Onde falam os especialistas

Novas ameaças: a dimensão cibernética

Tem-se chamado muitas vezes ao dia 11 de Setembro de 2011 o dia em que tudo mudou. Isto pode até nem ser verdade para o nosso dia-a-dia, mas em termos de segurança, de facto, marcou uma nova era. Juntamente com as Torres Gémeas, a nossa percepção tradicional das ameaças entrou em colapso. O cenário de Guerra Fria, que tinha sido dominante durante mais de cinquenta anos, alterou-se radical e irrevogavelmente.

A ameaça deixou de ter um remetente (nacional) claro. As fronteiras territoriais tornaram-se insignificantes, tal como as regras militares de espaço e de tempo. A utilização de aviões civis como instrumentos para cometer um atentado terrorista demonstrou que praticamente tudo poderia ser transformado numa arma, em qualquer momento. De repente, já nada parecia impossível ou impensável.

Esta é praticamente a mesma descrição das ameaças cibernéticas.

Nos últimos vinte anos, a informática desenvolveu-se muito. De ferramenta administrativa cujo objectivo era optimizar os processos administrativos, tornou-se um instrumento estratégico para a indústria, a administração e as forças armadas. Antes de 11 de Setembro, os riscos e desafios de segurança colocados pelo ciberespaço só eram debatidos em pequenos grupos de especialistas técnicos. Porém, a partir daquele dia, tornou-se evidente que o mundo cibernético acarreta vulnerabilidades sérias para sociedades cada vez mais interdependentes.

A evolução da ameaça cibernética

A world-wide-web, só inventada há cerca de duas décadas, evoluiu, tal como também evoluíram as suas ameaças. Os worms e vírus passaram de simples incómodos a sérios desafios à segurança e instrumentos perfeitos para a espionagem cibernética.

Os ataques de Negação de Serviço Distribuído (DDOS), até então considerados como nada mais do que a forma assumida online pelos “bloqueios de protesto”, tornaram-se uma ferramenta na guerra de informação.

E finalmente, em Junho de 2010, o malware “Stuxnet” tornou-se público, algo como um “destruidor de bunkers digital”, atacando o programa nuclear iraniano. Foi assim que os avisos iniciais dos especialistas, que datam de 2001, se tornaram realidade, sugerindo que a dimensão cibernética poderia, mais cedo ou mais tarde, vir a ser utilizada para ataques sérios com consequências mortíferas no mundo físico.

Uma onda de atentados cibernéticos maciços que durou três semanas veio demonstrar que as sociedades dos países membros da NATO, extremamente dependentes das comunicações electrónicas, também eram extremamente vulneráveis na frente cibernética.

Durante a crise do Kosovo, a NATO enfrentou os seus primeiros incidentes sérios de atentados cibernéticos. Entre outros, a conta de correio electrónico da Aliança ficou bloqueada para visitantes externos durante vários dias e houve perturbações repetidas do website da NATO.

Porém, típico à época, a dimensão cibernética do conflito foi considerada apenas um entrave à campanha de informação da NATO. Os atentados cibernéticos eram vistos como um risco, mas um risco limitado tanto em termos de âmbito como de potencial para causar prejuízos, para o qual era apenas necessária uma reacção técnica limitada, acompanhada por esforços de informação pública de pequena dimensão.

Foram necessários os acontecimentos de 11 de Setembro para mudar essa percepção. Mas ainda foram precisos os incidentes na Estónia, no Verão de 2007, para que esta crescente fonte de ameaças à segurança pública e à estabilidade estatal merecesse finalmente toda a atenção política. Uma onda de atentados cibernéticos maciços que durou três semanas veio demonstrar que as sociedades dos países membros da NATO, extremamente dependentes das comunicações electrónicas, também eram extremamente vulneráveis na frente cibernética.

A consciência crescente da seriedade da ameaça cibernética foi reforçada por incidentes ocorridos nos anos seguintes.

Em 2008, foi lançado um dos mais sérios ataques contra os sistemas informáticos militares norte-americanos, até aos dias de hoje. Através de uma simples ligação USB a um computador militar portátil numa base militar no Médio Oriente, disseminou-se software de espionagem por sistemas classificados e não classificados, sem que tal fosse detectado; este feito criou o equivalente a uma cabeça de praia digital, a partir da qual milhares de ficheiros foram transferidos para servidores sob controlo estrangeiro.

Desde então, a espionagem cibernética tornou-se uma ameaça praticamente constante. Ocorreram incidentes semelhantes em praticamente todas as nações da NATO e, de realçar, recentemente também mais uma vez nos Estados Unidos. Desta vez, foram afectadas mais de setenta e duas empresas, incluindo vinte e dois gabinetes governamentais e treze empresas de defesa.

Estes incidentes numerosos durante os últimos cinco a seis anos representam uma transferência, histórica e sem precedentes, de riqueza e de segredos nacionais para mãos, basicamente, anónimas e, muito provavelmente, maliciosas.

O Stuxnet demonstrou o potencial risco de malware afectar os sistemas informáticos críticos que gerem os fornecimentos energéticos.

Durante o conflito entre a Rússia e a Geórgia, ataques maciços a websites e servidores governamentais na Geórgia deram ao termo “guerra cibernética” uma forma mais concreta. Estas acções não causaram verdadeiros danos físicos. Contudo, enfraqueceram o governo da Geórgia durante uma fase crítica do conflito e prejudicaram a sua capacidade de comunicar com um público nacional e mundial em estado de choque.

Como se esses relatórios não fossem suficientemente ameaçadores, o worm Stuxnet que surgiu em 2010 apontou para mais um salto quântico qualitativo das capacidades destrutivas da guerra cibernética. No Verão de 2010, espalharam-se notícias de que aproximadamente quarenta e cinco mil sistemas de controlo do mundo inteiro pertencentes à Siemens tinham sido infectados por um vírus troiano, fabricado à medida que tinha a capacidade de manipular processos técnicos críticos para as centrais nucleares do Irão. Apesar de a avaliação dos danos ainda não ser clara, esta ocorrência demonstrou o risco potencial de malware afectar sistemas informáticos críticos que gerem os fornecimentos ou as redes de transporte de energia. Pela primeira vez, havia provas de que os atentados cibernéticos podiam, potencialmente, causar danos físicos reais e pôr em risco vidas humanas.

Uma avaliação equilibrada das ameaças

Estes incidentes tornam duas coisas claras:

  • Até ao momento, os actores mais perigosos no domínio cibernético ainda são as nações Estado. Apesar da disponibilidade crescente de capacidades ofensivas nas redes criminais que, no futuro, também poderão ser usadas por actores não estatais como os terroristas, a espionagem e a sabotagem altamente sofisticadas do domínio cibernético ainda requerem as capacidades, a determinação e o racional custo-benefício das nações Estado.
  • Ainda não se verificaram danos físicos e ciberterrorismo verdadeiramente cinético. Porém, a tecnologia dos atentados cibernéticos está claramente a evoluir de um simples incómodo para uma ameaça séria contra a segurança da informação e até mesmo contra a segurança de infraestruturas nacionais críticas.

Não há dúvida nenhuma de que algumas nações já estão a investir de forma maciça em capacidades cibernéticas que possam vir a ser utilizadas para fins militares. À primeira vista, a corrida às armas digitais baseia-se numa lógica clara e indubitável, uma vez que o domínio da guerra cibernética oferece inúmeras vantagens: é assimétrica, apelativamente barata e, inicialmente, as vantagens estão todas do lado atacante.

Além disso, não existe praticamente nenhuma dissuasão efectiva na guerra cibernética, uma vez que até a identificação do atacante é extremamente difícil e que, respeitando a lei internacional, é praticamente impossível. Nestas circunstâncias, qualquer forma de retaliação militar seria altamente problemática, tanto em termos legais como políticos.

As capacidades de defesa cibernética também estão a evoluir e a maioria das nações ocidentais reforçaram consideravelmente as suas defesas nos últimos anos

Por outro lado, as capacidades de defesa cibernética também estão a evoluir e a maioria das nações ocidentais reforçaram consideravelmente as suas defesas nos últimos anos. Uma boa defesa cibernética facilita a gestão destas ameaças, ao ponto de os riscos residuais parecerem em grande medida aceitáveis, à semelhança das ameaças clássicas.

Contudo, ao invés de falarmos de guerra cibernética como uma guerra propriamente dita (caracterizando os ataques digitais iniciais como um “Pearl Harbour Digital” ou o “11 de Setembro do mundo cibernético”) seria muito mais apropriado descrever os ataques cibernéticos como um de muitos meios de fazer guerra. O risco de ataques cibernéticos é muito real e cada vez maior. Simultaneamente, não há motivos para pânico, uma vez que no futuro próximo não é previsível que estas ameaças sejam nem apocalípticas, nem totalmente ingovernáveis.

Enfrentar o desafio

A NATO está a adaptar-se a este novo tipo de desafio à segurança.

Logo um ano após o 11 de Setembro, a NATO lançou um apelo importante à melhoria das suas “capacidades de defesa contra os atentados cibernéticos” como parte do compromisso de capacidades de Praga, acordado em Novembro de 2002. Porém, nos anos que se seguiram, a Aliança concentrou-se fundamentalmente na implementação das medidas de protecção passivas que tinham sido exigidas pelo lado militar.

Só os acontecimentos na Estónia, na Primavera de 2007, levaram a Aliança a repensar de forma radical a necessidade de uma política de defesa cibernética e a elevar as suas medidas preventivas para um novo nível. Assim, pela primeira vez, a Aliança redigiu uma “Política de Defesa Cibernética” formal, adoptada em Janeiro de 2008, estabelecendo três pilares fundamentais da política ciberespacial da Aliança.

  • Subsidiariedade, ou seja, só é dada assistência a pedido; caso contrário, aplica-se o princípio da responsabilidade dos Estados soberanos;
  • Não duplicação, ou seja, evitar a duplicação desnecessária de estruturas ou capacidades: a nível internacional, regional e nacional; e
  • Segurança, ou seja, cooperação baseada na confiança, tendo em conta não só a sensibilidade da informação do sistema que tem de se tornar acessível mas também possíveis vulnerabilidades.

Estas medidas constituíram um passo positivo em frente. Além disso, abriram caminho para a decisão básica tomada em Lisboa, de continuar a trabalhar na defesa cibernética como um item independente na ordem de trabalhos da NATO.

Na sequência dos acontecimentos no Kosovo, em 1999, e na Estónia, em 2007, e sob uma forte influência das mudanças profundas na percepção de ameaças internacionais desde Setembro de 2001, a NATO tinha lançado os alicerces para a construção da “Defesa Cibernética 1.0”, tinha desenvolvido os seus primeiros mecanismos e capacidades de defesa cibernética e redigido uma Política de Defesa Cibernética inicial.

Com as decisões de Lisboa, em Novembro de 2010, a Aliança lançou então com sucesso os alicerces para uma auto-análise factual da questão. Ao fazê-lo, a NATO está não só a fornecer às estruturas existentes, como a Capacidade de Reacção da NATO a Incidentes Informáticos, uma actualização muito necessária, como também a começar em conjunto, enquanto aliança, a enfrentar os desafios de defesa cibernéticos, que são muito reais e crescentes.

Em sintonia com o novo Conceito Estratégico da NATO, a revista Política de Defesa Cibernética da NATO define as ameaças cibernéticas como uma fonte potencial para a defesa colectiva, em conformidade com o Artigo 5.º da NATO. Além disso, a nova política, assim como o Plano de Acção para a sua implementação, oferece às nações da NATO linhas de orientação claras e uma lista de prioridades acordada sobre como melhorar a defesa cibernética da Aliança, incluindo um reforço da coordenação, tanto no seio da NATO como com os parceiros.

Quando as decisões de Lisboa tiverem sido totalmente implementadas, a Aliança terá construído uma “Defesa Cibernética 2.0” actualizada. Ao fazê-lo, a Aliança estará, uma vez mais, a provar que está à altura da tarefa.

Novo na Revista?
Acerca do Autor

O Prof. Doutor Olaf Theiler é um especialista nacional na Divisão de Operações da NATO do Secretariado Internacional na Sede da NATO, em Bruxelas, Bélgica. Este artigo é escrito a título pessoal.

citações
Declaração do IRA de 13 de Outubro de 1984,
depois do atentado bombista a Margaret Thatcher, em Brighton
Newsletter
Garanta que não perde nada
"Hoje não tivemos sorte, mas lembrem-se: só temos de ter sorte uma vez.
Vocês têm de ter sorte sempre".
SOBRE A REVISTA
Partilhe este/esta
Facebook
Facebook
Twitter
Twitter
Delicious
Delicious
Google Buzz
Google Buzz
diggIt
Digg It
RSS
RSS
You Tube
You Tube