Por Júlia Bessa Sanzi e Henrique Rocha
A consolidação da tecnologia e o seu acelerado avanço certamente trazem inúmeras vantagens à sociedade como um todo, em diferentes áreas, seja no âmbito do compartilhamento da informação, da ciência, do entretenimento ou da educação. Essa expansão, entretanto, é capaz de transformar as relações jurídicas decorrentes, aflorando também o lado negativo do uso exacerbado da internet, qual seja, a sua exploração para atividades maliciosas.
Na medida em que a humanidade se torna mais dependente da tecnologia, essa mesma interconexão que possibilitaria maior união entre as nações, pode ser utilizada como verdadeira arma de guerra, provocando destruições catastróficas aos grupos que se apoiam em infraestruturas conectados e não possuem técnicas de defesa adequadas para esse ambiente. É neste cenário que surge um novo tipo de conflito mundial, baseado em ameaças invisíveis e silenciosas, cujo campo de batalha é a própria internet.
Na obra “Cyber War: The Next Threat to National Security and What to Do about It”¹, Richard Clarke e Robert Knake definem a chamada ciberguerra como “ações de um estado-nação para penetrar nos computadores ou redes de outra nação com o objetivo de causar danos ou perturbações”. Nesta mesma publicação, os autores realizam um estudo sobre a mensuração da força de uma nação em uma eventual ciberguerra, considerando três importantes fatores: (i) poder ofensivo; (ii) capacidade defensiva e; (iii) dependência digital. Dentre os países analisados, a Rússia e a China apresentaram o maior poder ofensivo, atrás apenas dos Estados Unidos e maior capacidade defensiva, atrás da Coréia do Norte.
Essa realidade se confirma com os recentes acontecimentos que marcam o conflito híbrido travado entre Rússia e Ucrânia. Desde o início da guerra, no final de fevereiro, além das ameaças convencionais com tanques, fuzis e mísseis hipersônicos, a Rússia vem atacando a infraestrutura digital da Ucrânia de diferentes formas, que precisa de um exército especializado em Tecnologia da Informação para poder se defender – o que não é uma tarefa fácil.
Os ataques russos aos sistemas ucranianos de energia, telecomunicações e redes de internet, por exemplo, ilustram a importância do desenvolvimento de técnicas defensivas de combate à ciberguerra, pois não se pode imaginar um cenário em que funções vitais da sociedade se tornem inoperantes sem que ocorram amplas destruições.
Uma breve análise histórica dos fatos, entretanto, é capaz de revelar que incidentes e conflitos cibernéticos são, em verdade, bastante recorrentes, o que demonstra que este campo de batalha se torna cada vez mais relevante com o desenvolvimento da tecnologia, especialmente, em âmbito internacional.
Em 2007, a Estônia, um dos países mais conectados do mundo, teve seus serviços de telefonia, instituições bancárias, comércio e serviços de comunicação totalmente paralisados em razão de um ataque Distribuído de Negação de Serviço (“DDoS”). Este tipo de ataque consiste em uma enxurrada simultânea de solicitações com o intuito de derrubar ou congestionar uma rede, tornando o serviço inacessível.
No ano seguinte, em 2008, a Geórgia também sofreu ataques DDoS em sites do governo e muitas das redes de computadores ficaram desativadas, incluindo a do presidente. O setor bancário precisou ser desligado e os sistemas de cartões de crédito e de telefonia móvel ruíram.
As revelações feitas por Edward Snowden, em 2013, demonstraram que o Brasil foi e é alvo de espionagem cibernética. Segundo o ex-técnico da Agência de Segurança Nacional dos Estados Unidos (NSA), o país norte-americano coletou dados de usuários brasileiros e espionava setores fundamentais da economia, fato que mobilizou parte da opinião pública internacional.
Diante deste acontecimento em específico, o governo brasileiro buscou fortalecer a segurança cibernética do país, o que resultou na instituição da Política Nacional de Segurança da Informação (dispõe sobre a governança da segurança da informação e dispensa de licitação nos casos que possam comprometer a segurança nacional), Decreto nº 9.637/2018, além da Rede Federal de Gestão de Incidentes Cibernéticos, Decreto nº 10.748/2021.
Ainda, os planos do governo federal de digitalização de seus serviços públicos e de investimento em segurança da informação e proteção a infraestruturas críticas, bem como as normas nacionais de proteção às informações dos cidadãos, como a Lei Geral de Proteção de Dados – Lei nº 13.709/2018, foram determinantes para que o Brasil pudesse subir 53 posições no ranking do Índice Global de Segurança Cibernética2. De acordo com o levantamento feito em 2020, pela União Internacional de Telecomunicações (UIT), agência da Organização das Nações Unidas (ONU), o país ocupa o 18º lugar, estudo que avalia as ações do governo com foco na proteção contra riscos cibernéticos.
Apesar de serem medidas extremamente importantes, é preciso ressaltar que a tendência global é de aumento de ataques cibernéticos, em razão do grande número de dispositivos conectados, maior dependência digital e sofisticação das práticas maliciosas. Praticamente todas as atividades vitais à sociedade e ao Estado, incluindo infraestruturas críticas, tais como sistemas de comunicação, energia, água e bancos, integram o ciberespaço e, se forem interrompidas, podem causar graves danos em vários campos, inclusive à segurança nacional.
Se de um lado estão os cibercriminosos que, aproveitando-se das evoluções tecnológicas, adaptam suas práticas frente às novas vulnerabilidades do inimigo e promovem ataques cada vez mais sofisticados, de outro, está a cibersegurança, que consiste no conjunto de práticas que visam impedir que esses mesmos ataques virtuais tragam consequências desastrosas e irreversíveis, seja aos cidadãos comuns, às empresas, ou à totalidade de uma nação.
Neste cenário, soluções relacionadas à cibersegurança podem garantir a confidencialidade, a integridade e a disponibilidade da informação, assegurando a utilização confiável e segura do ciberespaço, razão pela qual a preocupação com o tema tem se tornado cada vez mais eminente.
Portanto, o forte investimento em pesquisa e desenvolvimento, em capital humano tecnicamente qualificado e na implementação de uma cultura de segurança digital deve ser entendido como função estratégica e crucial de um Estado, notadamente grandes economias como a do Brasil. Ainda, as soluções devem ser implementadas em camadas, vez que ações simples de prevenção podem reduzir as possibilidades de um incidente, contudo, as organizações devem estar preparadas para contenção, mitigação ou eliminação das consequências de um eventual ataque, especialmente o causado por outras nações.
O grande desafio é a mudança constante e, neste aspecto, a relevância da cibersegurança se amplia na medida em que os ambientes estão mais conectados, a sociedade e as organizações governamentais mais dependentes tecnologicamente e os efeitos de um incidente de segurança cada vez mais devastadores.
*Henrique Rocha é sócio de Gestão de Crise e Contencioso Digital do Peck Advogados e Júlia Bessa Sanzi, advogada no Peck Advogados