Os Estados Unidos (EUA) publicaram, no final do mês setembro, a National Cyber Strategy, sua nova Estratégia Nacional de Segurança Cibernética (ENSC) e a nova Cyber Strategy – Department of Defense, a Estratégia Cibernética do Departamento de Defesa (DoD).
A nova ENSC se proclama como a primeira estratégia para dimensão cibernética desde 2003, quando a National Strategy to Secure Cyberspace foi publicada pelo Presidente George W. Bush. Assertiva polêmica quando considerada a Cyberspace Policy Review, em 2009, e o Cybersecurity National Action Plan, em 2016, ambos publicados pelo Presidente Obama e que possuem conteúdo similar a nova ENSC (ainda que não tenham o nome de estratégia nacional).
O conteúdo do documento é bastante similar as estratégias nacionais anteriores ao enfatizar temas como: a proteção de infraestruturas críticas, combate a criminalidade cibernética, proteção de redes militares e de governo, atuação em conjunto com o setor privado e o compartilhamento de informações sobre ameaças cibernéticas.
Não obstante, dois aspectos merecem destaque: o lançamento de uma iniciativa para dissuasão cibernética e a “simplificação” do processo decisório no uso de armas cibernéticas ofensivas.
A combinação entre esses novos elementos permite uma projeção otimista e uma pessimista a partir dos novos documentos publicados pelos Estados Unidos.
Cooperação internacional e Dissuasão
Numa leitura otimista, a nova ENSC mantém objetivos estratégicos que estavam presentes em documentos anteriores e inova ao lançar uma iniciativa para dissuasão cibernética em nível global, o que pode reduzir a quantidade de ataques persistentes que tem ocorrido.
De forma similar a International Strategy for Cyberspace – Estratégia Internacional para o Espaço Cibernético (2011), a nova ENSC estatui que todas as manifestações de poder estão disponíveis para prevenir, responder e dissuadir atividades cibernéticas maliciosas.
All instruments of national power are available to prevent, respond to, and deter malicious cyber activity against the United States. This includes diplomatic, information, military (both kinetic and cyber), financial, intelligence, public attribution, and law enforcement capabilities.
Tal assertiva permite considerar que ações cibernéticas contra os EUA podem ser respondidas com uso força convencional. Algo que pretende alterar a avaliação de custo e benefício de um ataque cibernético contra os EUA, eis que respostas em diferentes dimensões poderão ser tomadas.
Em alguma medida isso já ocorreu no passado com os casos de indiciamento (naming and shaming) de:
- hackers russos no caso das eleições norte-americanas de 2016 (leia a íntegra da denúncia),
- hackers chineses pela subtração de propriedade intelectual (leia a denúncia de 2014 e a denúncia de 2018),
- hackers iranianos pela subtração de propriedade intelectual (leia a denúncia de 2016 a nota pública de 2018).
Ao indicar que “todos os instrumentos” estão disponíveis para dissuasão, os EUA parecem sugerir que sanções econômicas, medidas diplomáticas e ações militares passarão a ser consideradas.
Também anuncia que pretende atuar de forma conjunta com outros países que tenham convicções similares para atribuir ataques e impor consequências aos responsáveis:
The United States will formalize and make routine how we work with like-minded partners to attribute and deter malicious cyber activities with integrated strategies that impose swift, costly, and transparent consequences when malicious actors harm the United States or our partners.
Por certo que a alta probabilidade de anonimato ou negação plausível de autoria de ataques (plausible deniability) são fatores que incentivam estados nacionais a conduzirem ações ofensivas contra seus pares. A nova ENSC caminha bem ao indicar que esforços nessa direção serão empregados.
LEAD WITH OBJECTIVE, COLLABORATIVE INTELLI-
GENCE: The IC will continue to lead the world in
the use of all-source cyber intelligence to drive
the identification and attribution of malicious
cyber activity that threatens United States
national interests.
Ao indicar que a cooperação com outros países que partilhem da mesma visão para o espaço cibernético é um objetivo estratégico, os Estados Unidos sinalizam para outros países a possibilidade de estreitamento de laços e, possivelmente, aprimoramento técnico pelo compartilhamento de informações e tecnologia.
Through cyber capacity building initiatives, the United States builds strategic partnerships that promote cybersecurity best practices through a common vision of an open, interoperable, reliable, and secure Internet that encourages investment and opens new economic markets. In addition, capacity building allows for additional opportunities to share cyber threat information, enabling the United States Government and our partners to better defend domestic critical infrastructure and global supply chains, as well as focus whole-of- government cyber engagements.
Esses trechos da nova ENSC são auspiciosos ao indicarem que há espaço para aprimoramento técnico, intercâmbio de informações e atuação conjunta com o objetivo de tratar, responder e dissuadir ataques cibernéticos persistentes praticados por outros países.
Escalada nos Ataques Cibernéticos
De outro lado, ao introduzir novidade no uso ofensivo de armas cibernéticas, de que não se submeterá a extenso processo decisório, combinado com o conteúdo da nova Estratégia do DoD, que prevê o uso preemptivo de ataques cibernéticos, difícil não temer o risco de uma escalada em agressões na dimensão cibernética.
(…) the Department seeks to preempt, defeat, or deter malicious cyber activity targeting U.S. critical infrastructure that could cause a significant cyber incident regardless of whether that incident would impact DoD’s warfighting readiness or capability. Our primary role in this homeland defense mission is to defend forward by leveraging our focus outward to stop threats before they reach their targets.
Essa é uma mudança significativa de comportamento do Presidente Trump em relação ao Presidente Obama. Descrito como cauteloso no uso de ações cibernéticas ofensivas – mesmo no caso do alegado ataque Stuxnet contra as usinas de enriquecimento no Irã -, a administração Obama tinha receio da abertura de precedentes para a militarização do espaço cibernético.
Em outro ponto, a nova estratégia o DoD indica a Rússia e a China como grandes adversários na dimensão cibernética. Aduz, ainda, que medidas contra ações maliciosas serão tomadas nas suas origens, ainda que não sejam consideradas “uso da força”, nos termos do art. 51 da Carta da ONU:
Our focus will be on the States that can pose strategic threats to U.S. prosperity and security, particularly China and Russia. We will conduct cyberspace operations to collect intelligence and prepare military cyber capabilities to be used in the event of crisis or conflict. We will defend forward to disrupt or halt malicious cyber activity at its source, including activity that falls below the level of armed conflict.
Ou seja, os Estados Unidos parecem dispostos a realizar ações cibernéticas ofensivas contra outros países, mesmo no caso em que os ataques que se pretende impedir não tenham consequências cinéticas. Não seria o caso do uso de ações ofensivas como resposta quando uma infraestrutura crítica fosse atacada (algo que provocaria mortes ou extenso prejuízo econômico), mas do emprego preventivo de ações ofensivas contra ataques que tem efeitos meramente cibernéticos (p.ex. negação de serviço, subtração de propriedade intelectual, exclusão de arquivos por wipers).
Essas mesmas previsões são ecoadas no novo National Security Presidential Memorandum 13 (NSPM 13), documento classificado que autoriza as Forças Armadas o engajamento em ações ofensivas na dimensão cibernética que não ultrapassem o patamar do “uso da força”. Isso significa dizer que as Forças Armadas dos EUA poderão realizar ataques cibernéticos que não causem mortes ou graves prejuízos econômicos por um processo decisório simplificado.
O novo arcabouço estratégico publicado pelos Estados Unidos parece sugerir que o país pretende atuar assertivamente no espaço cibernético. De modo a realizar ações ofensivas não somente como resposta a ataques, mas de modo preventivo, antecipando possíveis consequências negativas para ativos norte-americanos ou seus interesses estratégicos.
No contexto de ataques cibernéticos, ações preventivas podem ser entendidas como escalada nas ações ofensivas, isto é, o ataque preventivo é mais severo que a ação que tencionou evitar. O que pode motivar o país atacado preventivamente a atuar de forma ainda mais agressiva, ante a ação que sofreu de forma preemptiva.
Cenário ainda mais complexo se vislumbra quando uma ação ofensiva seria desencadeada por um estado nacional a partir de ativos situados em um terceiro país (algo frequente no espaço cibernético). Nessa hipótese a ação preventiva norte-americana seria dirigida contra alvo situado em um terceiro país, distinto do atacante original. O que pode enfraquecer coalizões, visto que a ação preemptiva poderia ocorrer sem o conhecimento desse terceiro país de onde o ataque seria iniciado.
A essa multiplicidade de fatores devem ser acrescidas as consequências como danos colaterais provocados na ação preventiva, a imprevisibilidade da extensão dos prejuízos que a ação pode tomar (vide Stuxnet e a quantidade de vítimas distribuídas globalmente) e possível retaliação/escalada das agressões por parte do país atacado preventivamente.
Conclusão
Por se tratarem de documentos de nível estratégico os novos documentos publicados pelos EUA em final de setembro não são exaustivos quanto às novas definições que apresentam. Logo, somente após ações concretas será possível compreender com maior clareza como se manifestará a nova estratégia norte-americana para o espaço cibernético.
Há aspectos positivos na nova ENSC. Ao indicar a ampliação da cooperação internacional, o incremento na capacidade de atribuição de autoria e a previsibilidade na aplicação de respostas a ataques cibernéticos as estratégias, o documento parece ter finalidade estabilizadora para o espaço cibernético e as relações internacionais.
Porém, é alarmante observar a concomitância dessas medidas com a autorização do emprego de ações ofensivas cibernéticas pelas Forças Armadas dos EUA, se não ultrapassarem o nível de “uso da força”.
Combinada essa autorização com a indicação explícita de que os EUA passarão a atuar preventivamente para impedir o início de um ataque cibernético, parece razoável concluir que a política externa dos EUA foi emendada na dimensão cibernética para America (hacks) First.