Este ano, a 47ª Conferência sobre Segurança de Munique incluiu pela primeira vez uma sessão especial sobre cibersegurança. ‘Talvez seja a primeira vez, mas não será a última’, observou o presidente de um pequeno país europeu falando para a assembleia de Estados poderosos, mais acostumados a lidar com Exércitos e alianças do que com bugs e ataques virtuais.
Até agora, a questão da cibersegurança foi uma área em grande parte restrita aos fanáticos por computador. Quando a internet foi criada, há 40 anos, esta pequena comunidade era como uma aldeia virtual de pessoas que se conheciam, e elas elaboraram um sistema sem prestar muita atenção à segurança.
A própria web voltada para o comércio tem apenas 20 anos, mas como o ministro do Exterior da Grã-Bretanha, William Hague, lembrou na conferência de Munique: ‘Explodiu de 16 milhões de usuários, em 1995, para mais de 1,7 bilhão, hoje’.
Esta crescente interdependência criou grandes oportunidades e enorme vulnerabilidade. Os especialistas em segurança às voltas com ciberproblemas encontram-se mais ou menos no mesmo estágio, no que se refere à compreensão das implicações desta nova tecnologia, dos especialistas na área nuclear nos anos que se seguiram às primeiras explosões nucleares.
O ciberdomínio é um ambiente instável criado pelo homem. Como explicou um painel de cientistas que trabalha para a defesa: ‘As pessoas construíram todas as peças, mas o ciberuniverso é complexo; sua complexidade vai muito além da nossa compreensão e apresenta um comportamento que ninguém previu, e às vezes nem sequer consegue explicar’.
Quatro categorias
Ao contrário dos átomos, os adversários humanos são decididos e inteligentes. Montanhas e oceanos são difíceis de mover, mas partes do ciberespaço podem ser conectadas e desconectadas com um simples click do mouse. É mais barato e mais rápido mover elétrons através do globo do que fazer com que enormes navios percorram grandes distâncias, dada a fricção da água salgada. Os custos do desenvolvimento de forças-tarefa múltiplas com porta-aviões e frotas de submarinos criam enormes barreiras ao acesso e permitem falar em domínio naval dos Estados Unidos. Por outro lado, as barreiras de acesso ao ciberdomínio são tão insignificantes que pequenos Estados e entidades que não são Estados podem exercer um efeito significativo a um custo reduzido.
No meu livro The Future of Power (O futuro do poder), descrevo o deslocamento do poder dos governos como uma de suas grandes mudanças neste século. O ciberespaço é um exemplo perfeito desta tendência. As maiores potências provavelmente não são capazes de dominar este campo do mesmo modo como dominam outros, como por exemplo o mar, o ar e o espaço.
Embora tenham maiores recursos, também são muito mais vulneráveis, e, nesta fase, o ataque domina a defesa no ciberespaço. Estados Unidos, Rússia, Grã-Bretanha, França e China têm mais capacidade do que outros Estados ou outras entidades que não são Estados, mas não faz sentido falar em domínio no ciberespaço. Na verdade, a dependência de complexos cibersistemas no que se refere ao suporte de atividades militares e econômicas cria vulnerabilidades, mesmo em grandes países, que é possível explorar .
Fala-se muito em ‘ciberguerras’. Mas se restringirmos o termo a ciberações cujos efeitos fora do ciberespaço amplificam ou são equivalentes à violência física, começaremos a perceber vislumbres de ciberguerras – por exemplo, nos ataques de negação de serviço que acompanharam a guerra convencional na Geórgia em 2008, ou a recente sabotagem das centrífugas iranianas pelo bug Stuxnet.
Se considerarmos grande parte das ações cometidas pelos hackers como uma perturbação da ordem, distinguiremos quatro importantes categorias de ciberameaças contra a segurança nacional, cada uma com um horizonte de tempo diferente e com diferentes soluções (em princípio): 1) ciberguerra e 2) espionagem econômica, ambas em grande parte relacionados a Estados, e 3) cibercrime e 4) ciberterrorismo, em geral associados a entidades que não são Estados.
Apenas o começo
Neste momento, para os Estados Unidos, os custos mais elevados são os da espionagem e do crime, mas, na próxima década, guerra e terrorismo poderão se tornar ameaças maiores.
Além disso, como alianças e táticas evoluem entre os diferentes atores, as categorias podem acabar se sobrepondo cada vez mais. Como disse o ex-diretor da Agência Nacional de Inteligência dos EUA Mike McConnell: ‘Mais cedo ou mais tarde, os grupos terroristas chegarão à sofisticação no campo cibernético. É como a proliferação nuclear, só que bem mais simples’.
Entretanto, nesta fase, segundo a ciber revisão proposta pelo presidente Barack Obama, em 2009, o roubo da propriedade intelectual por outros países (e corporações) é o custo imediato mais elevado. Ele não só causa prejuízos econômicos, como, destruindo a vantagem competitiva, compromete o poder do futuro (que se impõe pela utilização de meios militares e econômicos).
Os especialistas em segurança não têm certeza quanto ao significado de termos como ‘ataque, defesa, dissuasão ou leis de guerra’ no ciberuniverso. Mal nos encontramos nos estágios iniciais de desenvolvimento de uma estratégia. E a compreensão do público está ainda atrasada.
É por isso que este ano provavelmente verá apenas o início de muitas discussões como a da conferência de Munique sobre segurança.
******
Escritor, ex-subsecretário de Defesa dos EUA e reitor da Kennedy School of Government da Universidade Harvard