Ericson Scorsim. Advogado e Consultor no Direito Regulatório das Comunicações. Doutor em Direito pela USP. Autor do livro Jogo Geopolítico entre Estados Unidos e China no 5G: impacto no Brasil, publicado pela Amazon.
A Organização das Nações Unidas (ONU) instalou um grupo de estudos sobre tecnologias de informações e telecomunicações e a segurança cibernética global.
As razões apresentadas para o projeto são várias: o desenvolvimento avançado de novas tecnologias de informação e telecomunicações, o aumento da conectividade global, a natureza dual-use das tecnologias de informação e comunicação (isto é, uso civil e militar), a essencialidade destas tecnologias para os serviços de governo, a existência de ameaças reais na exploração destas tecnologias colocando-se em risco a segurança das nações, a expansão da internet das coisas e os riscos daí associados.
Diante disto, o relatório do grupo de estudos propõe medidas para a construção de confiança entre os países sobre o tema da defesa cibernética.[1] Em especial, busca-se a construção de regras, normas e princípios de responsabilidade dos estados em termos de direito internacional e defesa cibernética. Além disto, quer-se promover o diálogo institucional sobre o aumento da dependência de tecnologias de informação e comunicação.
Sugere-se ainda que os estados sejam encorajados na construção da capacidade para identificar e proteger infraestruturas nacionais e transnacionais críticas, bem como de infraestrutura crítica de informações supranacional. Quanto à promoção de comportamento dos estados responsável deve-se adotar uma estratégica de neutralidade tecnológica, a qual previna o abuso das tecnologias, no que tange a realização de ataques cibernéticos e exploração de vulnerabilidades das tecnologias de informação e comunicações, incluindo-se o contexto de “machine learning”, “quantum computing” e “internet das coisas”. Recomenda-se, ainda, que os estados não adotem “agentes terceiros” (proxies) para cometer internacionalmente atos danosos e, também, para impedir que seu território seja utilizados por atores não-estatais para cometer atos danosos contra outros países e/ou alvos. Assim, sugere-se medidas para “building confidence” entre os estados.
Em debate, o tema do direito à utilização da força pelos estados no ambiente cibernético. Os estados têm o direito de se defender no ambiente cibernético. Porém, a ação dos estados deve ser orientada pelos princípios de direito internacional, tais como: humanidade, necessidade, proporcionalidade, diferenciação e precaução.[2] Conforme relatório final da ONU: “States concluded that there are potentially devasting security, economic, social and humanitarian consequences of malicious ICT activities on critical infrastructure (CI) and critical information infrastructure (CII) supporting essential services to the public. While it is catch State’s prerogative to determine which infrastructures it designates as critical, such infrastructure may include medical facilities, financial services, energy, water, transportation and sanitation. Malicious ICT activities against CI and CII that undermine trust and confidence in political and electoral processes, public institutions, or that impact the general availability or integrity of the internet, are also a real and growing concern. Such infrastructure may be owned, managed or operated by the private sector, may be shared or networked whith another state or operated across different states. As a result, inter-state or public-private cooperation may be necessary to protect its integrity, functioning and availability”.[3]
A preocupação da ONU é com a utilização abusiva de tecnologias de informação e comunicação pode ser a causa futuros conflitos entre os estados. Ou seja, ataques cibernéticos entre os estados podem desencadear conflitos graves entre os estados. Por isso, a ONU quer construir medidas para a capacitação da confiança entre os estados, mediante parcerias confiáveis. Neste sentido, recomenda-se a instalação de equipes especializadas em respostas cibernéticas: “computer emergency response teams (CERTs) or “computer security incidente response teams (CSIRTs). Deste modo, recomenda-se o acesso às tecnologias de modo facilitado aos estados, o respeito ao princípio da soberania estatal, a proteção da confidencialidade de informações sensíveis.
Sobre o tema, registre-se que operações cibernéticas podem violar a soberania de outros países. Um país pode resolver infraestruturas nacionais críticas de outros países (sistemas de telecomunicações, de energia, financeiro, água, aviação civil, entre outros). Recentemente, a mídia especializada apontou que a França ampliou o número de operações cibernéticas contra alvos localizados em outros países. Daí abriu-se o debate sobre se a França estaria adotando uma prática contraditória em termos de soberania. De um lado, a França advoga pela concepção purista de soberania clássica, em termos de território físico. Mas, de outro lado, a França mantém a posição flexível de soberania no ambiente cibernético, ao ponto de atacar alvos cibernéticos localizados em outros países. Nesta segunda opção, no caso de ataque cibernético, há simplesmente a negação da soberania de outro estado. A França desencadeou diversas operações cibernéticas: the Emoted (2021), Encrochat (2020) e Retaup (2019). A operação Emotet envolveu a operação coordenada entre França, Holanda, Alemanha e Estados Unidos, Reino Unido, Lituânia e Ucrânia para causar a disrupção do emotet malware. A operação consistiu em implantar em servidores de comando e controle um software malicioso. Sistemas de computadores localizados em mais 90 (noventa) estados foram infectados pelo emotet malware. Na operação EncroChat, em 2020, foi liderada pelo Center for Combating Digital Crime (C3N), da French National Gendarmerie. O alvo foram os servidores de empresa privada EncroChat que fornecer telefones criptografados para comunicações seguras. Um software malicioso foi infiltrado nos servidores da referida empresa e exigia a atuação dos softwares instalados nas máquinas, a partir da atualização o agente malicioso era instalado.
Em 2019, após o Ministério da Defesa da França anunciar que o direito internacional é aplicável ao cyberspace, a National Gendermerie anunciou a operação cibernética sobre a empresa privada Avast para combater o vírus malicioso Retadup. Este vírus infectou servidores em território francês em sistemas de comando e controle. Na doutrina militar sobre o tema (Tallin Manual 2.0), considera que operações de aplicação da lei lideradas por um estado que ataquem os servidores de comando e controle localizados em outro estado (sem o consentimento deste outro estado), constituem violação da soberania estatal do estado considerado alvo. A operação cibernética somente poderia ser efetivada dentro do território do estado. Enfim, há observatórios de pesquisas que apontam a práticas ofensivas por 23 (vinte e três) estados.
Deste modo, há duas percepções sobre a natureza das operações cibernéticas. Segundo o autor Jack Kenny há duas explicações possíveis sobre este assunto.[4] De um lado, os “puristas” defendem que operações de persistente engajamento cibernético com a invasão de redes de outros estados para manter presença dentro destas redes e, assim, obter inteligência poderia configurar permanente violação da soberania do estado.
Há políticas cibernéticas neste sentido de permanente engajamento no espaço cibernético: U.S (“defend forward”), U.K (“active defense”), Canada (“active cyber”), New Zealand (“internationally active” engagement”. Também, há capacidade cibernética ativa da Rússia, China, Irã, Coréia do Norte, entre outros. Nas conclusões do referido autor: “states that choose not to recognize that a rule of sovereignty applies to cyber operations, such as the U.K, maintain operational flexibility but leave their infrastructure open to attacks that would not be prohibited by a rule of international law below a prohibited intervention. It is clear that for states to develop an understanding of how the rights inherent in sovereignty apply to cyber operations, they must balance the interests of operational freedom with the protection of critical national infrastructure on a state’s territory to identify a ‘half-way house” de minimis threshold at which a violation of sovereignty takes place. Over time, in the absence of a treaty, statements by states by stats on how they interpret the rights inherent in sovereignty to apply with specificity to cyber operations may contribute to the formation of specific customary international law that may focus or clarify the application of such rules”.
Em síntese, as Nações Unidas percebem o problema do conflito entre estados e/ou atores não-estatais e a questão da soberania, em relação às operações realizadas no ambiente cibernético. A preocupação é com infraestruturas nacionais críticas que poderão classificados como alvos militares. Um dos caminhos para a solução deste problema é o fortalecimento das regras, princípios e costumes de direito internacional, a fim de conter a capacidade ofensiva dos estados no espaço cibernético, bem como garantir a autodefesa dos estados diante de ataques cibernéticos.
Enfim, o tema do impacto das tecnologias da informação e telecomunicações sobre a soberania é de interesse do Brasil. É preciso aprofundar estudos, pesquisas e medidas para melhorar a governança cibernética do estado brasileiro, das empresas e das pessoas. A defesa cibernética, atualmente, é um conditio sine qua non para a soberania político-eleitoral do país.
*Todos os direitos reservados, não podendo ser reproduzido ou usado sem citar a fonte.
[1] United Nations, General Assembly. “Second ‘pre-draft’ of the report of the OEWG on developments in the field of information and telecommunications in the context of international security.
[2] United Nations, General Assembly. “Open-ended working group on developments in the field of information and telecommunications in the context of international security, 8-12 march 2021.
[3] United National, General Assembly. Open-ended working group on developments in the field of information and telecommunications in the context of international security. Final substantive report, 10 march 2021.
[4] Kenny, Jack. France, cyber operations and sovereignty: the “purist” approach to sovereignty and contradictory state practice. March, 12, 2021.