Ataques Cibernéticos - Síntese
O "Ciber-ataque" é um
termo relativamente recente que pode se referir a uma série de atividades
realizadas através do uso de tecnologia de informação e comunicação (TIC).
O uso de ataques distribuídos de
negação de serviço (DDoS) tornou-se um método generalizado de alcançar fins
políticos através da interrupção dos serviços on-line. Nesses tipos de ataques,
um servidor fica sobrecarregado com o tráfego da Internet para que o acesso a
um site seja degradado ou negado.
O advento do virus Stuxnet, que
alguns consideram a primeira arma cibernética, mostrou que os ataques
cibernéticos podem ter um efeito mais destrutivo e duradouro. Aparecendo para
atacar o Irão, o malware Stuxnet atacou os sistemas de controle industrial
computadorizados nos quais as centrífugas nucleares operam, fazendo com que se
autodestruam.
Os recentes acontecimentos
internacionais levantam questões sobre quando um ataque cibernético pode ser
considerado um ato de guerra, e que tipos de opções de resposta estão
disponíveis para as nações vítimas. Embora não exista uma definição doutrinária
clara de "guerra cibernética", é tipicamente conceituada como ação de
estado a estado equivalente a um ataque armado ou uso da força no ciberespaço
que pode desencadear uma resposta militar com um uso cinético proporcional da
força.
O ciberterrorismo pode ser
considerado "o uso premeditado de atividades disruptivas, ou sua ameaça,
contra computadores e / ou redes, com a intenção de causar danos ou outros
objetivos sociais, ideológicos, religiosos, políticos ou similares, ou
intimidar qualquer pessoa nesses objetivos ". O crime cibernético inclui
infrações de rede não autorizadas e roubo de propriedade intelectual e outros
dados; pode ser motivado financeiramente, e a resposta é da jurisdição das
agências de aplicação da lei. Os ataques cibernéticos no Sony Entertainment
ilustram as dificuldades na categorização dos ataques e na formulação de uma
política de resposta. Em 24 de novembro de 2014, a Sony experimentou um
ciberataque que desativou seus sistemas de tecnologia da informação, destruiu
dados e estações de trabalho e lançou emails internos disruptivos. O presidente Obama, ao categorizar os ataques
à Sony como um ato de "vandalismo cibernético", que geralmente inclui
desfiguração de sites e geralmente é o domínio dos atores politicamente
motivados, conhecidos como "hackeristas", levantou questões de que Clapper, "Se
eles obtiverem reconhecimento global a baixo custo e sem consequências, eles o
farão de novo e continuará fazendo isso novamente até que voltemos". (1)
O ecossistema Cyberwarfare: uma variedade
de atores ameaçadores criminosos, terroristas e espiões dependem fortemente de
tecnologias cibernéticas para apoiar os seus objetivos organizacionais.
Ciber-agressores comumente reconhecidos e exemplos representativos do dano que
podem causar são os seguintes: os terroristas cibernéticos são atores estatais
e não estatais envolvidos em ataques cibernéticos para perseguir seus
objetivos.
Organizações terroristas transnacionais, insurgentes e jihadistas
usaram a Internet como uma ferramenta para planear ataques, radicalização e
recrutamento, um método de distribuição de propaganda e um meio de comunicação,
e para fins disruptivos. (2)
Embora nenhum relatório não
classificado tenha sido publicado em relação a “ataque cibernético” sobre um
componente crítico da infra-estrutura dos países, a vulnerabilidade dos
sistemas críticos de controle de sustentação da vida que estão sendo acessados
e destruídos através da Internet como foi demonstrado com o Serviço Nacional
de Saúde britânico (NHS, por sua sigla em Inglês), os hospitais em toda a
Inglaterra. Os sistemas informáticos do
SNS em todo o país, parecem ter sido atacados simultaneamente com uma mensagem,
através do qual é exigido o pagamento de um resgate em troca de acesso a
computadores.
Os “Ciber-espiões” são indivíduos que roubam
informações classificadas ou usadas por
governos ou empresas privadas para obter uma vantagem competitiva em termos
estratégicos, de segurança, financeiros ou políticos. Esses indivíduos
geralmente trabalham sob encomenda e seguem diariamente as entidades
governamentais estrangeiras e incluem redes governamentais, indústrias de
defesa limpa e empresas privadas. Por exemplo, um relatório do FBI de 2011
observou: "uma empresa foi vítima de uma intrusão e perdeu dados de
pesquisa e desenvolvimento de 10 anos avaliados em US $ 1 bilhão, praticamente
durante a noite”. (4) Da mesma forma, em 2008, o Departamento de Defesa (DOD),
o sistema de rede informática classificada foi acessado ilegalmente e "o código
do computador, colocado por uma agência de inteligência estrangeira, foi
carregado sem ser detetado em sistemas classificados e não classificados a
partir dos quais os dados poderiam ser transferidos para servidores sob
controle estrangeiro”. (5)
Os “Ciber-ladrões” são indivíduos
que envolver-se em ataques cibernéticos ilegais para ganhos monetários.
Exemplos incluem uma organização ou indivíduo que acessa ilegalmente um sistema
de tecnologia para roubar e usar ou vender números de cartão de crédito.
Outra questão política potencial poderia ser
as circunstâncias em que os Estados Unidos podem utilizar tropas para responder
a um ataque cibernético. Relacionado com esta é a questão de saber se os EUA
têm uma estratégia efetiva de dissuasão no lugar.
Os “Ciber-guerreiros” são agentes
ou quase-agentes de estados-nação que desenvolvem capacidades e realizam
ataques cibernéticos em apoio dos objetivos estratégicos de um país. (7) Muitas
vezes, quando um governo fornece provas de que um ciberataque está emanando do
seu país, a nação que foi atacada é informada de que os perpetradores agiram
por vontade própria e não a pedido do governo. Em agosto de 2012, uma série de
ataques cibernéticos foi dirigida contra a Saudi Aramco, o maior produtor
mundial de petróleo e gás. Os ataques comprometeram 30 mil computadores e,
aparentemente, o código foi projetado para interromper ou parar a produção de
petróleo. Alguns funcionários de segurança sugeriram que o Irã poderia ter
apoiado esse ataque. No entanto, numerosos grupos, alguns com links para nações
com objetivos contra a Arábia Saudita, reivindicaram os créditos por este
incidente.
Os “ciberactivistas” são
indivíduos que realizam ataques cibernéticos por motivos de prazer, filosofia,
política ou outros não monetários. Exemplos incluem alguém que ataca um sistema
de tecnologia como um desafio pessoal (que pode ser chamado de hacker
"clássico") e um "hacktivista", como um membro do grupo
cibernético anónimo que realiza um ataque por razões políticas. As atividades
desses grupos podem variar de ataques de negação de serviço causados por
incômodos e deslocamento do site para interromper os processos de negócios das
empresas privadas e governamentais. As ameaças colocadas por esses
ciber-agressores e os tipos de ataques que podem perseguir não são mutuamente
exclusivas. Por exemplo, um hacker visando a propriedade intelectual de uma
corporação pode ser categorizado como um cyber-ladrão e um ciber-ativista. Um
ciber-terrorista e um guerreiro cibernético podem empregar diferentes
capacidades tecnológicas em apoio à segurança e aos objetivos políticos de uma
nação.
Alguns relatórios indicam que o cibercrime
já ultrapassou o comércio de drogas ilegais como fonte de financiamento para
grupos terroristas, embora exista alguma confusão sobre se uma determinada ação
deveria ser categorizada como cibercrime8. Determinar informações sobre um
agressor e suas capacidades e intenções é difícil. (9) As ameaças colocadas por
esses agressores, juntamente com a tendência dos Estados Unidos, serem um dos
primeiros a adotar tecnologias emergentes, (10) que são muitas vezes Interdependentes
e contêm vulnerabilidades, criam um ambiente complexo ao considerar respostas,
políticas e legislação operacionais destinadas a proteger os interesses económicos
e de segurança estratégicos da nação.
Guerra – cibernética. Ainda não
existem critérios claros para determinar se um ataque cibernético é criminoso,
um ato de ativismo, terrorismo ou uso da força de um Estado-nação equivalente a
um ataque armado. Do mesmo modo, nenhum instrumento internacional, juridicamente
vinculativo, ainda foi elaborado explicitamente para regular as relações
interestatais no ciberespaço. Em setembro de 2012, o Departamento de Estado
tomou uma posição pública sobre se as atividades cibernéticas poderiam
constituir um uso da força nos termos do Artigo 2 (4) da Carta da U.N. e do
direito internacional consuetudinário. De acordo com o assessor jurídico do
Estado, Harold Koh, "as atividades cibernéticas que resultam proximamente
em morte, lesões ou destruição significativa provavelmente seriam vistas como
um uso da força". (11)
Os exemplos oferecidos nas
observações de Koh incluíram desencadear uma fusão numa central nuclear, abrindo
comportas de uma barragem e provocando danos causados pelas inundações e provocar
avarias causando interferências no controle de tráfego aéreo.
Ao concentrar – se nos fins alcançados e não nos
meios com os quais eles são realizados, essa definição de guerra cibernética enquadra-se
facilmente dentro dos quadros jurídicos internacionais existentes. Se um ator
emprega uma arma cibernética para produzir efeitos cinéticos que possam
justificar o poder de fogo sob outras circunstâncias, então o uso dessa arma aumenta
ao nível do uso da força. No entanto, os Estados Unidos reconhecem que ataques
cibernéticos sem efeitos cinéticos também são um elemento de conflito armado em
determinadas circunstâncias. Koh explicou que os ataques cibernéticos nas redes
de informação no decorrer de um conflito armado em curso seriam regidos pelos
mesmos princípios de proporcionalidade que se aplicam a outras ações sob a lei
do conflito armado. Esses princípios incluem retaliação em resposta a um ataque
cibernético com um uso proporcional da força cinética. Além disso, "as
atividades da rede informática que representam um ataque armado ou ameaça
iminente" podem desencadear o direito da própria nação a uma legítima
defesa no âmbito do artigo 51 da Carta U.N. Koh cita nas suas observações á
Estratégia Internacional de 2011 para o Ciberespaço, (12) que afirma que
"quando justificado, os Estados Unidos responderão a atos hostis no
ciberespaço como faríamos para qualquer outra ameaça para o nosso país". A
Estratégia Internacional afirma que os EUA reservam – se ao direito de usar
todos os meios necessários - diplomáticos, informativos, militares e econômicos
- apropriado e consistente com as leis aplicáveis, e esgotando todas as opções
antes da força militar.
Um ano após o ataque DDoS de 2007 na Estônia,
a OTAN estabeleceu o Centro Cooperativo de Defesa Cibernética de Excelência
(CCDCOE) em Tallinn, na Estônia. O CCDCOE organiza workshops e cursos sobre
direito e ética no ciberespaço, bem como exercícios de defesa cibernética. Em
2009, o centro convocou um grupo internacional de especialistas independentes
para redigir um manual sobre a lei que governa a guerra cibernética. O Manual
de Tallinn, como é conhecido, foi publicado em 2013. (13) Ele estabelece 95
"regras de letras negras" que governam o conflito cibernético que
aborda a soberania, a responsabilidade do Estado, o direito dos conflitos
armados, o direito humanitário e a lei da neutralidade.
O Manual de Tallinn é um texto
académico: embora ofereça justificativas razoáveis para a aplicação do
direito internacional, não é vinculativo e os autores enfatizam que eles não
falam pela NATO ou pelo CCDCOE. Nos termos do artigo 5º do Tratado do Atlântico
Norte, um ataque a um membro é considerado um ataque a todos, proporcionando
assistência militar de acordo com o artigo 51 da Carta das Nações Unidas.
No entanto, a OTAN não define
atualmente ataques cibernéticos como uma ação militar clara. O Manual de
Tallinn equivale a um uso da força para aquelas operações cibernéticas cujos
"efeitos ... eram análogos aos que resultariam de uma ação que de outra
forma qualificasse como um ataque armado cinético".
O artigo 4º do Tratado do
Atlântico Norte aplica os princípios da consulta coletiva A qualquer Estado
membro cuja segurança e integridade territorial tenham sido ameaçadas; no
entanto, não está claro como isso se aplicaria às várias categorias de ataques
cibernéticos, alguns dos quais podem não ter equivalentes cinéticos. Se um
ataque for orquestrado por um punhado de cibe-criminosos, seja politicamente ou
financeiramente motivado, então poderá cair no estado atacado para determinar a
resposta apropriada dentro de sua jurisdição. No entanto, a natureza
transnacional da maioria das organizações criminosas no ciberespaço pode
complicar as decisões de jurisdição.
Brevemente com a abertura do
Centro de Estudos Cibernéticos da OTAN em Oeiras – Portugal haverá a oportunidade
de estudar o fenómeno e treinar novas técnicas de prevenção de ataque e de
penetração em áreas do ciber-espaço como a “Darknet”, aliás como já esta semana
foi realizada essa ofensiva, ao destruir duas plataformas de vendas de armamento
e narcóticos.
Notas:
2 - CRS
Report RL33123, Terrorist Capabilities for Cyberattack: Overview and Policy
Issues, by John W. Rollins and Clay Wilson.
3 - Ver
“Challenges Remain in DHS’ Efforts to Security Control Systems,” Department of
Homeland Security, Office of Inspector General, August 2009.
4 - Shawn
Henry, Responding to the Cyber Threat, Federal Bureau of Investigation,
Baltimore, MD, 2011.
5 - “Defending
a New Domain,” Foreign Affairs, October 2010.
6 - The Interplay of Borders, Turf, Cyberspace,
and Jurisdiction: Issues Confronting U.S. Law Enforcement, by Kristin
Finklea.
7 – Ver CRS Report R43848, Cyber Operations in
DOD Policy and Plans: Issues for Congress, by Catherine A. Theohary.
8 - Lillian Ablon, Martin C. Libicki, Andrea A.
Golay, Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar, RAND.
9 - O conceito de atribuição no
mundo cibernético implica uma tentativa de identificar com algum grau de
especificidade e confiança a localização geográfica, a identidade, as
capacidades e a intenção do ciber-agressor. As tecnologias móveis e os
processos e técnicas de roteamento de dados sofisticados muitas vezes tornam a
atribuição difícil para as comunidades de inteligência e aplicação da lei.
10 - As tecnologias emergentes de ciber que podem
ser vulneráveis às ações de um ciber-agressor incluem itens que estão em uso,
mas ainda não amplamente adotados ou atualmente em desenvolvimento.
Comentários
Enviar um comentário