Perspectivas VozesA questão da cibersegurança (I) Jorge Rodrigues Simão - 15 Nov 2019 “One of the main cyber-risks is to think they don’t exist. The other is to try to treat all potential risks. Fix the basics, protect first what matters and be ready to react properly to pertinent threats. Think data, but also services integrity, awareness, experience, compliance, and reputation.” Stephane Nappo [dropcap]O[/dropcap] uso do ciberespaço por governos, empresas e indivíduos para facilitar e acelerar todos os tipos de actividades, levou à expansão global de redes cibernéticas em um período de tempo relativamente curto. Ainda que os especialistas em cibernética tenham advertido repetidamente, que as muitas vulnerabilidades inerentes e existentes em dispositivos e redes não foram resolvidas, nem podem ser adequadamente geridas para garantir a segurança das redes, têm sido amplamente ignoradas ou minimizadas. O aumento no número e na magnitude dos ataques, significa que a maioria dos formuladores de políticas está ciente da ampla gama de problemas associados à cibersegurança. As perspectivas diferentes dos países sobre questões cibernéticas, e a complexidade do tema tornaram a cibersegurança uma preocupação não apenas para a segurança nacional, mas também internacional. As conotações geopolíticas aumentaram os desafios da cibersegurança, e embora os sistemas e redes conectados se tenham tornado mais interligados e complexos, o ciberespaço está a ser usado por actores maliciosos para uma variedade de propósitos nefastos, desde a ciberespionagem, tanto para interesses comerciais quanto de segurança, até ao cibercrime e ciberterrorismo. O ataque distribuído de negação de serviço (Distributed Denial of Service – DDoS), pode interromper as operações comerciais ou causar paralisações graves, tendo um impacto directo nos lucros e na reputação das empresas. As empresas também enfrentam o risco de perder segredos comerciais ou direitos de propriedade intelectual. Além disso, uma violação maciça de dados para empresas ou portais de governo que armazenam dados de clientes ou cidadãos, compromete as informações pessoais e um ataque cibernético a entidades que fazem parte de infra-estruturas críticas pode ter um impacto debilitante na segurança nacional. O risco aumenta muito nas redes eléctricas, nas instalações nucleares e na rede de telemetria/comando e controlo dos bens espaciais. As redes sociais, surpreendentemente, como vector de ameaças, tornaram-se um canal de menor resistência para realizar reconhecimentos, roubar identidades e reunir informações sobre funcionários, projectos, sistemas e infra-estrutura, além de disseminar propaganda odiosa e seduzir jovens impressionáveis a seguir ideologias extremistas. Ao longo dos anos, o ciberespaço também se tornou um intrincado constituinte do poder nacional. As estratégias para o desenvolvimento do ciberespaço não se limitam apenas a fins civis; pelo contrário, este domínio inscreve-se agora perfeitamente no âmbito das forças armadas e com o advento da centricidade em rede nas operações militares e da revolução nos assuntos militares, as forças armadas correm um risco elevado de ciberincidentes. A utilização integrada de meios terrestres, aéreos, marítimos e espaciais para uma maior consciência do domínio ou acesso à informação em tempo real, justifica que as forças armadas adquiram conhecimentos especializados em operações cibernéticas defensivas e ofensivas. Os países documentaram as suas estratégias cibernéticas e executaram na forma de comandos cibernéticos. A dimensão militar viu o ciberespaço testemunhar o início de uma corrida pelo desenvolvimento e implantação de armas cibernéticas. É de ressaltar que um regime de controlo de armas, o “Acordo de Wassenaar sobre os Controlos das Exportações de Armas Convencionais, Bens e Tecnologias de Dupla Utilização” (é um regime multilateral de controlo de exportação com quarenta e dois países participantes, incluindo muitos países do antigo Pacto de Varsóvia), ampliou a sua lista de controlos em consonância com a forma como o ciberespaço alterou o actual cenário de segurança. O desenvolvimento de armas cibernéticas e o seu uso potencial contra alvos de alto valor, tem sido uma das principais preocupações de segurança dos países. As ameaças no ciberespaço são de natureza e intensidade variáveis. As empresas líderes nos sectores de energia, telecomunicações, finanças e transporte são alvos de “Ameaças Persistentes Avançadas (APTs na sigla inglesa)”. Os actores não estatais, como organizações terroristas e sindicatos criminosos, tornaram-se especialistas em tecnologia, empregando recursos humanos para desenvolver programas nocivos. Tais ferramentas são amplamente utilizadas na prática do cibercrime. As organizações terroristas aproveitam os benefícios do ciberespaço para a propagação de ideologias, recrutamento e comunicação. O Estado Islâmico do Iraque e da Síria (ISIS; também conhecido como ISIL/IS/Daesh), por exemplo, é um dos principais utilizadores, alavancando a sua tremenda presença nas médias sociais para espalhar propaganda e recrutar simpatizantes, de todo o mundo, como combatentes. A Al-Qaeda também tem desenvolvido programas de criptografia para proteger a sua comunicação no ciberespaço. À medida que a extensão do comércio transaccionado no ciberespaço cresce, junto com a dependência da tecnologia da informação para ganhar eficiência de custos, o risco para as empresas aumenta e como a Ásia continua a crescer a sua participação no comércio global, espera-se que as ameaças de ataques cibernéticos aumentem proporcionalmente. Os ciberataques, como muitos dos novos desafios de segurança, são transnacionais em termos de origem e natureza, e nenhum país pode combatê-los só. Apesar das variações nos sistemas étnicos, económicos e de governação, os países asiáticos necessitam de uma sólida arquitectura de segurança para resolver as questões específicas da região geográfica onde estão inseridos, bem como as situações internacionais prejudiciais ao crescimento económico e social da Ásia. É de acreditar com a transferência do poder para a Ásia, a sua representação nos mecanismos de governação internacional e os seus contributos para a criação de um ciberespaço seguro são fundamentais para a política internacional, economia mundial e credibilidade das instituições internacionais e dos regimes de cibersegurança. As ciberameaças, na Ásia, alteraram as percepções de segurança das instituições e dos sistemas governamentais. Assim, e nesse contexto, os trabalhos apresentados por especialistas estratégicos, académicos, especialistas em domínios e formuladores de políticas, tentam examinar uma série de questões como o ambiente de segurança cibernética global, os actores não estatais e ciberespaço, a segurança da infra-estrutura crítica e o papel dos militares na segurança cibernética. O mundo está a tornar-se cada vez mais turbulento. A imparável marcha da globalização, facilitada pelas “Tecnologias de Informação e Comunicação (TICs)”, levantou muitas questões preocupantes no que respeita à manutenção da paz e da estabilidade. A cibersegurança é uma preocupação de segurança internacional. É também uma das principais inquietações para a maioria dos países, e constitui um elemento importante nas suas prioridades nacionais em matéria de segurança. A tónica é colocada na gestão das ameaças no ciberespaço que afectam todos. A principal questão que se coloca a um país, é o de saber como se defender das ocorrências cada vez maiores em caso de ciberataques. O ano de 2015 assistiu a uma série de desenvolvimentos importantes no domínio da cibersegurança. A visita do presidente chinês aos Estados Unidos de 22 a 28 de Setembro de 2015, será lembrada por alguns comentários públicos sinceros do então presidente Obama, sobre as preocupações do seu país com o roubo “on-line” de propriedade intelectual. Os dois países estão consciente de que preocupações cibernéticas, se não resolvidas, podem criar mal-entendidos e desestabilizar laços, acordando em diálogos bilaterais sobre cibersegurança. O então presidente Obama, afirmaria que os dois governos concordaram que nem os Estados Unidos nem a China iriam conduzir ou apoiar conscientemente o roubo cibernético de propriedade intelectual, incluindo segredos comerciais ou outras informações confidenciais para retirarem vantagem comercial. O então presidente Obama, abordou ainda com o presidente chinês a questão das ameaças cibernéticas, tendo este declarado que a China se opõe fortemente e combate o roubo de segredos comerciais e ataques de pirataria informática. A reunião ocorreu no contexto de um ataque cibernético bem divulgado em Dezembro de 2014 no “Escritório dos Estados Unidos de Gestão de Pessoal (OPM na sigla inglesa)”, que resultou em uma grande violação de dados, comprometendo as impressões digitais de cinco milhões e seiscentas mil pessoas e os registos de segurança de cerca de vinte e dois milhões de pessoas. Os dois países reconheceram a segurança cibernética como um problema o que constituiu um desenvolvimento notável. Durante o mesmo ano, a China e a Rússia também assinaram um acordo abrangente sobre cibersegurança, tendo os “Grupos de Peritos Governamentais das Nações Unidas no domínio da informação e das telecomunicações no contexto da segurança internacional (UNGGE na sigla inglesa)”, apresentado o seu terceiro relatório que continha um avanço em relação ao relatório anterior e como resultado desses esforços, existe um reconhecimento crescente de que o direito internacional, particularmente a Carta das Nações Unidas, se aplica tanto ao ciberespaço como a outros domínios. O UNGGE salienta o respeito pelos princípios da igualdade soberana; a resolução de litígios internacionais por meios pacíficos; a não ameaça ou uso da força contra a integridade territorial ou a independência política de qualquer país; o respeito pelos direitos humanos e liberdades fundamentais, incluindo a liberdade de expressão; e a não intervenção nos assuntos internos de outros países são alguns dos princípios que também se aplicam à segurança das TICs, ou seja, por outras palavras, o direito internacional é tecnologicamente neutro. É de considerar que uma das principais observações do relatório é que os países têm jurisdição sobre a infra-estrutura das TICs localizada no seu território. O direito internacional tem muitos aspectos, incluindo a intervenção em autodefesa, sanções económicas contra medidas e assim por diante. Foi aberto um debate sobre se, em determinadas circunstâncias, se justifica ou não uma intervenção através de meios cibernéticos nas redes de outros países. O debate tem sido agudo, mas inconclusivo. As questões da cibersegurança são controversas, e revelam-se difíceis mesmo quando os incidentes de ciberataques, cibercriminalidade e ciberterrorismo aumentam exponencialmente. Todos os anos novos tipos de ataques são inventados e realizados. O conjunto de ferramentas dos atacantes está a expandir-se. É bem possível que os países estejam a desenvolver clandestinamente um arsenal de ferramentas de ataques cibernéticos, mesmo quando discutem a necessidade de normas aceites no ciberespaço. O desafio para os países é como defender a sua infra-estrutura crítica, militar e civil contra os ataques cibernéticos desestabilizadores. O cibercrime está a aumentar e o roubo de informações pessoais e de propriedade intelectual é desenfreado. A distinção entre intervenientes estatais e não estatais no ciberespaço está a esbater-se. Mesmo com o desenvolvimento de tecnologias de defesa activa, os atacantes estão vários passos à frente. A maioria dos países está empenhada em implementar estratégias para defender as suas redes contra ataques cibernéticos; ao mesmo tempo, também estão a jogar com a ideia de desenvolver capacidades que desencorajariam possíveis atacantes. Foram feitos esforços para desenvolver uma teoria e uma prática de “ciberdissuasão” na linha da dissuasão nuclear. Fazendo analogias com o vocabulário de controlo de armas nucleares, é de argumentar que tanto as negações quanto a punição são essenciais para dissuadir a agressão cibernética. A ideia é deixar claro ao potencial atacante que o custo da agressão cibernética superará os benefícios. Uma estratégia eficaz de dissuasão cibernética incluirá tanto a dissuasão por negação quanto a punição. A dissuasão pela negação dependerá de defesas fortes. Os esforços do atacante serão inúteis se as defesas e a resiliência, ou seja, as capacidades de recuperação, forem fortes.