Como aumentar a segurança do ciberespaço, mais vulnerável a cada dia?

Da internet móvel à inteligência artificial, da blockchain ao big data, as tecnologias digitais têm o potencial de trazer melhorias drásticas no bem-estar humano. Mas eles também representam sérios riscos para comunidades e indivíduos em seus papéis como consumidores, trabalhadores e cidadãos. Colher os benefícios da revolução digital e evitar suas armadilhas exigirá que administremos uma transformação estrutural sem precedentes para a qual o mundo está lamentavelmente despreparado.

Olhando apenas para a internet, é inegável que ela se tornou um substrato vital para interações econômicas, sociais e políticas, e gerou enormes ganhos. Mas a maior interdependência gerou também mais vulnerabilidades e conflitos. Os ataques aumentaram, ameaçando a estabilidade do ciberespaço.

No mês de novembro, especialistas reunidos no Paris Peace Forum e no Internet Governance Forum (IGF) pediram o desenvolvimento de melhores interfaces globais entre as diversas políticas nacionais, visando aumentar a segurança cibernética. Eles entendem que um maior compartilhamento sobre vulnerabilidades, indicadores de ataques e medidas de mitigação pode ajudar a melhorar a cibersegurança no geral. Essa abordagem colaborativa, dizem, pode constituir um terreno fértil para a realização de conversas internacionais eficazes sobre segurança cibernética.

Em Paris, a Comissão Global sobre a Estabilidade do Ciberespaço (GCSC) publicou seu relatório sobre como fornecer uma estrutura abrangente de "estabilidade cibernética", definida como "condição na qual indivíduos e instituições podem estar razoavelmente confiantes em sua capacidade de usar serviços cibernéticos com segurança". Esse relatório propõe oito normas que podem ser encaradas como pontos de referência comuns nas discussões políticas sobre estabilidade cibernética.

A primeira norma é a não interferência com o núcleo público da internet. Embora os estados autoritários e democráticos possam discordar sobre a liberdade de expressão ou a regulamentação do conteúdo online, eles podem concordar em não interferir nos principais recursos que garantem a existência de uma internet livre e aberta, como o sistema de nomes de domínio, sem os quais não haveria interconexão previsível entre as redes autônomas que compõem a rede a internet.

Segundo, os atores estatais e não estatais não devem apoiar operações cibernéticas destinadas a interromper a infraestrutura técnica essencial para eleições, referendos ou plebiscitos. Embora essa norma não impeça toda interferência, como o que ocorreu nas eleições dos EUA em 2016, ela define algumas linhas em torno dos recursos técnicos.

Terceiro, atores estatais e não estatais não devem mexer com bens e serviços em desenvolvimento ou produção, se isso puder prejudicar substancialmente a estabilidade do ciberespaço. Cadeias de suprimentos inseguras representam uma ameaça importante à estabilidade.

Quarto, atores estatais e não estatais não devem comandar recursos do público em geral para criação de "botnets".

Quinto, os estados devem criar estruturas processualmente transparentes para avaliar se e quando divulgar às vulnerabilidades ou falhas públicas nos sistemas ou na tecnologia da informação. Tais falhas são frequentemente a base de armas cibernéticas.

Sexto, desenvolvedores e produtores de bens e serviços dos quais depende a estabilidade do ciberespaço devem enfatizar a segurança, tomar medidas razoáveis ​​para garantir que seus produtos estejam livres de vulnerabilidades significativas, mitigar falhas quando descobertos e ser transparentes sobre o processo. Todos os atores têm o dever de compartilhar informações sobre vulnerabilidades para ajudar a mitigar atividades cibernéticas maliciosas.

Sétimo, os estados devem adotar medidas apropriadas, incluindo leis e regulamentos, para garantir a cibernética básica. Assim como as vacinas previnem doenças transmissíveis, como o sarampo, a cibersegurança básica pode ajudar bastante a remover as frutas baixas que atraem os malfeitores cibernéticos.

Por fim, os atores não estatais não devem se envolver em operações cibernéticas ofensivas, e os atores estatais devem impedir tais atividades ou responder se ocorrerem. Às vezes chamado de "invasão", o vigilantismo pode aumentar e representar uma grande ameaça à estabilidade cibernética. No passado, os estados toleraram e até apoiaram corsários em alto mar, mas depois descobriram que os riscos de escalada e conflitos indesejados eram altos demais. O mesmo poderia ser dito para a estabilidade no ciberespaço.

Essas oito normas, por si só, não garantirão a estabilidade no ciberespaço, mas combinadas com normas, princípios e medidas de construção de confiança sugeridas por outras entidades, como o Fórum de Melhores Práticas do IGF sobre Cibersegurança, elas podem ser um bom começo.

Na semana passada, durante a reunião do Grupo de Trabalho Aberto das Nações Unidas (OEWG) em Nova York, na sede da ONU, o Fórum de Melhores Práticas do IGF sobre Cibersegurança apresentou seu trabalho sobre melhores práticas de cibersegurança, a partir da análise de 19 acordos internacionais. Entre as principais descobertas do estudo estão que:

1 – As discussões em andamento sobre conteúdo online são significativamente diferentes das discussões sobre segurança cibernética. Visões conflitantes podem limitar o progresso de uma ou de outra. Estruturas emergentes para regulamentar o acesso a dados e o conteúdo da internet são inconsistentes nas jurisdições, refletindo frequentemente divergências em valores fundamentais. A governança descentralizada pode ir longe demais, ameaçando levar à balcanização da internet, com sérias consequências para os negócios e o comércio internacional.

2 – Os acordos de segurança cibernética têm resultados positivos. Por exemplo, a inclusão de todos os grupos de partes interessadas na criação de acordos reforça a natureza compartilhada do desafio e constrói um pacto em torno das responsabilidades que todos têm.

3 – Os acordos de segurança cibernética podem ter efeitos adversos. Por exemplo, os acordos de segurança cibernética correm o risco de se tornarem contraproducentes quando deixam de se concentrar nos resultados para se preocuparam apenas a prescrever um curso de ação.

4 – Os acordos de segurança cibernética às vezes comprometem os direitos humanos, o que, por sua vez, pode reduzir a segurança cibernética. Há também implicações de privacidade no compartilhamento de informações entre as organizações e entre elas e os CSIRTs (Computer Security Incident Response Teams). Certos textos legislativos, como o Regulamento Geral de Proteção de Dados da União Europeia (o GDPR) e a Lei de Compartilhamento de Informações sobre Segurança Cibernética de 2015, abordam diretamente essa incerteza, esclarecendo as condições sob as quais esse compartilhamento de informações é permitido.

5 – A qualidade dos acordos de cibersegurança pode ser melhorada, por exemplo, definindo-se a terminologia principal com antecedência; evitando ambiguidade desnecessária por meio da inclusão de várias partes interessadas na revisão da linguagem; e tornando a capacitação uma parte crucial de qualquer acordo.

O que esses organismos esperam é que as experiências compartilhadas possam informar a conversa global sobre segurança cibernética e privacidade em benefício das partes interessadas – CSIRTs, legisladores, profissionais de privacidade e empresas privadas – em todo o mundo, na criação de regras legais que aumentem as chances de fazer frente às vulnerabilidades e aos ataques.