Ciberguerra
English: Cyberwarfare

A ciberguerra ou guerra cibernética é uma modalidade de guerra onde a conflitualidade não ocorre com armas físicas, mas através da confrontação com meios eletrônicos e informáticos no chamado ciberespaço. No seu uso mais comum e livre, o termo é usado para designar ataques, represálias ou intrusão ilícita num computador ou numa rede. No entanto, uma genuína ciberguerra, situação que, em total rigor, até agora nunca ocorreu,[1] implica, de um ponto de vista legal, o enquadramento da conflitualidade no âmbito do Direito dos Conflitos Armados ou Direito Internacional Humanitário.[2] Tais situações poderão surgir ligadas a conflitos políticos, econômicos ou militares no mundo real, ou seja, ocorrer ao mesmo tempo de uma conflitualidade física, ou de forma totalmente autônoma. Por outro lado, estas ações poderão ter origem diretamente em estados, ou, então, ser protagonizadas por atores não estaduais atuando de forma autónoma. A possibilidade de ciberguerra resulta da existência de redes de computadores essenciais para o funcionamento de um país. Potenciais alvos são as infraestruturas críticas, nomeadamente as redes de energia elétrica, de gás e de água, os serviços de transportes, os serviços de saúde e financeiros.[3]

Pelas suas possíveis consequências econômicas[4][5][6] e danos que podem provocar ao normal funcionamento de um país, os ciberataques são motivo de crescente preocupação a nível internacional. Existem exemplos concretos do que poderão ser essas situações. Os ciberataques sofridos pela Estônia em 2007, mostraram como uma economia e serviços públicos da era digital podem sofrer graves anomalias de funcionamento ou até ficarem temporariamente indisponíveis.[7] Por sua vez, na Guerra na Ossétia do Sul em 2008, que opôs a Geórgia às forças separatistas ossetas apoiadas pela Rússia, paralelamente às ações militares no terreno, os sites governamentais da Geórgia e de várias empresas públicas e privadas foram também alvo de ciberataques,[8] abrindo-se um novo campo de batalha no conflito. Num outro plano, os danos sofridos pelo programa nuclear iraniano tornados públicos em 2010, devido ao vírus Stuxnet, evidenciaram as múltiplas potencialidades de uso de ciberarmas para os meios militares e de segurança. Naturalmente que as maiores e mais sofisticadas economias têm uma particular preocupação com este assunto, devido à crescente dependência da sua prosperidade face à tecnologia digital e às redes informáticas. Todavia, as ações para prevenir e punir ciberataques estão longe de obter consenso internacional. Isto ocorre não só pela complexidade técnica e jurídica das questões levantadas, como porque o uso de ciberarmas pode ser uma opção interessante, de guerra assimétrica, para vários países.

Infraestruturas críticas como alvo

Militares americanos monitorando o envio de dados a aviões numa simulação de ciberguerra
A rede elétrica é uma das infraestruturas que podem ser atacadas numa ciberguerra. Na imagem, redes de transmissão em Gowkthrapple, na Escócia

A empresa de segurança norte-americana, McAffee, no seu relatório de 2010 intitulado "Sob Fogo Cruzado. Infraestrutura Crítica na Era da Guerra Cibernética",[9] fez uma avaliação global das ameaças que impendem sobre as infraestruturas críticas – redes elétricas, de gás e de água, telecomunicações, transportes, serviços financeiros e de saúde, etc. O relatório baseou-se nos resultados de um inquérito efetuado a seiscentos executivos de Tecnologia da Informação (TI) responsáveis pela segurança em empresas de infraestruturas críticas de sete setores e catorze países. Estes responderam anonimamente a uma série de perguntas detalhadas sobre suas experiências com ciberataques e práticas de segurança.

As respostas evidenciaram que as redes e sistemas de controle de infraestruturas críticas estão constantemente sob o efeito de ciberataques. Frequentemente enfrentam também adversários de alto nível, existindo, em vários casos, suspeitas de envolvimento, não assumido, de países estrangeiros nos mesmos. O tipo de ciberataque também varia, desde o ataque de negação de serviço (DoS na sigla em língua inglesa), perpetrado em massa e concebido para derrubar sistemas de informação, até iniciativas subreptícias de penetração nas redes, com o objetivo de espionagem. Um outro tipo de ataque consiste na introdução de um software malicioso na infraestrutura crítica. O Stuxnet, considerado o mais poderoso vírus até agora criado.[10] reflete essa possibilidade. Comprovou, num caso concreto – o programa nuclear iraniano – , como uma infraestrutura crítica de produção de energia pode ser alvo de um novo tipo de ato de ciberguerra, mostrando inovadoras possibilidades estratégicas para o atacante.[11] É consensual, entre os especialistas, o Stuxnet não poder ter sido produzido por um usuário doméstico até porque eram necessárias informações privilegiadas sobre o funcionamento das instalações nucleares iranianas, o que escapa, certamente, às possibilidades de hackers atuando isoladamente.

O impacto dos ciberataques também é bastante variável, mas algumas das consequências relatadas mostraram impactos negativos significativos. O custo reportado das paralisações decorrentes de grandes ataques excedeu US$ 6 milhões por dia. Fora esse custo, a perda mais amplamente temida com os ciberataques é o dano à reputação, seguido pela perda de informações pessoais dos clientes.[9] Em termos de identificação e responsabilização dos autores, há problemas técnicos e jurídicos delicados e difíceis de ultrapassar. Desde logo, porque as instruções de um ciberataque, que são transmitidas para as redes, costumam vir de outros computadores infectados, usualmente pertencentes a terceiros inocentes. Quanto aos verdadeiros autores do ciberataque, normalmente ficam ocultos por detrás de barreiras e falsos vestígios. Esses fatores tornam difícil o rastreamento da sua verdadeira origem e limitam a possibilidade de punição legal pela incerteza quanto à autoria.

Assim, para os autores do relatório, o ciberespaço de hoje “lembra muito o que Hobbes chamou de um estado de natureza – uma ‘guerra de cada homem contra cada homem‘. Hobbes imaginava que apenas o governo e a lei poderiam por fim a essa guerra”.[9] Todavia, em matéria de proteção e segurança das infraestruturas críticas o papel dos governos torna-se complicado quando a maioria das infraestruturas críticas está nas mãos de empresas privadas. O problema tende ainda a ser mais complexo, e a vulnerabilidade potencialmente maior, quando as infraestruturas críticas nacionais são detidas numa percentagem significativa por capitais estrangeiros.