O Departamento de Defesa norte-americano concluiu que a sabotagem em computadores praticada por outro país pode constituir um ato de guerra, uma decisão que, pela primeira vez, abre uma brecha para que os Estados Unidos respondam com a tradicional força militar. A primeira ciber-estratégia formal do Pentágono, da qual trechos não especificados deverão ser tornados públicos no mês que vem, representa uma tentativa recente de lidar com um mundo em mudanças, no qual um hacker pode representar uma ameaça significativa aos reatores nucleares, metrôs e oleodutos norte-americanos, enquanto hostil aos militares do país. De certa maneira, o Departamento de Defesa pretende que seu plano seja uma advertência, a potenciais adversários, das consequências de atacar os Estados Unidos dessa forma. “Caso pare de funcionar nosso sistema de poder”, disse uma autoridade militar, “talvez possamos enfiar um míssil por suas chaminés abaixo.”
Recentes ataques aos próprios sistemas do Pentágono – bem como a sabotagem do programa nuclear do Irã através do vírus Stuxnet – proporcionaram uma nova urgência aos esforços norte-americanos de desenvolver uma abordagem mais formal aos ciberataques. Um momento crucial ocorreu em 2008, quando pelo menos um dos sistemas de computadores militares dos Estados Unidos foi penetrado. Neste fim de semana, a Lockheed Martin, uma das principais empreiteiras militares, reconheceu que havia sido vítima de uma infiltração quando tentava controlar seu impacto.
O relatório do Pentágono também deflagrará um debate sobre um leque de questões delicadas até hoje não questionadas, incluindo como os Estados Unidos poderão ter absoluta certeza sobre a origem de um ataque e como definir quando a sabotagem a um computador é suficientemente séria para constituir um ato de guerra. Essas questões já foram objeto de discussões entre os militares.
Guerra aos ciberataques
Uma ideia que atualmente ganha corpo no Pentágono é a noção de “equivalência”. Se um ciberataque produzir morte, avarias, destruição ou uma desordem de alto nível que um ataque militar tradicional provocaria, então seria candidato a uma resposta pelo “uso da força”, o que mereceria retaliação.
Ataques de vários graus de intensidade afetaram nações nos últimos anos.
** Junho de 2009 – Surge a primeira versão do vírus Stuxnet, que acaba sabotando o programa nuclear iraniano. Alguns especialistas suspeitam que tenha sido originado por Israel, possivelmente com ajuda norte-americana.
Novembro de 2008 – Um vírus que se acredita que tenha tido origem na Rússia consegue penetrar pelo menos uma rede confidencial do sistema de computadores militares norte-americano.
** Agosto de 2008 – Ataques online aos websites de agências governamentais e instituições financeiras da Geórgia no início de uma curta guerra entre a Rússia e a Geórgia.
** Maio de 2007 – Ocorre um ataque a websites de bancos e ao governo da Estônia semelhante àquele que posteriormente aconteceria na Geórgia. Porém, o impacto é maior porque a Estônia é mais dependente em termos de acesso bancário online.
O documento do Pentágono tem cerca de 30 páginas em sua versão confidencial e 12 páginas naquela que foi divulgada. Conclui que as Leis de Conflitos Armados – derivadas de vários tratados e usos que, com o passar dos anos, vieram a orientar a conduta da guerra e a proporcionalidade de resposta – aplicam-se ao ciberespaço, como à guerra tradicional, segundo autoridades do Departamento de Defesa que leram o documento. O documento prossegue descrevendo a dependência do Departamento de Defesa de tecnologia da informação e por que deve criar parcerias com outras nações e com a indústria privada de modo a proteger a infra-estrutura.
Lentidão em construir defesas
A estratégia também irá enfatizar a importância de sincronizar a doutrina de ciberguerra dos Estados Unidos com aquela de seus aliados e determinará os princípios para novas políticas de segurança. A Organização do Tratado do Atlântico Norte (Otan) deu um passo inicial quando decidiu que, quando de um ciberataque a uma nação aliada, convocaria um grupo para uma “consulta conjunta” sobre os ataques, mas não seria requisitada para ajudar alguma nação a responder. O grupo não se reuniu até hoje para avaliar um incidente no ciberespaço.
As autoridades do Pentágono acreditam que os ciberataques mais sofisticados exijam os recursos de um governo. As armas utilizadas num ataque tecnológico importante, por exemplo, tais como parar de funcionar o sistema de poder, possivelmente seriam desenvolvidas com apoio do Estado, dizem autoridades do Pentágono.
O que formalizou a postura do Pentágono teve origem na compreensão, pelos militares, que os Estados Unidos foram lentos em construir defesas contra esse tipo de ataques, na medida em que a infra-estrutura civil e militar se tornou mais dependente da internet. No ano passado, os militares criaram um novo comando, encabeçado pelo diretor da Agência de Segurança Nacional (National Security Agency), para consolidar a segurança das redes militares e esforços contra ataques.
Equivalente legal a ataques armados
O próprio Pentágono foi afetado pelo ataque de 2008, um vazamento tão significativo que o presidente do Estado-Maior alertou o então presidente George W. Bush. Na época, autoridades do Departamento de Defesa disseram que acreditavam que o ataque tivera origem na Rússia, embora não dissessem se acreditavam que o ataque estivesse ligado ao governo. A Rússia desmentiu sua participação.
As Regras de Conflitos Armados que orientam as guerras tradicionais são derivadas de uma série de tratados internacionais, como a Convenção de Genebra, assim como de práticas que os Estados Unidos e outras nações consideram lei internacional de uso comum. Mas a ciberguerra não é abrangida pelos tratados existentes. Por isso, as autoridades militares dizem que querem buscar um consenso entre aliados sobre como proceder.
“Ato de guerra” é uma frase política, e não uma expressão legal, diz Charles Dunlap, major-general reformado da Força Aérea e professor na Faculdade de Direito da Duke University. Segundo ele, os ciberataques que têm um efeito violento são o equivalente legal a ataques armados, ou o que os militares chamam “uso de força”. “Basicamente, um ciberataque é governado pelas mesmas regras de qualquer outro tipo de ataque, se os efeitos forem essencialmente os mesmos”, disse o general Dunlap na terça-feira (31/5). Os Estados Unidos teriam que mostrar que a arma do ciberataque utilizada teve um efeito equivalente ao de um ataque convencional.
O vírus Stuxnet
James Lewis, especialista em segurança de computadores no Centro de Estudos Estratégicos e Internacionais (Center for Strategic and International Studies) que assessorou o governo Obama, disse que, no momento, as autoridades do Pentágono estão tentando definir que tipo de ciberataque constituiria o “uso de força”. Muitos planejadores militares acreditam que o gatilho para retaliação deveria ser o tamanho do prejuízo – real ou pretendido – provocado pelo ataque. Por exemplo, se a sabotagem de computadores afetar o comércio tanto quanto o afetaria um bloqueio naval, seria considerada um ato de guerra que justificaria retaliação, disse Lewis. Ainda segundo ele, os padrões incluiriam “morte, prejuízos, destruição ou um alto nível de desordem”.
Nos debates internos do Pentágono, os planejadores militares defendem que a culpabilidade depende do grau com que um ataque – ou as próprias armas – pode ser vinculado a um governo estrangeiro. Trata-se de uma possibilidade difícil, na melhor das hipóteses. A curta guerra de 2008 entre a Rússia e a Geórgia incluiu um ciberataque que confundiu os websites das agências de governo e das instituições financeiras da Geórgia. O prejuízo não foi permanente, mas conseguiu provocar desordem nas comunicações no início da guerra. Um estudo posterior realizado pela Otan dizia ser difícil aplicar as leis dos conflitos armados às do ciberataque porque tanto o autor do ataque quanto o impacto eram pouco nítidos. Na época, a Geórgia culpou sua vizinha, a Rússia, que negou qualquer participação.
Muito pouco se sabe até hoje da mais conhecida arma de ciberataques, o vírus de computador Stuxnet que sabotou algumas das centrífugas nucleares do Irã. Embora alguns especialistas suspeitem que se tenha tratado de um ataque israelense – possivelmente com assistência norte-americana –, devido às características de codificação, isso não foi provado. O Irã foi o lugar de apenas 60% das infecções, segundo um estudo da Symantec. Os outros lugares foram a Indonésia, a Índia, o Paquistão e os Estados Unidos. Autoridades de Israel e dos Estados Unidos recusaram-se a comentar as acusações.
Responsabilidade pelo uso
As autoridades do Departamento de Defesa recusam-se a discutir ciber-adversários em potencial, embora autoridades militares e dos serviços de inteligência digam que identificaram ataques anteriores originários da Rússia e da China. Um relatório oficial de 2009, patrocinado pela Comissão Econômica e de Revisão de Segurança EUA-China, revelou que o Exército de Libertação da China Popular tem seus próprios guerreiros de computação, o equivalente à Agência de Segurança Nacional norte-americana.
Por esse motivo, os planejadores militares acreditam que a melhor maneira de deter ataques importantes é a de forçar os países que constroem armas de ciberataques a serem responsáveis por seu uso. Numa comparação paralela, dizem especialistas, é o que o que o governo de George W. Bush adotou ao responsabilizar governos estrangeiros por abrigar organizações terroristas, uma política que levou as tropas norte-americanas à campanha para expulsar os taliban do poder no Afeganistão.