0
0
À medida que os ataques cibernéticos se tornam cada vez mais destrutivos, as nações estão cogitando a ideia de responder a eles com forças militares convencionais.
É difícil determinar quão sérios são os países quando ameaçam respostas “cinéticas” a ataques digitais. No entanto, a ambiguidade sobre se ou quando os ataques cibernéticos devem ser respondidos com força militar só aumenta o risco de as coisas darem muito errado.
Qual é o problema?
Em 2018, o Air Marshal Phil Osborn, do Ministério da Defesa do Reino Unido, sugeriu uma abordagem militar estratégica ao responder a ataques cibernéticos graves:
“Precisaremos garantir uma compreensão profunda e persistente das forças, fraquezas e opções de um oponente em potencial e, em seguida, desenvolver, preposicionar e empregar nossas próprias capacidades para obter vantagem, defesa e decepção. Esses recursos devem ser ágeis e capazes de implantação e emprego no ‘último momento seguro’ para evitar serem física ou virtualmente fixos” , disse ele.
“Nosso objetivo deve ser entender primeiro, decidir primeiro e, se necessário , agir primeiro, no físico e no virtual , para garantir a vantagem de decisão e depois a vantagem operacional, buscando a exploração rápida e controlada de vulnerabilidades e a negação proativa de oportunidades. ”
As nações há muito usam a doutrina do ataque preventivo para justificar quem inicia as guerras. Agora, quando se reserva o direito de agir primeiro no físico e no virtual, está defendendo uma política de agressão. Há circunstâncias em que uma provocação obriga um país a pegar em armas, mas esses casos são poucos e devem permanecer poucos. Quando os ataques cibernéticos – ou a mera ameaça de – são considerados casus belli , isso cria o potencial de eventos menores se transformarem em grandes catástrofes.
Considere o que o presidente dos EUA, Joe Biden , disse em 2021 em seu discurso ao Gabinete do Diretor de Inteligência Nacional (ODNI):
“Sabe, vimos como as ameaças cibernéticas, incluindo ataques de ransomware, são cada vez mais capazes de causar danos e interrupções no mundo real. Não posso garantir isso, e você está tão informado quanto eu, mas acho que é mais provável que acabemos – bem, se acabarmos em uma guerra, uma verdadeira guerra de tiros com uma grande potência, será como consequência de uma violação cibernética de grande consequência . E está aumentando exponencialmente – as capacidades.”
Vale a pena mencionar que uma “guerra de tiros” ativa com outra grande potência tem o potencial de se transformar em um Armageddon nuclear (uma preocupação já na mesa com o conflito entre Rússia e Ucrânia). É difícil imaginar qualquer tipo de ataque cibernético digno de iniciar tal aposta.
Mais precisamente, a OTAN está estabelecendo regras para quando as operações cibernéticas (CO) podem constituir um uso da força contra os países membros. Especificamente, a OTAN diz:
“[Se] os COs causarem efeitos que, se causados por meios físicos tradicionais, seriam considerados como uso da força sob o Artigo 2(4) da Carta da ONU ou um ataque armado sob jus ad bellum, então tais COs poderiam ser similarmente considerado como uso da força ou ataque armado”.
A gravidade de um ataque cibernético classificado como “ataque armado” contra um membro da OTAN não pode ser exagerada. É o ápice das altas apostas na arena da guerra global.
Talvez a situação seja menos alarmante do que parece. Sun Tzu disse que toda guerra é baseada em engano . Os países estão usando uma linguagem cada vez mais combativa na esperança de que ela aja como um impedimento para aqueles que consideram ataques cibernéticos catastróficos? A multinacional se debatendo sobre ataques cibernéticos é apenas uma ameaça sem acompanhamento?
As pessoas certas estão no comando?
Alguns cargos no governo são vistos como tão cruciais que exigem uma vida inteira de experiência profissional para serem alcançados. Tornar-se um general das forças armadas e ser investido da autoridade para supervisionar operações em larga escala nos teatros de guerra é um exemplo. Outro exemplo são os juízes da Suprema Corte, que interpretam a lei da terra para mais de 320 milhões de cidadãos. A gravidade dessas posições e o impacto de longo alcance de suas decisões os separam dos representantes eleitos, que exercem mandatos limitados. Embora os funcionários rotativos possam desempenhar muitas funções de uma democracia representativa, existem alguns aspectos do Estado que eles não podem.
Generais militares e juízes da Suprema Corte têm um longo mandato em seus respectivos campos. Eles são especialistas ao longo da vida que são frequentemente considerados como os melhores em suas profissões. Suas decisões não estão sujeitas ao voto democrático, nem respondem à vontade do povo. Simplificando, eles estão posicionados como líderes confiáveis cuja orientação representa a palavra final em assuntos de importância nacional.
No entanto, não parece haver uma medida semelhante de seriedade profissional supervisionando o curto caminho de um grande ataque cibernético a uma resposta militar. Autoridades eleitas, a maioria sem experiência em segurança cibernética ou guerra, definem as expectativas do público por meio de suas declarações. Eles geralmente contam com o conselho dos chefes das agências governamentais relevantes, muitos dos quais são nomeados por políticos. No entanto, os nomeados responsáveis por essas agências alternam regularmente de seus cargos sempre que uma nova liderança de outro partido assume o controle. Ao contrário de generais militares ou juízes da Suprema Corte, eles nunca acumulam a experiência vitalícia necessária para se preparar para a pesada responsabilidade de tomar decisões de vida ou morte.
A análise nacional de ataques cibernéticos e as medidas de resposta estão ambiguamente espalhadas por várias agências governamentais. Não está claro qual agência determinaria a origem dos ataques cibernéticos ou formularia ações de resposta. No nível internacional, os governos mundiais não podem concordar com uma política unificada para responder a ataques cibernéticos. A OTAN definiu amplamente as atividades cibernéticas que afetam a soberania nacional como uso da força , mas o que isso significa está aberto à interpretação individual. Houve tentativas por parte do setor privado para resolver esta questão também. Durante a RSA 2017, a Microsoft pediu uma Convenção Digital de Genebra. Essa mesma ideia é frequentemente discutida hoje, sem muito a mostrar no caminho do progresso.
E se não fizermos nada?
Se continuarmos em nosso curso atual, é quase certo que uma nação acabará usando um ataque cibernético para justificar o uso de suas forças armadas contra outra. Depois de prometer fazê-lo durante anos, seria difícil para um país fazer o contrário. Essa situação infeliz oferece aos maus atores uma oportunidade de ouro para aumentar as tensões entre as nações. Os atores de ameaças ofuscam regularmente suas atividades usando táticas, técnicas e procedimentos (TTPs) de outros adversários. Agora, eles podem se passar por atores apoiados pelo Estado na esperança de causar problemas entre os países.
Ciberataques enganosos podem levar a falsas atribuições e consequências catastróficas
Considere uma situação hipotética em que uma nação deseja iniciar um conflito entre duas outras. Suponha que o país “A” saiba que o país “B” irá retaliar com força a um ataque cibernético, porque eles prometeram fazer isso por muitos anos. O país A decide lançar uma campanha cibernética altamente destrutiva contra o país B, mas faz com que o ataque pareça vir do país “C”. O país B não possui processos formais exigindo que os ataques cibernéticos sejam identificados positivamente antes de reagir e lança uma ação militar contra o país C. Isso pode acontecer? Não há nada explicitamente no lugar para impedi-lo.
A atribuição de ataques cibernéticos é uma tarefa notoriamente difícil. Os trabalhos de pesquisa de ameaças das empresas de segurança cibernética mais sofisticadas do mundo geralmente evitam nomear as origens de um ataque. A natureza complexa de grandes grupos de ameaças, como Conti, dificulta os esforços de atribuição. O Conti é amplamente divulgado como um grupo de ameaça russo, mas seus problemas altamente divulgados após a invasão da Ucrânia indicam que ele pode não ser apoiado pelo Estado. A Conti opera a partir da Rússia devido às suas lenientes leis de crimes cibernéticos ou está operando sub-repticiamente sob a direção do governo russo? Um ataque de Conti deve ser considerado um ataque da Rússia?
Outros sofisticados grupos de ameaças persistentes avançadas (APTs) se anunciam abertamente como mercenários. Ao contratar grupos de ameaças experientes para realizar ataques cibernéticos em outros países, os governos podem manter uma negação plausível. Todos esses fatores possibilitam que as nações culpem o ator errado por um ataque cibernético. Como um país pode ter certeza de que foi atacado por outro, em vez de adversários usando os TTPs de ataques anteriores apoiados pelo Estado? O que impede as nações de simplesmente executar suas sombrias operações cibernéticas como empresas privadas, para criar a ilusão de separação? No ciberespaço, as evidências são facilmente forjadas, os caminhos de ataque são amplamente distribuídos, os dados são fortemente criptografados e a culpabilidade geralmente não é clara.
Respondendo a ataques cibernéticos: o que pode ser feito?
Aqueles que esperam por um acordo global, ou uma Convenção Digital de Genebra, ainda podem estar pisando na água quando o próximo ataque cibernético apoiado pelo Estado for manchete. Tentar implementar soluções em nível global – quando propostas semelhantes não tiveram sucesso em nível nacional – parece equivocado. Embora não haja uma solução simples para lidar com ataques cibernéticos baseados em estado em todo o mundo, existem algumas etapas que podem melhorar a situação atual.
Colocar “guarda-corpos” proverbiais nas respostas do governo a ataques cibernéticos pode ajudar a evitar que quaisquer retaliações correspondentes saiam do controle. É importante equilibrar a necessidade de uma nação por amplas capacidades de resposta com políticas que impeçam uma escalada desnecessária. Uma abordagem poderia ser a implementação de requisitos que insistam em respostas proporcionais. Talvez algo como: “Não responderemos com força militar a menos que um ataque cibernético resulte diretamente na perda de vidas humanas” . Isso deixa aos países uma ampla gama de opções de resposta sem abrir imediatamente a caixa de Pandora da guerra global.
Em última análise, a Realpolitik determina que as nações farão o que for necessário quando sua soberania for ameaçada. Até este ponto, pouco importa quais tratados, políticas ou legislação estejam em vigor caso ocorra um ataque cibernético verdadeiramente catastrófico. No entanto, respostas militares continuamente ameaçadoras a ataques cibernéticos graves inadvertidamente colocam um país em uma camisa de força, onde eles devem responder com força para salvar a face. Diminuir a retórica belicosa permite que as nações mantenham suas opções em aberto sem revelar explicitamente o quão severas podem ser suas respostas. Como o ex-presidente dos Estados Unidos Teddy Roosevelt aconselhou notoriamente: “Fale baixinho e carregue uma grande bengala; você vai longe.”
FONTE: HELPNET SECURITY