemas de provedores de serviço internet. Mesmo as máquinas que operam como um sistema fechado (ou seja, sem contato com o mundo externo) podem ser espionadas por meio do monitoramento das fracas transmissões eletromagnéticas geradas pelo hardware; TEMPEST é uma especificação da Agência de Segurança Nacional (NSA) referente a esses ataques.

Prática da Segurança da Informação

O comportamento dos funcionários pode ter um grande impacto na segurança da informação nas organizações. Conceitos culturais podem ajudar diferentes segmentos da organização a trabalhar com ou contra a eficácia em relação à segurança da informação dentro de uma organização. A prática de segurança da informação é a "... totalidade de padrões de comportamento em uma organização que contribui para a proteção de todos os tipos de informações."^[8]

Andersson e Reimers (2014) descobriram que os funcionários muitas vezes não se veem como participantes do esforço de manter a segurança da informação de sua organização e acabam muitas vezes por tomar medidas que impedem mudanças organizacionais.^[9] A pesquisa mostra que a cultura de segurança da informação precisa ser continuamente aprimorada. Em ″Cultura de Segurança da Informação: da Análise à Mudança″, os autores comentaram: ″É um processo sem fim, um ciclo de avaliação e mudança ou manutenção″. Para gerenciar a prática de segurança da informação, cinco etapas devem ser realizadas: pré-avaliação, planejamento estratégico, planejamento operacional, implementação e pós-avaliação.^[10]

• Pré-Avaliação: para identificar o nível de consciência acerca da segurança da informação entre os funcionários e para analisar a política de segurança em vigor.
• Planejamento Estratégico: para chegar a um melhor programa de conscientização, metas claras precisam ser definidas. Montar uma equipe de profissionais qualificados é essencial para alcançá-lo.
• Planejamento Operacional: uma boa prática de segurança pode ser estabelecida com base na comunicação interna, na aceitação da administração e na conscientização sobre segurança, assim como um programa de treinamento.^[10]
• Implementação: quatro etapas devem ser utilizadas para implementar a prática da segurança da informação. Elas são:

1. Compromisso da gestão
2. Comunicação entre os membros da organização
3. Cursos para todos os membros da organização
4. Compromisso dos funcionários^[10]

• Pós-Avaliação: para avaliar o sucesso do planejamento e da implementação, e também para identificar possíveis questões pendentes.

Sistemas em risco

O crescimento no número de sistemas computacionais e a crescente dependência dos indivíduos, empresas, indústrias e governos neles mostra que há um número crescente de sistemas em risco.

Sistemas financeiros

Os sistemas computacionais de reguladores e instituições financeiras como a Comissão de Valores Mobiliários (Estados Unidos), SWIFT, bancos de investimento e bancos comerciais são alvos proeminentes de hackers interessados ​​em manipular mercados e obter ganhos ilícitos.^[11] Sites e aplicativos que aceitam ou armazenam números de cartão de crédito, contas de corretagem e informações de conta-corrente também são alvos proeminentes de hackers, por causa do potencial de ganho financeiro imediato com transferência de dinheiro, compra ou venda de informações no mercado negro .^[12] Sistemas de pagamento na própria loja e caixas eletrônicos também podem ser adulterados com o intuito de coletar dados da conta do cliente e PINs.

Utilitários e equipamentos industriais

Computadores controlam funções em níveis diversificados, tais como a coordenação de telecomunicações, a rede elétrica, usinas nucleares e abertura e fechamento de válvulas em redes de água e gás. A Internet é um vetor de um possível ataque à essas máquinas ( se conectadas ), mas o worm Stuxnet demonstrou que até mesmo equipamentos controlados por computadores não conectados à Internet podem ser vulneráveis. Em 2014, o CSIRT, uma divisão do Departamento de Segurança Interna dos Estados Unidos, investigou 79 incidentes de hackers em empresas de energia.^[13] Vulnerabilidades em medidores inteligentes (muitos dos quais usam ondas de rádio local ou comunicação celular) podem causar problemas com fraude de faturamento. ^{[carece de fontes?]}

Aviação

A indústria de aviação depende muito de uma série de sistemas complexos que podem ser atacados.^[14] Uma simples queda de energia em um aeroporto pode causar repercussões em todo o mundo ,^[15] grande parte do sistema depende de transmissões de rádio que podem ser interrompidas,^[16] sem contar que controlar aeronaves sobre os oceanos é especialmente perigoso considerando o fato de que a vigilância por radar estende-se apenas por volta de 175 a 225 milhas da costa.^[17] Também há potencial para ataques vindos de dentro de uma aeronave.^[18]

Na Europa, com o serviço de rede europeu^[19] e NewPENS,^[20] e nos EUA com o programa NextGen,^[21] provedores de serviços de navegação aérea estão se movimentando para criar suas próprias redes dedicadas.

As consequências de um ataque bem-sucedido variam desde a perda de confidencialidade à perda de integridade do sistema, interrupções no controle de tráfego aéreo, perda de aeronaves e até mesmo perda de vidas.

Dispositivos do consumidor

Computadores desktops e laptops são comumente usados ​​para coletar senhas ou informações de contas financeiras ou para construir um botnet para atacar outro alvo. Smartphones, tablets, relógios inteligentes e outros dispositivos móveis com rastreadores de atividades possuem sensores como câmeras, microfones, receptores GPS, bússolas e acelerômetros que podem ser explorados de forma a coletar informações pessoais, incluindo informações confidenciais de saúde. Redes WiFi, Bluetooth e de telefone celular em qualquer um desses dispositivos podem ser usados como vetores de ataque, e os sensores podem ser ativados remotamente após uma violação bem-sucedida.^[22]

O número crescente de dispositivos de automação residencial, como o termostato inteligente Nest, também são alvos potenciais.^[22]

Grandes corporações

Grandes corporações são alvos comuns. Em muitos casos, os ataques visam obter ganhos financeiros por meio de roubo de identidade e envolvem violação de dados. Exemplos incluem a perda dos dados de cartão de crédito de milhões de clientes de lojas como Home Depot,^[23] Staples,^[24] Target,^[25] e a violação mais recente do Equifax.^[26]

Automóveis

 Ver artigos principais: Veículo Autônomo, en: Automated driving system e en: Automotive hacking

Os veículos estão cada vez mais informatizados, com cronometragem do motor, cruise control, freios ABS, tensionadores de cintos de segurança, travas de portas, airbags e sistemas avançados de assistência ao motorista em diversos modelos. Além disso, carros conectados podem usar WiFi e Bluetooth para se comunicar com dispositivos a bordo e com a rede de telefonia celular. Espera-se que os carros autônomos sejam ainda mais complexos. Todos esses sistemas apresentam algum risco de segurança, e esses problemas têm recebido grande atenção.^[27][28][29]

Exemplos simples de riscos incluem um CD malicioso usado como vetor de ataque,^[30] assim como os microfones de bordo do carro sendo usados para espionagem. No entanto, se for obtido acesso à área de rede do controlador interna de um carro, o perigo é muito maior^[31] - outro exemplo foi um teste amplamente divulgado em 2015, onde os hackers roubaram remotamente um veículo a 16 quilômetros de distância e o levaram para uma vala.^[32][33]

Quanto a isso, os fabricantes estão reagindo de várias maneiras, como por exemplo a Tesla em 2016 implementando algumas correções de segurança "pelo ar" nos sistemas de computador de seus carros.^[34] Na área de veículos autônomos, em setembro de 2016, o Departamento dos Transportes dos Estados Unidos anunciou alguns padrões de segurança iniciais e pediu que seus estados elaborassem políticas uniformes.^[35][36]

Governo

O governo e os sistemas de computador militares são comumente atacados por ativistas^[37][38][39] e potências estrangeiras.^{[40][41][42][43]} Infraestrutura do governo local e regional, como controles de semáforo, comunicações da polícia e da agência de inteligência, violação de dados do Escritório de Gestão de Pessoal | registros de pessoal, registros de alunos,^[44] e os sistemas financeiros também são alvos potenciais, uma vez que agora estão amplamente informatizados. Passaportes e documentos de identidade governamentais que controlam o acesso a instalações que usam RFID podem ser vulneráveis a clonagem.

Internet das coisas e vulnerabilidades físicas

A Internet das coisas (IoT) é a rede de objetos físicos, como dispositivos, veículos e edifícios que são incorporados com eletrônicos, softwares, sensores e acesso à Internet, o que lhes permite coletar e trocar dados^[45] - onde preocupações/questões foram levantadas de que isso está sendo desenvolvido sem a consideração apropriada dos desafios de segurança envolvidos.^[46][47]

Embora a Internet das Coisas(IoT) crie oportunidades para uma integração mais direta do mundo físico em sistemas baseados em computador,^[48][49] também oferece oportunidades para uso indevido. Em particular, como a Internet das Coisas se espalha amplamente, os ataques cibernéticos tendem a se tornar uma ameaça cada vez mais física (em vez de simplesmente virtual).^[50] Se a fechadura de uma porta da frente estiver conectada à Internet e puder ser bloqueada/desbloqueada a partir de um telefone, um criminoso pode entrar na casa pressionando um botão de um telefone roubado ou hackeado. As pessoas podem perder muito mais do que seus números de cartão de crédito em um mundo controlado por dispositivos habilitados para IoT. Ladrões já chegaram a usar meios eletrônicos para contornar as fechaduras de portas de hotéis não conectadas à Internet.^[51]

Um ataque que visa infra-estrutura física e / ou vidas humanas é às vezes referido como um ataque cibercinético. À medida que os dispositivos e dispositivos IoT ganham popularidade, os ataques cibercinéticos podem se tornar generalizados e significativamente prejudiciais.

Sistemas médicos

 Ver artigos principais: en: Medical device hijack e en: Medical data breach

Dispositivos médicos foram atacados com sucesso ou tiveram vulnerabilidades potencialmente mortais demonstradas, incluindo ambos os equipamentos de diagnóstico hospitalar^[52] e dispositivos implantados incluindo marcapassos^[53] e bombas de insulina.^[54] Existem muitos relatos de hospitais e organizações hospitalares sendo hackeados, incluindo ataques de ransomware,^{[55][56][57][58]} Windows XP exploits,^[59][60] viruses,^[61][62] e violação de dados confidenciais armazenados em servidores de hospitais.^{[63][56][64][65]} Em 28 de dezembro de 2016, os FDA dos EUA divulgaram suas recomendações sobre como os fabricantes de dispositivos médicos devem manter a segurança dos dispositivos conectados à Internet - mas nenhuma estrutura para fiscalização.^[66][67]

Setor de energia

Em sistemas de geração distribuída, o risco de um ataque cibernético é real, de acordo com o Daily Energy Insider . Um ataque pode causar perda de energia em uma grande área por um longo período de tempo e pode ter consequências tão graves quanto um desastre natural. O Distrito de Columbia está considerando a criação de uma Autoridade de Recursos de Energia Distribuída (DER) dentro da cidade, com o objetivo de que os clientes tenham mais informações sobre seu próprio uso de energia e dando à empresa de eletricidade local, Pepco, a chance de estimar melhor a demanda de energia. A proposta da DC, no entanto, "permitiria que fornecedores terceirizados criassem vários pontos de distribuição de energia, o que poderia criar mais oportunidades para os ciberataques ameaçarem a rede elétrica."^[68]

Impacto das violações de segurança

Sérios danos financeiros foram causados por violações de segurança, mas como não existe um modelo padrão para estimar o custo de um incidente, os únicos dados disponíveis são aqueles tornados públicos pelas organizações envolvidas. "Diversas empresas de consultoria de segurança de computador produzem estimativas de perdas mundiais totais atribuíveis a ataques de vírus e worm e a atos digitais hostis em geral. As estimativas de perda de 2003 por essas empresas variam de US$13 bilhões (worms e vírus apenas) a US$226 bilhões (para todas as formas de ataques secretos). A confiabilidade dessas estimativas é frequentemente questionada; a metodologia subjacente é basicamente anedótica."^[69] Security breaches continue to cost businesses billions of dollars but a survey revealed that 66% of security staffs do not believe senior leadership takes cyber precautions as a strategic priority.^{[carece de fontes?]}

No entanto, estimativas razoáveis do custo financeiro das violações de segurança podem realmente ajudar as organizações a tomar decisões racionais de investimento. De acordo com o clássico Modelo de Gordon-Loeb que analisa o nível ótimo de investimento em segurança da informação, pode-se concluir que o valor que uma empresa gasta para proteger as informações deve geralmente ser apenas uma pequena fração da perda esperada (ou seja, o valor esperado da perda resultante de umaviolação de segurança) cibernética.^[70]

Motivação do atacante

Tal como acontece com a segurança física, as motivações para violações de segurança do computador variam entre os invasores. Alguns estão procurando emoção ou são só vândalos, alguns são ativistas, outros são criminosos em busca de ganhos financeiros. Os invasores patrocinados pelo estado agora são comuns e possuem bons recursos, mas começaram com amadores como Markus Hess que invadiu a KGB, conforme relatado por Clifford Stoll em Clifford Stoll .

Além disso, as motivações recentes dos invasores podem ser rastreadas até organizações extremistas que buscam obter vantagens políticas ou perturbar as agendas sociais. ^{[carece de fontes?]} O crescimento da Internet, tecnologias móveis e dispositivos de computação baratos levaram a um aumento das capacidades, mas também do risco para ambientes considerados vitais para as operações. Todos os ambientes visados críticos são suscetíveis a comprometimento e isso levou a uma série de estudos proativos sobre como migrar o risco, levando em consideração as motivações por esses tipos de atores. Existem várias diferenças gritantes entre a motivação de um estado-nação e de um hacker que buscam atacar com base em uma preferência ideológica.^[71]

Uma parte padrão do modelo de ameaça para qualquer sistema em particular é identificar o que pode motivar um ataque a esse sistema e quem pode estar motivado para violá-lo. O nível e os detalhes das precauções variam dependendo do sistema a ser protegido. Um computador pessoal doméstico, um banco e uma rede militar de informações confidenciais enfrentam ameaças muito diferentes, mesmo quando as tecnologias subjacentes em uso são semelhantes.

Proteção do computador (contramedidas)

Se tratando da segurança de um computador, uma contramedida é uma ação, dispositivo, procedimento ou técnica que diminui uma ameaça, uma vulnerabilidade ou um ciberataque eliminando ou prevenindo-o, minimizando os danos que ele pode causar ou descobrindo e relatando-o para que ações corretivas possam ser tomadas.^[72][73][74]

Algumas contramedidas comuns estão listadas nas seções a seguir:

Segurança por design

 Ver artigo principal: en: Secure by design

Segurança por design, significa que o software foi projetado desde o início para ser seguro. Nesse caso, a segurança é considerada a principal característica.

Algumas das técnicas nesta abordagem incluem:

• O princípio de privilégios mínimos, onde cada parte do sistema possui apenas os privilégios necessários para sua função. Dessa forma, mesmo que um hacker obtenha acesso à essa parte, ele terá acesso limitado a todo o sistema.
• Prova automática de teoremas para provar a exatidão de subsistemas de software cruciais.
• Revisão de código e testes de unidade, abordagens para tornar os módulos mais seguros onde as provas formais de correção não são possíveis.
• Defesa em profundidade, onde o design é tal que mais de um subsistema precisa ser violado para comprometer a integridade do sistema e as informações que ele contém.
• Configurações padrão de segurança e design para uma "falha segura" em vez de "falha insegura" (consulte fail-safe para obter o equivalente em engenharia de segurança). Idealmente, um sistema seguro deve exigir uma decisão deliberada, consciente, bem informada e livre por parte das autoridades legítimas para torná-lo inseguro.
• Auditorias rastreando a atividade do sistema, de modo que, quando ocorrer uma violação de segurança, o mecanismo e a extensão da violação possam ser determinados. Armazenar trilhas de auditoria remotamente, onde elas só podem ser anexadas, pode impedir que invasores cubrem seus rastros.
• Divulgação total de todas as vulnerabilidades, para garantir que a " janela de vulnerabilidade" seja mantida o mais curta possível quando os bugs forem descobertos.

Arquitetura de segurança

A organização de Arquitetura de Segurança Aberta define a arquitetura de segurança de TI como "o design de artefatos que descrevem como os controles de segurança (contramedidas de segurança) são posicionados e como eles se relacionam com a arquitetura de tecnologia da informação. Esses controles têm como objetivo manter os atributos de qualidade do sistema: confidencialidade, integridade, disponibilidade, prestação de contas e serviços de garantia".^[75]

A Techopedia define a arquitetura de segurança como "um projeto de segurança unificado que atende às necessidades e riscos potenciais envolvidos em um determinado cenário ou ambiente. Também especifica quando e onde aplicar os controles de segurança. O processo de projeto é geralmente reproduzível." Os principais atributos da arquitetura de segurança são: ^[76]

• a relação dos diferentes componentes e como eles dependem uns dos outros.
• a determinação de controles com base na avaliação de risco, boas práticas, finanças e questões legais.
• a padronização dos controles.

Aplicar a arquitetura de segurança fornece a base certa para abordar sistematicamente as questões de negócios, TI e segurança em uma organização.

Medidas de segurança

Um estado de "segurança" do computador é o ideal conceitual, alcançado pelo uso dos três processos: prevenção, detecção e resposta à ameaças. Esses processos são baseados em várias políticas e componentes do sistema, que incluem os seguintes componentes:

• Conta de usuário, controle de acesso e criptografia podem proteger arquivos de sistema e dados, respectivamente.

• Firewalls são de longe os sistemas de prevenção mais comuns do ponto de vista da segurança de rede, pois podem (se configurados corretamente) proteger o acesso aos serviços de rede internos e bloquear certos tipos de ataques por meio da filtragem de pacotes. Os firewalls podem ser baseados em hardware ou software.

• Sistema de detecção de intrusos (SDI) são produtos projetados para detectar ataques de rede em andamento e auxiliar na perícia [[[Ciência forense|forense]] pós-ataque, enquanto a trilha de auditoria e os logs têm uma função semelhante só que para sistemas individuais.

• Uma "Resposta" é necessariamente definida pelos requisitos de segurança avaliados de um sistema individual e pode abranger a faixa de simples atualização de proteções a notificação de autoridades legais, contra-ataques e similares. Em alguns casos especiais, a destruição completa do sistema comprometido é favorecida, pois pode acontecer que nem todos os recursos comprometidos sejam detectados.

Hoje, a segurança do computador compreende principalmente medidas "preventivas", como firewalls ou um procedimento de saída. Um firewall pode ser definido como uma forma de filtrar dados de rede entre um host ou uma rede e outra rede, como a Internet, e pode ser implementado como software em execução na máquina, conectando-se à pilha de rede (ou, no caso da maioria dos sistemas operacionais baseados em UNIX, como Linux, embutidos no sistema operacional kernel) para fornecer filtragem em tempo real e bloqueio. Outra implementação é o chamado "firewall físico", que consiste em uma máquina separada que filtra o tráfego de rede. Firewalls são comuns entre máquinas que estão permanentemente conectadas à Internet.

Algumas organizações estão se voltando para plataformas de big data, como Apache Hadoop, para estender a acessibilidade de dados e aprendizado de máquina para detectar ameaças persistentes avançadas.^[77]

No entanto, relativamente poucas organizações mantêm sistemas de computador com sistemas de detecção eficazes e menos organizações ainda têm mecanismos de resposta organizados em funcionamento. Como resultado, como aponta a Reuters: "As empresas pela primeira vez relatam que estão perdendo mais com o roubo eletrônico de dados do que com o roubo físico de ativos".^[78] O principal obstáculo para a erradicação efetiva do crime informático pode ser atribuído à dependência excessiva de firewalls e outros sistemas de "detecção" automatizados. No entanto, é a coleta de evidências básicas usando dispositivos de captura de pacotes que coloca os criminosos atrás das grades.^{[carece de fontes?]}

Para garantir a segurança adequada, a confidencialidade, integridade e disponibilidade de uma rede, mais conhecida como a tríade CIA, precisam ser protegidas e são consideradas a base para a segurança da informação.^[79] Para atingir esses objetivos, devem ser adotadas medidas administrativas, físicas e técnicas de segurança. A quantidade de segurança oferecida a um ativo só pode ser determinada quando seu valor é conhecido.^[80]

Gerenciamento de vulnerabilidades

 Ver artigo principal: en: Vulnerability management

O gerenciamento de vulnerabilidades é o ciclo de identificação e remediação ou mitigação de vulnerabilidades,^[81] especialmente em softwares e firmwares. O gerenciamento de vulnerabilidades é parte integrante da segurança do computador e da segurança da rede.

Vulnerabilidades podem ser descobertas com um scanner de vulnerabilidades, que analisa um sistema de computador em busca de vulnerabilidades conhecidas,^[82] como portas abertas, configuração de software insegura e suscetibilidade a malwares. Para que essas ferramentas sejam eficazes, elas devem ser mantidas atualizadas a cada nova atualização lançada pelos fornecedores. Normalmente, essas atualizações verificarão as novas vulnerabilidades introduzidas recentemente.

Além da varredura de vulnerabilidades, muitas organizações contratam auditores de segurança externos para executar testes regulares de intrusão em seus sistemas para identificar vulnerabilidades. Em alguns setores, esta é uma exigência contratual.^[83]

Reduzindo vulnerabilidades

Embora a verificação formal da correção dos sistemas de computador seja possível,^[84][85] ainda não é comum. Os sistemas operacionais verificados formalmente incluem L4,^[86] e SYSGO do PikeOS^[87][88]- mas constituem uma porcentagem muito pequena do mercado.

A autenticação de dois fatores é um método para mitigar o acesso não autorizado a um sistema ou informações confidenciais. Requer "algo que você conhece"; uma senha ou PIN e "algo que você tem"; um cartão, dongle, celular ou outra peça de hardware. Isso aumenta a segurança, pois uma pessoa não autorizada precisa de ambos para obter acesso.

Ataques de engenharia social e acesso direto ao computador (físico) só podem ser evitados por meios que não sejam de computador, o que pode ser difícil de aplicar, em relação à confidencialidade das informações. O treinamento é frequentemente envolvido para ajudar a mitigar esse risco, mas mesmo em ambientes altamente disciplinados (por exemplo, organizações militares), os ataques de engenharia social ainda podem ser difíceis de prever e prevenir.

A inoculação, derivada da teoria da inoculação, visa prevenir a engenharia social e outros truques ou armadilhas fraudulentas, instilando uma resistência às tentativas de persuasão por meio da exposição a tentativas semelhantes ou relacionadas.^[89]

É possível reduzir as chances de um invasor mantendo os sistemas atualizados com patches e atualizações de segurança, usando um scanner de segurançaPredefinição:Definition needed e / ou contratação de pessoas com experiência em segurança, embora nenhuma delas garanta a prevenção de um ataque. Os efeitos da perda / dano de dados podem ser reduzidos com backups e seguros cuidadosos.

Mecanismos de proteção de hardware

Ver também: En: Computer security compromised by hardware failure

Embora o hardware possa ser uma fonte de insegurança, como vulnerabilidades de microchips introduzidos maliciosamente durante o processo de fabricação,^[90][91] a segurança de computador baseada em hardware ou assistida também oferece uma alternativa à segurança de computador somente por software. O uso de dispositivos e métodos como dongles, módulo de plataformas confiáveis, casos de detecção de intrusão, bloqueios de unidade, desativação de portas USB e acesso habilitado para celular pode ser considerado mais seguro devido ao acesso físico ( ou um backdoor sofisticado) necessário para ser comprometido. Cada um deles é abordado com mais detalhes abaixo:

• Dongles USB são normalmente usados em esquemas de licenciamento de software para desbloquear recursos de software, ^{[carece de fontes?]}, mas também podem ser vistos como uma forma de prevenir o acesso não autorizado a um computador ou outro dispositivo Programas. O dongle, ou chave, cria essencialmente um túnel criptografado seguro entre o aplicativo de software e a chave. O princípio é que um esquema de criptografia no dongle, como Advanced Encryption Standard (AES) fornece uma medida de segurança mais forte, pois é mais difícil hackear e replicar o dongle do que simplesmente copiar o software nativo para outra máquina e use-o. Outro aplicativo de segurança para dongles é usá-los para acessar conteúdo baseado na web, como software em nuvem ou uma rede privada virtual (VPNs).^[92] Além disso, um dongle USB pode ser configurado para bloquear ou desbloquear um computador.^[93]

• Módulo de plataformas confiáveis (TPMs) protegem os dispositivos integrando recursos criptográficos em dispositivos de acesso, por meio do uso de microprocessadores, ou os chamados computadores-em-um-chip. Os TPMs usados em conjunto com o software do lado do servidor oferecem uma maneira de detectar e autenticar dispositivos de hardware, evitando acesso não autorizado à rede e aos dados.^[94]

• Detecção de intrusão do gabinete do computador refere-se a um dispositivo, normalmente um botão de pressão, que detecta quando um gabinete do computador é aberto. O firmware ou BIOS é programado para mostrar um alerta ao operador quando o computador for inicializado na próxima vez.

• Os bloqueios de unidade são essencialmente ferramentas de software para criptografar discos rígidos, tornando-os inacessíveis aos ladrões.^[95] Existem ferramentas específicas para criptografar unidades externas também.^[96]

• Desativar as portas USB é uma opção de segurança para prevenir o acesso não autorizado e malicioso a um computador seguro. Os dongles USB infectados conectados a uma rede a partir de um computador dentro do firewall são considerados pela revista Network World como a ameaça de hardware mais comum enfrentada por redes de computadores.

• Desconectar ou desativar dispositivos periféricos (como câmera, GPS, armazenamento removível etc.), que não estão em uso.^[97]

• Dispositivos de acesso habilitados para celular estão crescendo em popularidade devido à natureza onipresente dos telefones celulares. Recursos integrados, como Bluetooth, o mais recente Bluetooth de baixa energia (BLE), Near field communication (NFC) em dispositivos não iOS e a validação biométrica, como como leitores de impressão digital, bem como software de leitura código QR projetado para dispositivos móveis, oferecem maneiras novas e seguras para telefones celulares se conectarem a sistemas de controle de acesso. Esses sistemas de controle fornecem segurança ao computador e também podem ser usados para controlar o acesso a edifícios seguros.^[98]

Sistemas operacionais seguros

 Ver artigo principal: en: Security-evaluated operating system

Um uso do termo "segurança de computador" refere-se à tecnologia usada para implementar sistemas operacionais seguros. Na década de 1980, o Departamento de Defesa dos Estados Unidos (DoD) usou os padrões dos "Orange Books",^[99] mas o atual padrão internacional ISO / IEC 15408, "Critérios Comuns" (CC), define um número de níveis de garantia de avaliação progressivamente mais rigorosos. Muitos sistemas operacionais comuns atendem ao padrão EAL4 de "Projetado, Testado e Revisado Metodicamente", mas a verificação formal exigida para os níveis mais altos significa que eles são incomuns. Um exemplo de um sistema EAL6 ("Semiformally Verified Design and Tested") é Integrity-178B, que é usado no Airbus A380^[100] e em vários jatos militares.^[101]

Programação segura

 Ver artigo principal: en: Secure coding

Na engenharia de software, a codificação segura visa proteger contra a introdução acidental de vulnerabilidades de segurança. Também é possível criar software projetado desde o início para ser seguro. Esses sistemas são "seguros por design". Além disso, a verificação formal visa provar a corretude (lógica) dos algoritmos subjacentes a um sistema;^[102] importante para protocolos criptográficos, por exemplo.

Listas de capacidades e de controle de acesso

 Ver artigos principais: en: Access control list, en: Role-based access control e en: Capability-based security

Dentro dos sistemas de computador, dois dos principais modelos de segurança capazes de impor a separação de privilégios são lista de controle de acessos (ACLs) e controle de acesso baseado em funções (RBAC).

Uma lista de controle de acesso (ACL), com relação a um sistema de arquivos de computador, é uma lista de permissões associadas a um objeto. Uma ACL especifica quais usuários ou processos do sistema têm acesso concedido aos objetos, bem como quais operações são permitidas em determinados objetos.

O controle de acesso baseado em função é uma abordagem para restringir o acesso do sistema a usuários autorizados,^{[103][104][105]} usado pela maioria das empresas com mais de 500 funcionários,^[106] e pode implementar controle de acesso obrigatório (MAC) ou controle de acesso discricionário (DAC).

Uma abordagem adicional, segurança baseada em capacidade foi principalmente restrita a sistemas operacionais de pesquisa. Os recursos podem, entretanto, também ser implementados no nível da linguagem, levando a um estilo de programação que é essencialmente um refinamento do design orientado a objetos padrão. Um projeto de código aberto na área é a linguagem E.

Treinamento de segurança do usuário final

O usuário final é amplamente reconhecido como o elo mais fraco na cadeia de segurança^[107] e estima-se que mais de 90% dos incidentes e violações de segurança envolvem algum tipo de erro humano.^[108][109] Entre as formas de erros e erros de julgamento mais comumente registradas estão o gerenciamento incorreto de senhas, o envio de e-mails contendo dados confidenciais e anexos para o destinatário errado, a incapacidade de reconhecer URLs enganosos e de identificar sites falsos e anexos de e-mail perigosos. Um erro comum que os usuários cometem é salvar sua ID de usuário / senha em seus navegadores para facilitar o login em sites de bancos. Este é um presente para invasores que obtiveram acesso a uma máquina por algum meio. O risco pode ser mitigado pelo uso de autenticação de dois fatores.^[110]

Como o componente humano do risco cibernético é particularmente relevante na determinação do risco cibernético global^[111] que uma organização enfrenta, o treinamento de conscientização de segurança, em todos os níveis, não apenas fornece conformidade formal com os mandatos regulamentares e do setor, mas é considerado essencial^[112] na redução do risco cibernético e na proteção de indivíduos e empresas contra a grande maioria das ameaças cibernéticas.

O foco no usuário final representa uma profunda mudança cultural para muitos profissionais de segurança, que tradicionalmente abordam a segurança cibernética exclusivamente de uma perspectiva técnica e seguem as linhas sugeridas pelos principais centros de segurança s^[113] to develop a culture of cyber awareness within the organization, recognizing that a security-aware user provides an important line of defense against cyber attacks.

Higiene digital

Relacionado ao treinamento do usuário final, 'higiene digital' ou 'higiene cibernética' é um princípio fundamental relacionado a segurança da informação e, como mostra a analogia com higiene pessoal, é o equivalente a estabelecer medidas simples de rotina para minimizar os riscos das ameaças cibernéticas. A suposição é que boas práticas de higiene cibernética podem dar aos usuários da rede outra camada de proteção, reduzindo o risco de um nó vulnerável ser usado para montar ataques ou comprometer outro nó ou rede, especialmente de ataques cibernéticos comuns.^[114]

Ao contrário de uma defesa puramente baseada em tecnologia contra ameaças, a higiene cibernética envolve principalmente medidas de rotina que são tecnicamente simples de implementar e dependem principalmente de disciplina^[115] ou educação.^[116] Pode ser considerada uma lista abstrata de dicas ou medidas que demonstraram ter um efeito positivo na segurança digital pessoal e / ou coletiva. Como tal, essas medidas podem ser realizadas por leigos, não apenas especialistas em segurança.

A higiene cibernética está relacionada à higiene pessoal, assim como os vírus de computador estão relacionados a vírus biológicos (ou patógenos). No entanto, embora o termo vírus de computador tenha sido cunhado quase simultaneamente com a criação dos primeiros vírus de computador funcionais,^[117] o termo higiene cibernética é uma invenção muito posterior, talvez em 2000^[118] pelo pioneiro da Internet Vint Cerf. Desde então, foi adotado pelo Congresso^[119] e pelo Senado dos Estados Unidos,^[120] the FBI,^[121] instituições da UE^[114] e chefes de estado.^[122]

A higiene cibernética também não deve ser confundida com a defesa cibernética proativa, um termo militar.^[122]

Resposta a violações

Responder às tentativas de violações de segurança costuma ser muito difícil por vários motivos, incluindo:

• Identificar invasores é difícil, pois eles podem operar por meio de proxies, contas dial-up anônimas temporárias, conexões sem fio e outros procedimentos de anonimato que tornam o rastreamento difícil - e geralmente estão localizados em outra jurisdição. Se eles violam a segurança com sucesso, eles também freqüentemente ganham acesso administrativo suficiente para permitir que excluam logs para cobrir seus rastros.
• O número absoluto de tentativas de ataque, geralmente por scanner de vulnerabilidades e worms automatizados, é tão grande que as organizações não podem perder tempo procurando por cada um.
• Policiaiss muitas vezes não têm as habilidades, interesse ou orçamento para perseguir os invasores. Além disso, a identificação de invasores em uma rede pode exigir logs de vários pontos da rede e em muitos países, o que pode ser difícil ou demorado para obter.

Onde um ataque é bem-sucedido e ocorre uma violação, muitas jurisdições já possuem leis de notificação de violação de segurança obrigatórias.

Tipos de segurança e privacidade

• Controle de acesso
• Anti-keyloggers
• Antivírus
• Anti-spyware
• Software anti-subversão
• Software antiviolação
• Anti-roubo
• Software criptográfico
• Despacho auxiliado por computador (CAD)
• Firewall
• Sistema de detecção de intrusão (IDS)
• Sistema de prevenção de intrusão (IPS)
• Software de gerenciamento de log
• Controle parental
• Gerenciamento de registros
• Sandbox
• Gerenciamento de informações de segurança
• SIEM
• Atualização de software e sistema operacional

Planejamento de resposta a incidentes

A resposta a incidentes é uma abordagem organizada para abordar e gerenciar as consequências de um incidente ou comprometimento da segurança do computador, com o objetivo de prevenir uma violação ou impedir um ataque cibernético. Um incidente que não é identificado e gerenciado no momento da intrusão geralmente se transforma em um evento mais prejudicial, como uma violação de dados ou falha do sistema. O resultado pretendido de um plano de resposta a incidentes de segurança de computador é limitar os danos e reduzir o tempo e os custos de recuperação. Responder a compromissos rapidamente pode mitigar vulnerabilidades exploradas, restaurar serviços e processos e minimizar perdas. ^{[carece de fontes?]} O planejamento de resposta a incidentes permite que uma organização estabeleça uma série de práticas recomendadas para impedir uma intrusão antes que ela cause danos. Os planos de resposta a incidentes típicos contêm um conjunto de instruções escritas que descrevem a resposta da organização a um ataque cibernético. Sem um plano documentado implementado, uma organização pode não detectar com sucesso uma intrusão ou comprometimento e as partes interessadas podem não entender suas funções, processos e procedimentos durante uma escalada, retardando a resposta e resolução da organização.

Existem quatro componentes principais de um plano de resposta a incidentes de segurança de computador:

1. 'Preparação' : Preparar as partes interessadas sobre os procedimentos para lidar com incidentes ou comprometimentos de segurança de computador
2. 'Detecção e Análise' : Identificar e investigar atividades suspeitas para confirmar um incidente de segurança, priorizando a resposta com base no impacto e coordenando a notificação do incidente
3. 'Contenção, erradicação e recuperação' : isolar os sistemas afetados para evitar a escalada e limitar o impacto, identificando a gênese do incidente, removendo malware, sistemas afetados e malfeitores do ambiente e restaurando sistemas e dados quando uma ameaça não mais permanece
4. 'Atividade pós-incidente' : Análise post mortem do incidente, sua causa raiz e a resposta da organização com a intenção de melhorar o plano de resposta ao incidente e os esforços de resposta futuros.^[123]

Ataques e violações notáveis

Mais informações: En: List of cyber-attacks e en: List of data breaches

Alguns exemplos ilustrativos de diferentes tipos de violações de segurança de computador são fornecidos abaixo.

Robert Morris e o primeiro worm de computador

 Ver artigo principal: en: Morris worm

Em 1988, apenas 60.000 computadores estavam conectados à Internet, e a maioria eram mainframes, minicomputadores e estações de trabalho profissionais. Em 2 de novembro de 1988, muitos começaram a desacelerar, pois estavam executando um código malicioso que demandava tempo de processador e que se espalhava para outros computadores - o primeiro "worm" da internet.^[124] O software foi rastreado até o aluno pós-graduação Robert Tappan Morris da Universidade Cornell de 23 anos de idade, que disse "ele queria contar quantas máquinas estavam conectadas à Internet".^[124] Este worm foi projetado para se espalhar em sistemas UNIX e utilizou diversas técnicas de propagação.^[125]

Laboratório de Roma

Em 1994, mais de uma centena de intrusões foram feitas por crackers não identificados no Laboratório de Roma, o principal comando e instalação de pesquisa da Força Aérea dos Estados Unidos. Usando cavalos de tróia, os hackers foram capazes de obter acesso irrestrito aos sistemas de rede de Roma e remover rastros de suas atividades. Os invasores conseguiram obter arquivos confidenciais, como dados de sistemas de ordens de tarefas aéreas e, além disso, foram capazes de penetrar nas redes conectadas do Goddard Space Flight Center da NASA, da Base Aérea de Wright-Patterson, de alguns contratados da Defesa , e outras organizações do setor privado, fazendo-se passar por um usuário confiável do centro de Roma.^[126]

Detalhes do cartão de crédito do cliente da TJX

No início de 2007, a empresa americana de roupas e produtos domésticos TJX anunciou que foi vítima de uma intrusão não autorizada de sistemas de computador^[127] e que os hackers acessaram um sistema que armazenava dados em cartão de crédito, cartão de débito, cheque e transações de devolução de mercadorias.^[128]

Ataque Stuxnet

Em 2010, o worm de computador conhecido como Stuxnet supostamente arruinou quase um quinto das centrífugas nucleares do Irã.^[129] Ele fez isso interrompendo os controladores lógicos programáveis (PLCs) industriais em um ataque direcionado. Em geral, acredita-se que tenha sido lançado por Israel e pelos Estados Unidos para interromper o programa nuclear iraniano^{[130][131][132][133]} - embora nenhum o tenha admitido publicamente.

Divulgações de vigilância global

 Ver artigo principal: en: Global surveillance disclosures (2013–present)

No início de 2013, os documentos fornecidos por Edward Snowden foram publicados por The Washington Post e The Guardian ^[134][135] expondo a escala massiva da vigilância global NSA. Também houve indicações de que a NSA pode ter inserido uma porta dos fundos em um padrão INTP para criptografia.^[136] Este padrão foi posteriormente retirado devido a críticas generalizadas.^[137] Além disso, foi revelado que a NSA interceptou os links entre os data centers do Google.^[138]

Violações na Target e no Home Depot

Em 2013 e 2014, um grupo de hackers Rússia n / Ucraniano conhecido como "Rescator" invadiu os computadores da Target Corporation em 2013, roubando cerca de 40 milhões de cartões de crédito,^[139] e então nos computadores do Home Depot em 2014, roubando entre 53 e 56 milhões de números de cartão de crédito.^[140] Os avisos foram entregues em ambas as empresas, mas ignorados; Acredita-se que as máquinas de autopagamento tenham desempenhado um grande papel nas violações de segurança física. "O malware utilizado é absolutamente sem sofisticação e desinteressante", disse Jim Walter, diretor de operações de inteligência de ameaças da empresa de tecnologia de segurança McAfee - o que significa que os assaltos poderiam ter sido facilmente interrompidos pelo antivírus existente se os administradores tivessem respondido aos avisos. O tamanho dos roubos atraiu grande atenção das autoridades estaduais e federais dos Estados Unidos, e a investigação está em andamento.

Violação de dados do Escritório de Gestão de Pessoal

Em abril de 2015, o Escritório de Gestão de Pessoal descobriu que havia sido hackeado mais de um ano antes em uma violação de dados, resultando em roubo de aproximadamente 21,5 milhões de registros de pessoal tratados pelo escritório.^[141] A violação do Escritório de Gestão de Pessoal foi descrito por funcionários federais como uma das maiores violações de dados do governo na história dos Estados Unidos.^[142] Os dados visados na violação incluíam informações de identificação pessoal, como números do seguro social, nomes, datas e locais de nascimento, endereços e impressões digitais de funcionários do governo atuais e antigos, bem como de qualquer pessoa que tinha passado por uma verificação de antecedentes do governo.^[143][144] Acredita-se que a violação foi perpetrada por hackers chineses.^[145]

Violação de Ashley Madison

 Ver artigo principal: Ashley Madison Data Breach

Em julho de 2015, um grupo de hackers conhecido como "The Impact Team" violou com sucesso o site de relacionamento extraconjugal Ashley Madison, criado pela Avid Life Media. O grupo alegou que havia coletado não apenas dados da empresa, mas também dados do usuário. Após a violação, The Impact Team despejou e-mails do CEO da empresa, para provar seu ponto, e ameaçou despejar dados do cliente, a menos que o site fosse retirado do ar permanentemente. "^[146] Quando a Avid Life Media não tirou o site do ar, o grupo lançou mais dois arquivos compactados, um de 9,7 GB e outro de 20 GB. Após o segundo despejo de dados, o CEO da Avid Life Media, Noel Biderman, renunciou; mas o site continuou funcionando.

Questões legais e regulamentação global

As questões jurídicas internacionais de ataques cibernéticos são complicadas por natureza. Não existe uma base global de regras comuns para julgar e, eventualmente, punir, cibercrimes e cibercriminosos - e onde as empresas de segurança ou agências localizam o cibercriminoso por trás da criação de uma determinada peça de malware ou forma de ataque cibernético, muitas vezes as autoridades locais não podem agir devido à falta de leis sob as quais processar.^[147][148] Provar a atribuição de cibercrimes e ataques cibernéticos também é um grande problema para todas as agências de aplicação da lei. "Os vírus de computador mudam de um país para outro, de uma jurisdição para outra - movendo-se ao redor do mundo, usando o fato de que não temos a capacidade de policiar globalmente operações como esta. Portanto, a Internet é como se alguém tinha dado passagens de avião grátis para todos os criminosos online do mundo."^[147] O uso de técnicas como DNS dinâmico, fluxo rápido e servidores "à prova de balas" aumenta a dificuldade de investigação e fiscalização.

Papel do governo

O papel do governo é fazer regulamentações para forçar as empresas e organizações a proteger seus sistemas, infraestrutura e informações de quaisquer ataques cibernéticos, mas também proteger sua própria infraestrutura nacional, como a rede elétrica.^[149]

O papel regulador do governo no ciberespaço é complicado. Para alguns, o ciberespaço foi visto como um espaço virtual que deveria permanecer livre da intervenção do governo, como pode ser visto em muitas das discussões blockchain e bitcoin libertárias de hoje.^[150]

Muitos funcionários e especialistas do governo acham que o governo deve fazer mais e que há uma necessidade crucial de melhorar a regulamentação, principalmente devido ao fracasso do setor privado em resolver com eficiência o problema da segurança cibernética. R. Clarke disse durante um painel de discussão na RSA Security Conference em São Francisco, que acredita que "a indústria só responde quando você ameaça a regulamentação. Se a indústria não responder (a a ameaça), você tem que seguir em frente."^[151] Por outro lado, executivos do setor privado concordam que melhorias são necessárias, mas pensam que a intervenção do governo afetaria sua capacidade de inovar com eficiência. Daniel R. McCarthy analisou essa parceria público-privada na cibersegurança e refletiu sobre o papel da cibersegurança na constituição mais ampla da ordem política.^[152]

Em 22 de maio de 2020, o Conselho de Segurança da ONU realizou sua segunda reunião informal sobre segurança cibernética para enfocar os desafios cibernéticos à paz internacional. Segundo o Secretário-Geral da ONU António Guterres, as novas tecnologias são utilizadas com demasiada frequência para violar direitos.^[153]

Ações internacionais

Existem muitas equipes e organizações diferentes, incluindo:

• O Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) é a associação global de CSIRTs.^[154] O US-CERT, AT&T, Apple, Cisco, McAfee, Microsoft são todos membros desta equipe internacional.^[155]
• O Conselho da Europa ajuda a proteger as sociedades em todo o mundo contra a ameaça do cibercrime por meio da Convenção sobre o Cibercrime.^[156]
• O objetivo do Messaging Anti-Abuse Working Group (MAAWG) é reunir o setor de mensagens para trabalhar de forma colaborativa e abordar com sucesso as várias formas de abuso de mensagens, como spam, vírus, negação de serviço ataques e outras explorações de mensagens. .^[157] France Telecom, Facebook, AT&T, Apple, Cisco, Sprint são alguns dos membros do MAAWG.^[158]
• ENISA: A Agência Europeia para a Segurança das Redes e da Informação (ENISA) é uma agência da União Europeia com o objetivo de melhorar a segurança da informação nas redes e na União Europeia.

Europa

Em 14 de abril de 2016, o Parlamento Europeu e o Conselho da União Europeia adotaram o Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679. O GDPR, que se tornou obrigatório a partir de 25 de maio de 2018, fornece proteção de dados e privacidade para todos os indivíduos na União Europeia (UE) e no Espaço Econômico Europeu (EEE). O GDPR exige que os processos de negócios que lidam com dados pessoais sejam desenvolvidos com proteção de dados por design e por padrão. O GDPR também exige que certas organizações designem um DPO (Data Protection Officer).

Ações nacionais

Equipes de resposta a emergências informáticas

 Ver artigo principal: CSIRT

A maioria dos países tem sua própria equipe de resposta a emergências de computador para proteger a segurança da rede.

Brasil

Em dezembro de 2020, a Anatel aprovou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, que, a partir de janeiro de 2021, deve ser seguido por todas as grandes operadoras de telecomunicações que atuam no Brasil.^[159]

Em dezembro de 2023 o presidente Luiz Inácio Lula da Silva publicou o decreto nº 11.856, que estabeleceu a Política Nacional de Cibersegurança (PNCiber) e o Comitê Nacional de Cibersegurança (CNCiber).^[160]

Canadá

Desde 2010, o Canadá tem uma estratégia de segurança cibernética.^[161][162] Esta funciona como um documento de contrapartida à Estratégia Nacional e Plano de Ação para Infraestruturas Críticas.^[163] A estratégia tem três pilares principais: proteger os sistemas governamentais, proteger os sistemas cibernéticos privados vitais e ajudar os canadenses a se protegerem online.^[162][163] Há também uma Estrutura de Gerenciamento de Incidentes Cibernéticos para fornecer uma resposta coordenada no caso de um incidente cibernético.^[164][165]

O Canadian Cyber Incident Response Centre (CCIRC) é responsável por mitigar e responder às ameaças à infraestrutura crítica e aos sistemas cibernéticos do Canadá. Ele fornece suporte para mitigar ameaças cibernéticas, suporte técnico para responder e se recuperar de ataques cibernéticos direcionados e fornece ferramentas online para membros dos setores de infraestrutura crítica do Canadá.^[166] Ele publica boletins de segurança cibernética regulares^[167] e opera uma ferramenta de relatório online onde indivíduos e organizações podem relatar um incidente cibernético.^[168]

Para informar o público em geral sobre como se proteger online, a segurança públçica do Canadá (PSC) fez parceria com STOP.THINK.CONNECT, uma coalizão de organizações sem fins lucrativos, do setor privado e do governo, ,^[169] e lançou o Programa de Cooperação em Segurança Cibernética.^[170][171] Eles também administram o portal GetCyberSafe para cidadãos canadenses e o Mês de Conscientização sobre Segurança Cibernética em outubro.^[172]

A Segurança Pública do Canadá pretende iniciar uma avaliação da estratégia de segurança cibernética do Canadá no início de 2015.^[163]

China

O Grupo líder central para segurança e informatização da Internet da China (em chinês: 中央 网络 安全 和 信息 化 化 领导) foi estabelecido em 27 de fevereiro de 2014. Este pequeno grupo líder (LSG) do Partido Comunista da China é chefiado pelo próprio Secretário-Geral Xi Jinping e conta com uma equipe de responsáveis ​​pelas decisões do Partido e do Estado. O LSG foi criado para superar as políticas incoerentes e responsabilidades sobrepostas que caracterizavam os antigos mecanismos de tomada de decisão no ciberespaço da China. O LSG supervisiona a formulação de políticas nos campos econômico, político, cultural, social e militar no que se refere à segurança de rede e estratégia de TI. Este LSG também coordena as principais iniciativas de políticas na arena internacional que promovem normas e padrões favorecidos pelo governo chinês e que enfatizam o princípio da soberania nacional no ciberespaço.^[173]

Alemanha

Berlim cria a Iniciativa Nacional de Defesa Cibernética: Em 16 de junho de 2011, o Ministro de Assuntos Internos da Alemanha abriu oficialmente o novo NCAZ (Centro Nacional de Defesa Cibernética) Nationales Cyber-Abwehrzentrum localizado em Bonn. O NCAZ coopera estreitamente com o BSI (Federal Office for Information Security) Bundesamt für Sicherheit in der Informationstechnik, BKA (Federal Police Organization) Bundeskriminalamt, BND (Serviço Federal de Inteligência) Bundesnachrichtendienst, MAD (Serviço Militar de Inteligência) Amt für den Militärischen Abschirmdienst e outras organizações nacionais na Alemanha que cuidam dos aspectos de segurança nacional. De acordo com o Ministro, a principal tarefa da nova organização fundada em 23 de fevereiro de 2011, é detectar e prevenir ataques contra a infraestrutura nacional e incidentes mencionados como o Stuxnet. A Alemanha também estabeleceu a maior instituição de pesquisa para segurança de TI da Europa, o Centro de Pesquisa em Segurança e Privacidade (CRISP) em Darmstadt.

Índia

Algumas disposições de cibersegurança foram incorporadas às regras enquadradas na Lei de Tecnologia da Informação de 2000.^[174]

A Política Nacional de Segurança Cibernética 2013 é uma estrutura de política do Ministério da Eletrônica e Tecnologia da Informação (MeitY) que visa proteger a infraestrutura pública e privada de ataques cibernéticos e salvaguardar "informações, como informações pessoais (de usuários da web) , informações financeiras e bancárias e dados soberanos ". CERT-In é a agência nodal que monitora as ameaças cibernéticas no país. O posto de [[:en:National Cyber Coordination Centre|Coordenador Nacional da Cibersegurança] também foi criado no Gabinete do Primeiro Ministro (PMO).

O lei das empresas indianas ( Indian Companies Act ) 2013 também introduziu obrigações de lei e segurança cibernética por parte dos diretores indianos. Algumas disposições de cibersegurança foram incorporadas às regras enquadradas na Atualização da Lei de Tecnologia da Informação de 2000 em 2013.^[175]

Coréia do sul

Após os ataques cibernéticos no primeiro semestre de 2013, quando o governo, a mídia, a estação de televisão e os sites de bancos foram comprometidos, o governo nacional se comprometeu a treinar 5.000 novos especialistas em segurança cibernética até 2017. O governo sul-coreano culpou seu homólogo do norte por esses ataques, bem como incidentes ocorridos em 2009, 2011,^[176] e 2012, mas Pyongyang nega as acusações.^[177]

Estados unidos

Legislação

O 18 U.S.C. § 1030 de 1986, a Lei de Fraude e Abuso de Computador é a legislação chave. Ela proíbe o acesso não autorizado ou dano de "computadores protegidos" conforme definido em 18 U.S.C. § 1030(e)(2). Embora várias outras medidas tenham sido propostas^[178][179]- nenhuma foi bem sucedida.

Em 2013, foi assinada a ordem executiva 13636 Melhorando a segurança cibernética da infraestrutura crítica , que levou à criação da Estrutura de segurança cibernética do NIST

Serviços de testes governamentais padronizados

A Administração de Serviços Gerais (GSA) padronizou o serviço de "teste de intrusão" (pen test) como um serviço de suporte pré-aprovado, para abordar rapidamente vulnerabilidades em potencial e impedir os adversários antes que eles afetem os governos federal, estadual e local dos EUA. Esses serviços são comumente chamados de Highly Adaptive Cybersecurity Services (HACS) e estão listados no site US GSA Advantage. Veja mais informações aqui: Teste de intrusão: Serviços padronizados de teste de penetração do governo.

Agências

O Departamento de Segurança Interna tem uma divisão dedicada responsável pelo sistema de resposta, programa de gerenciamento de riscos e requisitos para segurança cibernética nos Estados Unidos, chamada de Divisão Nacional de Segurança Cibernética.^[180][181] A divisão abriga as operações US-CERT e o Sistema Nacional de Alerta Cibernético.^[181] O Centro Nacional de Integração de Segurança Cibernética e Comunicações reúne organizações governamentais responsáveis pela proteção de redes de computadores e infraestrutura de rede.^[182]

A terceira prioridade do FBI é: "Proteger os Estados Unidos contra ataques cibernéticos e crimes de alta tecnologia",^[183] e eles, junto com o National White Collar Crime Center (NW3C) e o Departamento de Ajuda à Justiça (BJA), fazem parte da força-tarefa de várias agências, o Centro de Reclamações dos crimes da internet, também conhecido como IC3.^[184]

Além de suas próprias funções específicas, o FBI participa ao lado de organizações sem fins lucrativos, como InfraGard.^[185][186]

Na divisão criminal do Departamento de Justiça dos Estados Unidos opera uma seção chamada Seção de Crimes Informáticos e Propriedade Intelectual. A CCIPS é responsável pela investigação de crimes de crimes informáticos e de propriedade intelectual e é especializada na procura e apreensão de provas digitais em computadores e redes.^[187] Em 2017, o CCIPS publicou A Estrutura para um Programa de Divulgação de Vulnerabilidade para Sistemas Online para ajudar as organizações "a descrever claramente a divulgação autorizada de vulnerabilidade e conduta de descoberta, portanto reduzindo substancialmente a probabilidade de que tais atividades descritas resultem em uma violação civil ou criminal da lei sob a Lei de Fraude e Abuso de Computador (18 U.S.C. § 1030)."^[188]

O Comando Cibernético dos Estados Unidos, também conhecido como USCYBERCOM, " tem a missão de dirigir, sincronizar e coordenar o planejamento e as operações do ciberespaço para defender e promover os interesses nacionais em colaboração com parceiros domésticos e internacionais . "^[189] Não tem função na proteção de redes civis.^[190][191]

O papel da Comissão Federal de Comunicações dos EUA na segurança cibernética é fortalecer a proteção da infraestrutura crítica de comunicações, ajudar a manter a confiabilidade das redes durante desastres, ajudar na rápida recuperação após e garantir que os primeiros socorros tenham acesso a serviços de comunicação eficazes.^[192]

A Food and Drug Administration (FDA) emitiu orientações para dispositivos médicos,^[193] e a Administração Nacional de Segurança de Tráfego Rodoviário^[194] está preocupado com a segurança cibernética automotiva. Depois de ser criticado pelo Escritório de contabilidade do governo,^[195] e após ataques bem-sucedidos a aeroportos e alegados ataques a aviões, a Administração Federal de Aviação dedicou fundos para proteger os sistemas a bordo de aviões de fabricantes privados e o ACARS.^[196] Também foram levantadas preocupações sobre o futuro Sistema de Transporte Aéreo de Próxima Geração.^[197]

Equipe de resposta à emergências em computadores

"Equipe de resposta à emergências em computadores" é o nome dado a grupos de especialistas que lidam com incidentes de segurança em computadores. Nos Estados Unidos, existem duas organizações distintas, embora trabalhem juntas.

• US-CERT: parte da Divisão Nacional de Segurança Cibernética do [Departamento de Segurança Interna dos Estados Unidos]].^[198]

• CERT / CC: criado pela DARPA e administrado pelo Instituto de Engenharia de Software (SEI).

Guerra moderna

 Ver artigo principal: en: Cyberwarfare

Há uma preocupação crescente de que o ciberespaço se torne o próximo palco de guerra. Como Mark Clayton de The Christian Science Monitor descrito em um artigo intitulado "The New Cyber Arms Race":

No futuro, as guerras não serão travadas apenas por soldados armados ou com aviões que lançam bombas. Eles também serão combatidos com o clique de um mouse a meio mundo de distância, que desencadeia programas de computador cuidadosamente armados que interrompem ou destroem setores críticos como serviços públicos, transporte, comunicações e energia. Esses ataques também podem desativar as redes militares que controlam o movimento das tropas, o caminho dos caças, o comando e o controle dos navios de guerra.^[199]

Isso levou a novos termos como ciberguerra e ciberterrorismo . O Comando Cibernético dos Estados Unidos foi criado em 2009^[200] e muitos outros países têm forças semelhantes.

Existem algumas vozes críticas que questionam se a segurança cibernética é uma ameaça tão significativa quanto parece ser.^{[201][202][203]}

Carreiras

A segurança cibernética é um campo de rápido crescimento da TI preocupada em reduzir o risco de hackeamento ou violação de dados nas organizações.^[204] De acordo com uma pesquisa do Enterprise Strategy Group, 46% das organizações dizem que têm uma "escassez problemática" de habilidades de segurança cibernética em 2016, contra 28% em 2015.^[205] Organizações comerciais, governamentais e não governamentais empregam profissionais de segurança cibernética. Os aumentos mais rápidos na demanda por funcionários de segurança cibernética estão em setores que gerenciam volumes crescentes de dados do consumidor, como finanças, saúde e varejo. ^{[carece de fontes?]} No entanto, o uso do termo "cibersegurança" é mais prevalente nas descrições de cargos do governo.^[206]

As descrições típicas de cargos de segurança cibernética incluem: ^[207]

Analista de segurança

Analisa e avalia vulnerabilidades na infraestrutura (software, hardware, redes), investiga usando as ferramentas e contramedidas disponíveis para remediar as vulnerabilidades detectadas e recomenda soluções e melhores práticas. Analisa e avalia os danos aos dados / infraestrutura como resultado de incidentes de segurança, examina as ferramentas e processos de recuperação disponíveis e recomenda soluções. Testes de conformidade com políticas e procedimentos de segurança. Pode auxiliar na criação, implementação ou gerenciamento de soluções de segurança.

Engenheiro de segurança

Executa monitoramento de segurança, análise de dados / logs de segurança e análise forense para detectar incidentes de segurança e monta a resposta a incidentes. Investiga e utiliza novas tecnologias e processos para aprimorar os recursos de segurança e implementar melhorias. Também pode revisar o código ou executar outras metodologias de engenharia de segurança.

Arquiteto de segurança

Projeta um sistema de segurança ou componentes principais de um sistema de segurança e pode liderar uma equipe de design de segurança que cria um novo sistema de segurança.

Administrador de segurança

Instala e gerencia sistemas de segurança em toda a organização. Essa posição também pode incluir assumir algumas das tarefas de analista de segurança em organizações menores.

Diretor de Segurança da Informação (CISO)

Uma posição de alto nível gerencial responsável por toda a divisão / equipe de segurança da informação. A posição pode incluir trabalho técnico prático.

Diretor de Segurança (CSO)

Uma posição de gerenciamento de alto nível responsável por toda a divisão / equipe de segurança. Uma posição mais nova agora considerada necessária conforme os riscos de segurança aumentam.

Consultor de Segurança / Especialista / Inteligência

Títulos abrangentes que abrangem qualquer uma ou todas as outras funções ou títulos com a tarefa de proteger computadores, redes, software, dados ou sistemas de informação contra vírus, worms, spyware, malware, detecção de intrusão, acesso não autorizado, ataques de negação de serviço, e uma lista cada vez maior de ataques de hackers agindo como indivíduos ou como parte do crime organizado ou de governos estrangeiros.

Os programas para estudantes também estão disponíveis para pessoas interessadas em iniciar uma carreira em segurança cibernética.^[208][209] Enquanto isso, uma opção flexível e eficaz para profissionais de segurança da informação de todos os níveis de experiência continuarem estudando é o treinamento de segurança online, incluindo webcasts.^[210][211] Uma grande variedade de cursos certificados também estão disponíveis.^[212]

No Reino Unido, um conjunto nacional de fóruns de cibersegurança, conhecido como Fórum de segurança cibernética do Reino Unido, foi estabelecido com o apoio da estratégia de cibersegurança do governo^[213] A fim de encorajar start-ups e inovação e abordar a falta de competências^[214] identificado pelo Governo do Reino Unido.

Terminologia

Os seguintes termos usados em relação à segurança de computadores são explicados abaixo:

• Acesso autorização restringe o acesso a um computador a um grupo de usuários por meio do uso de sistemas autenticação. Esses sistemas podem proteger todo o computador, como por meio de uma tela login interativa, ou serviços individuais, como um servidor FTP. Existem muitos métodos para identificar e autenticar usuários, como senhas, documento de identidade, cartão inteligente e sistemas biométricos.
• Antivírus consiste em programas de computador que tentam identificar, impedir e eliminar vírus de computador e outro software malicioso (malware).
• Aplicativos são códigos executáveis, então a prática geral é desabilitar o poder dos usuários de instalá-los; para instalar apenas aqueles que são conhecidos por serem confiáveis - e para reduzir a superfície de ataque instalando o mínimo possível. Eles são normalmente executados com privilégio mínimo, com um processo robusto em vigor para identificar, testar e instalar quaisquer patchs de segurança ou atualizações lançadas para eles.
• As técnicas de autenticação podem ser usadas para garantir que os terminais de comunicação sejam quem dizem ser.
• Prova automática de teoremas e outras ferramentas de verificação podem permitir que algoritmos e códigos críticos usados em sistemas seguros sejam matematicamente comprovados para atender às suas especificações.
• Backups são uma ou mais cópias mantidas de arquivos importantes do computador. Normalmente, várias cópias são mantidas em locais diferentes para que, se uma cópia for roubada ou danificada, outras cópias ainda existam.
• A Capacidade e listas de controle de acesso técnicas podem ser usadas para garantir a separação de privilégios e o controle de acesso obrigatório.
• As técnicas de Cadeia de confiança podem ser usadas para tentar garantir que todo o software carregado foi certificado como autêntico pelos projetistas do sistema.
• Confidencialidade é a não divulgação de informações, exceto para outra pessoa autorizada.^[215]
• Técnicas de criptografia podem ser usadas para defender dados em trânsito entre sistemas, reduzindo a probabilidade de que dados trocados entre sistemas possam ser interceptados ou modificados.
• Ciberguerra é um conflito baseado na Internet que envolve ataques com motivação política contra a informação e os sistemas de informação. Esses ataques podem, por exemplo, desativar sites e redes oficiais, interromper ou desativar serviços essenciais, roubar ou alterar dados classificados e paralisar sistemas financeiros.
• Integridade de dados é a precisão e consistência dos dados armazenados, indicada pela ausência de qualquer alteração nos dados entre duas atualizações de um registro de dados.^[216]

 

A criptografia envolve transformar informações, embaralhá-las, de forma que se tornem ilegíveis durante a transmissão. O destinatário pretendido pode decifrar a mensagem; idealmente, os bisbilhoteiros não podem.

• Criptografia é usada para proteger a confidencialidade de uma mensagem. Cifras criptograficamente seguras são projetadas para fazer qualquer tentativa prática de quebrá-las inviável. As cifras de chave simétrica são adequadas para criptografia em massa usando chave compartilhada e criptografia de chave pública com um certificado digital podem fornecer uma solução prática para o problema de comunicação segura quando nenhuma chave é compartilhada com antecedência.
• O software de segurança de endpoint auxilia as redes na prevenção de infecção por malware e roubo de dados em pontos de entrada de rede tornados vulneráveis pela prevalência de dispositivos potencialmente infectados, como laptops, dispositivos móveis e drives USB.^[217]
• Firewalls servem como um sistema de gatekeeper entre as redes, permitindo apenas o tráfego que corresponda às regras definidas. Eles geralmente incluem log de dados detalhado e podem incluir recursos como a detecção de intrusão. Eles são quase universais entre a empresa redes locais e a Internet, mas também podem ser usados internamente para impor regras de tráfego entre as redes se segmentação de rede estiver configurada.
• Um hacker é alguém que busca violar as defesas e explorar os pontos fracos de um sistema de computador ou rede.
• Honeypots são computadores que são deixados intencionalmente vulneráveis a ataques de crackers. Eles podem ser usados para pegar biscoitos e identificar suas técnicas.
• Sistemas de detecção de intrusões são dispositivos ou aplicativos de software que monitoram redes ou sistemas quanto a atividades maliciosas ou violações de políticas.
• Um microkernel é uma abordagem ao design do sistema operacional que tem apenas a quantidade quase mínima de código em execução no nível mais privilegiado - e executa outros elementos do sistema operacional, como drivers de dispositivos, pilhas de protocolo e sistemas de arquivos, no espaço do usuário mais seguro e menos privilegiado.
• Pinging. O aplicativo "ping" padrão pode ser usado para testar se um endereço IP está em uso. Se for, os invasores podem tentar utilizar um port scanner para detectar quais serviços estão expostos.
• Um port scanner é usada para sondar um endereço IP para portas abertas para identificar serviços e aplicativos de rede acessíveis.
• Um Keylogger é um spyware que captura e armazena silenciosamente cada tecla que um usuário digita no teclado do computador.
• Engenharia social é o uso de engano para manipular indivíduos para violar a segurança.
• Bomba lógica é um tipo de malware adicionado a um programa legítimo que permanece adormecido até ser disparado por um evento específico.

Acadêmicos

• Ross J. Anderson
• Annie Anton
• Adam Back
• Daniel J. Bernstein
• Matt Blaze
• Stefan Brands
• L. Jean Camp
• Lance Cottrell
• Lorrie Cranor
• Dorothy E. Denning
• Peter J. Denning
• Cynthia Dwork
• Chuck Easttom
• Deborah Estrin
• Joan Feigenbaum
• Ian Goldberg
• Shafi Goldwasser
• Lawrence A. Gordon
• Peter Gutmann
• Paul Kocher
• Monica S. Lam
• Butler Lampson
• Brian LaMacchia
• Carl Landwehr
• Kevin Mitnick
• Peter G. Neumann
• Susan Nycum
• Paul C. van Oorschot
• Roger R. Schell
• Bruce Schneier
• Dawn Song
• Gene Spafford
• Salvatore J. Stolfo
• Willis Ware
• Moti Yung

Ver também

• Árvore de Ataque
• Ataque da Bicicleta
• CAPTCHA
• Segurança de computação em nuvem
• Common Criteria
• Software de comparação de antivírus
• Modelos de segurança computacional
• Desarmamento e reconstrução de conteúdo
• Política de Segurança de Conteúdo
• Contra-medida (Computação)
• Cibobiossegurança
• Crime informático
• Lista de tecnologia da informação de cibersegurança
• Cyber-seguro
• Padrões de segurança cibernética
• Autodefesa cibernética
• Porcos dançantes
• Segurança de dados
• Estratégia de defesa (computação)
• Criptografia de disco
• Exploit (segurança de computadores)
• Tolerância a falhas (hardware)
• Segurança de hardware
• Interação humano-computador (segurança)
• Gestão de identidades
• Roubo de identidade
• Segurança baseada em identidade
• Conscientização da segurança da informação
• Privacidade na internet
• Segurança da Internet
• Risco TI
• Kill Chain
• Keylogging
• Lista de certificações de segurança de computador
• Lista das forças da guerra cibernética
• Segurança aberta
• Outline of computer security
• OWASP
• Teste de intrusão
• Segurança da informação física
• Software de privacidade
• Defesa cibernética proativa
• Ransomware
• Sandbox (segurança de computadores)
• Distinção entre proteção e segurança
• Perímetro Definido por Software

Referências

1. «Cibersegurança». Claranet. 8 de outubro de 2021. Consultado em 26 de fevereiro de 2022 
2. Tate 2013.
3. Stevens 2018, p. 1–4.
4. «Computer Security and Mobile Security Challenges». researchgate.net. 3 de dezembro de 2015. Consultado em 4 de agosto de 2016. Cópia arquivada em 12 de outubro de 2016 
5. «Ghidra» 
6. «Syzbot: Google Continuously Fuzzing The Linux Kernel» 
7. «Distributed Denial of Service Attack». csa.gov.sg. Consultado em 12 de novembro de 2014. Cópia arquivada em 6 de agosto de 2016 
8. Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
9. K. Reimers, D. Andersson (2017) POST-SECONDARY EDUCATION NETWORK SECURITY: THE END USER CHALLENGE AND EVOLVING THREATS, ICERI2017 Proceedings, pp. 1787-1796.
10. Schlienger, Thomas; Teufel, Stephanie (2003). «Information security culture-from analysis to change». South African Computer Journal. 31: 46–52 
11. Lin, Tom CW (3 de julho de 2017). «The New Market Manipulation». Emory Law Journal. 66: 1253. SSRN 2996896  
12. Lin, Tom CW (2016). «Financial Weapons of War». Minnesota Law Review. SSRN 2765010  
13. Pagliery, Jose (18 de novembro de 2014). «Hackers attacked the U.S. energy grid 79 times this year». CNN Money. Cable News Network. Consultado em 16 de Abril de 2015. Cópia arquivada em 18 de Fevereiro de 2015 
14. P. G. Neumann, "Computer Security in Aviation", apresentado na Conferência Internacional sobre Segurança e Proteção da Aviação no Século XXI, Comissão da Casa Branca sobre Segurança e Proteção, 1997.
15. J. Zellan, Segurança da Aviação. Hauppauge, NY: Nova Science, 2003, pp. 65–70.
16. «Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] - SecurityWeek.Com». Cópia arquivada em 8 de Fevereiro de 2015 
17. «Hacker Diz que pode invadir sistemas de aviões usando Wi-Fi de bordo». NPR.org. 4 de agosto de 2014. Cópia arquivada em 8 de fevereiro de 2015 
18. Jim Finkle (4 de agosto de 2014). «Hacker diz para mostrar jatos de passageiros em risco de ataque cibernético». Reuters. Cópia arquivada em 13 de outubro de 2015 
19. «Serviços de rede pan-europeus (PENS) - Eurocontrol.int». Cópia arquivada em 12 de dezembro de 2016 
20. «Serviços centralizados: NewPENS avança - Eurocontrol.int». 17 de janeiro de 2016. Cópia arquivada em 19 de março de 2017 
21. «NextGen Data Communication». FAA. Consultado em 15 de junho de 2017. Cópia arquivada em 13 de março de 2015 
22. «Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It». NPR.org. 6 de Agosto de 2014. Cópia arquivada em 11 de Fevereiro de 2015 
23. Melvin Backman (18 de Setembro de 2014). «Home Depot: 56 million cards exposed in breach». CNNMoney. Cópia arquivada em 18 de Dezembro de 2014 
24. «Staples: Breach may have affected 1.16 million customers' cards». Fortune.com. 19 de Dezembro de 2014. Consultado em 21 de dezembro de 2014. Cópia arquivada em 21 de Dezembro de 2014 
25. CNNMoney Staff (19 de Dezembro de 2013). «Target: 40 million credit cards compromised». CNN. Consultado em 29 de Novembro de 2017. Cópia arquivada em 1 de Dezembro de 2017 
26. Cowley, Stacy (2 de outubro de 2017). «2,5 milhões de pessoas potencialmente expostas na violação do Equifax». The New York Times. Consultado em 29 de novembro de 2017. Cópia arquivada em 1 de dezembro de 2017 
27. Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk (PDF) (Relatório). 6 de fevereiro de 2015. Consultado em 4 de Novembro de 2016. Cópia arquivada (PDF) em 9 de Novembro de 2016 
28. Staff, AOL. «Cybersecurity expert: It will take a 'major event' for companies to take this issue seriously». AOL.com (em inglês). Consultado em 22 de Janeiro de 2017. Cópia arquivada em 20 de Janeiro de 2017 
29. «The problem with self-driving cars: who controls the code?». The Guardian. 23 de Dezembro de 2015. Consultado em 22 de Janeiro de 2017. Cópia arquivada em 16 de Março de 2017 
30. Stephen Checkoway; Damon McCoy; Brian Kantor; Danny Anderson; Hovav Shacham; Stefan Savage; Karl Koscher; Alexei Czeskis; Franziska Roesner; Tadayoshi Kohno (2011). Comprehensive Experimental Analyses of Automotive Attack Surfaces (PDF). SEC'11 Proceedings of the 20th USENIX conference on Security. Berkeley, CA, US: USENIX Association. 6 páginas. Cópia arquivada (PDF) em 21 de Fevereiro de 2015 
31. Timothy B. Lee (18 de Janeiro de 2015). «The next frontier of hacking: your car». Vox. Cópia arquivada em 17 de Março de 2017 
32. Greenberg, Andy (21 de julho de 2015). «Hackers Remotely Kill a Jeep on the Highway—With Me in It». Wired. Consultado em 22 de Janeiro de 2017. Cópia arquivada em 19 de Janeiro de 2017 
33. «Hackers take control of car, drive it into a ditch». The Independent. 22 de Julho de 2015. Consultado em 22 de Janeiro de 2017. Cópia arquivada em 2 de Fevereiro de 2017 
34. Staff, Our Foreign (21 de setembro de 2016). «Tesla fixes software bug that allowed Chinese hackers to control car remotely». The Telegraph. Consultado em 22 de Janeiro de 2017. Cópia arquivada em 2 de Fevereiro de 2017 
35. Kang, Cecilia (19 de Setembro de 2016). «Self-Driving Cars Gain Powerful Ally: The Government». The New York Times. Consultado em 22 de Janeiro de 2017. Cópia arquivada em 14 de Fevereiro de 2017 
36. «Federal Automated Vehicles Policy» (PDF). Consultado em 22 de Janeiro de 2017. Cópia arquivada (PDF) em 21 de Janeiro de 2017 
37. «Gary McKinnon profile: Autistic 'hacker' who started writing computer programs at 14». The Daily Telegraph. London. 23 de Janeiro de 2009. Cópia arquivada em 2 de Junho de 2010 
38. «Gary McKinnon extradition ruling due by 16 October». BBC News. 6 de Setembro de 2012. Consultado em 25 de Setembro de 2012. Cópia arquivada em 6 de Setembro de 2012 
39. Law Lords Department (30 de Julho de 2008). «House of Lords – Mckinnon V Government of The United States of America and Another». Publications.parliament.uk. Consultado em 30 de Janeiro de 2010. Cópia arquivada em 7 de Março de 2009. 15. … alleged to total over $700,000 
40. "NSA Accessed Mexican President's Email" Arquivado em 2015-11-06 no Wayback Machine, 20 October 2013, Jens Glüsing, Laura Poitras, Marcel Rosenbach and Holger Stark, spiegel.de
41. Sanders, Sam (4 de Junho de 2015). «Massive Data Breach Puts 4 Million Federal Employees' Records At Risk». NPR. Consultado em 5 de Junho de 2015. Cópia arquivada em 5 de Junho de 2015 
42. Liptak, Kevin (4 de Junho de 2015). «U.S. government hacked; feds think China is the culprit». CNN. Consultado em 5 de Junho de 2015. Cópia arquivada em 6 de junho de 2015 
43. Sean Gallagher. «Encryption "would not have helped" at OPM, says DHS official». Cópia arquivada em 24 de Junho de 2017 
44. Davis, Michelle R. (19 de Outubro de 2015). «Schools Learn Lessons From Security Breaches». Education Week. Consultado em 23 de maio de 2016. Cópia arquivada em 10 de Junho de 2016 
45. «Internet of Things Global Standards Initiative». ITU. Consultado em 26 de Junho de 2015. Cópia arquivada em 26 de Junho de 2015 
46. Singh, Jatinder; Pasquier, Thomas; Bacon, Jean; Ko, Hajoon; Eyers, David (2015). «Twenty Cloud Security Considerations for Supporting the Internet of Things». IEEE Internet of Things Journal. 3 (3): 269–284. doi:10.1109/JIOT.2015.2460333 
47. Chris Clearfield. «Why The FTC Can't Regulate The Internet Of Things». Forbes. Consultado em 26 de Junho de 2015. Cópia arquivada em 27 de Junho de 2015 
48. «Internet of Things: Science Fiction or Business Fact?» (PDF). Harvard Business Review. Consultado em 4 de Novembro de 2016 
49. Ovidiu Vermesan; Peter Friess. «Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems» (PDF). River Publishers. Consultado em 4 de Novembro de 2016. Cópia arquivada (PDF) em 12 de Outubro de 2016 
50. Christopher Clearfield "Rethinking Security for the Internet of Things" Harvard Business Review Blog, 26 June 2013 Arquivado em 2013-09-20 no Wayback Machine/
51. «Hotel room burglars exploit critical flaw in electronic door locks». Ars Technica. 26 de novembro de 2012. Consultado em 23 de Maio de 2016. Cópia arquivada em 14 de Maio de 2016 
52. «Hospital Medical Devices Used As Weapons In Cyberattacks». Dark Reading. Consultado em 23 de Maio de 2016. Cópia arquivada em 29 de Maio de 2016 
53. Jeremy Kirk (17 de outubro de 2012). «Pacemaker hack can deliver deadly 830-volt jolt». Computerworld. Consultado em 23 de Maio de 2016. Cópia arquivada em 4 de Junho de 2016 
54. News, Kaiser Health (17 de novembro de 2014). «How Your Pacemaker Will Get Hacked». The Daily Beast. Consultado em 23 de Maio de 2016. Cópia arquivada em 20 de Maio de 2016 
55. Leetaru, Kalev. «Hacking Hospitals And Holding Hostages: Cybersecurity In 2016». Forbes. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
56. «Cyber-Angriffe: Krankenhäuser rücken ins Visier der Hacker». Wirtschafts Woche. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
57. «Hospitals keep getting attacked by ransomware—Here's why». Business Insider. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
58. «MedStar Hospitals Recovering After 'Ransomware' Hack». NBC News. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
59. Pauli, Darren. «US hospitals hacked with ancient exploits». The Register. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 16 de Novembro de 2016 
60. Pauli, Darren. «Zombie OS lurches through Royal Melbourne Hospital spreading virus». The Register. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
61. «Hacked Lincolnshire hospital computer systems 'back up'». BBC News. 2 de Novembro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
62. «Lincolnshire operations cancelled after network attack». BBC News. 31 de Outubro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
63. «Legion cyber-attack: Next dump is sansad.nic.in, say hackers». The Indian Express. 12 de Dezembro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
64. «Former New Hampshire Psychiatric Hospital Patient Accused Of Data Breach». CBS Boston. 27 de dezembro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Setembro de 2017 
65. «Texas Hospital hacked, affects nearly 30,000 patient records». Healthcare IT News. 4 de Novembro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 29 de Dezembro de 2016 
66. Becker, Rachel (27 de Dezembro de 2016). «New cybersecurity guidelines for medical devices tackle evolving threats». The Verge. Consultado em 29 de Dezembro de 2016. Cópia arquivada em 28 de Dezembro de 2016 
67. «Postmarket Management of Cybersecurity in Medical Devices» (PDF). 28 de Dezembro de 2016. Consultado em 29 de Dezembro de 2016. Cópia arquivada (PDF) em 29 de Dezembro de 2016 
68. Brandt, Jaclyn (18 de junho de 2018). «D.C. distributed energy proposal draws concerns of increased cybersecurity risks». Daily Energy Insider (em inglês). Consultado em 4 de julho de 2018 
69. Cashell, B., Jackson, W. D., Jickling, M., & Webel, B. (2004). The Economic Impact of Cyber-Attacks. Congressional Research Service, Government and Finance Division. Washington DC: The Library of Congress.
70. Gordon, Lawrence; Loeb, Martin (Novembro de 2002). «The Economics of Information Security Investment». ACM Transactions on Information and System Security. 5 (4): 438–457. doi:10.1145/581271.581274 
71. Chermick, Steven; Freilich, Joshua; Holt, Thomas (Abril de 2017). «Exploring the Subculture of Ideologically Motivated Cyber-Attackers». Journal of Contemporary Criminal Justice. 33 (3): 212–233. doi:10.1177/1043986217699100 
72. Predefinição:IETF RFC Internet Security Glossary
73. CNSS Instruction No. 4009 Arquivado em 2012-02-27 no Wayback Machine dated 26 Abril 2010
74. «InfosecToday Glossary» (PDF). Cópia arquivada (PDF) em 20 de Novembro de 2014 
75. Definitions: IT Security Architecture Arquivado em 2014-03-15 no Wayback Machine. SecurityArchitecture.org, Jan, 2006
76. Jannsen, Cory. «Security Architecture». Techopedia. Janalta Interactive Inc. Consultado em 9 de Outubro de 2014. Cópia arquivada em 3 de Outubro de 2014 
77. Woodie, Alex (9 de Maio de 2016). «Why ONI May Be Our Best Hope for Cyber Security Now». Consultado em 13 de Julho de 2016. Cópia arquivada em 20 de Agosto de 2016 
78. «Firms lose more to electronic than physical theft». Reuters. 18 de outubro de 2010. Cópia arquivada em 25 de Setembro de 2015 
79. Walkowski, Debbie (9 de julho de 2019). «What Is The CIA Triad?». F5 Labs (em inglês). Consultado em 25 de fevereiro de 2020 
80. «Knowing Value of Data Assets is Crucial to Cybersecurity Risk Management | SecurityWeek.Com». www.securityweek.com. Consultado em 25 de fevereiro de 2020 
81. Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
82. Academy, Cisco Networking (17 de junho de 2018). CCNA Cybersecurity Operations Companion Guide (em inglês). [S.l.]: Cisco Press. ISBN 978-0-13-516624-6 
83. Alan Calder and Geraint Williams (2014). PCI DSS: A Pocket Guide, 3rd Edition. [S.l.: s.n.] ISBN 978-1-84928-554-4. network vulnerability scans at least quarterly and after any significant change in the network 
84. Harrison, J. (2003). «Formal verification at Intel». 18th Annual IEEE Symposium of Logic in Computer Science, 2003. Proceedings. [S.l.: s.n.] pp. 45–54. ISBN 978-0-7695-1884-8. doi:10.1109/LICS.2003.1210044 
85. Umrigar, Zerksis D.; Pitchumani, Vijay (1983). «Formal verification of a real-time hardware design». Proceeding DAC '83 Proceedings of the 20th Design Automation Conference. [S.l.]: IEEE Press. pp. 221–7. ISBN 978-0-8186-0026-5 
86. «Abstract Formal Specification of the seL4/ARMv6 API» (PDF). Consultado em 19 de Maio de 2015. Cópia arquivada (PDF) em 21 de Maio de 2015 
87. Christoph Baumann, Bernhard Beckert, Holger Blasum, and Thorsten Bormer Ingredients of Operating System Correctness? Lessons Learned in the Formal Verification of PikeOS Arquivado em 2011-07-19 no Wayback Machine
88. "Getting it Right" Arquivado em 2013-05-04 no Wayback Machine by Jack Ganssle
89. Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 Junho.
90. Villasenor, John (2010). «The Hacker in Your Hardware: The Next Security Threat». Scientific American. 303 (2): 82–88. Bibcode:2010SciAm.303b..82V. PMID 20684377. doi:10.1038/scientificamerican0810-82 
91. Waksman, Adam; Sethumadhavan, Simha (2010), «Tamper Evident Microprocessors» (PDF), Oakland, California, Proceedings of the IEEE Symposium on Security and Privacy, consultado em 27 de agosto de 2019, cópia arquivada (PDF) em 21 de Setembro de 2013 
92. «Token-based authentication». SafeNet.com. Consultado em 20 de março de 2014. Cópia arquivada em 20 de Março de 2014 
93. «Lock and protect your Windows PC». TheWindowsClub.com. 10 de fevereiro de 2010. Consultado em 20 de março de 2014. Cópia arquivada em 20 de Março de 2014 
94. James Greene (2012). «Intel Trusted Execution Technology: White Paper» (PDF). Intel Corporation. Consultado em 18 de dezembro de 2013. Cópia arquivada (PDF) em 11 de Junho de 2014 
95. «SafeNet ProtectDrive 8.4». SCMagazine.com. 4 de outubro de 2008. Consultado em 20 de março de 2014. Cópia arquivada em 20 de Março de 2014 
96. «Secure Hard Drives: Lock Down Your Data». PCMag.com. 11 de maio de 2009. Cópia arquivada em 21 de Junho de 2017 
97. NIST 800-124 https://www.nist.gov/publications/guidelines-managing-security-mobile-devices-enterprise
98. «Forget IDs, use your phone as credentials». Fox Business Network. 4 de novembro de 2013. Consultado em 20 de março de 2014. Cópia arquivada em 20 de Março de 2014 
99. Lipner, Steve (2015). «The Birth and Death of the Orange Book». IEEE Annals of the History of Computing. 37 (2): 19–31. doi:10.1109/MAHC.2015.27 
100. Kelly Jackson Higgins (18 de novembro de 2008). «Secure OS Gets Highest NSA Rating, Goes Commercial». Dark Reading. Consultado em 1 de dezembro de 2013. Cópia arquivada em 3 de Dezembro de 2013 
101. «Board or bored? Lockheed Martin gets into the COTS hardware biz». VITA Technologies Magazine. 10 de Dezembro de 2010. Consultado em 9 de Março de 2012. Cópia arquivada em 2 de Maio de 2012 
102. Sanghavi, Alok (21 de Maio de 2010). «What is formal verification?». EE Times_Asia 
103. Ferraiolo, D.F.; Kuhn, D.R. (Outubro de 1992). «Role-Based Access Control» (PDF). 15th National Computer Security Conference: 554–563  Verifique o valor de |name-list-format=amp (ajuda)
104. Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. (Agosto de 1996). «Role-Based Access Control Models» (PDF). IEEE Computer. 29 (2): 38–47. CiteSeerX 10.1.1.50.7649 . doi:10.1109/2.485845  !CS1 manut: Nomes múltiplos: lista de autores (link)
105. ABREU, VILMAR; Santin, Altair O.; VIEGAS, EDUARDO K.; STIHLER, MAICON (2017). A multi-domain role activation model. (PDF). ICC 2017 2017 IEEE International Conference on Communications. [S.l.]: IEEE Press. pp. 1–6. ISBN 978-1-4673-8999-0. doi:10.1109/ICC.2017.7997247 
106. A.C. O'Connor; R.J. Loomis (Março de 2002). Economic Analysis of Role-Based Access Control (PDF). [S.l.]: Research Triangle Institute. 145 páginas  Verifique o valor de |name-list-format=amp (ajuda)
107. «Studies prove once again that users are the weakest link in the security chain». CSO Online. 22 de janeiro de 2014. Consultado em 8 de Outubro de 2018 
108. «The Role of Human Error in Successful Security Attacks». IBM Security Intelligence. 2 de setembro de 2014. Consultado em 8 de outubro de 2018 
109. «90% of security incidents trace back to PEBKAC and ID10T errors». Computerworld. 15 de abril de 2015. Consultado em 8 de Outubro de 2018 
110. «Protect your online banking with 2FA». NZ Bankers Association. Consultado em 7 de setembro de 2019 
111. «IBM Security Services 2014 Cyber Security Intelligence Index» (PDF). 2014. Consultado em 9 de outubro de 2020 
112. Caldwell, Tracey (12 de fevereiro de 2013). «Risky business: why security awareness is crucial for employees». The Guardian. Consultado em 8 de Outubro de 2018 
113. «Developing a Security Culture». CPNI - Centre for the Protection of National Infrastructure 
114. «Cyber Hygiene — ENISA» (em inglês). Consultado em 27 de setembro de 2018 
115. Kuchler, Hannah (27 de abril de 2015). «Security execs call on companies to improve 'cyber hygiene'» . Financial Times. Consultado em 27 de setembro de 2018 
116. «From AI to Russia, Here's How Estonia's President Is Planning for the Future». WIRED (em inglês). Consultado em 28 de setembro de 2018 
117. «Professor Len Adleman explains how he coined the term "computer virus"». WeLiveSecurity (em inglês). 1 de novembro de 2017. Consultado em 28 de setembro de 2018 
118. «Statement of Dr. Vinton G. Cerf». www.jec.senate.gov. Consultado em 28 de setembro de 2018 
119. Anna, Eshoo (22 de maio de 2018). «Text - H.R.3010 - 115th Congress (2017-2018): Promoting Good Cyber Hygiene Act of 2017». www.congress.gov (em inglês). Consultado em 28 de setembro de 2018 
120. «Analysis | The Cybersecurity 202: Agencies struggling with basic cybersecurity despite Trump's pledge to prioritize it». The Washington Post (em inglês). Consultado em 28 de setembro de 2018 
121. «Protected Voices». Federal Bureau of Investigation (em inglês). Consultado em 28 de setembro de 2018 
122. Kaljulaid, Kersti (16 de outubro de 2017). «President of the Republic at the Aftenposten's Technology Conference». Consultado em 27 de setembro de 2018 
123. Wilcox, S. and Brown, B. (2005) ‘Responding to Security Incidents -- Sooner or Later Your Systems Will Be Compromised’, Journal of Health Care Compliance, 7(2), pp. 41–48.
124. Jonathan Zittrain, 'The Future of The Internet', Penguin Books, 2008
125. STALLINGS, William. BROWN, Lawrie. Segurança de Computadores. 2ed.
126. Information Security Arquivado em 2016-03-06 no Wayback Machine. United States Department of Defense, 1986
127. «THE TJX COMPANIES, INC. VICTIMIZED BY COMPUTER SYSTEMS INTRUSION; PROVIDES INFORMATION TO HELP PROTECT CUSTOMERS» (Nota de imprensa). The TJX Companies, Inc. 17 de janeiro de 2007. Consultado em 12 de dezembro de 2009. Cópia arquivada em 27 de Setembro de 2012 
128. Largest Customer Info Breach Grows Arquivado em 2007-09-28 no Wayback Machine. MyFox Twin Cities, 29 Março 2007.
129. «The Stuxnet Attack On Iran's Nuclear Plant Was 'Far More Dangerous' Than Previously Thought». Business Insider. 20 de Novembro de 2013. Cópia arquivada em 9 de Maio de 2014 
130. Reals, Tucker (24 de setembro de 2010). «Stuxnet Worm a U.S. Cyber-Attack on Iran Nukes?». CBS News. Cópia arquivada em 16 de Outubro de 2013 
131. Kim Zetter (17 de Fevereiro de 2011). «Cyberwar Issues Likely to Be Addressed Only After a Catastrophe». Wired. Consultado em 18 de Fevereiro de 2011. Cópia arquivada em 18 de Fevereiro de 2011 
132. Chris Carroll (18 de Outubro de 2011). «Cone of silence surrounds U.S. cyberwarfare». Stars and Stripes. Consultado em 30 de Outubro de 2011. Cópia arquivada em 7 de Março de 2012 
133. John Bumgarner (27 de Abril de 2010). «Computers as Weapons of War» (PDF). IO Journal. Consultado em 30 de Outubro de 2011. Cópia arquivada (PDF) em 19 de Dezembro de 2011 
134. Greenwald, Glenn (6 de junho de 2013). «NSA collecting phone records of millions of Verizon customers daily». The Guardian. Consultado em 16 de Agosto de 2013. Cópia arquivada em 16 de Agosto de 2013. Exclusive: Top secret court order requiring Verizon to hand over all call data shows scale of domestic surveillance under Obama 
135. Seipel, Hubert. «Transcript: ARD interview with Edward Snowden». La Foundation Courage. Consultado em 11 de Junho de 2014. Cópia arquivada em 14 de Julho de 2014 
136. Newman, Lily Hay (9 de Outubro de 2013). «Can You Trust NIST?». IEEE Spectrum. Cópia arquivada em 1 de Fevereiro de 2016 
137. «NIST Removes Cryptography Algorithm from Random Number Generator Recommendations». National Institute of Standards and Technology. 21 de Abril de 2014 
138. "New Snowden Leak: NSA Tapped Google, Yahoo Data Centers" Arquivado em 2014-07-09 no Wayback Machine, 31 Oct 2013, Lorenzo Franceschi-Bicchierai, mashable.com
139. Michael Riley; Ben Elgin; Dune Lawrence; Carol Matlack. «Target Missed Warnings in Epic Hack of Credit Card Data – Businessweek». Businessweek.com. Cópia arquivada em 27 de Janeiro de 2015 
140. «Home Depot says 53 million emails stolen». CNET. CBS Interactive. 6 de Novembro de 2014. Cópia arquivada em 9 de Dezembro de 2014 
141. «Millions more Americans hit by government personnel data hack». Reuters. 9 de julho de 2017. Consultado em 25 de fevereiro de 2017. Cópia arquivada em 28 de Fevereiro de 2017 
142. Barrett, Devlin. «U.S. Suspects Hackers in China Breached About four (4) Million People's Records, Officials Say». The Wall Street Journal. Cópia arquivada em 4 de Junho de 2015 
143. Risen, Tom (5 de Junho de 2015). «China Suspected in Theft of Federal Employee Records». US News & World Report. Cópia arquivada em 6 de junho de 2015 
144. Zengerle, Patricia (19 de julho de 2015). «Estimate of Americans hit by government personnel data hack skyrockets». Reuters. Cópia arquivada em 10 de Julho de 2015 
145. Sanger, David (5 de Junho de 2015). «Hacking Linked to China Exposes Millions of U.S. Workers». The New York Times. Cópia arquivada em 5 de Junho de 2015 
146. Mansfield-Devine, Steve (1 de setembro de 2015). «The Ashley Madison affair». Network Security. 2015 (9): 8–16. doi:10.1016/S1353-4858(15)30080-5 
147. «Mikko Hypponen: Fighting viruses, defending the net». TED. Cópia arquivada em 16 de Janeiro de 2013 
148. «Mikko Hypponen – Behind Enemy Lines». Hack In The Box Security Conference. Cópia arquivada em 25 de Novembro de 2016 
149. «Ensuring the Security of Federal Information Systems and Cyber Critical Infrastructure and Protecting the Privacy of Personally Identifiable Information». Government Accountability Office. Consultado em 3 de Novembro de 2015. Cópia arquivada em 19 de Novembro de 2015 
150. King, Georgia (23 de Maio de 2018). «The Venn diagram between libertarians and crypto bros is so close it's basically a circle». Quartz 
151. Kirby, Carrie (24 de Junho de 2011). «Former White House aide backs some Net regulation / Clarke says government, industry deserve 'F' in cyber security». The San Francisco Chronicle 
152. McCarthy, Daniel (11 de junho de 2018). «Privatizing Political Authority: Cybersecurity, Public-Private Partnerships, and the Reproduction of Liberal Political Order». Politics and Governance. 6 (2): 5–12. doi:10.17645/pag.v6i2.1335 
153. «It's Time to Treat Cybersecurity as a Human Rights Issue». Human Rights Watch. Consultado em 26 de Maio de 2020 
154. «FIRST Mission». FIRST. Consultado em 6 de Julho de 2018 
155. «FIRST Members». FIRST. Consultado em 6 de Julho de 2018 
156. «European council». Cópia arquivada em 3 de Dezembro de 2014 
157. «MAAWG». Cópia arquivada em 23 de Setembro de 2014 
158. «MAAWG». Cópia arquivada em 17 de Outubro de 2014 
159. Rafael Bucco (17 de dezembro de 2020). «Regulamento de Segurança Cibernética da Anatel prevê adequação de fabricantes». TeleSíntese. Cópia arquivada em 18 de dezembro de 2020 
160. «DECRETO Nº 11.856, DE 26 DE DEZEMBRO DE 2023». Diário Oficial da União. 27 de dezembro de 2023. Cópia arquivada em 27 de dezembro de 2023 
161. «Government of Canada Launches Canada's Cyber Security Strategy». Market Wired. 3 de Outubro de 2010. Consultado em 1 de Novembro de 2014. Cópia arquivada em 2 de Novembro de 2014 
162. «Canada's Cyber Security Strategy». Public Safety Canada. Government of Canada. Consultado em 1 de Novembro de 2014. Cópia arquivada em 2 de Novembro de 2014 
163. «Action Plan 2010–2015 for Canada's Cyber Security Strategy». Public Safety Canada. Government of Canada. Consultado em 3 de Novembro de 2014. Cópia arquivada em 2 de Novembro de 2014 
164. «Cyber Incident Management Framework For Canada». Public Safety Canada. Government of Canada. Consultado em 3 de Novembro de 2014. Cópia arquivada em 2 de novembro de 2014 
165. «Action Plan 2010–2015 for Canada's Cyber Security Strategy». Public Safety Canada. Government of Canada. Consultado em 1 de Novembro de 2014. Cópia arquivada em 2 de Novembro de 2014 
166. «Canadian Cyber Incident Response Centre». Public Safety Canada. Consultado em 1 de Novembro de 2014. Cópia arquivada em 8 de Outubro de 2014 
167. «Cyber Security Bulletins». Public Safety Canada. Consultado em 1 de Novembro de 2014. Cópia arquivada em 8 de Outubro de 2014 
168. «Report a Cyber Security Incident». Public Safety Canada. Government of Canada. Consultado em 3 de Novembro de 2014. Cópia arquivada em 11 de Novembro de 2014 
169. «Government of Canada Launches Cyber Security Awareness Month With New Public Awareness Partnership». Market Wired. Government of Canada. 27 de Setembro de 2012. Consultado em 3 de novembro de 2014. Cópia arquivada em 3 de Novembro de 2014 
170. «Cyber Security Cooperation Program». Public Safety Canada. Consultado em 1 de Novembro de 2014. Cópia arquivada em 2 de Novembro de 2014 
171. «Cyber Security Cooperation Program». Public Safety Canada. 16 de dezembro de 2015. Cópia arquivada em 2 de Novembro de 2014 
172. «GetCyberSafe». Get Cyber Safe. Government of Canada. Consultado em 3 de Novembro de 2014. Cópia arquivada em 11 de Novembro de 2014 
173. "6.16 Internet security: National IT independence and China’s cyber policy," in: Sebastian Heilmann, editor, [«Archived copy». Consultado em 11 de maio de 2017. Cópia arquivada em 23 de Março de 2017  China's Political System], Lanham, Boulder, New York, London: Rowman & Littlefield Publishers (2017) ISBN 978-1442277342
174. «Need for proper structure of PPPs to address specific cyberspace risks». Cópia arquivada em 13 de Novembro de 2017 
175. «National Cyber Safety and Security Standards(NCSSS)-Home». www.ncdrc.res.in 
176. «South Korea seeks global support in cyber attack probe». BBC Monitoring Asia Pacific. 7 de Março de 2011 
177. Kwanwoo Jun (23 de setembro de 2013). «Seoul Puts a Price on Cyberdefense». The Wall Street Journal. Dow Jones & Company, Inc. Consultado em 24 de Setembro de 2013. Cópia arquivada em 25 de Setembro de 2013 
178. «Text of H.R.4962 as Introduced in House: International Cybercrime Reporting and Cooperation Act – U.S. Congress». OpenCongress. Consultado em 25 de setembro de 2013. Cópia arquivada em 28 de dezembro de 2010 
179. [1] Arquivado em 2012-01-20 no Wayback Machine
180. «National Cyber Security Division». U.S. Department of Homeland Security. Consultado em 14 de Junho de 2008. Cópia arquivada em 11 de Junho de 2008 
181. «FAQ: Cyber Security R&D Center». U.S. Department of Homeland Security S&T Directorate. Consultado em 14 de Junho de 2008. Cópia arquivada em 6 de Outubro de 2008 
182. AFP-JiJi, "U.S. boots up cybersecurity center", 31 Outubro 2009.
183. «Federal Bureau of Investigation – Priorities». Federal Bureau of Investigation. Cópia arquivada em 11 de Julho de 2016 
184. «Internet Crime Complaint Center (IC3) – Home». Cópia arquivada em 20 de Novembro de 2011 
185. «Infragard, Official Site». Infragard. Consultado em 10 de Setembro de 2010. Cópia arquivada em 9 de Setembro de 2010 
186. «Robert S. Mueller, III – InfraGard Interview at the 2005 InfraGard Conference». Infragard (Official Site) – "Media Room". Consultado em 9 de Dezembro de 2009. Cópia arquivada em 17 de Junho de 2011 
187. «CCIPS». 25 de março de 2015. Cópia arquivada em 23 de Agosto de 2006 
188. «A Framework for a Vulnerability Disclosure Program for Online Systems». Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. Julho de 2017. Consultado em 9 de Julho de 2018 
189. «Mission and Vision». www.cybercom.mil. Consultado em 20 de junho de 2020 
190. «Speech». Defense.gov. Consultado em 10 de julho de 2010. Cópia arquivada em 15 de Abril de 2010 
191. Shachtman, Noah. "Military's Cyber Commander Swears: "No Role" in Civilian Networks" Arquivado em 2010-11-06 no Wayback Machine, The Brookings Institution Arquivado em 2006-02-10 no Wayback Machine, 23 Setembro 2010.
192. «FCC Cybersecurity». FCC. Consultado em 3 de Dezembro de 2014. Cópia arquivada em 27 de Maio de 2010 
193. «Cybersecurity for Medical Devices and Hospital Networks: FDA Safety Communication». Consultado em 23 de Maio de 2016. Cópia arquivada em 28 de Maio de 2016 
194. «Automotive Cybersecurity – National Highway Traffic Safety Administration (NHTSA)». Consultado em 23 de Maio de 2016. Cópia arquivada em 25 de Maio de 2016 
195. Air Traffic Control: FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen (Relatório). U. S. Government Accountability Office. 14 de abril de 2015. Consultado em 23 de Maio de 2016. Cópia arquivada em 13 de Junho de 2016 
196. Aliya Sternstein (4 de Março de 2016). «FAA Working on New Guidelines for Hack-Proof Planes». Nextgov. Consultado em 23 de Maio de 2016. Cópia arquivada em 19 de Maio de 2016 
197. Bart Elias (18 de Junho de 2015). «Protecting Civil Aviation from Cyberattacks» (PDF). Consultado em 4 de Novembro de 2016. Cópia arquivada (PDF) em 17 de Outubro de 2016 
198. Verton, Dan (28 de Janeiro de 2004). «DHS launches national cyber alert system». Computerworld. IDG. Consultado em 15 de junho de 2008. Cópia arquivada em 31 de Agosto de 2005 
199. Clayton, Mark (7 de março de 2011). «The new cyber arms race». The Christian Science Monitor. Consultado em 16 de Abril de 2015. Cópia arquivada em 16 de abril de 2015 
200. Nakashima, Ellen (13 de Setembro de 2016). «Obama to be urged to split cyberwar command from NSA». The Washington Post. Consultado em 15 de Junho de 2017. Cópia arquivada em 12 de Outubro de 2016 
201. Overland, Indra (1 de março de 2019). «The geopolitics of renewable energy: Debunking four emerging myths». Energy Research & Social Science. 49: 36–40. ISSN 2214-6296. doi:10.1016/j.erss.2018.10.018 
202. Maness, Ryan C.; Valeriano, Brandon (11 de junho de 2018). «How We Stopped Worrying about Cyber Doom and Started Collecting Data». Politics and Governance (em inglês). 6 (2): 49–60. ISSN 2183-2463. doi:10.17645/pag.v6i2.1368 
203. Maness, Ryan C.; Valeriano, Brandon (25 de março de 2015). «The Impact of Cyber Conflict on International Interactions». Armed Forces & Society (em inglês). 42 (2): 301–323. ISSN 0095-327X. doi:10.1177/0095327x15572997 
204. Bullard, Brittany (16 de novembro de 2016). Style and Statistics: The Art of Retail Analytics (em inglês) 1 ed. [S.l.]: Wiley. ISBN 978-1-119-27031-7. doi:10.1002/9781119271260.ch8 
205. Oltsik, Jon (18 de março de 2016). «Cybersecurity Skills Shortage Impact on Cloud Computing». Network World. Consultado em 23 de março de 2016. Cópia arquivada em 23 de Março de 2016 
206. de Silva, Richard (11 de Outubro de 2011). «Government vs. Commerce: The Cyber Security Industry and You (Part One)». Defence IQ. Consultado em 24 de Abril de 2014. Cópia arquivada em 24 de Abril de 2014 
207. «Department of Computer Science». Consultado em 30 de Abril de 2013. Cópia arquivada em 3 de Junho de 2013 
208. «(Information for) Students». NICCS (US National Initiative for Cybercareers and Studies). Consultado em 24 de Abril de 2014. Cópia arquivada em 23 de Fevereiro de 2014 
209. «Current Job Opportunities at DHS». U.S. Department of Homeland Security. Consultado em 5 de maio de 2013. Cópia arquivada em 2 de Maio de 2013 
210. «Cybersecurity Training & Exercises». U.S. Department of Homeland Security. 12 de maio de 2010. Consultado em 9 de janeiro de 2015. Cópia arquivada em 7 de Janeiro de 2015 
211. «Cyber Security Awareness Free Training and Webcasts». MS-ISAC (Multi-State Information Sharing & Analysis Center). Consultado em 9 de Janeiro de 2015. Cópia arquivada em 6 de Janeiro de 2015 
212. «DoD Approved 8570 Baseline Certifications». iase.disa.mil. Consultado em 19 de Junho de 2017. Cópia arquivada em 21 de Outubro de 2016 
213. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/386093/The_UK_Cyber_Security_Strategy_Report_on_Progress_and_Forward_Plans_-_De___.pdf
214. «Cyber skills for a vibrant and secure UK» 
215. «Confidentiality». Consultado em 31 de outubro de 2011 
216. «Data Integrity». Consultado em 31 de outubro de 2011. Cópia arquivada em 6 de Novembro de 2011 
217. «Endpoint Security». Consultado em 15 de março de 2014. Cópia arquivada em 16 de Março de 2014 

Bibliografia

• Stevens, Tim (2018). «Global Cybersecurity: New Directions in Theory and Methods». Politics and Governance. 6 (2). doi:10.17645/pag.v6i2.1569 

• Tate, Nick (2013). «Reliance spells end of road for ICT amateurs». The Australian 

Ligações externas

• «A Comparative Analysis of Cybersecurity Initiatives Worldwide» (PDF) 

• «Obama Ordered Wave Of Cyberattacks Against Iran» 

• «Types of Cyber Attacks and How to Recognize Them» 

• «History of Computer Hacking»