A cibersegurança e a resiliência de que necessitamos

No dia 14 de julho, a Embaixada Britânica em Lisboa organizou um seminário no Museu da Eletricidade. Especialistas portugueses e britânicos de ciber, do sector público, privado e do meio académico encontraram-se para discutir formas de reforçar o trabalho bilateral no domínio cibernético e analisar como uma abordagem global a nível de toda a sociedade (“whole of society approach”) poderá contribuir para a cibersegurança e resiliência de que necessitamos. O seminário mapeou algumas oportunidades para uma maior colaboração entre Portugal e o Reino Unido nestas áreas.

A tecnologia está agora mais presente nas nossas vidas do que alguma vez esteve e é cada vez mais difícil para os cidadãos fazerem parte da sociedade sem terem acesso à internet. No decurso da próxima década, a nossa identidade digital passará muito provavelmente a ser a nossa identidade principal. As questões de cibersegurança são também transversais a várias áreas da definição de políticas. Os peritos presentes no seminário levantaram questões sobre estratégia educativa, política industrial, regulamentação e incentivos e política externa. Tanto a economia portuguesa como a britânica dependem da tecnologia e foi opinião consensual que, quando falamos de cibersegurança, estamos também a falar de prosperidade económica e segurança nacional.

A ameaça do ransomware e o seu impacto para os governos, empresas e cidadãos, continua a ser uma prioridade estratégica dos Centros Nacionais de Cibersegurança do Reino Unido e de Portugal. O ransomware é um modelo de negócio quase perfeito para os cibercriminosos já que lhes permite agir em quase total impunidade. Os exemplos mais recentes com grande visibilidade incluem os ataques ao sistema de saúde da Irlanda, o incidente com a Colonial Pipeline nos EUA, e o ataque a departamentos governamentais na Costa Rica. Em Portugal, o grupo de media Impresa, um gigante dos media, sofreu um ataque de ransomware no início de 2022. Os cibercriminosos profissionais adaptam ferramentas desenvolvidas por investigadores e divulgadas publicamente, demonstram poucas considerações éticas relativamente a quem atacam e anunciam o ransomware-como-serviço (RaaS) permitindo que outros intervenientes com menos competências técnicas levem também a cabo ataques. Entretanto, muitas vítimas veem o pagamento do resgate exigido como a única forma de recuperarem o acesso aos seus sistemas e dados. Mais recentemente, fugas de informação de fóruns online revelaram ligações entre grupos russos dedicados ao ransomware e os serviços de informação russos.

A dinâmica cibernética da invasão da Ucrânia pela Rússia exige uma investigação mais profunda. Para além da perda de vidas horrenda na Ucrânia por força da agressão russa, tem havido muito debate na cibercomunidade sobre o papel do domínio cibernético e das operações de informação na estratégia da Rússia. E existem alguns exemplos concretos, como o ataque aos terminais Viasat no momento da invasão com o objetivo de desativar modems e outros meios de comunicação utilizados pelos militares ucranianos. De acordo com a Microsoft, wiper malware de origem russa atacou também o sector financeiro, agrícola, serviços de emergência, apoio humanitário e energia, com o objetivo de eliminar dados e ficheiros críticos. No entanto, alguns observadores defendem que as operações cibernéticas da Rússia na Ucrânia têm sido muito mais limitadas do que se pensava. Apesar de hipérboles como “Ciberguerra”, “cybergeddon” e “11 de setembro cibernético” não ajudarem a enquadrar o domínio cibernético como uma ferramenta da diplomacia, levantam-se questões legítimas sobre o impacto limitado do domínio cibernético na invasão russa da Ucrânia. Isto poderá dever-se à falta de preparação da Rússia, a condições de maior robustez e resiliência da cibersegurança da Ucrânia ou a alguma contenção por parte da Rússia na tentativa de evitar uma escalada cibernética a nível internacional.

Em termos mais globais, as operações cibernéticas levadas a cabo por Estados-nação (incluindo a espionagem) continuam a ser muito abrangentes. Operações levadas a cabo contra a Solarwinds e a Microsoft realçaram a existência de vulnerabilidades nos seus sistemas e fraquezas nas redes de abastecimento. Estes incidentes mostraram como os criminosos podem acumular zero-days, entrar em redes para explorar as suas vulnerabilidades, roubar informação e eventualmente provocar destruição. Estes incidentes diminuem a confiança da sociedade nos sistemas e na privacidade dos nossos dados. Entretanto, a Coreia do Norte continua a utilizar o domínio cibernético para roubar criptomoeda e financiar os seus programas de armamento. Dito isto, devemos olhar para além dos suspeitos habituais como a China, a Rússia, o Irão e a Coreia do Norte. Outros países estão também a desenvolver os seus recursos cibernéticos e, enquanto o nosso conhecimento da atividade de outros estados for apenas superficial, será importante compreender de que forma os países em desenvolvimento vêm o domínio cibernético como uma ferramenta da política e que capacidades pretendem desenvolver.

Compreender e influenciar as diferentes abordagens dos países em desenvolvimento no domínio cibernético e na tecnologia, será um aspeto fulcral do combate à influência chinesa e russa, naquilo que é na realidade uma batalha de valores. Infelizmente, a era da internet global e de redes de abastecimento tecnológico unificadas a nível global poderão estar a chegar ao fim, para serem substituídas por modelos opostos. Apesar de ser uma divisão algo grosseira, um modelo irá defender um modelo de tecnologia e internet aberto e multipartido, enquanto que outro irá conceber uma tecnologia e internet que favorecem a supervisão, o controlo estatal e a soberania dos dados. Isto levará a redes de abastecimento ainda mais frágeis enquanto os organismos de normalização continuarão a ser ferramentas de poder estratégico. Não existe uma solução para esta batalha de valores, mas as nações ocidentais têm de admitir que alguns países em desenvolvimento poderão achar interessantes os valores defendidos pela China em termos de internet e tecnologia, e não querer ser forçados a escolher entre ideologias opostas. É necessário um compromisso internacional de longo prazo e sustentado, com o apoio de investimento, durante a próxima década e ainda mais além, para se poder construir o respeito mútuo e desenvolver valores, e ao mesmo tempo admitindo a existência de diferentes opiniões sobre a utilização da tecnologia que não se enquadram de forma simples no modelo multipartido democrático ou na visão da Rússia e da China para a soberania cibernética.

E é por isto que precisamos de uma abordagem global a nível de toda a sociedade para resolver estes desafios complexos. Os recursos disponíveis aos governos para gerar cibersegurança e resiliência são limitados. Há muita atividade no setor privado, incluindo no que diz respeito à reação a incidentes, informação sobre ameaças, seguros contra ameaças cibernéticas, gestão de risco por terceiros, entre outros. Uma grande parte das infraestruturas críticas nacionais são também geridas pelo setor privado, ao mesmo tempo que vemos mais académicos do domínio cibernético e da tecnologia envolvidos em investigação. Faz parte da própria essência da internet e do domínio cibernético que a capacidade para realizar mudanças esteja fora das mãos dos governos e, numa era de concorrência geoestratégica, precisamos que decisores e profissionais que partilham das mesmas ideias se unam para enfrentar estes desafios. O próximo passo será definir como será essa relação na prática. Uma maior colaboração entre os governos, empresas e o meio académico entre Portugal e o Reino Unido dará seguramente um importante contributo para este objetivo.