À medida que as ameaças cibernéticas continuam a multiplicar-se, os governos estão a olhar para a opção de operações controversas de defesa cibernética, como hackbacks, um novo plano de ação publicado na terça-feira (21 de novembro) e visto pelos estados da Euractiv.
À medida que os governos lutam para controlar as crescentes ameaças do ciberespaço, o plano de acção sugere operações activas de defesa cibernética como a melhor solução.
Ao contrário das medidas passivas, como software antimalware ou firewalls, os hackbacks são medidas agressivas que incluem hackear, desativar ou interromper os dispositivos de computação ou redes do invasor.
Apoiado pelo grupo de trabalho do Fórum Cibernético Transatlântico sobre Defesa Cibernética Ativa e contribuições de 23 pesquisadores cibernéticos e analistas de TI, o plano de ação foi escrito pelo especialista em políticas de segurança cibernética Sven Herpig, do think tank Stiftung Neue Verantwortung (SNV), com sede em Berlim.
“Os Estados-Membros da UE, como a Alemanha, têm vindo a debater esta questão há anos, enquanto outros países, como a Roménia, anunciaram que implementariam tais medidas, se necessário”, disse Herpig à Euractiv.
Comparação internacional
Em comparação internacional, a Austrália, o Japão, a China e os EUA estão a adoptar medidas para praticar operações anticibernéticas, que anunciaram a introdução de uma defesa cibernética activa nos últimos dois anos.
A UE também está a considerar os hackbacks como uma abordagem de solução.
“Até hoje, muitos Estados da UE anunciaram os limiares e o espaço para respostas válidas”, colaborador do plano de ação Dr. Lukasz Olejnik, pesquisador independente, disse Euractiv.
Em maio, as conclusões do Conselho da UE incentivaram os Estados-Membros a “desenvolver as suas capacidades para conduzir operações de defesa cibernética, incluindo, quando apropriado, medidas defensivas proativas para proteger, detetar, defender e dissuadir ataques cibernéticos”.
“Destaca-se em particular a França, que afirma na sua estratégia que, para eventos que atingem os níveis certos, a resposta cibernética é uma opção. Mas o mesmo acontece com outros, incluindo cinéticos. E esse é o ponto: as respostas não precisam se limitar à cibersegurança”, Olejnik enfatizou.
A OTAN começou a olhar para as opções de operações defensivas de ciberdefesa em Julho.
A questão central
Um dos maiores argumentos contra os hackbacks é o risco potencial de danos colaterais e escalada diplomática.
“Hack-back é uma fera complicada. Pode não estar claro se ou quando faz sentido retaliar no domínio cibernético”, comentou Olejnik.
Avaliando o discurso sobre hackbacks que vem acontecendo há anos, “no debate público eles raramente foram além de ‘precisamos disso; caso contrário, perderemos para os chineses e russos, por um lado, e, se fizermos isto, poderemos paralisar os hospitais, por outro lado”, disse Herpig à Euractiv.
Obrigar os provedores de serviços de Internet a bloquear ou redirecionar o tráfego malicioso para assumir o controle de uma infraestrutura de comando e controle usada em campanhas cibernéticas maliciosas para desinstalar ou neutralizar malware nos sistemas das vítimas ou implantar patches são consideradas operações ativas de defesa cibernética, o plano de ação esclarecido.
Ao contrário das operações cibernéticas ofensivas, o objetivo não é recolher, por exemplo, inteligência.
“Ao recorrer a qualquer resposta, os Estados devem encontrar um equilíbrio entre a resposta proporcional e os objectivos pretendidos pela mesma. É também fundamental avaliar a legalidade das respostas quando as actividades acontecem abaixo do limiar do conflito armado”, recomendou Olejnik.
Princípios de hackback
O plano de acção afirmava que a adesão ao direito internacional e a comunicação eficaz com aliados e parceiros estratégicos são factores que desempenham um papel crucial num quadro robusto para o hackbacking responsável.
“Portanto, decidimos reunir um grupo de investigadores e profissionais para conceber normas operacionais concretas que permitiriam aos estados que planeiam ou já estão a implementar estas medidas fazê-lo de forma mais responsável”, disse Herpig à Euractiv.
“Isso não deve de forma alguma refletir uma posição sobre a questão, mas oferecer uma maneira de fazê-lo melhor se os estados planejarem fazê-lo de qualquer maneira”, acrescentou.
Outro aspecto importante é desenvolver, testar e aplicar capacidades para garantir que a defesa cibernética ativa seja precisa e funcione conforme pretendido contra atividades cibernéticas maliciosas.
“Em outras palavras, faz sentido responder? Será que o Estado visado se importaria? O impacto também deve ser considerado para uma resposta legal utilizando represálias ou retorsões. A atividade externa foi realizada por um Estado? Qual foi a sua gravidade?” Olejnik explicou.
“Os ataques cibernéticos que frequentemente sofremos não têm impactos ou talvez atinjam o limiar da interferência nos assuntos internos. Mas nenhum atinge níveis graves de uso da força”, acrescentou.
As nove normas operacionais descritas no plano de acção respondem à necessidade de precisão e visam ajudar os governos a desenvolver as suas políticas activas de defesa cibernética.
Para garantir a proporcionalidade das medidas, os governos precisam de ter uma compreensão técnica do ambiente de implantação cibernética do adversário e limitar as suas medidas tanto quanto possível para evitar atingir cadeias de abastecimento e infraestruturas críticas de terceiros.
“Os governos devem estabelecer quadros políticos, jurídicos e de supervisão para operações activas de defesa cibernética e enfatizar a avaliação de impacto e a transparência”, afirma o plano de acção.
[Edited by Luca Bertuzzi/Alice Taylor]