Estados Unidos e China disputam a liderança tecnológica global. A competividade tecnológica é medida pela capacidade computacional de cada país, representada pelas infraestruturas de computação em nuvem e da pela fabricação de semicondutores. Estas infraestruturas computacionais são essenciais para a modelagem do espaço cibernético global. A capacidade cibernética de um país representa, atualmente, um dos fatores do poder nacional.[1]Deste modo, cada país com poder cibernético busca projetar seu poder para os demais países, algo que representa seu soft power.
A título ilustrativo, os Estados Unidos aprovaram a Lei denominada Cloud Act, uma lei que permite o acesso por autoridades norte-americanos a dados armazenadores em servidores de empresas localizadas no exterior, porém subordinadas à jurisdição norte-americana. Há riscos geopolíticos e geoeconômicos decorrentes do Cloud Act dos Estados Unidos, sequer percebidos pelas autoridades brasileiras. Apesar do nome, o tráfego internacional dos dados é predominante realizado através de redes de cabos submarinos localizados nos oceanos. A capacidade computacional é a capacidade para coletar dados, armazenar e processar dados e transferir dados. No âmbito geopolítico e geoeconômico, o país com maior domínio sobre seus dados e infraestruturas digitais detêm maior controle político e econômico sobre sua economia e, inclusive, influência sobre os demais países.
A Cloud computation produz bilhões de dólares em negócios, contribuindo os fluxos dos negócios, o fluxo de capitais financeiros e o fluxo logístico. Portanto, a capacidade da infraestrutura digital pode melhorar o ambiente dos negócios em escala global. A denominada Cloud Computation é o sistema complexo integrado por uma rede de computadores, softwares, data centers, redes de cabos submarinos, entre outros elementos. As infraestruturas são consideradas como serviços (infrastructure as a service), software como serviços (software as service), plataforma como serviço (plattform as service) entre outros. É preciso diferenciar os serviços de computação em nuvem prestados aos governos daqueles serviços oferecidos às empresas. Existem, ainda, distinções entre nuvens privadas, públicas e híbridas.
Na computação em nuvem para governos, especialmente em áreas de defesa e inteligência nacional, via de regra, há requisitos mais rígidos para a segurança cibernética, devido à presença de dados sensíveis nas redes. Esta disputa geopolítica e geoeconômica estende-se para os padrões técnicos internacionais das normas de segurança cibernética. Nas camadas de segurança cibernética, é preciso analisar a segurança dos dados, a segurança das aplicações, a segurança da hospedagem dos dados e a segurança das redes. Neste contexto, para selecionar o provedor de computação em nuvem é necessário avaliar a confiabilidade da empresa e verificar se a mesma segue os padrões internacionais de segurança cibernética, bem como se ela oferece uma infraestrutura com resiliência a ataques cibernéticos. Quanto aos standards, é preciso evitar políticas abusivas na fixação de padrões técnicos de segurança cibernética de modo a excluir a competição internacional.
Há diversas aplicações para negócios com computação em nuvem: indústria, cidades inteligentes (centros de operações inteligentes para gestão urbana), gestão de redes de energia elétrica, gestão de redes de iluminação pública, governo digital na nuvem, gestão de sistemas de abastecimento de água, proteção ambiental inteligente, sistemas de refrigeração inteligentes, transportes e logística, mídia audiovisual (produção de filmes e radiodifusão), portos inteligentes, setor de mineração, óleo e gás, entre outros. A título ilustrativo, diversos cineastas e atores localizados em diferentes países poderão realizar, conjuntamente, filmes e animações. Recentemente, uma empresa de tecnologia ofereceu a experiência de formação de uma orquestra virtual, com a participação de músicos em diversos países. Na área de portos, aplicações de computação em nuvem possibilitam a redução de custos, com a formatação de rotas e escalas de carga e descarga de containeres, bem como de navios.
No setor de finanças, há o projeto de construção da futura geração de infraestrutura financeira, denominada “Bank of Things”, uma parceria entre a Huawei e o SPD Bank. O foco central é o aproveitamento da internet das coisas para o setor financeiro, especialmente no aspecto da análise de riscos de crédito. Há oportunidades de BoT (bank of things) para as empresas denominadas fintechs. O objetivo é criar aplicações da partir da tecnologia de 5G e Internet das Coisas para o desenvolvimento de objetos duplicados (twins of things), serviços das coisas. O objetivo é monetizar os ativos, a partir da conectividade. Assim, aproveita-se os sistemas de pagamentos digitais e dados daí decorrentes.[2] Exemplificando-se: no âmbito de smart cars, os dados dos carros e motorista servirão para análise de riscos para seguros. No aspecto de smart homes, dados dos moradores servirão para análise do potencial de consumo e análise de crédito e para fins de publicidade comercial. Toda a economia digital depende dos sistemas de computação em nuvem, essencial para a transformação digital. Com a tecnologia de quinta-geração 5G em redes de telecomunicações móveis e a internet das coisas haverá a demanda exponencial por serviços de computação em nuvem. Além disto, ferramentas de inteligência artificial e big data contribuirão – e muito – para o processamento de dados (vídeos, textos, imagens, etc), em hiperescala. Há modelos matemáticos aplicados aos sistemas de computação em nuvem com capacidade de para processamento de bilhões de dados em tempo real.
Neste contexto, pesquisas científicas para o desenvolvimento de novas medicações que eram realizadas em anos, agora, terão resultados em meses. Haverá maior tráfego de dados, por isto a necessidade de reforço na segurança cibernética. Os Estados Unidos contam com as Big Techs em computação em nuvem como: Amazon, Microsoft, Google, Oracle, IBM, SalesForce, Dropbox, entre outras. Estas empresas oferecem serviços de computação em nuvem no Brasil para empresas privadas e governos. No Brasil, Tribunais de Justiça têm contratado serviços de computação em nuvem de empresas estrangeiras.[3] Grupos empresariais brasileiros têm contratados serviços de computação em nuvem de empresas estrangeiras.
O Banco Central do Brasil tem resolução autorizando a contratação de serviço de computação em nuvem com armazenamento de dados no exterior.[4] A China conta com Alibaba, Tencent e Huawei. A União Europeia não conta com nenhum competidor global em computação em nuvem. Por isto, a sua política pública para incentivar o desenvolvimento de infraestrutura de computação em nuvem por empresas europeias. A União Europeia tem programas para o fortalecimento de sua soberania cibernética, justamente com o foco no desenvolvimento de infraestruturas de computação em nuvem. A disputa geopolítica é ampliada para o poder de acessar dados localizados em servidores localizados no exterior, o que possibilita a extensão a aplicação extraterritorial da jurisdição norte-americana.
A título ilustrativo, os Estados Unidos aprovaram o Cloud Act (Clarifuying Lawful Overseas Use of Data), isto é, a lei que permite o acesso por autoridades norte-americanas a dados armazenados por provedores de serviços em servidores localizados em outros países. Nos Estados Unidos, há o projeto de lei sobre acesso a dados, transparência e responsabilidade, denominado “Setting na American Framework to ensure data acess, transparency and accountability Act” or “Safe Data Act”. A regulação do tema é incipiente. A União Europeia é quem está mais avançada no assunto, tendo o Cybersecurity Act e a proposta para regulamentação da governança de dados. A agência europeia para segurança cibernética (ENISA) tem recomendação, por exemplo, para a segurança em nuvem para os provedores de serviços no setor de saúde.[5] Outra recomendação para segurança e resiliência de computação em nuvem para governos.[6] Existe a recomendação de padrões de segurança cibernética para hospitais. Nos Estados Unidos, há decisão presidencial (Executive Order n. 13984), de janeiro de 2021, que trata de ataques cibernéticos maliciosos contra infraestruturas de computação em nuvem. Neste ato, há a determinação para que a National Security Agency avalie os riscos à segurança cibernética no fornecimento de tecnologias e infraestruturas de nuvem para o governo.A partir daí, o Departamento de Comércio passou a exigir que os provedores de serviços de infraestruturas de computação em nuvem verifiquem a identidade estrangeiras dos prestadores de serviços, bem como as regras de certificação e compliance.
Os Estados Unidos aprovaram regulamentação específica para a contratação de serviços de computação em nuvem pelo governo e agências federais. A China aprovou a lei Data Security Law, com garantias de proteções às infraestruturas críticas de informações (serviços de informações, energia, transporte, conservação de água, finanças, serviços públicos, governo eletrônico), requisitos para a transferência internacional de dados, regras de controle de exportação de dados, compliance para provedores de dados, plataformas de comércio, consumidores de dados, regras de localização de data centers em território chinês. Registre-se que embora existam regras comuns de segurança cibernética, conforme a singularidade do setor há a demanda por regras mais específicas. Assim, há peculiariedade do setor financeiro, energético, nuclear, de defesa, saúde, entre outros. Quanto aos riscos cibernéticos, há algumas práticas de compartilhamento de riscos entre o provedor do serviço e computação em nuvem e o cliente. Nos contratos de computação em nuvem deverá haver a máxima transparência quanto aos riscos cibernéticos e informações sobre as cláusulas de atualização dos serviços de segurança cibernética em dispositivos, redes e equipamentos.
Em contratos de seguros diante de riscos cibernéticos é fundamental a clareza e precisão das cláusulas sobre as coberturas contratuais. Além disto, é importante que as empresas desenvolvam matrizes de riscos geopolíticos e geoeconômicos. Em futuro próximo, possivelmente haverá discussões sobre questões concorrenciais no mercado de computação em nuvem, especialmente sobre a concentração econômica.[7] É importante a confidencialidade, disponibilidade, integridade dos dados em computação em nuvem. Há, também, a preocupação com a sustentabilidade ambiental dos data centers, pois são grandes consumidores de energia. Neste aspecto, os serviços de computação em nuvem deverão seguir o princípio da eficiência energética. No Brasil, não há propriamente a regulamentação da segurança cibernética nos serviços de computação em nuvem. Falta no Brasil uma lei geral de segurança cibernética. Por ora, o tema é apenas abordado como autorregulação pelas empresas privadas. Resumindo-se: a economia digital será moldada pelas infraestruturas e serviços de computação em nuvem. O País que melhor investir em infraestruturas de computação em nuvem terá maior competividade internacional e poder computacional. O Brasil tem um perfil geoestratégico interessante para atrair investimentos em computação em nuvem e se tornar um player global e regional neste setor.
** Todos os direitos reservados, não podendo ser reproduzido ou usado sem citar a fonte.
Ericson Scorsim é advogado e consultor no Direito Regulatório das Comunicações, com foco em infraestruturas de telecomunicações e mídia, doutor em Direito pela USP e autor dos livros “Jogo Geopolítico das Comunicações 5G: Estados Unidos, China e o Impacto no Brasil, Amazon, 2020. e Geopolítica das comunicações, Amazon, 2021.
[1] Cf. Cyber capabilities and National Power: a net assessment. The International Institute for Strategic Studies – IISS.
[2] Huawei and SPDBANK, Bank of Things White paper. Next-Generation financial infrastructure, 2020.
[3] É o caso, por exemplo, do Tribunal de Justiça de São Paulo que contratou os serviços de computação em nuvem da Microsoft.
[4] Banco Central do Brasil, Circular n. 3.909, de 16 de agosto de 2018, dispõe sobre a política de segurança cibernética e sobre requisitos para a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo BACEN.
[5] Ver: European Union Agency for Cybersecurity. Cloud Security for healthcare services, January, 2021.
[6] Ver: European Network and information security agency. Security & Resiliene in governamental clouds, making an informed decision, January, 2011.
[7] Geer, Dan, Jardine, Erics e Leverett, Eireann. On Market concentration and cybersecurity risk, Journal of Cyber Policy, 2020, vol. 5, n. 1, 9-29, Routledge – Taylor & Francis Group.
Crédito de Imagem: Universidade Tuiuti do Paraná