Topo

Ataque hacker é um ato de guerra? Países buscam resposta a passos lentos

Assunto voltou a ser debatido entre países na ONU no segundo semestre de 2019 - Johannes Eisele/AFP
Assunto voltou a ser debatido entre países na ONU no segundo semestre de 2019 Imagem: Johannes Eisele/AFP

Rodrigo Trindade

De Tilt, em São Paulo

30/12/2019 04h00

Sem tempo, irmão

  • Discussões buscam definir "infraestrutura crítica" e limites de ciberataques estatais
  • Um ciberataque poderoso pode, por exemplo, desligar energia ou água de uma cidade
  • Negociações foram retomadas em dois grupos separados, após fracasso em 2017
  • Um grupo inclui 193 países, enquanto outro envolve apenas 25 estados

Um hacker malicioso pode atrapalhar a vida de uma pessoa ou empresa, mas ataques cibernéticos são um risco gigantesco à segurança nacional de países inteiros. O problema é que não há consenso entre países sobre qual tipo de ciberataque deve qualificado como um ato de guerra — e é aqui que mora o perigo.

Apesar de digital, uma ofensiva cibernética de grande escala é capaz de graves danos materiais, como desligar a energia ou a distribuição de água de uma cidade. O número desses grandes ciberataques aumentou ao longo desta década, dando maior urgência para a criação de uma Convenção de Genebra digital que freie o potencial destrutivo dessas ameaças, que ficará ainda maior com a chegada das redes 5G e o maior uso de objetos e cidades inteligentes pelo mundo.

No ano passado, foram criados dois fóruns temporários na ONU (Organização das Nações Unidas) para tentar determinar quais são os limites para os ataques virtuais. Mas os dois só começaram a funcionar neste ano.

Em setembro, foi realizada a primeira sessão de um Grupo Aberto de Trabalho da ONU sobre cibersegurança. O grupo conta com 193 estados-membro, e a sessão aconteceu a pedido da Rússia, aprovado pela Assembleia Geral da ONU.

No dia 13 de dezembro, em Nova York, ocorreu a primeira sessão do GGE (Grupo de Peritos Governamentais, da sigla em inglês) — criado a partir de uma resolução dos EUA também aprovada na Assembleia Geral. Com só 25 países, o GGE é uma estrutura da ONU para debater, a portas fechadas, temas complicados e de difícil consenso, como o comportamento de países no ciberespaço.

Este é o sexto GGE sobre este assunto. Para se ter uma ideia da lentidão com que o tema é tratado, o GGE anterior a este aconteceu lá atrás, em 2017, e ainda terminou sem qualquer acordo sobre as normas que os países devem respeitar —e levou os russos a pedirem a criação do Grupo de Trabalho Aberto.

As resoluções que determinam as missões dos dois grupos levantam pontos em comum:

  • Armas cibernéticas cada vez mais potentes estão nas mãos de governantes de nações, o que a ameaça a paz mundial;
  • diálogo e construção de confiança são necessários para evitar que essas tecnologias não sejam usadas para conflitos

Anarquia digital

Como o ciberespaço não respeita fronteiras nacionais, especialistas creem que é muito difícil estabelecer os limites de uma convenção internacional que poderia dizer, por exemplo, que uma grande invasão hacker vinda do exterior é na verdade um ato orquestrado pelo governo de um país. O espaço da internet funciona de forma bem diferente da geografia do mundo físico.

"Temos exemplos no dia a dia. Fazemos transações online, e raramente todos os elos dessa cadeia estão localizados num mesmo espaço geográfico, em uma mesma jurisdição de um estado", diz Vinícius Rodrigues Vieira, professor visitante de relações internacionais da USP.

Essa característica da internet é importante para todos nós. Sem ela, não seria possível acessar um jornal estrangeiro ou fazer uma conversa em vídeo pelo WhatsApp com um parente que está do outro lado do mundo.

Por outro lado, é por meio desta mesma rede que hackers atacam uma empresa alemã e paralisam as atividades dela por dias não só na Alemanha, mas no Brasil, México e Índia. "Estamos falando de um mercado bilionário", alerta Heliezer Viana, diretor da consultoria Mazars.

Para lidar melhor com esses casos, o Brasil iniciou a adesão à Convenção de Budapeste, um tratado internacional de combate a crimes praticados pela internet. De iniciativa europeia e sem relação com os grupos de discussão da ONU, este acordo multilateral facilitará a identificação e punição de criminosos, em uma colaboração do Brasil com União Europeia, Estados Unidos, Japão, Canadá, Chile, Argentina, Austrália, Paraguai e República Dominicana.

É um avanço para uma área que dependia de acordos regionais ou entre dois países. O problema é que a Convenção de Budapeste deixa de fora estados com atuação cibernética de peso, como China, Rússia e Israel, e não lida com questões tratadas nos dois grupos estabelecidos na ONU.

"Crime e terrorismo cibernético, em princípio, não fazem parte dos debates sobre cibersegurança no contexto da paz e segurança internacional que se desenvolvem na ONU atualmente, os quais têm mais a ver com a relação entre estados, prevenção e mitigação de conflitos interestatais", explica o embaixador Guilherme Patriota, presidente do GGE sobre segurança cibernética.

Patriota afirma, porém, que determinados tipos de crimes e atos terroristas, de difícil atribuição de autoria e com elevado impacto, podem ser mal interpretados, provocando escaladas de tensão e conflitos entre países.

Uma nova Convenção de Genebra?

A preocupação menor com a atuação criminosa na rede tem lá um motivo: hoje em dia, mesmo hackers de grupos terroristas não têm recursos suficientes para realizar ataques que afetem a chamada "infraestrutura crítica".

Esse é o termo mágico das discussões internacionais: países concordam que a infraestrutura crítica é um alvo proibido, mas não existe um consenso sobre o que ela é.

"O Brasil, por exemplo, considera críticos os sistemas de reserva e fornecimento de água, energia, telecomunicações, transporte e finanças e adota medidas prudenciais, de monitoramento e resposta a ataques cibernéticos inspiradas nas normas debatidas e acordadas no GGE sobre o comportamento responsável dos Estados no espaço cibernético", conta Patriota.

Derrubar um sistema desses coloca em risco a vida da população e pode ser interpretado como um ato de guerra. E aí a resposta pode variar. Os EUA, por exemplo, podem revidar com uma ofensiva nuclear.

As incertezas fizeram com que empresas tomassem posições públicas em defesa de uma Convenção de Genebra digital —isto é, um tratado que estabelecesse, com clareza, os limites de ação dos países em casos assim.

As Convenções de Genebra são quatro acordos internacionais clássicos que estabeleceram as regras para o tratamento de feridos e doentes durante conflitos no campo e no mar, de prisioneiros de guerra e da proteção de civis durante conflitos. Os quatro tratados foram assinados, por completo ou com ressalvas, por 196 países em 1949.

Em 2017, Brad Smith, presidente da Microsoft, afirmou que há a necessidade de um novo acordo nos moldes daqueles do século passado, em que "governos se comprometam a proteger civis de ataques de estados-nação em tempos de paz". Cinco anos antes, sem citar as Convenções de Genebra, Eugene Kaspersky, fundador da empresa de cibersegurança que leva seu sobrenome, alertou que a falta de algum tipo de tratado internacional era preocupante.

Para essas e outras empresas de tecnologia, a insegurança causada pela falta de regras universais de segurança representa uma ameaça.

"A importância e a singularidade disso é que, pela primeira vez em minha carreira, vejo o setor privado pedindo um tratado internacional que obrigue os estados a fazer ou deixar de fazer certas coisas", relata Patriota. De fato, o setor privado não costuma gostar de tratados e mais regulamentação.

Enquanto empresas pedem que países se mexam, essa não é a mesma posição dos estados. Principalmente dos que têm as melhores ferramentas cibernéticas.

"Vivemos em uma era em que o surgimento de novas normas vinculantes [leis que devem ser respeitadas, não apenas recomendações de boas práticas] é muito difícil, porque isso implica em cooperar com o adversário. Como estamos em uma avanço brutal na fronteira tecnológica com a internet das coisas, que afeta a segurança nacional, não me parece lógico que China e EUA se subordinem a um controle externo", avalia Rodrigues.

Considerando que boas armas cibernéticas (e defesas contra elas) exigem dinheiro e conhecimento técnico avançado, seria melhor, para a maioria dos países, que algum tipo de acordo fosse assinado. Mas as diferentes posturas de estados importantes neste debate impedem que um tratado seja negociado.

Fórum de discussão permanente é caminho

Neste contexto, as principais potências evitam um acordo na linha de uma Convenção de Genebra digital, que pode representar uma "camisa de força" no desenvolvimento e uso de capacidades militares no ciberespaço. Em vez disso, buscam medidas de construção da confiança entre estados, além de ações de capacitação tecnológica e cooperação com outros países mais vulneráveis.

Por enquanto, os debates são poucos e dependem de reuniões como o GGE e o Grupo Aberto. Pelo menos no horizonte há uma perspectiva de criar um fórum permanente sobre segurança cibernética. "Me parece um pouco cedo para um acordo nesse sentido, mas talvez seja um caminho inevitável", conclui Patriota.

Um formato deste órgão foi sugerido por Ian Bremmer, fundador da Eurasia, consultoria de análise de risco político. Em artigo publicado em novembro, ele defende a criação de uma Organização Mundial de Dados para "coordenar respostas díspares às iminentes ameaças e oportunidades digitais".

A ideia é que a internet global continue sendo uma só, sem que países como China e Rússia fragmentem suas redes das do resto do mundo. Mas, adivinha: qualquer mudança sobre a gestão da internet global é um tema bem espinhoso.

"Há uma resistência muito grande por parte das próprias instituições e das pessoas que lideram o desenvolvimento da internet que a internet passe a ser gerida por algum tipo de pacto internacional entre estados", diz Marcos Dantas Loureiro, membro eleito do CGI (Comitê Gestor da Internet) e professor da UFRJ.

Não existe um órgão internacional que "mande" na internet. O mais próximo disso é a Icann (Corporação da Internet para Atribuição de Nomes e Números, da sigla em inglês), responsável por gerir a distribuição de nomes e domínios da rede. Criada nos EUA em 1998, a ONG cuida do lado técnico da internet e foi organizada sob a lei da Califórnia.

Desde 2016, a Icann é independente do governo americano e administrada por várias partes interessadas na rede. Em troca, os EUA exigiram que outros governos não estejam envolvidos na gestão, incluindo até mesmo a ONU e a União Internacional de Telecomunicações (UIT). O comportamento da Icann nos últimos anos vem sendo questionado por um suposto favorecimento a grandes empresas de tecnologia como Google e Facebook.

Como melhorar, então? Loureiro cita a UIT, justamente um molde que desagrada americanos, como um bom exemplo do que a Icann poderia se tornar. "Ela é uma entidade que basicamente faz regulação técnica das telecomunicações e radiofrequência. Ninguém invade a radiofrequência do outro devido aos acordos da UIT", conclui.

SIGA TILT NAS REDES SOCIAIS