Tal como a Quarta Convenção de Genebra há muito que protege os civis em tempo de guerra, “precisamos de uma Convenção de Genebra Digital que comprometa os governos a protegerem os civis de ataques aos estados-nação em tempos de paz”, afirmou Brad Smith, presidente e Chief Legal Officer da Microsoft. O tema volta a ser colocado em cima da mesa, não só devido às alegadas interferências de hackers nas mais recentes campanhas eleitorais, como devido ao ciberataque global do último fim-de-semana que afectou 150 países
POR
HELENA OLIVEIRA

Depois do vírus “WannaCry” ter dado origem a um dos maiores ataques informáticos globais de sempre – a Europol classificou-o como sem precedentes -, afectando cerca de 230 mil utilizadores em pelo menos 150 países e com a particularidade de ser um “ramsonware”, ou seja, um vírus ao qual é “acoplado” uma exigência de “resgate” às vítimas que viram os seus ficheiros serem encriptados, a ideia de uma “Convenção de Genebra Digital” parece fazer cada vez mais sentido. Mesmo que, e ironicamente, esta ideia tenha como principal apoiante a gigantesca Microsoft e o “WannaCry” tenha ocorrido devido a uma falha no sistema operativo da empresa de Bill Gates. Mas o facto de estes ciberataques serem cada vez mais recorrentes, mais perigosos e mais “caros” implica, sem dúvida, a necessidade de uma cooperação global, forte e concertada para os enfrentar.

A ideia tem vindo a ser debatida há já algum tempo, tendo ganho maior importância depois das alegadas interferências de hackers em várias campanhas políticas – não só nas presidenciais americanas, mas também na França e na Holanda – e volta a estar em cima da mesa enquanto necessidade crucial para que governos e empresas se entendam com vista a fortalecerem em conjunto as suas infra-estruturas de segurança informática e, ao mesmo tempo, para uma maior sensibilização sobre as intricadas complexidades da cibersegurança.

De acordo com as últimas contas e tendo como base um interessante artigo publicado esta semana pela Knowledge@Wharton, e entre as 230 mil organizações afectadas, as mais proeminentes vítimas do vírus que fez muitas organizações “chorar” incluem o Serviço Nacional de Saúde britânico, que viu muitas das suas habituais operações “corrompidas” e foi obrigado a desviar muitos pacientes para outras instalações, o gigante de telecomunicações espanhol Telefonica, a FedEx, nos Estados Unidos e um sem número de outras empresas e organizações na América do Sul, Alemanha, Rússia e Taiwan, entre países dos vários cantos do mundo. Como se sabe também, os piratas informáticas pediam resgates na ordem dos 300 dólares em bitcoins a cada um dos afectados, com a ameaça de o resgate ser duplicado se os pagamentos não fossem efectuados num prazo de 72 horas.

O filme de piratas acabaria por ter um final mais ou menos feliz com um jovem herói de 22 anos a conseguir anular o ciberataque – e por apenas pouco mais de 10 euros – e, em Portugal, a tolerância de ponto dada pelo governo parece ter sido providencial, não se tendo registado consequências graves devido ao mesmo.

Todavia, e como refere Andrea M. Matwwyshyn, professora de Direito e Ciências Computacionais na Northeastern University, e a propósito da iminência certa de mais ataques similares – e muito possivelmente, piores – “este [o WannaCry] foi apenas o precursor de um ataque de dimensões muito maiores que irá inevitavelmente acontecer e que, muito provavelmente, não terá um kill switch [o comando que detém ou atrasa a propagação do vírus informático] ”, diz. E, acrescenta, “este é um urgente grito de alerta para todos os que podem fazer algo para reagir com robustez e firmeza a este tipo de situação de crise e quando a próxima acontecer”. E é por esta razão também que é necessário levar mais a sério e rapidamente a sugestão da Microsoft para a criação de uma Convenção de Genebra Digital, na medida em que se torna cada vez mais evidente o facto de os acordos internacionais já existentes não conseguirem, por si só, pôr cobro a este tipo de ciberataques.

© DR

Estados-nação devem comprometer-se a regras de bom comportamento no ciberespaço

Em Fevereiro último, e na mais recente conferência promovida pela RSA, a “mãe” de todos os eventos sobre segurança nas diferentes áreas da TI e que junta, em média, 45 mil pessoas em cada um dos locais onde é realizada (Estados Unidos, Europa, Ásia e Emiratos Árabes Unidos”, o tema de uma “Convenção de Genebra” aplicada ao mundo digital foi um dos que mais discussão gerou.

Tal como a Quarta Convenção de Genebra há muito que protege os civis em tempo de guerra, “precisamos de uma Convenção de Genebra Digital que comprometa os governos a protegerem os civis de ataques aos estados-nação em tempos de paz”, afirmou, na RSA Conference em São Francisco, Brad Smith, presidente e Chief Legal Officer da Microsoft. E, no seu pitch, acrescentou: “e tal como a Quarta Convenção de Genebra reconheceu que a protecção dos civis exigia o envolvimento activo da Cruz Vermelha, a protecção contra os ciberataques aos estados-nação exige a assistência activa das empresas de tecnologia”.

A empresa fundada por Bill Gates tem vindo a insistir continuamente nesta questão e a verdade é que os países do G7 já declararam conjuntamente que existe, realmente, a necessidade de normas internacionais que “controlem” o comportamento dos estados-nação no ciberespaço.

De um modo geral, e como sumariza a revista Wired, a Mcrosoft sugeriu três grandes componentes para promover a cooperação internacional e evitar, o mais possível, a guerra no ciberespaço. Em primeiro lugar, que os estados-nação devem concordar em se abster de levar a cabo ciberataques como parte do que a empresa entende (e mais uma vez) como uma Convenção de Genebra para o mundo digital. Em segundo, que a indústria tecnológica se comprometa a assinar aquilo que a Microsoft designa como um “Acordo Tecnológico”, o qual deverá criar um conjunto de princípios e comportamentos partilhados para proteger os cidadãos. E, em terceiro lugar, a criação de uma nova e neutral organização não-governamental que tenha como missão investigar os ataques e atribuí-los aos perpetradores dos mesmos. Para a empresa, estes três princípios basilares revelam-se imprescindíveis para aumentar a confiança dos consumidores face ao sector tecnológico.

Como sublinhou Brad Smith no seu discurso na RSA Conference, é chegada a altura de os governos de todo o mundo se unirem, reafirmarem as normas de cibersegurança internacionais que emergiram nos últimos anos, adoptar novas regras vinculativas e trabalhar à seria para as implementar. E a criação destas novas regras já está em curso.

Como explica, ao longo dos dois últimos existiram alguns progressos assinaláveis no que respeita ao desenvolvimento de normas de cibersegurança global. Por exemplo, e em Julho de 2015, especialistas governamentais provenientes de 20 países fizeram algumas recomendações no sentido de estas mesmas normas “promoverem um ambiente de TIC aberto, seguro, estável, acessível e pacífico”, as quais incluem princípios-chave que proíbam os governos de se envolverem em actividades maliciosas utilizando tecnologias de informação e comunicação ou que, de forma similar, possam provocar danos nas infra-estruturas críticas dos demais países. Também em Setembro de 2015, os Estados Unidos e a China formalizaram um contrato bilateral, “jurando” que nenhum deles irá conduzir ou apoiar iniciativas de roubo de propriedade intelectual. E, com optimismo, o Chief Legal Officer da Microsoft afirmou também que também “os Estados Unidos e a Rússia poderão elaborar um acordo futuro que proíba, em cada um dos estados-nação em causa, a pirataria de todos os aspectos civis que digam respeito às infra-estruturas políticas e económicas de ambos”.

No que respeita ao segundo “fundamento” deste possível acordo global, a Convenção de Genebra Digital deverá comprometer os governos a não “aceitarem” ciberataques que tenham como alvo o sector privado ou o “desvio” de propriedade intelectual, mas sim a apoiarem os esforços deste mesmo sector para “detectar, conter, responder e recuperar” de tais acontecimentos, devendo ser obrigatória também a denúncia de vulnerabilidades ao invés da sua “reserva”, venda ou exploração.

Quanto à criação de uma organização global, independente e neutra que supervisione estes possíveis acordos, tanto para o sector público como para o privado, e que seja capaz de atribuir responsabilidades e divulgar publicamente os ataques sempre que estes ocorram, Brad Smith afirma também que, e apesar de não ser a melhor das analogias, esta organização deverá abordar as ciberameaças de uma forma similar ao que faz a Agência Internacional de Energia Atómica na área da não-proliferação das armas nucleares. Na visão da Microsoft, esta mesma organização deverá ser composta por especialistas técnicos provenientes dos governos, do sector privado, da área académica e da sociedade civil, com competências para analisar os ataques específicos e que partilhe as evidências, comprovando que determinado ataque foi levado a cabo pelo estado-nação “x”. Ou seja, e como remata, só assim é que os estados-nação saberão quem é que violou as regras, ao mesmo tempo que o mundo inteiro terá esse mesmo conhecimento. De acordo com vários analistas, o ataque do WannaCry parece ter sido proveniente da Coreia do Norte.

Em suma, e como refere a professora Matwwyshyn, este acordo formal e internacional pretendido pela Microsoft no que respeita à segurança digital deve-se também, e em particular, ao que denominou como “o problema da vulnerabilidade da segurança recíproca”. Ou seja, a dificuldade em existir uma diferenciação entre um problema de segurança que ocorre no sector público e um outro que ocorra apenas no domínio do sector privado.

© DR

Mais atrasos só resultarão em mais ataques e mais custos

Para além dos problemas óbvios que caracterizam sempre qualquer que seja o “compromisso global” estabelecido, e como alerta também Matwwyshyn, são muitas as organizações que continuam a não querer compreender a urgência da situação, nem sequer se preocupando em fazer as actualizações de software necessários para prevenir e evitar contágios. Na medida em que o WannaCry teve como alvo os utilizadores do Microsof Windows XP, o qual já foi descontinuado em 2014, esta é mais uma prova dos perigos em se continuar a utilizar softwares desactualizados e obsoletos. Michael Greenberger, professor de Direito na Universidade de Maryland e fundador e director do Center of Health and Homeland Security pertencente à mesma, concorda. “À medida que os efeitos devastadores destes ataques têm lugar, a insistência para seguir as normas de actualização do software terá de ser maior”, escreve também no artigo da Wharton. “A obrigatoriedade [e a existência de penalizações para quem não o fizer] para a actualização de certos tipos de software pode parecer difícil de acatar, mas a verdade é que quando se passar a ver pessoas a morrer nas mesas de operações porque o software é inadequado, então este tipo de obrigação torna-se muito mais aceitável”. Ou assim se espera.

Na verdade, num relatório divulgado em 2015 pela Juniper Research e dada a rápida “digitação” das vidas dos consumidores e empresas, estima-se que os custos do cibercrime ascendam, até 2019, a 2,1 triliões de dólares globalmente, um aumento quatro vezes superior ao custo estimado das brechas de segurança informática em 2015. O relatório, intitulado “The Future of Cybercrime & Security: Financial and Corporate Threats & Mitigation” avança ainda que a esmagadora maioria destas quebras será proveniente de infra-estruturas e redes de TI já existentes, sem grande expressão, para já, de novos problemas que se avizinhavam com a mais recente Internet das Coisas. O mesmo relatório alertava já, e na altura, para o aumento de profissionalismo do cibercrime e para o crescimento de vírus como o WannaCry. Como escreveu James Moar, responsável pelo relatório e especialista em cibersegurança, “o tipo de ameaças que estamos a observar incluem em particular o ramsonware, em que os dispositivos permanecem bloqueados até que se pague aos hackers para os desbloquear”, sendo igualmente de prever que, no futuro, os ataques sejam menores, mas mais bem-sucedidos.

Mas e em termos de custos, as estimativas poderão estar erradas. E subavaliadas. O também reconhecido “Global Risks Report “ realizado anualmente pelo Fórum Económico Mundial, afirmava, em 2016, que uma parte significativa do cibercrime nem sequer é detectada, uma realidade particularmente preocupante nos casos de espionagem industrial e de roubo de segredos comerciais, pois o acesso ilícito a documentos e informações sensíveis ou confidenciais é muito difícil de detectar. O que significa que os custos totais dos ciberatques podem ser ainda mais astronómicos. Adicionalmente e se quando as grandes instituições financeiras, poderosos retalhistas ou agências governamentais são atacados, a situação é de imediato divulgada pelos media, todos as empresas e organizações apresentam riscos elevados de quebras de segurança, com a Microsoft a afirmar que cerca de 20% das pequenas e médias empresas são alvo de cibercrime anualmente.

E as estatísticas podem continuar. O Ponemon Institute, responsável por esta área na IBM e que em 2016 inquiriu 383 organizações que sofreram pelo menos um ataque nesse mesmo ano escreve, na sua análise global que o custo médio por quebra de segurança ascende aos quatro milhões de dólares, com o número a disparar para os sete milhões nos Estados Unidos. O mesmo estudo sublinha ainda que o sector dos cuidados de saúde e a indústria dos serviços financeiros são os que lideram os custos destas quebras.

Como relembrou também o Chief Legal Officer da Microsoft, os conflitos entre nações deixaram de estar confinados à terra, ao mar e ao ar, sendo que o ciberespaço se transformou num apetecível e novo campo de batalha. E são crescentes os riscos de governos tentarem explorar ou até utilizar software sofisticado para atingir objectivos de segurança nacional, sendo que os investimentos governamentais em “ciberofensas” continuam a aumentar. E, tendo em conta as diferenças relativas às guerras de outros tempos, a verdade é que o ciberespaço é “produzido, operado, gerido e assegurado pelo sector privado”, diz ainda. E se os governos têm, obviamente, a sua quota-parte de acção e responsabilidade, “a realidade é que os alvos nesta nova batalha – desde os cabos dos submarinos, aos datacenters, servidores, computadores portáteis ou telefones inteligentes – constituem propriedade privada dos civis”.

Assim, e tal como a Quarta Convenção de Genebra obrigou a que os civis fossem protegidos contra os efeitos da guerra, a proposta para uma “homóloga” em tempos de ciberguerra – ou, pelo menos, de ciberbatalhas -, parece fazer todo o sentido.