Perspectivas VozesA questão da cibersegurança (II) Jorge Rodrigues Simão - 21 Nov 2019 “The Internet is the first thing that humanity has built that humanity doesn`t understand, the largest experiment in anarchy that we have ever had”. Eric Schmidt [dropcap]A[/dropcap] dissuasão por punição, por outro lado, depende da capacidade de contra-atacar. É de argumentar que se o atacante sabe que a retaliação seria “certa, severa e imediata”, isso o dissuadirá. A questão é se a dissuasão cibernética pode funcionar da mesma forma que a dissuasão nuclear. A dissuasão nuclear funciona porque ambos os lados conhecem com bastante precisão a natureza, o tamanho e o escopo do arsenal nuclear um do outro e os meios de provimento. Durante décadas, as negociações sobre controlo de armas foram focadas em questões como transparência e verificabilidade dos arsenais uns dos outros. Foram desenvolvidas “Medidas Detalhadas de Fortalecimento da Confiança Nuclear (MGCs na sigla inglesa)”, com base na verificação. Foram feitas tentativas para compreender as doutrinas nucleares uns dos outros e no caso nuclear, os actores eram poucos (actores não estatais não possuíam armas nucleares). Assim, no ciberespaço, a situação é muito diferente pois, não há transparência sequer sobre o que significa um ataque cibernético. Não existe uma definição acordada de arma cibernética, bem como não há meios de verificação. Vários actores operam no ciberespaço com total anonimato. Os cépticos salientam que a dissuasão cibernética falhará devido à falta de imputabilidade no ciberespaço. No ciberespaço, onde o anonimato é a chave, é difícil identificar com precisão quem é o atacante. A não atribuição é a fraqueza fundamental do argumento da dissuasão cibernética. Existe, no entanto, alguma literatura que sugere que o problema da atribuição pode ser ultrapassado mais cedo ou mais tarde. Tais afirmações são, no entanto, não verificáveis actualmente. Para que a dissuasão cibernética seja significativa, um país teria de definir os seus limiares através de sinalização adequada. Teria de indicar os seus limiares cibernéticos e alguma ambiguidade será, sem dúvida, deliberada. No entanto, um potencial atacante deve saber que a retaliação seria grave e inaceitável se uma determinada linha vermelha fosse ultrapassada. A indicação de linhas vermelhas dependerá das capacidades, intenções e interesses de um país. Hoje, porém, as linhas vermelhas estão ausentes e por exemplo, a ciberespionagem, dirigida contra alvos militares e não militares, deveria ser tratada como um acto de guerra cibernética? Será um ataque às redes bancárias, bolsas de valores e de energia um acto de guerra? A ciberespionagem merece um contra-ataque? A retaliação deve ser feita no ciberespaço ou por outros meios? Com perguntas-chave sem resposta ter uma dissuasão cibernética na linha da dissuasão nuclear parece difícil. O “Manual de Tallinn 1.0”, originalmente chamado “Manual de Tallinn sobre o Direito Internacional Aplicável à Guerra Cibernética”, trata de cenários de conflito no ciberespaço onde o direito internacional se aplicaria. Embora o “Manual de Tallinn” não seja um documento oficial, o seu trabalho é patrocinado pela “Organização do Tratado do Atlântico Norte (OTAN)” e outros países. Actualmente, está a ser elaborada uma segunda versão com o nome de “Manual de Tallinn 2.0”. Trata da aplicação do direito internacional ao ciberespaço em tempo de paz. Uma reunião realizada em Haia, de 2 a 3 de Fevereiro de 2016, tratou destas questões. Durante as discussões, foram feitas tentativas de criar uma lei diplomática para o ciberespaço. Foi sugerido que o ataque aos sistemas informáticos de uma embaixada estrangeira deveria ser proibido por lei. Foi também afirmado que a intervenção no ciberespaço pode ser permitida em determinadas circunstâncias. Assim, por exemplo, do ponto de vista da Índia, o “Manual de Tallinn”, embora seja um exercício útil, não reflecte a legislação existente sobre o assunto devido à ausência de práticas estatais que são críticas ao desenvolvimento do direito internacional consuetudinário. Apesar destas dificuldades, os países estão a avançar com a incorporação da cibersegurança nas suas doutrinas militares. Tais doutrinas postulam que um país, ao exercer o direito defesa, poderia retaliar a um ataque cibernético por ciberataques ou qualquer outro meio. A “Estratégia Nacional dos Estados Unidos” diz que poderiam usar ferramentas cibernéticas ou outros meios para retaliar ataques cibernéticos. O problema dos ciberataques não pode ser visto isoladamente. Actualmente, o ciberespaço está interligado com outros domínios da guerra, nomeadamente a terra, água, ar e o espaço. Este entrelaçamento implica que os ciberataques não serão vistos apenas como tal. A retaliação sob forma não cibernética, ou seja, a retaliação através de meios não cibernéticos, incluindo possivelmente meios militares, não pode ser excluída. Os ciberataques, como meio de guerra, apenas alargariam o domínio da batalha. A ciberguerra pode induzir os países a optar por uma dissuasão total do espectro. A ciberguerra é um conceito contestado. A ciberespionagem, ataque a infra-estruturas críticas, etc., são acontecimentos rotineiros no ciberespaço. Até agora, não foram utilizados meios militares para deter os ataques. Também não foram utilizadas sanções económicas porque a atribuição de um ataque cibernético tem sido muito difícil. Além disso, muitas vítimas sentem receio de denunciar ciberataques. Tais incidentes não têm sido considerados como actos de guerra até agora, porque não existe uma definição de guerra cibernética. Se um ataque cibernético é visto como um componente da guerra cibernética dependerá do contexto do ataque. Os autores do “Manual de Tallinn” lutaram durante muitos anos para chegar a algumas definições aceitáveis, mas o progresso tem sido lento. A Índia por exemplo, não pode ignorar estes desenvolvimentos. O uso da Internet está a espalhar-se rapidamente na Índia e embora a penetração da Internet no país ainda seja baixa, quase quatrocentos milhões de pessoas estão a usar a Internet. A Índia digital levará a Internet de banda larga a todas as aldeias. A revolução na conectividade está a varrer a Índia com mil milhões de assinantes de cartões SIM. O futuro progresso e crescimento da Índia estão ligados à expansão da rede digital, superando as disparidades digitais e garantindo que políticas robustas de segurança cibernética sejam adoptadas desde o início. A Índia tomou várias medidas no passado recente para fortalecer as suas capacidades de defesa cibernética sendo de mencionar algumas como uma política nacional de segurança cibernética que foi anunciada e está a ser implementada; uma elaborada estrutura nacional de garantia da segurança cibernética que está em fase de implementação; a nomeação do “Coordenador Nacional de Segurança Cibernética”; a coordenação entre várias agências melhorou; foi criado um “Centro Nacional de Protecção de Infra-estrutura de Informações Críticas (NCIIPC na sigla inglesa)”; existe um diálogo regular com os principais sectores da economia; está a ser construída uma parceria público-privada; existe um diálogo activo entre o governo e o sector privado; está a ser criado um “Centro Nacional de Cibercoordenação (NCCC na sigla inglesa)”; estão a ser envidados esforços para desenvolver as competências em matéria de cibersegurança no país; novos cursos de cibersegurança estão a ser introduzidos nas faculdades; a política de “Pesquisa e Desenvolvimento (P&D)” em matéria de cibersegurança também tem sido objecto de consideração activa por parte do governo. A “Equipa Indiana de Resposta a Emergências de Computadores (CERT-In na sigla inglesa)” criada em 2004, realizou um trabalho significativo no tratamento de incidentes cibernéticos, bem como na sensibilização. A Índia está a desenvolver uma ciberdiplomacia activa, estabelecendo diálogos sobre cibersegurança com vários países e participando em vários fóruns internacionais, incluindo a ONU sobre cibersegurança. Todos estes esforços sincronizados e coordenados estão a dar resultados. Mas não podemos ser complacentes face às ameaças crescentes e à evolução das tecnologias. Devido ao crescimento explosivo das TIC, é provável que o cenário da cibersegurança continue a ser um desafio. Os países terão de trabalhar arduamente nos vários aspectos da cibersegurança, incluindo os desafios emergentes. Assim como outros países, a Índia também enfrenta a tarefa assustadora de interromper e prevenir ataques cibernéticos nas suas redes. A Índia terá que estudar de perto a evolução da ideia de dissuasão cibernética. Construir capacidade de dissuasão cibernética implicaria edificar redes robustas que possam ser defendidas, incentivar a P&D abrangente na área de cibersegurança e fortalecer a fabricação nativa de produtos das TIC. Será também necessária uma forte ciberdiplomacia para garantir que a Índia e outros países não sejam os destinatários finais do regime emergente de controlo das exportações das TIC ao abrigo do “Acordo de Wassenaar”. É necessário também analisar de perto os padrões dos ciberataques contra os países e criar medidas de resposta adequadas, incluindo a capacidade de realizar ciberoperações, se necessário. Alguns países teriam de tomar em conta as doutrinas de cibersegurança cada vez mais assertivas que estão a ser adoptadas por outros países e ajudarão a elaborar as suas doutrinas de cibersegurança. É de salientar que existe uma falta de consenso na comunidade internacional sobre as normas de comportamento no ciberespaço. Estamos em uma fase em que a tecnologia está muito à frente do nosso pensamento sobre as leis e normas cibernéticas. A UNGGE provou ser uma plataforma útil para discutir essas questões, mas a ausência de uma plataforma representativa mais ampla, onde as questões controversas possam ser discutidas e o consenso possa ser alcançado, é evidente pela sua ausência. Os grupos “ad hoc” que adoptam procedimentos para deliberar sobre agendas de segurança cibernética não construirão necessariamente um consenso. A comunidade internacional precisa de se reunir para discutir como lidar com ameaças no ciberespaço que estão a crescer a cada minuto. A tarefa pode parecer assustadora, mas os países devem reflectir seriamente se o mundo precisa de uma convenção cibernética sobre segurança cibernética. Ao contrário dos outros bens comuns, nomeadamente a terra, mar e o espaço, em que o direito internacional cresceu imediatamente, o ciberespaço continua a ser, em grande medida, ilegal. É necessária uma discussão sustentada por especialistas internacionais para gerar ideias sobre o caminho a seguir para a construção de um consenso sobre questões de cibersegurança.