Guerra Cibernética? Congresso dos EUA encoraja retaliação

As relações entre os Estados Unidos e a Rússia não estão no seu melhor momento, as evidências apresentadas de interferência nas eleições presidenciais tem sido agravadas por ataques a setores de infraestruturas críticas norte-americanos.

As reações a esses ataques podem ser percebidas em diferentes instâncias do governo e sociedade civil norte-americana, em geral, a percepção é de indignação com as ações cibernéticas ofensivas.

Um exemplo dessa reação em nível governamental pode ser observada na nova legislação norte-americana para o orçamento de defesa em 2019 – a National Defense Authorization Act for Fiscal Year 2019 (NDAA). Trata-se de um extenso documento – total de 2552 páginas – que a partir do Title XVI – STRATEGIC PROGRAMS, CYBER, AND INTELLIGENCE MATTERS (Subtitle C—Cyberspace-Related Matters) apresenta previsões aplicáveis à dimensão cibernética. 

Da leitura desse trecho da NDAA é possível observar que o Congresso dos EUA considera que a resposta aos ataques cibernéticos que os EUA sofreram tem sido decepcionante (pág. 2230).

The conferees have been disappointed with the past responses of the executive branch to adversary cyberattacks and urge the President to respond to the continuous aggression that we see, for example, in Russia’s information operations against the United States and European allies in an attempt to undermine democracy.

O Congresso norte-americano sugere explicitamente (pág. 1257) que os EUA reajam de forma “proporcional e adequada” para conter campanhas/ataques cibernético. Há inclusive menção aos países que comumente atacam alvos norte-americanos: Rússia, China, Irã e Coreia do Norte. Por fim, o texto indica que estão incluídos no rol de ataques cibernéticos as tentativas de influência sobre o processo eleitoral nos EUA.

In the event that the National Command Authority determines that the Russian Federation, People’s Republic of China, Democratic People’s Republic of Korea, or Islamic Republic of Iran is conducting an active, systematic, and ongoing campaign of attacks against the Government or people of the United States in cyberspace, including attempting to influence American elections and democratic political processes, the National Command Authority may authorize the Secretary of Defense, acting through the Commander of the United States Cyber Command, to take appropriate and proportional action in foreign cyberspace to disrupt, defeat, and deter such attacks under the authority and policy of the Secretary of Defense to conduct cyber operations and information operations as traditional military activities.

Entre as medidas indicadas (pág. 2230) estão incluídas ações de defesa ativa que incluem a cooperação do USCYBERCOM com redes sociais para identificar os perfis criados para apoio de operações de informação russas e que violem os termos e serviços das redes sociais.

The Senate amendment contained a provision (sec. 1623) that would authorize the National Command Authority to direct the Commander, U.S. Cyber Command, to take appropriate and proportional action through cyberspace to disrupt, defeat, and deter systematic and ongoing attacks by the Russian Federation in cyberspace. The provision would direct the Secretary of Defense, using the results of the surveillance conducted through CYBERCOM, also authorized in the provision, to work with social media companies on a voluntary basis to assist those companies in identifying accounts created by personnel and organizations engaged at the behest of or in support of the Russian Federation and that violate the companies’ terms of service.

Há, ainda, previsão que autoriza implicitamente o emprego de ações operacionais clandestinas por forças militares no espaço cibernético (pág. 2223).

The conferees see no logical, legal, or practical reason for allowing extensive clandestine traditional military activities in all other operational domains (air, sea, ground, and space) but not in cyberspace

Detalhe inusitado é que o próprio texto (pág. 2224) considera prudente indicar que não sejam autorizadas operações clandestinas contra população norte-americana ou que exponham a população/mídia norte-americana à informação criada pelo governo em alguma dessas operações.

Finally, the conferees recognize that information operations are particularly contested and controversial. While the conferees agree that the Department should conduct aggressive information operations to deter adversaries, as is recommended by the Defense Science Board’s Task Force on Cyber Deterrence in its February 2017 report, the conferees do not intend this affirmation as an authorization of clandestine activities against the American people or of activities that could result in any significant exposure of the American people and media to U.S. government-created information.

Por fim, previsão constante da sec. 1636 (pág. 1275) prevê a autorização para reação com emprego de todos os instrumentos de poder nacional (incluídos recursos cibernéticos) a ataques cibernéticos ou ações maliciosas que alvejem os EUA: 

It shall be the policy of the United States, with respect to matters pertaining to cyberspace, cybersecurity, and cyber warfare, the United States should employ all instruments of national power, including the use of offensive cyber capabilities, to deter if possible, and respond to when necessary, all cyber attacks or other malicious cyber activities of foreign powers that target United States interests with the intent to… cause casualties among United States persons or persons of United States allies; significantly disrupt the normal functioning of United States democratic society or government (including attacks against critical infrastructure that could damage systems used to provide key services to the public or government); threaten the command and control of the Armed Forces, the freedom of maneuver of the Armed Forces, or the industrial base or other infrastructure on which the United States Armed Forces rely to defend United States interests and commitments; or achieve an effect, whether individually or in aggregate, comparable to an armed attack or imperil a vital interest of the United States

Conclusão

O Congresso dos EUA apresenta vigorosa disposição em outorgar legitimidade para o Poder Executivo atuar proativamente contra ameaças cibernéticas. Sobretudo contra ameaças estatais como Rússia, China, Irã e Coreia do Norte.

O encorajamento para ações de defesa ativa e/ou respostas parece ser um híbrido de estratégia de dissuasão (deterrence) que o Congresso norte-americano sinaliza: o uso de diferentes dimensões do poder estatal para contrapor-se ou antecipar ataques cibernéticos.

É difícil antecipar se essa estratégia será colocada em prática. E, se uma vez colocada, será efetiva em dissuadir estados nacionais de promover ações ofensivas, pois fatores como dificuldade de atribuição de autoria e baixo custo das ações não são diretamente afetados pela nova estratégia de dissuasão.

De outro lado, o Congresso dos EUA ao indicar que as respostas podem ser “proporcionais e adequadas” e com o emprego de “defesa ativa” sinaliza um acréscimo no cálculo político-estratégico das ações ofensivas. Pois, os EUA vão responder a ataques com ações ofensivas, ainda que ações cibernéticas sejam de custo reduzido, podem gerar prejuízos ao atacante (ex: ataques contra infraestruturas críticas podem ser respondidos com ações similares contra os mesmos alvos no território do atacante).