Baixe o app para aproveitar ainda mais
Prévia do material em texto
MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA INSTITUTO MILITAR DE ENGENHARIA PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA NUCLEAR PEDRO MACIEL RODRIGUES DOS SANTOS PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR BRASILEIRA Rio de Janeiro 2019 PEDRO MACIEL RODRIGUES DOS SANTOS PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR BRASILEIRA Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Engenharia Nuclear do Instituto Militar de Engenharia, como requisito parcial para a obtenção do título de Mestre em Ciências em Engenharia Nuclear. Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc. Maj. Gladson Silva Fontes – D.Sc. Rio de Janeiro 2019 ©2019 INSTITUTO MILITAR DE ENGENHARIA Praça General Tibúrcio, 80 – Praia Vermelha Rio de Janeiro – RJ CEP: 22290-270 Este exemplar é de propriedade do Instituto Militar de Engenharia, que poderá incluí- lo em base de dados, armazenar em computador, microfilmar ou adotar qualquer forma de arquivamento. É permitida a menção, reprodução parcial ou integral e a transmissão entre bibliotecas deste trabalho, sem modificação de seu texto, em qualquer meio que esteja ou venha a ser fixado, para pesquisa acadêmica, comentários e citações, desde que sem finalidade comercial e que seja feita a referência bibliográfica completa. Os conceitos expressos neste trabalho são de responsabilidade do(s) autor(es) e do(s) orientador(es). Santos, Pedro Maciel Rodrigues dos Projeto de segurança física em uma instalação nuclear brasileira/ Pedro Maciel Rodrigues dos Santos. Rio de Janeiro, 2019. 196 f.: Orientadores: João Claudio Batista Fiel; Gladson Silva Fontes. Dissertação (Mestrado) – Instituto Militar de Engenharia, Engenharia Nuclear, 2019. 1. Segurança Nuclear. 2. Proteção Física. 3. Segurança da Informação. 4. Reatores Nucleares. 5. SMR. I. Fiel, João Claudio Batista, orient. II. Fontes, Gladson Silva, orient. III. Título. INSTITUTO MILITAR DE ENGENHARIA PEDRO MACIEL RODRIGUES DOS SANTOS PROJETO DE SEGURANÇA FÍSICA EM UMA INSTALAÇÃO NUCLEAR BRASILEIRA Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Engenharia Nuclear do Instituto Militar de Engenharia, como requisito parcial para obtenção do título de Mestre em Ciências em Engenharia Nuclear. Orientadores: Ten. Cel. João Claudio Batista Fiel – D. Sc. Maj. Gladson Silva Fontes – D. Sc. Apresentada em 06 de maio de 2019 à seguinte Banca Examinadora: Ten. Cel. Profo. João Claudio Batista Fiel – D. Sc. do IME – Presidente Maj. Profo. Gladson Silva Fontes – D. Sc. do IME – Orientador Cel. R/1 Profo. Ronaldo Glicério Cabral – Ph. D. do IME Profo. Sergio Gavazza – Ph. D. do IME Maj. Profo. Marcos Paulo Cavaliere de Medeiros – D. Sc. do IME Cristiane de Queiroz Oliveira – D. Sc. da CNEN Rio de Janeiro 2019 À minha família, aos bravos cientistas e entusiastas que lutaram e desenvolveram este tema, apesar das dificuldades. AGRADECIMENTOS A Deus, que me guiou até aqui sem deixar retroceder ou vacilar. Aos meus pais Conceição e Wagner, que trabalharam incansavelmente para me dar suporte a fim de que eu pudesse chegar até aqui. Também à minha família pelo apoio e por acreditarem em mim. Ao João, Lucia, Arthur e Vivica, que foram fundamentais como alicerce familiar na minha jornada. Ao Exército Brasileiro, ao Instituto Militar de Engenharia e à Seção de Engenharia Nuclear pela oportunidade, pelo conhecimento e pela confiança ofertadas. Ao Professor Ten. Cel. Fiel por ter acreditado no meu potencial de realizar este trabalho e por sua ajuda nos momentos mais críticos, pelas inúmeras sugestões que, sem sombra de dúvida, contribuíram para meu crescimento profissional. Ao Professor Maj. Fontes, pelas sugestões que ajudaram a calcar este trabalho. Ao Sr. Renato Alves Tavares, da Comissão Nacional de Energia Nuclear, por compartilhar comigo sua experiência, fornecendo valiosos ensinamentos e contribuições a este trabalho que permitiram o engrandecimento do mesmo. Ao corpo docente da SE/7, em especial, aos meus professores Dr. Rex Nazaré Alves, Cel. R/1 Cláudio Luiz de Oliveira, Dr. Domingos D’Oliveira Cardoso , Cel. R/1 Rudnei Karam Morales, Cel. R/1 Sérgio Gavazza e Dr. Sérgio de Oliveira Vellozo por todas as lições que ensinaram dentro e fora da sala de aula. Ao Ten. R/1 De Andrade, Viviane Sant’Anna e toda a equipe da SE/7, pelos inúmeros auxílios durante a jornada deste Mestrado. Aos amigos Lucas Santana, Pedro Hatherly, Marianna Maciel, Karenina Amarante, João Ricardo Peixoto, André Alves e Kevin Tate, cuja amizade e paciência durante esta jornada me permitiram chegar até aqui e realizar este sonho. Aos amigos do Mestrado, em especial ao Eduardo, Paulo, Isis e Viviane, que me deram o prazer de sua convivência nos momentos bons e nos percalços vividos na duração do curso. E aos amigos da Escola de Química e do Curso InVest, que me incentivaram a iniciar este Mestrado e à direção da Escola de Química, em especial o Prof. Dr. Eduardo Mach Queiroz, estendo meus agradecimentos. À todos, minha sincera gratidão. “Pois nada vive na Terra que seja tão vil que não tenha algum bem em especial para lhe doar; e nada é tão bom que não possa ser mal-empregado e, contrário à sua própria origem, chegar às raias do abuso.” Willliam Shakespeare RESUMO O presente estudo descreve a análise de um projeto de Segurança Física Nuclear onde constam as três áreas: proteção física, segurança da informação e contabilidade e controle de material nuclear. A referida análise foi feita através de uma abordagem por desempenho, utilizando-se parâmetros probabilísticos de ameaça, dos equipamentos, dos sistemas e das forças de resposta empregadas para prevenir, dissuadir e deter atos mal-intencionados contra a integridade de instalações e de materiais nucleares nelas contidos. A fim de manter a confidencialidade dos planos e sistemas existentes atualmente em instalações reais, foi modelada uma instalação fictícia, contemplando um reator avançado modular de pequeno porte do tipo PWR integral (iPWR). Hoje, no mundo, utiliza-se uma abordagem de Proteção Física que não se integra à Segurança Cibernética e nem à Contabilidade e Controle de Material Nuclear. A utilização da abordagem por desempenho viabilizou identificar vulnerabilidades do modelo em si, ante as interferências de cada uma das áreas da Segurança Física Nuclear. Por meio deste estudo, pode-se visualizar que a influência das demais áreas que compõem a Segurança Física precisa ser considerada para que um projeto deste escopo seja eficiente. Palavras-chave: Segurança Nuclear, Proteção Física, Segurança da Informação, Reatores Nucleares, SMR. ABSTRACT This study describes the analysis of a nuclear security project, which includes its three areas: physical protection, information security and nuclear material accounting and control. This analysis was done through a performance-based approach, that uses probabilistic parameters for threat, equipment, systems and also the response forces used to prevent, dissuade and deter malicious acts against the integrity of nuclear facilities and its materials contained therein. Once the plans and systems that currently exist in real facilities must remain confidential, a hypothetical facility was developed, contemplating a small modular reactor, an iPWR. Nowadays, the world uses an approach that covers only Physical Protection, which is notintegrated with cyber- security and nuclear material accounting and control. The use of the performance- based approach made it possible to identify vulnerabilities of the model itself, due to the interferences of each of the areas of Nuclear Security. From the results obtained by this study, it was possible to observe that the influence of the other areas of nuclear security needs to be considered, in order for a project to be efficient. Keywords: Nuclear Security, Physical Protection, Information Security, Nuclear Reactors, SMR. LISTA DE ILUSTRAÇÕES Figura 2.1 - Tipos de adversários internos. ............................................................... 33 Figura 2.2 - Componentes da Segurança Física Nuclear. ......................................... 35 Figura 2.3 - Linha do Tempo de um Sistema de Proteção Física.............................. 48 Figura 2.4 - Relação entre Salvaguardas e Segurança Física. ................................. 62 Figura 3.1 - Visão geral do Processo DEPO ............................................................. 66 Figura 3.2 - Etapas do Processo DEPO .................................................................... 67 Figura 3.3 - Áreas de segurança em uma instalação nuclear. .................................. 70 Figura 3.4 - Envolvimento do titular em relação às capacidades do adversário. ....... 74 Figura 3.5 - Exemplo de caminho do adversário. ...................................................... 81 Figura 3.6: Linha do Tempo de um Sistema de Proteção Física. .............................. 82 Figura 3.7 - Sistema de Proteção Física não atua a tempo e o adversário completa sua missão. ............................................................................................................... 83 Figura 3.8 - Limites característicos de Área de Balanço Material. ............................. 93 Figura 3.9 - Inventários e fluxos conservativos em uma ABM. .................................. 94 Figura 4.1 - SMR configurado como um iPWR. ......................................................... 98 Figura 4.2 - Modelo hipotético de instalação, o complexo RAMPeM ...................... 100 Figura 4.3 - Vista superior dos prédios do complexo RAMPeM .............................. 101 Figura 4.4 - Vista superior do prédio do reator do complexo RAMPeM .................. 102 Figura 4.5 - Vista lateral das Salas de Guarda e Entrada da Sala de Controle ....... 103 Figura 4.6 - Áreas vitais do complexo RAMPeM ..................................................... 106 Figura 4.7 - Áreas de Segurança do Complexo RAMPeM ...................................... 107 Figura 4.8 - Sensores de Infravermelho na Área Protegida do Complexo RAMPeM ................................................................................................................................ 111 Figura 4.9 - Vigilância humana na Área Vigiada da instalação ............................... 113 Figura 4.10 - Sistema de CFTV para a Área Protegida da Instalação ..................... 114 Figura 4.11 - Iluminação da Área Protegida da Instalação ...................................... 114 Figura 4.12 - Sistema de CFTV para o Prédio de Serviços do RAMPeM ............... 115 Figura 4.13 - Sistema de CFTV para o Prédio da Turbina do RAMPeM ................. 115 Figura 4.14 - Sistema de CFTV para o Prédio do Reator do RAMPeM .................. 116 Figura 4.15 - Controle de acesso ao complexo RAMPeM ....................................... 117 Figura 4.16 - Cerca de Áreas de Segurança. .......................................................... 119 Figura 4.17 - Cerca dupla separando as Áreas Vigiada e Protegida ....................... 119 Figura 4.18 - DSA para ataque de sabotagem na Sala de Controle ....................... 124 Figura 4.19 - Probabilidades de Interrupção para todos os caminhos .................... 126 Figura 4.20 - Nova localização da Estação Secundária de Alarmes ....................... 127 Figura 4.21 - Probabilidades de Interrupção após a primeira melhoria ................... 129 Figura 4.22 - Diagrama de Sequência do Adversário após as quatro melhorias..... 131 Figura 4.23 - Probabilidades de Interrupção após quatro melhorias ....................... 132 Figura 5.1 - Impacto do apagamento do sistema de CFTV no DSA ........................ 138 Figura 5.2 - Probabilidades de Interrupção após o primeiro ataque ........................ 139 Figura 5.3 - Diagrama de Sequência do Adversário para o segundo ataque .......... 141 Figura 5.4 - Probabilidades de Interrupção após o segundo ataque ....................... 142 Figura 5.5 - Diagrama de Sequência do Adversário depois do terceiro ataque ...... 143 Figura 5.6 - Probabilidades de Interrupção após o terceiro ataque ......................... 144 Figura 5.7 - Diagrama de Sequência do Adversário após instalação de sensor complementar .......................................................................................................... 146 Figura 5.8 - Probabilidades de Interrupção após instalação de sensor complementar ................................................................................................................................ 147 Figura 5.9 - Diagrama de Sequência do Adversário após o quarto ataque ............. 149 Figura 5.10 - Probabilidades de Interrupção após o quarto ataque ......................... 150 Figura 5.11 - Diagrama de Sequência do Adversário após o quinto ataque ........... 152 Figura 5.12 - Probabilidades de Interrupção após o quinto ataque ......................... 153 Figura 6.1 - Áreas de Balanço Material do Complexo RAMPeM ............................. 155 Figura 6.2 - Organização Interna do Laboratório de Análise de Material Físsil ....... 156 Figura 6.3 - Porta giratória bancária. Fonte: www.jr.jor.br ....................................... 157 Figura 6.4 - Sistema de CFTV do Laboratório de Análise de Material Físsil ........... 158 Figura 6.5 - Armário de Estocagem de Material Físsil ............................................. 159 Figura 6.6 - Sistema de Alarme de Remoção de Material Físsil.............................. 159 Figura 6.7 - Diagrama de Sequência de Adversário Interno.................................... 161 Figura 6.8 - Diagrama de Sequência de Adversário após o sexto ataque .............. 162 LISTA DE TABELAS Tabela 3.1 - Níveis da característica de Intensidade. ................................................ 87 Tabela 3.2 - Níveis da característica de Discrição. ................................................... 88 Tabela 3.3 - Níveis da característica de Tempo. ....................................................... 88 Tabela 3.4 - Níveis da característica de Organização. .............................................. 89 Tabela 3.5 - Níveis da característica de Conhecimento Cibernético. ........................ 89 Tabela 3.6 - Níveis da característica de Conhecimento em Segurança Física. ........ 90 Tabela 3.7 - Níveis da característica de Acesso. ...................................................... 90 Tabela 3.8 - Matriz Genérica de Ameaças Cibernéticas. .......................................... 91 Tabela 3.9 - Sistemas Cibernéticos típicos de Instalações Nucleares e seus Níveis de Segurança Associados. ............................................................................................. 92 Tabela 4.1 - Identificação de áreas vitais do RAMPeM ........................................... 105 Tabela 4.2 - Ameaça Base de projeto fictícia para a instalação RAMPeM ............. 110 Tabela 4.3 - Descrição das Forças de Segurança .................................................. 121 Tabela 4.4 - Parâmetros de desempenho da força de resposta ............................. 122 Tabela 4.5 - Pontos Críticos de Detecção para os dezoito caminhos ..................... 125 Tabela4.6 - Parâmetros de desempenho da força de resposta após a primeira melhoria .................................................................................................................. 128 Tabela 4.7 - PCD após a primeira melhoria ............................................................ 128 Tabela 4.8 - Melhorias propostas para o SisPF ...................................................... 130 LISTA DE ABREVIATURAS E SÍMBOLOS ABREVIATURAS AP - Área Protegida AVt - Área Vital AVg - Área Vigiada CCMN - Contabilidade e Controle de Material Nuclear no - Número RAMPeM - Reator Avançado Modular de Pequeno porte de Morobi SisCCMN - Sistema de Contabilidade e Controle de Material Nuclear SÍMBOLOS [ax, bx, cx] - caminho de um adversário, percorrendo os elementos ax, bx e cx s - segundo cm - centímetros h - hora mm - milímetros min - minuto m - metro kg - quilograma C - Consequência radiológica de um ataque PA - Probabilidade de ataque PS - Probabilidade condicional de ataque bem-sucedido, dada a tentativa PD - Probabilidade de detecção PI - Probabilidade de interrupção PN - Probabilidade de neutralização PE - Probabilidade de eficácia global R - Risco TD - Tempo de retardo TG - Tempo de resposta da força de segurança LISTA DE SIGLAS ABP Ameaça-Base de Projeto ACR Alta consequência radiológica ADS Ativos Digitais Sensíveis AIEA Agência Internacional de Energia Atômica BM Balanço Material CFTV Circuito Fechado de Televisão CID Confidencialidade, Integridade e Disponibilidade CNEN Comissão Nacional de Energia Nuclear DEPO Design and Evaluation Process Outline DSA Diagrama de Sequência de Adversário ECA Estação Central de Alarmes EIOM Evento Iniciador de Origem Mal-intencionada ESA Estação Secundária de Alarmes GV Gerador de Vapor I&C Instrumentação e Controle IAEA International Atomic Energy Agency IAVt Identificação de Área Vital IND Artefato nuclear improvisado iPWR PWR do tipo integral ITDB Incident and Trafficking Database MBA Material Balance Area MNC Material Não Contabilizado NMAC Nuclear Material Accounting and Control NRC Comissão Regulatória Nuclear dos Estados Unidos da América NSS Nuclear Security Series P&D Pesquisa e Desenvolvimento PCD Ponto Crítico de Detecção PWR Reator a Água Pressurizada RDD Artefato de dispersão radiológica RED Artefato de exposição à radiação SisPF Sistema de Proteção Física SMR Reator modular avançado de pequeno porte SNL Sandia National Laboratories TI Tecnologia da Informação TIF Tomada de Inventário Físico SUMÁRIO 1 INTRODUÇÃO ....................................................................................................... 20 1.1 Panorama Atual ................................................................................................. 20 1.2 Objetivos ........................................................................................................... 22 1.3 Metodologia ....................................................................................................... 23 1.4 Justificativa ........................................................................................................ 23 1.5 Organização do Trabalho ................................................................................. 23 2 FUNDAMENTAÇÃO TEÓRICA ............................................................................. 25 2.1 Estrutura da Segurança Física Nuclear ........................................................... 26 2.1.1 Cooperação Institucional .................................................................................. 26 2.1.2 Área Regulatória .............................................................................................. 27 2.1.3 Área Não-Regulatória ....................................................................................... 28 2.2 Área Não-Regulatória ........................................................................................ 29 2.2.1 Eventos de Segurança Física Nuclear ............................................................. 29 2.2.1.1 Ameaças ...... ................................................................................................ 30 2.2.1.1.1 Adversários Internos................................................................................... 32 2.2.1.2 Táticas ......... ................................................................................................. 33 2.2.1.3 Alvos ............ ................................................................................................. 34 2.2.2 Atribuições da Segurança Física Nuclear ......................................................... 34 2.2.2.1 Prevenção ..... ............................................................................................... 36 2.2.2.2 Detecção ...... ................................................................................................ 36 2.2.2.3 Resposta ...... ................................................................................................ 36 2.3 Área Regulatória da Segurança Nuclear ......................................................... 37 2.3.1 Regime de Segurança Física Nuclear .............................................................. 37 2.3.2 Segurança Física de Transportes .................................................................... 40 2.3.2.1 Princípios Básicos e Fundamentos ............................................................... 40 2.3.3 Proteção Física ................................................................................................ 41 2.3.3.1 Projeto de um Sistema de Proteção Física ................................................... 42 2.3.3.2 Características Necessárias a um Sistema de Proteção Física .................... 43 2.3.3.3 Risco em Segurança Nuclear ........................................................................ 43 2.3.3.4 Funções de um Sistema de Proteção Física ................................................. 46 2.3.3.4.1 Detecção ......... .......................................................................................... 46 2.3.3.4.2 Retardo ............ .......................................................................................... 47 2.3.3.4.3 Resposta ......... .......................................................................................... 47 2.3.3.5 Linha do Tempo de um Sistema de Proteção Física ..................................... 48 2.3.4 Segurança da Informação e Segurança Cibernética ........................................ 49 2.3.4.1 Segurança Computacional e Segurança da Informação ............................... 51 2.3.4.2 Plano de Segurança Computacional ............................................................. 52 2.3.4.3 Ataques Cibernéticos .................................................................................... 54 2.3.4.4 Ameaças Cibernéticas ................................................................................... 56 2.3.4.5 Alvos Cibernéticos Potenciais ....................................................................... 57 2.3.5 Controle e Contabilidade de Material Nuclear .................................................. 59 2.3.5.1 Objetivos Primários da Contabilidade e Controle de Material Nuclear .......... 60 2.3.5.2 Funções da Contabilidade e Controle de Material Nuclear em Salvaguardas e na Segurança Física ................................................................................................. 61 2.3.5.3 Elementos da Contabilidade e Controle de Material Nuclear ........................ 62 3 METODOLOGIA DO TRABALHO .........................................................................65 3.1 Introdução .......................................................................................................... 65 3.2 Projeto de Sistema de Proteção Física para uma Instalação Nuclear .......... 65 3.2.1 Processo DEPO ............................................................................................... 66 3.2.2 Definição de Requisitos .................................................................................... 68 3.2.2.1 Caracterização da Instalação ........................................................................ 68 3.2.2.2 Identificação de Alvos.................................................................................... 69 3.2.2.2.1 Identificação de Áreas Vitais ...................................................................... 71 3.2.2.2.1.1 Eventos Iniciadores ................................................................................. 72 3.2.2.3 Definição de Ameaças ................................................................................... 73 3.2.2.3.1 Ameaça Base de Projeto (ABP) ................................................................. 73 3.2.2.3.1.1 ABP Aérea ......... ..................................................................................... 74 3.2.3 Projeto do Sistema de Proteção Física ............................................................ 75 3.2.3.1 Detecção ...... ................................................................................................ 75 3.2.3.1.1 Sistemas de Controle de Acesso ............................................................... 75 3.2.3.1.2 Sistemas de Alarme e Certificação de Intrusão .......................................... 76 3.2.3.1.3 Exibição, Avaliação e Comunicação de Alarmes ....................................... 76 3.2.3.2 Retardo ........ ................................................................................................. 78 3.2.3.2.1 Elementos e Barreiras Físicas .................................................................... 78 3.2.3.3 Resposta ...... ................................................................................................ 78 3.2.3.3.1 Elementos da Força de Resposta .............................................................. 78 3.2.3.3.2 Planejamento de Contingências ................................................................. 79 3.2.4 Avaliação do Sistema de Proteção Física ........................................................ 80 3.2.4.1 Diagrama de Sequência do Adversário ......................................................... 80 3.2.4.2 Análise de Caminhos ..................................................................................... 81 3.2.4.2.1 Ponto Crítico de Detecção (PCD) ............................................................... 83 3.2.4.3 Análise de Neutralização ............................................................................... 85 3.2.4.4 Análise de Cenários ...................................................................................... 85 3.3 Projeto de Sistema de Segurança Computacional e Segurança da Informação para uma Instalação Nuclear ............................................................. 86 3.3.1 Estratégia de Proteção do Sistema Cibernético ............................................... 91 3.4 Projeto de Sistema de Contabilidade e Controle de Material Nuclear para uma Instalação Nuclear .......................................................................................... 93 4 PROJETO DE SISTEMA DE PROTEÇÃO FÍSICA PARA UMA INSTALAÇÃO NUCLEAR ................................................................................................................ 95 4.1 Introdução .......................................................................................................... 95 4.2 Caracterização da Instalação ........................................................................... 95 4.2.1 Reator Avançado de Pequeno Porte de Morobi (RAMPeM) ............................ 96 4.2.1.1 Objetivo e Localização da Instalação ............................................................ 96 4.2.1.2 Condições Ambientais ................................................................................... 96 4.2.1.2.1 Topografia ...... ........................................................................................... 96 4.2.1.2.2 Vegetação e Vida Selvagem ...................................................................... 96 4.2.1.2.3 Barulho de Fundo ....................................................................................... 96 4.2.1.2.4 Clima e Tempo ........................................................................................... 97 4.2.2 Descrição Geral do Reator e da Segurança Tecnológica................................. 97 4.2.2.1 Reatores Modulares de Pequeno Porte ........................................................ 97 4.2.2.2 Reator Avançado Modular de Pequeno Porte de Morobi .............................. 98 4.2.2.3 Complexo RAMPeM ...................................................................................... 99 4.3 Identificação de Alvos..................................................................................... 104 4.3.1 Identificação de Áreas Vitais .......................................................................... 104 4.3.1.1 Cenário de Ataque Direto ............................................................................ 104 4.3.1.2 Cenários de Ataque Indireto ........................................................................ 104 4.3.2 Áreas de Segurança ....................................................................................... 107 4.4 Definição de Ameaças .................................................................................... 108 4.4.1 Ameaça-Base de Projeto Hipotética ............................................................... 109 4.5 Sistemas de Detecção de Intrusão ................................................................ 110 4.5.1 Sensores Internos, Externos e de Posição ..................................................... 110 4.5.2 Avaliação de Alarmes ..................................................................................... 112 4.5.3 Comunicação e Visualização de Alarmes ...................................................... 116 4.5.4 Controle de Acesso ........................................................................................ 116 4.6 Elementos de Retardo..................................................................................... 118 4.7 Elementos de Resposta .................................................................................. 120 4.8 Avaliação do Sistema de Proteção Física ..................................................... 122 4.8.1 Diagrama de Sequência do Adversário .......................................................... 122 4.8.2 Análise de Múltiplos Caminhos e de Neutralização ........................................ 125 5 PROJETO DE SISTEMA DE SEGURANÇA CIBERNÉTICA EM UMA INSTALAÇÃO NUCLEAR ...................................................................................... 133 5.1 Introdução ........................................................................................................ 133 5.2 Caracterização dos Sistemas Cibernéticos .................................................. 134 5.3 Definição de Ameaças .................................................................................... 135 5.4 Identificação de Alvos..................................................................................... 136 5.5 Análise de Cenários ........................................................................................ 136 5.5.1 Primeiro Ataque Cibernético ........................................................................... 137 5.5.2 Segundo AtaqueCibernético .......................................................................... 139 5.5.3 Terceiro Ataque Cibernético ........................................................................... 142 5.5.4 Implantação de Sensores Complementares ................................................... 145 5.5.5 Quarto Ataque Cibernético ............................................................................. 148 5.5.6 Quinto Ataque Cibernético ............................................................................. 150 6 PROJETO DE SISTEMA DE CONTABILIDADE E CONTROLE DE MATERIAL EM UMA INSTALAÇÃO NUCLEAR ....................................................................... 154 6.1 Introdução ........................................................................................................ 154 6.2 Caracterização da Instalação ......................................................................... 155 6.3 Análise de Caminho ........................................................................................ 160 6.4 Análise de Cenário .......................................................................................... 161 6.4.1 Sexto Ataque Cibernético ............................................................................... 161 7 ANÁLISES, CONCLUSÕES E SUGESTÕES ..................................................... 164 7.1 Análises e Conclusões ................................................................................... 164 7.2 Sugestões ........................................................................................................ 165 REFERÊNCIAS BIBLIOGRÁFICAS ....................................................................... 167 APÊNDICES ........................................................................................................... 170 ANEXOS .. .............................................................................................................. 180 ANEXO A - CATEGORIZAÇÃO DE MATERIAL NUCLEAR ................................. 180 ANEXO B - DADOS DE PROBABILIDADES DE DETECÇÃO .............................. 182 ANEXO C - DADOS DE RETARDO DE COMPONENTES .................................... 185 ANEXO D - DADOS DE NEUTRALIZAÇÃO .......................................................... 196 20 1 INTRODUÇÃO 1.1 Panorama Atual Segundo a Agência Internacional de Energia Atômica (AIEA), a Segurança Nuclear tem suas bases afixadas em três áreas principais: a área específica para materiais radioativos e nucleares de atividades e instalações (Área Regulatória), a área específica para materiais radioativos e nucleares fora de controle regulatório (Área Não-Regulatória) e as áreas comuns de segurança nuclear (Cooperação Institucional). Apesar de sua complexidade, atualizações constantes são necessárias para adaptação ao cenário global, local e atual. Isso envolve pessoas, padrões e procedimentos, além de exigir estudo e elaboração de planos e/ou projetos de adaptação na comunidade local – e nas localidades no entorno desta –, a fim de melhor posicionar as capacidades de segurança nas ações de resposta. O marco definitivo para a mudança dos paradigmas de segurança foram os eventos de 11 de setembro de 2001, em Nova Iorque. Esta data alavancou uma rápida e dramática reavaliação dos riscos de terrorismo em todas as suas formas – inclusive o terrorismo político –, onde materiais nucleares e radiológicos, bem como a segurança de instalações e sistemas cibernéticos estão inclusos. Para o ramo nuclear tornou-se óbvio que o reforço na segurança nuclear é vital e, logo, não deve esperar até que haja um evento que seja considerado um “divisor de águas”, para que sejam realizadas melhorias, ressaltando-se o alto custo de colocar vidas em risco (ELBARADEI, 2005). Tal como em outros países, a segurança nuclear foi implementada no Brasil em consonância com as diretrizes e padrões da AIEA, de acordo com a realidade social do nosso país e de acordo com os critérios estabelecidos pelas regras da Comissão Nacional de Energia Nuclear (CNEN), órgão regulador brasileiro. Apesar de não ter histórico de ataques terroristas e não ser um alvo potencial do terrorismo extremista, o Brasil vem se preparando e avançando no conhecimento dos procedimentos de prevenção e resposta nos últimos anos. Nosso país, com dimensões continentais, exige grandes esforços em relação à sua segurança. Seu crescente destaque internacional, especialmente por ter sediado 21 grandes eventos – como a Copa do Mundo de 2014 e os Jogos Olímpicos de 2016 – , tornou ainda mais evidente a importância do trabalho cooperativo com órgãos nacionais e internacionais, confrontando e adaptando-se à realidade da sociedade em que vivemos. Este trabalho apresenta um estudo sobre a implementação do conhecimento da segurança nuclear na realidade brasileira, desenvolvendo e compartilhando a promoção da educação em segurança nuclear, alinhada às diretrizes e orientações da AIEA. O risco de que materiais nucleares ou radioativos possam ser usados em atos criminosos - ou intencionais não-autorizados - continua a ser considerado uma ameaça para a segurança internacional. A crescente capacidade intelectual de agentes criminosos no tocante à ataques cibernéticos reafirma a necessidade de um investimento contínuo e imediato em segurança. Para tanto, reconhece-se que a responsabilidade pela segurança nuclear depende inteiramente de cada Estado, adicionado à consulta a AIEA e, principalmente, o trabalho integrado dos participantes situados no entorno destes Estados. Logo, são necessários sistemas efetivos e adequados para tal. Tais mecanismos são fundamentais para viabilizar o uso pacífico da energia nuclear e fortalecer os esforços globais para combater o terrorismo nuclear. (IAEA, 2013) Entre o ano de 1993 e 2016, a ITDB – base de dados de tráfico ilícito da AIEA – registrou em torno de 3068 incidentes confirmados envolvendo material nuclear e radioativo, relatados pelas nações participantes. Destes incidentes confirmados, 270 incidentes pertencem ao chamado Grupo I, onde há informações suficientes para determinar se estes estão relacionados a tráfico ou uso mal-intencionado. Deste total, temos ainda 904 incidentes nos quais não há o suficiente para determinar a intenção (Grupo II) e 1894 que não estão relacionados a tráfico ou uso mal-intencionado (Grupo III). Observando-se somente o ano de 2016, 34 Estados relataram ao ITDB um total de 189 incidentes, relativos aos três grupos. Tais dados são suficientes para concluir que este tráfico continua a ocorrer (IAEA, 2016). Apesar da maior parte dos incidentes de tráfico serem de material nuclear e a maior parte dos materiais radioativos envolvidos exigirem preocupação limitada, o número destes eventos é alarmante. Desta forma, as medidas de controle e segurança nuclear e radiológica precisam ser constantemente melhoradas. Os 22 posteriores ataques terroristas, principalmente na Espanha e França, fazem com que estas preocupações continuem na linha de frente. (ELBARADEI, 2005) No ano de 1997, após o surgimento das primeiras denúncias de tráfico ilícito de material nuclear e radioativo, a IAEA criou o Programa de Segurança de Material (em inglês, “Security of Material Programme”). (IAEA, 2013) Após os atentados de 11 de setembro, a Agência também criou o primeiro plano abrangente de ação contra o terrorismo nuclear, aprovado em março de 2002 (IAEA, 2013). O laboratório estadunidense de Sandia – em inglês, Sandia National Laboratories (SNL) – executa atualmente para Sistemas de Proteção Física uma metodologia baseada na abordagem por desempenho, denominada DEPO – acrônimo em língua inglesa para Design and Evaluation Process Outline. Entretanto, o método utilizado pelo referido instituto não considerasegurança cibernética e nem contabilidade e controle de material nuclear. A necessidade de possuir abordagens eficazes e confiáveis para a segurança nuclear são essenciais não apenas para detecção e resposta ao tráfico ilícito. Estas abordagens são necessárias também no tocante à proteção de usinas nucleares, reatores de pesquisa, aceleradores de partículas e matrizes de materiais nucleares e radioativos. Com a globalização, houve uma drástica alteração no cenário de segurança, onde esta trouxe interdependência para a comunidade internacional, com movimentação constante de pessoas, conhecimento e bens de consumo. Diante deste cenário de comunicação e mercados globais, junto à escalada do terrorismo internacional, fica evidente que é preciso ajustar os entendimentos e abordagens de segurança nacionais e internacionais. (ELBARADEI, 2005) 1.2 Objetivos O propósito deste trabalho é desenvolver um Projeto de Segurança Física Nuclear estudando a interferência intrínseca das áreas que a compõem em uma instalação nuclear hipotética brasileira, envolvendo eventos que abranjam as suas áreas e suas potencialidades – tais como sabotagem, roubo, dentre outros – alertando a sociedade 23 aos riscos e orientando-a às ações de prevenção e detecção para os diversos tipos de ameaças, seguindo as orientações disponibilizadas da AIEA. 1.3 Metodologia Este trabalho visa aplicar a abordagem por desempenho estudando a influência das áreas englobadas pela Segurança Física Nuclear, a fim de construir estratégias e sistemas adequados à realidade brasileira, tendo em vista também as normas nacionais ditadas pela Comissão Nacional de Energia Nuclear (CNEN), baseadas no que é estabelecido pela Agência Internacional de Energia Atômica (AIEA). Para tal, foi criado um modelo de instalação nuclear hipotético com o intuito de preservar a confidencialidade dos planos de proteção física de instalações reais. 1.4 Justificativa O Brasil por suas dimensões exige grandes desafios no tocante à sua segurança. Soma-se a isto o destaque internacional, especialmente por ter sediado grandes eventos, além de receber delegações de países que são alvos frequentes de ataques terroristas. Apesar de o Brasil não possuir histórico de eventos de segurança nuclear, o país tem assistido nos últimos anos a uma crescente escalada da crise na segurança pública, com destaque para o aumento do poderio do crime organizado. Outro ponto relevante é o fato de que todas as atividades relacionadas à área nuclear são de competência exclusiva da União (TAVARES, 2005). Desta forma, o estudo aqui desenvolvido pode prover medidas eficazes e flexíveis em termos de sistemas de segurança física, a fim de que estas melhorias propostas possam ser justificadas junto ao contribuinte brasileiro. 1.5 Organização do Trabalho Neste trabalho, tanto a metodologia quanto os fundamentos apresentados apresentam como base os documentos produzidos pela Comissão Nacional de 24 Energia Nuclear (CNEN), a Agência Internacional de Energia Atômica e as orientações produzidas pela mesma. A estrutura do trabalho está descrita como se segue: 1. Introdução do trabalho, estabelecendo um panorama atual, a motivação, os objetivos, justificativa, além do Estado da Arte, finalizando com a Organização do Trabalho; 2. Fundamentação teórica do trabalho, com a descrição da definição e estrutura do tema Segurança Nuclear, assim como dos princípios e modalidades de ações dentro das três grandes áreas da Segurança Nuclear, as quais se dividem em regulatória, não-regulatória e cooperação entre instituições. Também realizou-se uma análise de tipos de eventos e potenciais ameaças, bem como os elementos requeridos por um Plano de Segurança Nuclear; 3. Descrição da metodologia do trabalho, mostrando como foi feita a utilização do processo DEPO ao longo do trabalho, através da concepção de uma instalação hipotética, objeto de estudo deste trabalho; 4. Exibe o Projeto de Proteção Física da Instalação Nuclear hipotética criada, detalhando as três macroetapas exigidas pelo processo DEPO: a definição de requisitos, o projeto conceitual do sistema de proteção física e a avaliação do sistema; 5. Projeto de Segurança Cibernética e de Segurança da Informação, exibindo as vulnerabilidades do sistema de proteção física projetado para a instalação hipotética, diante de adversários com capacidades cibernéticas e propondo melhorias que possam tornar a proteção mais robusta; 6. Projeto de Contabilidade e Controle de Material Nuclear, apresentando uma análise de cenários com um adversário interno com intenção de promover pequenos roubos sucessivos à instalação nuclear hipotética aqui modelada; 7. Por fim, a exposição das conclusões obtidas no decorrer do trabalho, apontando desafios para a realização das etapas em instalações reais, bem como a proposição de trabalhos futuros relativos ao tema de Segurança Física Nuclear. 25 2 FUNDAMENTAÇÃO TEÓRICA A segurança nuclear compreende duas áreas, cuja diferenciação – em língua inglesa – é dada pelos termos “safety” e “security” (IAEA, 2016). Até o presente momento, ambas as áreas não possuem diferenciação quanto à nomenclatura em Língua Portuguesa sendo tratadas como “segurança nuclear” (CNEN, 2015). Convém ressaltar também que, de acordo com a Agência Internacional de Energia Atômica (AIEA), não há uma distinção exata entre os termos “safety” e “security”, onde a interação exata entre estas áreas depende do contexto (IAEA, 2016). O termo security vem do Latim “securus”, que quer dizer “isento de perigo” (FARIA, 1962). De forma geral, a área de security está voltada para ações mal-intencionadas ou negligentes de seres humanos, onde estas podem causar danos ou ameaçar a outros seres humanos (IAEA, 2016). A security, portanto, é responsável pela prevenção, detecção e resposta aos ataques criminosos ou atos intencionais não- autorizados que envolvam ou estejam direcionados a materiais nucleares e radiológicos, bem como instalações e atividades associadas. Por outro lado, o termo safety vem do Latim “salvus” e quer dizer “intacto” (FARIA, 1962). A área de safety compreende a proteção das pessoas e do meio ambiente dos riscos das radiações ionizantes, bem como a segurança das instalações e atividades que originam tais riscos. Desta forma, a referida área compreende tanto os riscos da radiação em situações normais, como aqueles que são consequência de incidentes (IAEA, 2006). O escopo de safety é intrínseco às atividades nucleares e são utilizadas análises de segurança (ou risco) com viés probabilístico, com dados transparentes. Desta forma, esta refere-se às características que limitam a plausibilidade da ocorrência de danos, incidentes ou acidentes nucleares e radioativos, que podem levar a lesões corporais e/ou ambientais - incluindo as características que atenuam as consequências desses eventos potenciais. Em security englobam-se as ações mal- intencionadas e com certo grau de confidencialidade, e utiliza-se o julgamento com base em ameaças. Tal área engloba os aspectos que impedem a posse não autorizada de instalações e materiais, nucleares e radioativos, bem como 26 qualquer atividade nuclear que não seja permitida, impedindo o seu controle ou que seu controle seja adquirido incorretamente (IAEA, 2016). As áreas de safety e security têm em comum o objetivo de proteger as pessoas, a sociedade, as propriedades (públicas e/ou privadas) e o meio ambiente. As medidas promovidas por ambas as áreas devem ser desenhadas e implementadas de forma integrada, no sentido de promover uma sinergia entre ambas as áreas (IAEA, 2013). A sinergia destas áreas pode ser observada quando da infraestrutura reguladora, as disposições de engenharia na concepção e construção de instalações nucleares, no controlede acesso a instalações nucleares e outras instalações, na categorização de fontes radioativas, dentre outros inúmeros exemplos (IAEA, 2016). Num primeiro momento, para fins de nomenclatura, seria possível traduzir “safety” como “segurança tecnológica” e “security” como “segurança física” e esta será a tradução adotada neste trabalho. 2.1 Estrutura da Segurança Física Nuclear Conforme mencionado anteriormente, a segurança nuclear divide-se em três áreas: regulatória, não-regulatória e cooperação entre instituições. 2.1.1 Cooperação Institucional No tocante à área de cooperação institucional, a AIEA divide-a em cinco grandes grupos, chamados de áreas comuns da segurança nuclear. A saber: Avaliação de ameaças: as agências responsáveis devem avaliar informações de ameaças recebidas a fim de se tomar decisões em favor da segurança Desenvolvimento e capacitação de recursos humanos: as agências responsáveis devem promover treinamentos especializados a fim de capacitar suas equipes para agir em caso de emergências Assistência e cooperação internacional: os países devem estar unidos contra o terrorismo, de forma que a cooperação seja estabelecida sempre que necessário Quadro legislativo e regulatório: leis bem definidas relacionadas a ataques terroristas e posse de materiais de cunho nuclear devem reger os países, de forma que as punições previstas sejam dignas das intenções e consequências do ato 27 Segurança da Informação: qualquer informação relacionada a algum tipo de ação envolvendo material nuclear ou radioativo deve ser tratada por aqueles que entendem do assunto 2.1.2 Área Regulatória Em relação à área regulatória, a AIEA divide-a em quatro grandes grupos, específicos para materiais nucleares e radiológicos e suas atividades associadas. São eles: Controle regulatório: refere-se à qualquer forma de controle institucional sobre materiais nucleares e/ou radioativos, às instalações associadas ou atividades associadas por qualquer autoridade competente. Este controle deve estar em conformidade com o exigido pelas disposições legislativas e regulatórias relacionadas à segurança tecnológica, segurança física ou salvaguardas (IAEA, 2010). Segurança de transporte: qualquer material de cunho nuclear ou radioativo deve possuir monitoramento especializado em sua transferência. Segurança na operação de sistemas: deve ser assegurada confiabilidade de funcionamento a qualquer equipamento utilizado na operação de sistemas que envolvam materiais radioativos, incluindo a precisão dos seus resultados. Proteção Física: o Instalações: deve ser proporcionado segurança a qualquer instalação que envolva material nuclear ou radioativo contra ameaças eventuais que possam colocar em risco ou inviabilizar o seu funcionamento. o Pessoal: é necessária a proteção por meio de equipamento especializado, além de se ter conhecimento das medidas a serem tomadas para prevenir ou minimizar efeitos de um eventual ataque o Planejamento para ações de cunho nuclear: um prévio planejamento da linha de ação caso um ataque nuclear ocorra se faz necessário, pois, caso contrário, dúvidas a respeito das tarefas de cada agência surgirão no momento. 28 2.1.3 Área Não-Regulatória Antes de nos debruçarmos sobre a estrutura, cabe aqui uma elucidação sobre alguns termos. O termo “fora do controle regulatório” é usado para descrever uma situação na qual os materiais nucleares e/ou radioativos estão presentes seja sem autorização apropriada, seja em quantidade suficiente, de tal forma que deveriam estar sobre controle regulatório, mas tal controle está ausente – ou por falha do controle regulatório ou porque este jamais existiu (IAEA, 2010). Neste mesmo escopo, existe ainda o termo “material fora do controle regulatório” que refere-se à ausência do controle direto sobre um material pelo titular que é – ou deveria ser – responsável pelo controle regulatório para tal material (IAEA, 2010). Aqui entende-se por “titular” (do inglês, “authorized person”, “licensee” ou “operator”) (IAEA, 2012), o responsável legal pela instituição ou instalação para a qual a CNEN outorgue uma licença, autorização ou qualquer outro ato administrativo de natureza semelhante (CNEN, 2015). O material pode, portanto, ser designado como “fora do controle regulatório”, mesmo quando alguns aspectos do controle regulatório estão em vigor (IAEA, 2010). Em relação à área não-regulatória, a AIEA divide-a em quatro grandes grupos, específicos para materiais nucleares e radiológicos e suas atividades associadas. São eles: Arquitetura de detecção: é necessário um planejamento para detecção de um material suspeito ou localização de material desaparecido Arquitetura de resposta: é necessário um planejamento conjunto das agências para responder a um eventual ataque. Gerenciamento da cena do crime: caso um ataque tenha ocorrido, o local deve ser gerenciado por agências especializadas. Eventos de Grande Público: é necessária segurança reforçada em grandes eventos públicos, uma vez que a densidade de pessoas é alta 29 2.2 Área Não-Regulatória 2.2.1 Eventos de Segurança Física Nuclear A Agência Internacional de Energia Atômica define que “eventos de segurança física nuclear” são todos os eventos que tenham implicações potenciais ou reais para a segurança física nuclear (IAEA, 2013). Tais eventos podem incluir quaisquer usos mal-intencionados de materiais nucleares e/ou radioativos, bem como suas instalações e equipamentos associados. Podemos listar alguns exemplos: tomada ilegal – via roubo, furto, etc.; tráfico; venda ou transferência não-autorizada; sabotagem de equipamentos, instalações ou de transporte; ataque cibernético. Eventos de segurança física nuclear podem resultar no que a AIEA chama de “atos mal-intencionados”. As publicações da Agência Internacional de Energia Atômica (IAEA, 2011) descrevem estes como os atos ou tentativas deliberadas que visam: remover material nuclear ou radioativo de controle autorizado – roubo, por exemplo; ou um ato dirigido contra material nuclear ou radioativo – sabotagem, por exemplo. Estes atos visam colocar em risco os trabalhadores, o público e o meio ambiente por exposição à radiação ou liberação ou dispersão de material radioativo, ou mesmo para causar transtornos econômicos e sociais (IAEA, 2010). Como exemplos de atos mal-intencionados, podemos listar: o roubo de um caminhão que transporta uma fonte de cobalto-60 para teleterapia, saindo de um hospital para uma instalação de gerenciamento de lixo radioativo; um adversário que acesse um irradiador de bolsas de sangue numa unidade médica e utiliza explosivos convencionais para dispersar material radioativo; 30 um hacker acessa plantas e manuais de equipamentos de uma usina nuclear, com o intuito de sabotar ou facilitar um ataque. Um dos riscos-chave no tocante à segurança física nuclear é a possibilidade que adversários utilizem materiais nucleares ou radioativos para a elaboração de artefatos que exponham pessoas à radiação, que dispersem material radioativo para o meio- ambiente ou até mesmo criar uma explosão nuclear. Tais artefatos podem gerar consequências socioeconômicas, de saúde e ambientais relevantes. Eles são classificados como (IAEA, 2010): artefatos de exposição à radiação (em inglês, RED, acrônimo para radiation exposure device): expõem o público intencionalmente à radiação; artefatos de dispersão radiológica (em inglês, RDD, acrônimo para radiological dispersion device): espalham material radioativo utilizando explosivos convencionais ou outros meios – conhecidos como “bombas sujas’; artefatos nucleares improvisados (em inglês, IND, acrônimo para improvised nuclear device): resultam na formação de umareação ou explosão nuclear. Eventos de segurança física podem ser descritos como cenários que se caracterizam por ameaças, táticas e alvos. 2.2.1.1 Ameaças Uma ameaça à segurança física nuclear consiste em uma pessoa – ou grupo de pessoas – que possuam motivação, intenção e capacidade para cometer atos mal- intencionados (IAEA, 2010). Comumente, chamamos as ameaças também de “adversários”. Caracterizar um adversário permite avaliar o comportamento dele no futuro. Para tanto, se faz necessário reunir um conjunto de informações sobre os adversários: motivação, intenção e capacidades (IAEA, 2016). Garcia (2008) acrescenta ainda que é necessário listar os objetivos – tendo como base os alvos potenciais – e as táticas dos adversários. Mais à frente discutiremos sobre as táticas e alvos. O termo “motivação” é usado para descrever o que leva um adversário a realizar ou tentar executar um ato mal-intencionado (IAEA, 2008). Como exemplo de tipos de motivação (IAEA, 2016), temos: 31 financeira; pessoal; psicológica; política; ideológica; coercitiva. Podemos dividir as intenções em (IAEA, 2016): causar dano ao público ou indivíduo específico; causar dano ao meio ambiente; causar prejuízos à economia; publicidade; ganhos pessoais (em geral, financeiros); perturbar a ordem política e/ou social. No tocante às capacidades do adversário, temos (IAEA, 2016): recursos humanos; o habilidades técnicas – tais como conhecimentos de engenharia, uso de explosivos, experiências paramilitares, dentre outros; o habilidades cibernéticas – utilizando, por exemplo, computadores e sistemas automatizados para facilitar os ataques físicos; o conhecimento – alvos potenciais, planos e procedimentos da instalação, materiais nucleares e radiológicos com potencial para uso, dentre outros. organizacionais; o tamanho do grupo – força de ataque, capacidade de coordenação e tipos de suporte; o táticas – para se evadir ou se evidenciar; o organização estrutural – cadeia de comando e/ou se age em células únicas ou múltiplas. financeira; o fonte, quantidade e disponibilidade. equipamentos; o armas – tipos, números, disponibilidade e improvisação; o ferramentas – mecânicas, térmicas, manuais, eletrônicas, dentre outras. 32 acesso ao alvo. o transporte – público, privado, terrestre, marítimo, aéreo, quantidade, disponibilidade, dentre outros; o existência ou não de adversários internos; o estrutura de apoio – simpatizantes locais, organização de apoio e logística. Adversários são classificados (GARCIA, 2008) em três grandes grupos: externos (do inglês, “outsiders”); internos (do inglês, “insiders”); externos em conluio com internos. Adversários externos podem incluir terroristas, criminosos comuns, extremistas ou hackers. Já os adversários internos são definidos como qualquer pessoa que tenha conhecimento das operações ou dos sistemas de segurança física e que tenha acesso livre à instalação ou às áreas de interesse. 2.2.1.1.1 Adversários Internos De acordo com o Nuclear Security Series no 8 (IAEA, 2008), um adversário interno pode estar em qualquer posição em uma instalação: desde o funcionário de nível mais alto até o mais baixo. Por conseguinte, adversários internos representam uma grave ameaça a uma instalação, na medida em que estes podem explorar vantagens tais como: ter acesso autorizado, ter autoridade e/ou ter conhecimento suficiente para que seja possível para trair a confiança e contornar as medidas de segurança. Adversários internos possuem três características que o distinguem dos outros: conhecimento do sistema, que pode ser usado para estar em vantagem; acesso autorizado à instalação, aos materiais ou aos sistemas de proteção física, sem levantar qualquer suspeita de outros; e oportunidade de escolher a melhor hora para cometer um ato malicioso. Um complicador na análise desse tipo de adversários, é o fato de que esta análise é específica da instalação em voga, devido à ampla gama de tipos de instalações a serem protegidas – por exemplo, reatores de pesquisa, usinas nucleares e outras instalações do ciclo de combustível nuclear. Garcia (2008) aponta uma série de 33 estudos que indicam que adversários internos são os responsáveis pela maior parte das brechas encontradas nos sistemas físicos e computacionais de segurança nuclear. Adversários internos podem ter motivações diferentes e podem ser classificados em passivos ou ativos, violentos ou não-violentos, conforme o diagrama exibido na figura 2.1 (IAEA, 2008). Figura 2.1 - Tipos de adversários internos. Adaptado de IAEA (2008). Os passivos são não-violentos e sua participação limita-se ao fornecimento de informações que possam auxiliar outros adversários a realizar ou tentar realizar um ato mal-intencionado (IAEA, 2008). Já os ativos estão dispostos não somente a fornecer informações, mas também realizar ações. Neste caso, estes podem ser violentos ou não-violentos (IAEA, 2008). Os adversários internos ativos não-violentos não estão dispostos a ser identificados ou arriscam a chance de envolver forças de resposta. Em geral, limitam suas atividades a adulteração da contabilidade e controle dos materiais, e também dos sistemas de segurança física e tecnológica. Já os adversários internos ativos violentos podem usar a força, independentemente disso aumentar suas chances de sucesso; eles podem agir racional ou irracionalmente (IAEA, 2008). Este último tipo de adversário é o mais difícil de se proteger, de acordo com Garcia (2008). 2.2.1.2 Táticas Táticas são o conjunto de métodos utilizados pelo adversário para executar um evento, incluindo-se a descrição do alvo pretendido. Entre as táticas listadas pela Agência Internacional de Energia Atômica (IAEA, 2016), podemos listar: 34 identificar o alvo pretendido; métodos para fabricação de artefatos, tais como RED, RDD e IND; métodos para sabotagem; utilização de adversários internos e de técnicas cibernéticas; métodos para aquisição de material; modalidades de transporte; métodos para evadir e/ou burlar a segurança. 2.2.1.3 Alvos A AIEA entende como alvos os materiais nucleares e radiológicos, instalações e atividades associadas, ou outros locais e objetos que tenham potencial para ser explorados pelo adversário – como por exemplo, eventos de grande público, locais estratégicos e informações confidenciais (IAEA, 2013). Garcia (2008) divide os alvos em dois tipos: alvos primários: podem ser ativos físicos, dados eletrônicos, pessoas ou quaisquer coisas que possam causar impacto na operação; alvos secundários: podem ser componentes da proteção física que possam ser atacados a fim de diminuir a efetividade do sistema, facilitando um ataque. 2.2.2 Atribuições da Segurança Física Nuclear Descrições e análises abrangentes de potenciais eventos de segurança nuclear permitem projetar corretamente um conjunto de medidas de segurança (IAEA, 2016). A AIEA entende que “medidas de segurança física nuclear” são aquelas que visam prevenir que uma ameaça de segurança física nuclear se torne, concretamente, um ato criminoso ou intencional não-autorizado que envolva ou esteja dirigido a materiais nucleares ou radiológicos ou instalações e atividades associadas a estes. Ademais, tais medidas têm em seu escopo detectar e responder aos eventos de segurança física nuclear (IAEA, 2013). O conjunto integrado de medidas de segurança nuclear forma o que a AIEA chama de “sistema de segurança física nuclear”. Por fim, uma série de sistemas de segurança 35 nuclear sinergicamente interligados, formam o Regime de Segurança Nuclear (IAEA, 2012). Este regime será discutido posteriormente, na seção 2.3.1. Os recursos da Segurança FísicaNuclear têm como objetivo combater atos mal- intencionados. Tanto os sistemas, quanto as medidas de segurança física nuclear podem ser divididos em três componentes principais: prevenção, detecção e resposta, sendo estas as atribuições supracitadas. O diagrama na figura 2.2 ilustra a relação entre estes três componentes. Figura 2.2 - Componentes da Segurança Física Nuclear. Adaptado de IAEA (2016). 36 2.2.2.1 Prevenção As medidas de prevenção visam impedir o adversário de realizar uma tentativa ou cometer um ato mal-intencionado. Estas são implementadas para prover dissuasão e desestimular atos mal-intencionados. Elas podem incluir medidas de proteção física, segurança da informação, checagem de antecedentes de pessoal, marcos legais de governança para materiais nucleares e radiológicos – incluindo penalidades criminais – além de capacidades de detecção e resposta que sejam visíveis – publicamente ou não (IAEA, 2016). 2.2.2.2 Detecção As medidas de detecção objetivam descobrir uma tentativa ou ato mal- intencionado. No tocante a materiais sob controle regulatório, tais medidas têm como função descobrir tentativas não-autorizadas de acessar instalações nucleares ou radiológicas. Numa instalação, isto pode se fazer por meio da proteção física – através de sensores de invasão, sistema de vídeo-vigilância, contabilidade de material, dentre outros. Se o material deixa o controle regulatório por qualquer motivo – incluindo roubo ou perda –, as medidas de detecção são necessárias para localizar o material. Para materiais fora do controle regulatório, as medidas podem incluir, por exemplo, instrumentação de detecção e alertas médicos em casos de suspeita de doenças ou lesões causadas por radiação (IAEA, 2016). 2.2.2.3 Resposta As medidas de resposta são aquelas projetadas para responder a casos de atos mal-intencionados. Aqui cabe uma observação: medidas de resposta não são o mesmo que medidas de retardo. Medidas de retardo – tais como barreiras físicas – são aquelas que impedem uma tentativa do adversário em obter acesso não-autorizado, remover ou sabotar instalações nucleares ou radiológicas (IAEA, 2016). 37 Logo, se um adversário obtém sucesso quando pratica um ato mal-intencionado, as medidas de resposta são usadas para executar as atividades listadas em planos de emergência. É fundamental reconhecer que as medidas de resposta para segurança física e segurança tecnológica diferem na medida em que possuem objetivos distintos (IAEA, 2016). 2.3 Área Regulatória da Segurança Nuclear 2.3.1 Regime de Segurança Física Nuclear Dentro do território de uma nação, a responsabilidade pela Segurança Física Nuclear cabe inteiramente e somente ao Estado, que para isso, deve ter seu próprio Regime de Segurança Física Nuclear (em inglês, “nuclear security regime”), adequada à realidade do país. É importante reconhecer que uma segurança nuclear efetiva em um Estado depende também da eficácia do Regime de Segurança Nuclear em outros Estados (IAEA, 2013). Em linhas gerais, um Regime de Segurança Nuclear deve abranger (IAEA, 2013): os dispositivos legais e regulatórios, bem como os sistemas administrativos e medidas governamentais para a segurança dos materiais nuclear e radiológico, e das instalações e atividades associadas; as instituições e organizações do Estado responsáveis pela garantia da implementação dos dispositivos e sistemas mencionados; os sistemas de segurança nuclear e as medidas de segurança nuclear para prevenção, detecção e resposta a eventos de segurança física nuclear. A AIEA, através da publicação Nuclear Security Series no 20 (NSS 20), estabelece 12 (doze) elementos essenciais para o referido Regime, que devem ser implementados na medida em que sejam, na prática, razoáveis e possíveis sob a ótica da realidade de cada Estado. A implantação destes elementos, portanto, deve estar em acordo com a realidade de cada Estado. Os doze tópicos listados pela IAEA são os seguintes: 38 Elemento essencial no 1: responsabilidade do Estado Elemento essencial no 2: identificação e definição das responsabilidades na segurança nuclear Elemento essencial no 3: dispositivos legislativos e regulatórias Elemento essencial no 4: transporte internacional de materiais nucleares e radioativos Elemento essencial no 5: infrações e penalidades, incluindo a criminalização Elemento essencial no 6: cooperação internacional e assistência Elemento essencial no 7: identificação e avaliação de ameaças à segurança nuclear Elemento essencial no 8: identificação e avaliação de alvos e consequências em potencial Elemento essencial noo 9: uso de abordagens baseadas em riscos Elemento essencial no 10: detecção de eventos de segurança nuclear Elemento essencial no 11: planejamento, preparação e resposta a um evento de segurança nuclear Elemento essencial no 12: sustentar um regime de segurança nuclear No tocante à responsabilidade do Estado, cabe aqui o que já foi dito previamente, onde este é o único responsável pela implementação de um Regime adequado à própria nação. Os elementos essenciais nos 2 e 3 estão intrinsecamente interligados, na medida em que as responsabilidades das autoridades competentes do Estado – no tocante à segurança nuclear – incluem órgãos reguladores, controle de fronteiras e o cumprimento da lei. Para tal, as responsabilidades de todos os indivíduos envolvidos têm de estar claramente identificadas e definidas. Ainda de acordo com o elemento no 3, o Estado deve ter legislação e regulamentação apropriados, no intuito de garantir que os órgãos reguladores tenham independência - administrativa e financeira - na tomada de decisões quanto à segurança nuclear. O elemento no 4 estabelece que compete também ao Estado a garantia de que materiais nucleares e radioativos sejam adequadamente protegidos inclusive quando do seu transporte internacional, até o momento em que esta responsabilidade seja devidamente transferida para outro Estado. 39 O quinto elemento determina que o Regime de Segurança Nuclear deve definir claramente que quaisquer atos criminosos ou intencionais não-autorizados contra a segurança nuclear devem ser considerados ofensas ou violações à lei. O elemento essencial no 6 prevê que haja cooperação e assistência entre os Estados, diretamente ou através da IAEA ou de outras organizações internacionais. Tal cooperação deve ocorrer, também, na forma de troca de experiências e informações, onde as informações sensíveis ou sejam protegidas de forma adequada e apropriada. O disposto no no 7 garante que a identificação e avaliação de ameaças à segurança nuclear compete ao Estado, sejam elas internas ou externas ao território, dentro ou fora de sua jurisdição. Da mesma forma, o elemento essencial no 8 estabelece que os alvos em potencial dentro do Estado devem ser identificados e avaliados para determinar se eles exigem proteção ou não contra ameaças à segurança nuclear. Consequentemente, o Regime de Segurança Nuclear deve utilizar-se de abordagens de risco, incluindo a alocação de recursos em sistemas e medidas de segurança nuclear, baseando-se nos conceitos de “abordagem gradual” e “defesa em profundidade”, conforme estabelecido no elemento no 9. De forma objetiva, o conceito de “defesa em profundidade” pode ser entendido como uma série de camadas de sistemas e medidas de segurança nuclear. Tais camadas sucessivas tem por finalidade a proteção de alvos sob ameaça. O conceito de “abordagem gradual” consiste na aplicação de medidas de segurança nuclear que sejam proporcionais às consequências potenciais de atos que tenham impactos negativos na segurança nuclear. Tais sistemas e medidas de segurança nuclear devem estar em vigor em todos os níveis organizacionais adequados.Com isso, é possível detectar e avaliar os eventos de segurança nuclear e, consequentemente, notificar as autoridades competentes a fim de que se possam ser iniciadas ações de resposta adequadas (elemento essencial no 10). O Regime também precisa assegurar (elemento essencial no 11) que as autoridades competentes e o titular estejam preparados para responder apropriadamente aos eventos em nível local, nacional e internacional. Por fim, o elemento essencial no 12 determina que cada uma das autoridades competentes e o 40 titular, bem como outras organizações com responsabilidades sobre segurança nuclear, contribuam com a sustentabilidade do Regime através das medidas cabíveis. 2.3.2 Segurança Física de Transportes O transporte de materiais nucleares e radiológicos pode envolver risco, já que o material está na fase mais vulnerável de seu ciclo de vida. Essa vulnerabilidade se dá por dois motivos principais. Primeiramente, porque o material está sendo transportado no domínio público, em vez de permanecer em uma instalação segura. Segundo, porque se um veículo transportando material nuclear ou radioativo for roubado, este poderá ser usado para atos maliciosos (IAEA, 2016). Desta forma, uma operação de transportes pode ser considerada uma instalação móvel, onde a área que circunda o modal de transporte se altera à medida em que este se move ao longo da rota. O sistema de segurança de transporte deve resultar em medidas destinadas a proteger materiais nucleares e radioativos em trânsito e armazenamento temporário, seguindo alguns princípios básicos. 2.3.2.1 Princípios Básicos e Fundamentos A responsabilidade pela segurança do material radioativo, incluindo materiais nucleares e fontes radioativas, cabe inteiramente ao Estado, conforme determina o elemento essencial no 1 do Regime de Segurança Física Nuclear. Neste escopo inclui- se, portanto, o transporte desses materiais. A Nuclear Security Series no 9 (IAEA, 2008), estabelece um sistema de categorização para medidas de segurança, que considera as propriedades e quantidades de material radioativo sendo transportado. Ela recomenda ainda práticas de gerenciamento prudentes para todas as remessas de material radioativo. De acordo com a AIEA devem existir dois níveis de segurança do transporte nuclear: nível básico de segurança: para todos os materiais radioativos avaliados com quantidades limites superiores às das práticas de gerenciamento prudentes; 41 nível aprimorado de segurança: material radioativo com um nível de radioatividade considerado de alta consequência. Decidir sobre os níveis de segurança, limites de categoria e medidas de segurança para materiais nucleares e radioativos é um complexo e demanda um processo detalhado. O processo pode ser simplificado em quatro etapas principais (IAEA, 2008): Estabelecer a base: primeiro, para material radioativo (que não seja material nuclear), a autoridade competente precisa especificar se os limites de segurança devem ser estabelecidos com base na quantidade por embalagem ou quantidade por transporte. Isso ajudará a determinar a categoria apropriada. Considerações Particulares: para material nuclear, a autoridade competente deve especificar se a sabotagem das remessas poderia resultar em consequências radiológicas inaceitáveis e, em caso afirmativo, que medidas de segurança adicionais são necessárias – a atratividade das remessas de material radioativo justifica medidas de segurança adicionais. Diagramas decisórios: depois disso, autoridades competentes devem recorrer a diagramas decisórios (diagramas de fluxo complexos) para determinar a categoria apropriada de material nuclear e o nível de segurança de material radioativo. Isso garante que todos os fatores necessários sejam levados em consideração, reduzindo significativamente o risco de erro humano. Definindo a abordagem: por fim, a medida de segurança adequada deve ser definida de acordo com a categoria da remessa. 2.3.3 Proteção Física A proteção física de instalações nucleares e radiológicas tem como objetivos gerais (IAEA, 2011) proteger contra roubo e sabotagem, localizar e recuperar material perdido ou roubado e também mitigar as consequências radiológicas de uma sabotagem. A indústria nuclear estadunidense dispendeu o equivalente a 1 bilhão de dólares na expansão dos sistemas de segurança de suas usinas nucleares (MURRAY e HOLBERT, 2015). Os investimentos incluíram melhorias no treinamento e armamento de suas forças de segurança, barreiras físicas adicionais, melhor vigilância e detecção 42 de invasores, fortes controles de acesso, implementação da proteção dos sistemas computacionais da planta, além da melhoria na checagem de antecedentes dos funcionários da planta. Existem duas formas de prevenir um ato mal-intencionado, de acordo com Garcia (2008): dissuadindo o adversário; ou neutralizando o adversário. Dissuasão implica em implementar medidas de tal forma que o adversário seja levado a supor que elas são muito difíceis de derrotar. Temos como exemplos clássicos, a presença de guardas noturnos em estacionamentos, uso de sinalização e barreiras físicas tais como barras em uma janela. Desta forma, através da dissuasão, a instalação deixa de ser um alvo atraente e o adversário abandona ou jamais tenta um ataque. Em geral, medidas de dissuasão são implantadas sem nenhuma preocupação em acrescentar mais camadas de proteção em caso de um evento de segurança nuclear. Desta forma, a dissuasão pode até ser efetiva ao desencorajar eventuais ataques, mas é inútil se o adversário estiver decidido a promover um ataque. Por outro lado, um Sistema de Proteção Física (SisPF) robusto tem alto valor dissuasório, na medida em que o sistema oferece também proteção à instalação em caso de ataque (GARCIA, 2008). No entanto, é praticamente impossível medir o nível de dissuasão e, com isso, torna-se difícil dar qualquer garantia que ela exista (SNL, 2018). A outra forma de prevenir um ato mal-intencionado é pela neutralização do adversário. Esta refere-se às ações tomadas pela força de resposta para impedir que um adversário cumpra seu objetivo após iniciar um ato mal-intencionado contra uma instalação. A neutralização, por sua vez, possui uma série de formas de ser avaliada, através de suas funções primárias. 2.3.3.1 Projeto de um Sistema de Proteção Física Um SisPF realiza seus objetivos por dissuasão ou por uma combinação de funções primárias, que resultam numa provável neutralização do adversário. As 43 funções primárias de um sistema de proteção física são: detecção, retardo e resposta. Nas subseções a seguir discutiremos alguns aspectos importantes delas. 2.3.3.2 Características Necessárias a um Sistema de Proteção Física O objetivo de um SisPF é prevenir a sabotagem e/ou roubo de materiais nucleares ou radiológicos presentes numa instalação. Um SisPF realiza seus objetivos por dissuasão ou por uma combinação de detecção, retardo e resposta. Para tal, os procedimentos do sistema de proteção física devem ser compatíveis com os procedimentos da instalação (SNL, 2018). Garcia (2008) afirma que um SisPF bem projetado possui três características. A primeira delas é a defesa em profundidade. Esta é um conceito de projeto em que um adversário deve ser obrigado a evitar ou derrotar vários dispositivos de proteção, em sequência. Desta forma, os efeitos produzidos no adversário por um sistema que tenha defesa em profundidade serão: o aumento da incerteza sobre o sistema para o adversário, a exigência de ferramentas adicionais e preparações mais extensas antes de atacar o sistema e a criação de etapas adicionais onde o adversário pode falhar ou abortar a missão. A segunda é a proteção equilibrada. Ela implica que, não importa quando, onde ou como um adversário
Compartilhar