III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 ANÁLISE SOBRE O IMPACTO DAS NOVAS TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO NAS ESTRATÉGIAS NACIONAIS DE DEFESA E SEGURANÇA CIBERNÉTICAS DO SÉCULO XXI SOUZA, Gills Lopes Macêdo1. Bolsista do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) junto ao Mestrado em Ciência Política da Universidade Federal de Pernambuco Resumo: Tendo em vista os impactos e as possibilidades extraordinárias oferecidas pelas novas tecnologias de informação e comunicação (TIC), muitos países buscam consolidar seu papel interno de garantidor da segurança de seus cidadãos e, no âmbito externo, de promover a defesa de sua soberania. Nesse ínterim, surge a questão de como organizar a defesa e a segurança da soberania nacional no ciberespaço – um espaço criado para, em analogia ao sistema internacional, ser anárquico. Hoje, o ciberespaço torna-se alvo de vários tipos de atentados contra o Estado: sítios virtuais militares sofrem ataques, informações sigilosas são roubadas e serviços de infraestrutura crítica baseadas em TIC são danificados remotamente. Agora, cabe ao Estado adaptar-se às novas TIC. E ele encontra tal adaptação através de suas políticas e estratégias de defesa e segurança cibernéticas. Partindo-se da hipótese de que há uma nova percepção político-militar – e, por conseguinte, não apenas a de caráter tecnicista – do potencial ofensivo/defensivo do ciberespaço, este trabalho busca entender como alguns países lidam com as ameaças reais engendradas no mundo virtual. Palavras-chave: Ciberdefesa. Cibersegurança. Política Comparada. Abstract: In view of the tremendous impacts and opportunities promoted by the new information and communication technologies (ICT), many countries seek to consolidate their internal role of guarantor of the safety of their citizens, and, from outside, to ensure the defense of their sovereignty. In the interim, it emerges the questiono f how to organize the defense and security od the national sovereignty in the cyberspace – a space created for, in analogy to the international system, be anarchic. Nowadays, the cyberspace becomes a target of various attacks against the state, e.g.: military websites suffer attacks in massive scale, secret information are stolen, and critical infraestructure services are remotely damage. Now, the state must adapt to ICT. And it finds this adaptation through its policies and strategies of cyber defense and cyber security. Based on the hypothesis that there is a new politicalmilitary awareness – and therefore not only technical one – about the offensive/defensive 1 Bacharel em Relações Internacionais pela Universidade Estadual da Paraíba (UEPB) e membro do Núcleo de Estudos de Política Comparada e Relações Internacionais (NEPI/CNPq/UFPE). Lattes: http://lattes.cnpq.br/9334674406341967. Orientador Marcelo de Almeida Medeiros Doutor em Ciência Política pelo Institut d'Études Politiques de Grenoble (1997) e Livre-docente em Ciência Política pelo Institut d’Études Politiques de Paris (2010), Professor Associado de Ciência Política do Departamento de Ciência Política da Universidade Federal de Pernambuco (UFPE) e Pesquisador do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq). Lattes: http://lattes.cnpq.br/2986573450358373 Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 1 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 potential in the cyberspace, this paper seeks to understand how some countries deal with real threats engendered in the virtual world. Keywords: Cyber defense. Cyber security. Comparative politics. 1 INTRODUÇÃO O presente trabalho faz parte da pesquisa da Dissertação de Mestrado “A emergência do tema cyberwar na agenda internacional e seus reflexos nas políticas de defesa cibernética do Brasil e dos EUA (2001-2010)” a ser defendida em 2012, junto ao Programa de PósGraduação em Ciência Política da Universidade Federal de Pernambuco (PPGCP-UFPE)2, na linha de pesquisa “Relações Internacionais”. Pelo fato de ser uma parte puramente analítica da precitada Dissertação, este trabalho não se debruça pormenorizadamente em ontologias e epistemologias internacionalistas/políticas – deixadas a cabo em fases preliminares a esta –, mas, sim, busca dar ênfase ao exercício analítico-comparado. Uma vez que a maioria dos documentos que contêm dados quantitativos relativos a investimentos diretos em serviços e equipamentos voltados, sobretudo, à defesa cibernética é classificada como secreta (NEWMEYER, 20113) ou apresentam ambiguidades/generalizações com outras áreas correlatadas – como aquisição e manutenção de equipamentos de informática, desenvolvimento de softwares para os diversos fins etc. –, é utilizada a pesquisa qualitativa, aqui, pois ela “é de particular relevância ao estudo das relações sociais devido à pluralização das esferas de vida” (FLICK, 2009, p. 20), a qual “exige uma nova sensibilidade para o estudo empírico das questões” (ibid., p. 21). Assim, prefere-se, nesta fase da pesquisa, uma abordagem exploratória daquilo que versam os principais documentos norteadores das políticas de defesa cibernética e segurança cibernética4 de cinco países: Brasil, Estados Unidos da América (EUA), Canadá, Alemanha e Holanda. Tais países são utilizados aqui por eles fazerem parte de um rol restrito – em crescimento –, em que os impactos das novas tecnologias de informação e comunicação (TIC) 2 Cujo sítio virtual institucional é http://www.politica.ufpe.br. 3 O autor deste trabalho gostaria de agradecer ao prof. Kevin Newmeyer, da National Defense University (USA), pelas informações trocadas eletronicamente. 4 Homólogos de ciberdefesa (cyber defense) e cibersegurança (cyber security), respectivamente. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 2 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 podem ser mensurados pelo nível de politização e institucionalização do subtema ciberameaças – contido, por sua vez, na área Estudos de Paz, Defesa e Segurança Internacional. Nesse sentido, segue-se, neste trabalho, a lógica da amostragem estatística, em detrimento da teórica (ibid., p. 118-122), uma vez que os critérios utilizados para a seleção da amostra – a saber: possuir estratégias nacionais de defesa cibernética e/ou segurança cibernética – foram determinados “independentemente do material concreto analisado e antes de sua coleta e análise” (ibid., p. 118). Embora os conceitos de defesa cibernética e de segurança cibernética soem, à primeira vista, semelhantes, ambos tratam de esferas de atuação político-institucional diferentes. Grosso modo, [...] entende-se que segurança cibernética e defesa cibernética são coisas diferentes – embora passíveis de intercâmbio de informações e treinamentos – e que cujas matérias repousam em organismos totalmente diferentes: órgãos de segurança pública e Forças Armadas, respectivamente. (SOUZA, 2011b, p. 5, grifo do autor). Nessa linha de raciocínio, os seguintes Documentos são analisados neste artigo: 1. Estratégia Nacional de Defesa (Brasil); 2. National Security Strategy e Strategy for Operating in Cyberspace (EUA); 3. Canada’s Cyber Security Strategy (Canadá); 4. Cyber Security Strategy for Germany (Alemanha); e 5. The National Cyber Security Strategy (Holanda5). Numa perspectiva de política comparada6, busca-se por similitudes e diferenças que possam oferecer traços das principais percepções e modus operandi de alguns Estados, no que tange às novas ameaças assimétricas oriundas do ciberespaço. Entendendo que “a atual agenda de pesquisas na política comparada está marcada por questões normativas não explicitadas” (MELO, 2007, p. 13), tem-se em mente as palavras de Bobbio et al. (2007, p. 166, grifo do autor), quando estes adentram nos métodos utilizados na política comparada, in verbis: Na realidade, a política comparada não é uma novidade[...]. É provável que o particular relevo dado à política comparada por alguns dos mais prestigiados cientistas políticos dos últimos anos dependa também de terem erroneamente isolado, entre outros, métodos dos quais se serviria a Ciência Política, tais como o método experimental, o método histórico e o método estatístico, um pressuposto “método comparativo”, do qual teria o monopólio exatamente a política comparada. 5 Na realidade, a estratégia de segurança cibernética é dos Países Baixos, dos quais o Estado holandês – em sua formação oficial de Holanda do Norte e do Sul –, conjuntamente com outras 10 Províncias (Brabante do Norte, Drente, Flevolândia, Frísia, Groninga, Guéldria, Limburgo, Overissel, Utrecht e Zelândia), faz parte. Opta-se, aqui, por “Holanda” por questões práticas, embora discorra, numa perspectiva mais robusta, em erro técnico. 6 Assaz utilizada, sobretudo, para comparar sistemas político-eleitorais. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 3 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 De fato, um método comparativo não existe: a comparação é um dos procedimentos elementares e necessários a toda a pesquisa que pretenda tornar-se científica. Logo, este trabalho propõe-se como uma fonte de estudos na qual é possível mensurar o grau de relevância dado por importantes países, no que concerne aos impactos das novas TIC na formulação de suas políticas e estratégias nacionais de segurança e defesa cibernéticas, inserindo-se, assim, no que há de mais atual nos debates de política e segurança internacional. 2 ESTRATÉGIAS NACIONAIS DE DEFESA E SEGURANÇA CIBERNÉTICAS COMO IDIOSSINACRIAS DO SÉCULO XXI Já em 2004, Barros (2004, p. 263, grifo do autor) apregoa que: [...] os movimentos terroristas, assim como as Forças Armadas tradicionais, também estão investindo pesadamente em tecnologia [...] informática. Ataques de terrorismo cibernético ainda não ocorreram, mas possivelmente acontecerão, cedo ou tarde. Os danos materiais e humanos de tais ataques poderiam adquirir proporções devastadoras, e justamente por isso o tratamento da segurança da informação (information security) passou a merecer dos governos dos países desenvolvidos prioridade máxima. Em 2009, o presidente dos EUA, Barack Obama, profere discurso voltado exclusivamente à segurança cibernética de seu país, no qual frisa que o ciberespaço “[...] é um mundo do qual dependemos todos os dias” (ESTADOS UNIDOS DA AMÉRICA, 2009, tradução nossa7). Porquanto fenômenos político-militares recentes, as estratégias nacionais voltadas à defesa e à segurança do ciberespaço são documentos norteadores obrigatórios aos Estados hodiernos. Assim como a criação de instituições militares voltadas à defesa cibernética são marcas registradas deste raiar de século (SOUZA, 2011), é possível afirmar que tais documentos também são idiossincrasias político-militares do século XXI. Ao versar a estratégia militar desejada para o Brasil, Guimarães (p. 40) argumenta que ela “[...] deve ter como inspiração o mundo que desejamos contribuir para criar e que papel desejamos para o Brasil no mundo atual e no futuro”. Essa preocupação de se inserir internacionalmente e de buscar seus interesses, enquanto Estado-nação, é a mesma que permeia as estratégias nacionais específicas aqui analisadas. 7 Texto original: “This world -- cyberspace -- is a world that we depend on every single day”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 4 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 Objetos nucleares de tais documentos, o ciberespaço e a Internet8 são revestidos por três características inquestionáveis e que se coadunam aos propósitos das estratégias: (i) necessários às sociedades atuais; (ii) imprescindíveis para a soberania nacional – enquanto meio –; e (iii) potenciais fontes de instabilidade econômico-político-militar. Assim, não é por menos que as discussões acerca das estratégicas específicas sobre a atuação do Estado – representado por seu braço armado e pelos órgãos de segurança pública – no ciberespaço tenham ganhado vida e se materializado em documentos escritos, sobretudo nos últimos dois anos. De todos os países analisados neste trabalho, o Brasil é o único que não possui uma estratégia nacional específica tanto para sua defesa cibernética quanto para sua segurança cibernética. Isso, per se, não se constitui um problema por completo, tendo em vista que muitas de suas diretrizes militares e de segurança virtual provêm certo material norteador para essas áreas em questão9. Mas é notório que o fato de um país possuir uma estratégia nacional que lhe possibilite identificar com mais precisão suas falhas e acertos, no que tange ao ciberespaço, dar-lhe mais vantagens, pois, tendo-a, ele organiza-se e reage mais prontamente às ameaças cibernéticas; em outras palavras: saber quando e como responder a ciberataques. 2.1 Brasil e sua Estratégia Nacional de Defesa Com o lançamento da Estratégia Nacional de Defesa (END-BRA), em 2009, o setor cibernético insere-se como um dos três setores estratégicos para a defesa nacional (BRASIL, [2009 ou 2010], passim), tornando-se, por conseguinte, uma área em que a esfera pública – com certa ajuda da privada – volta-se com mais atino. No que tange à destinação das capacitações cibernéticas, elas serão empregadas no “mais amplo espectro de usos industriais, educativos e militares” (BRASIL, [2009 ou 2010], p. 33). Souza (2011a, p. 10) nota que, como “cada Força Armada é responsável pelo desenvolvimento de um setor estratégico”, o Exército é o responsável pelo setor cibernético. Figura 1 – O setor estratégico cibernético à luz da END-BRA 8 Para histórico e diferença entre ciberespaço e Internet, vide: Souza (2011a, p. 3-6) e Souza (2011b, 2-4). 9 Como o “Livro Verde – Segurança Cibernética no Brasil”, ou as instruções do Boletim do Exército. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 5 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 Fonte: Souza (2011a, p. 11). Nesse sentido, seguindo previsões da END-BRA (BRASIL, [2009 ou 2010], p. 33), o Exército Brasileiro cria o Centro de Defesa Cibernética (CDCiber), cujo principal objetivo é manter coordenadamente as ações das três Forças Armadas brasileiras no que couber ao ciberespaço. Conforme lembra Souza (2011b, p. 8), o “CDCiber está previsto para funcionar entre o final de 2010 e início de 2011, e contará com militares treinados e equipamentos de ponta”. A criação de tal instituição militar tem como uma de suas mais altas premissas a capacitação de material humano para servir ao país, no que concerne à defesa da soberania nacional no ciberespaço, já que, segundo a END-BRA (BRASIL, op. cit., p. 35): “O futuro das capacitações tecnológicas nacionais de defesa depende mais da formação de recursos humanos do que do desenvolvimento de aparato industrial”. Mas não é somente o Exército Brasileiro que deve levar a cabo tais implementações. No sentido de auxiliar o “incremento do nível de Segurança Nacional” no setor cibernético, são chamados para auxílio, quando convier, os seguintes órgãos governamentais: a Casa Civil da Presidência da República, os Ministérios da Defesa, das Comunicações e da Ciência e Tecnologia, e o Gabinete de Segurança Institucional da Presidência da República (ibid., p. 66). Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 6 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 2.2 EUA e suas National Security Strategy e Strategy for Operating in Cyberspace Os EUA lançam a National Security Strategy (NSS-EUA), em 2010, no sentido de atualizar as últimas estratégias de segurança nacional dos dois governos de W. Bush. De cara, a NSS-EUA afirma que estratégias para a proteção das redes cibernéticas estadunidenses constitui-se como uma das mais altas prioridades de segurança nacional (ibid., p. 4). No que tange aos propósitos deste trabalho, a NSS-EUA busca conscientizar a nação e o setor público ianques de que o ciberespaço faz parte de um conjunto de setores dependentes (como o espacial) que estão na mira de seus inimigos e dentro das chamadas ameaças assimétricas (ibid., p. 17). Além disso, ela traz o conceito de segurança interna (security at home), o qual consiste, dentre outras ações estratégicas, o de proteger as infraestruturas críticas baseadas em TIC e o ciberespaço (ibid., p. 18). Essa Estratégia considera o ciberespaço como um domínio – ao lado do mar, água, ar e terra –, onde as ciberameaças “representam um dos mais graves desafios de segurança nacional, segurança pública e econômica que os EUA enfrentam enquanto nação” (ESTADOS UNIDOS DA AMÉRICA, 2010a, p. 27, tradução nossa10). Um elemento novo que surge na NSS-EUA é que os Estados Unidos consideram outros Estados como potenciais inimigos que tiram proveito do ambiente cibernético para tentar invadir/sabotar suas infraestruturas críticas digitais ou, mesmo, obter informações privilegiadas (ibid., p. 27). Assim, a NSS-EUA prever duas formas de prevenir que tais ameaças não ponham em risco a segurança nacional: (i) investir em pessoal e tecnologia; e (ii) reforçar as parcerias entre os setores públicos e privados nacionais e internacionais, conforme já ocorre em alguns países da Ásia (ibid., p. 42). Um ano após o lançamento da NSS-EUA, os Estados Unidos dão vida a sua Strategy for Operating in Cyberspace (SOC-EUA), no âmbito do seu Departamento de Defesa11. Ela é fortemente influenciada pela NSS-EUA, citando-a – literal e indiretamente – frequentemente, e está assim dividida: i. Introdução: há a conceptualização do ciberespaço para o Departamento de Defesa estadunidense, bem como explicita a dependência desse espaço para que operações 10 Texto original: “Cybersecurity threats represent one of the most serious national security, public safety, and economic challenges we face as a nation”. 11 Daí o nome oficial dessa Estratégia ser “Department of Defense Strategy for Operating in Cyberspace”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 7 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 militares, de inteligência e logísticas possam ocorrer (ESTADOS UNIDOS DA AMÉRICA, 2011, p. 1); ii. Contexto estratégico: demonstra os pontos fortes e oportunidades do Departamento de Defesa no ciberespaço, e elenca as principais ameaças cibernéticas à segurança nacional, incluindo governos estrangeiros (ibid., p. 2-4); iii. Cinco iniciativas estratégicas, onde o Departamento de Defesa irá: (1) tratar o ciberespaço como um domínio operacional para organizar, treinar e equipar, de modo que se possa tomar completa vantagem do potencial ciberespacial; (2) empregar novos conceitos operacionais de defesa para proteger suas redes e sistemas; (3) fazer parcerias com outros departamentos e agências nacionais, bem como acionar o setor privado para permitir uma estratégia de segurança cibernética que envolva a todo o governo; (4) construir robustos relacionamentos com aliados estadunidenses e parceiros internacionais para fortalecer a segurança cibernética coletiva; e (5) alavancar a engenhosidade da nação através de uma excepcional força de trabalho e rápida inovação tecnológica (ESTADOS UNIDOS DA AMÉRICA, 2011, p. 5-12); e iv. Conclusão: resume a Estratégia, acrescentando que ela “guiará os interesses do Departamento de Defesa ianque no ciberespaço, de modo que os EUA e seus aliados possam continuar beneficiando-se das inovações da era da informação” (ibid., p. 13). Assim como a END-BRA, a SOC-EUA informa que uma instituição voltada à defesa cibernética será responsável por garantir grande parte do que é exposto na Estratégia, e também organizar as ações das três Armas. Tal órgão é o U.S. Cyber Command (ibid., p. 5), composto pelo Army Forces Cyber Command do Exército; pela 24th U.S. Air Force da Força Aérea; pelo Fleet Cyber Command da Marinha; e pelo Marine Forces Cyber Command do U.S. Marine Corps, o Corpo de Fuzileiros Navais (idem, 2010b). 2.3 Canadá e sua Canada’s Cyber Security Strategy12 O Canada’s Cyber Security Strategy (CCSS-CAN) assemelha-se um pouco com o NSS-EUA, no que tange à importância dada às infraestruturas digitais para o dia-a-dia de sua sociedade. As palavras do Ministro de Segurança Pública, Vic Toews, encontram respaldo 12 Outro Documento canadense que se alinha ao tema aqui versado é o National Strategy and Action Plan for Critical Infrastructure, disponível em http://www.publicsafety.gc.ca/prg/em/ci/_fl/ntnl-eng.pdf. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 8 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 também na NSS-EUA quando estas assinalam que, dentre outros grupos de interesses, forças militares estrangeiras estão interessadas nos sistemas digitais canadenses (CANADÁ, 2010, p. 1). O ministro informa, ainda, que o CCSS-CAN é o “plano canadense para conhecer de perto as ameaças virtuais” (ibid., p. 1, tradução nossa13); daí, o seu teor didático. Com aproximadamente 75% dos lares com acesso à Internet, o Canadá ainda presta mais de 130 tipos de serviços públicos virtuais à sua população (ibid., p. 2). Com esses números impressionantes, não é de se espantar que o sucesso no ciberespaço é um dos grandes patrimônios do Canadá, e que proteger esse sucesso é proteger os sistemas cibernéticos, já que a segurança cibernética afeta não só ao governo, mas também a toda população civil (ibid., p. 2). Como ocorreu nos EUA, o Canadá criou seu órgão voltado à área cibernética antes de a sua Estratégia ser engendrada. Trata-se do Canadian Cyber Incident Response Centre (CCIC), cujo objetivo é “monitorar e prestar aconselhamento sobre redução de ameaças cibernéticas, e coordenar respostas nacionais a qualquer incidente de segurança cibernética” (CANADÁ, 2010, p. 3, tradução nossa14). Nesse sentido, o Canadá ainda não tem um órgão voltado à defesa cibernética, como aponta o próprio documento aqui analisado: “o Departamento de Defesa Nacional e as Forças Armadas estão examinando como o Canadá pode melhor responder a futuros ciberataques” (ibid., p. 5, tradução nossa15). Embora enfatize o combate ao cibercrime – e, consequentemente, dê mais ênfase à segurança cibernética do que à defesa cibernética –, a estratégia canadense afirma que “as ameaças cibernéticas mais sofisticadas vêm dos serviços militares e de inteligência de Estados estrangeiros” (ibid., p. 5, tradução nossa16), com o objetivo de obter algum tipo de vantagem. Com base em três pilares – proteger os sistemas governamentais, promover parcerias públicas e privadas e ajudar os canadenses a estarem seguros online –, a CCSS-CAN pretende “fortalecer os sistemas virtuais de infraestrutura crítica, apoiar o crescimento econômico e 13 Texto original: “[...] is our plan for meeting the cyber threat”. 14 Texto original: “[...] to monitor and provide mitigation advice on cyber threats, and coordinate the national response to any cyber security incident”. 15 Texto original: “[...] the Department of National Defence and the Canadian Forces are examining how Canada can best respond to future cyber attacks”. 16 Texto original: “The most sophisticated cyber threats come from the intelligence and military services of foreign states”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 9 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 proteger os canadenses como eles se conectam uns aos outros e ao mundo” (ibid., p. 7, tradução nossa17). 2.4 Alemanha e sua Cyber Security Strategy for Germany Seguindo o mesmo escopo textual da CCSS-CAN, a Cyber Security Strategy for Germany (CSSG-ALE) define ciberespaço e resume brevemente a relação de dependência que a Alemanha tem para com ele, e acrescenta que “a disponibilidade do ciberespaço e das integridade, autenticidade e confidencialidade dos dados nele contidas tornaram-se questões vitais do século 21” (ALEMANHA, 2011, p. 2, tradução nossa18). A CSSG-ALE também aponta o ente estatal como um possível inimigo a ser detectado nos ataques virtuais, e que o worm StuxNet19 constitui-se como uma importante experiência para demonstrar a relação entre dependência e vulnerabilidade cibernéticas. Essa Estratégia “foca principalmente em abordagens e medidas civis” (ibid., p. 5), o que já dá o tom de que, como seu próprio título apregoa, ela versa a segurança cibernética, deixando a defesa cibernética sem maiores detalhes e a cargo da Bundeswehr, as Forças Armadas alemãs. A CSSG-ALE baseia-se em 10 objetivos e medidas norteares: 1. Proteger infraestruturas de informação críticas: a qual é a principal prioridade da segurança cibernética; 2. Proteger sistemas informacionais alemães: conscientizar cidadãos e pequenas e médias empresas sobre os riscos cibernéticos e como se proteger deles; 3. Fortalecer a segurança informacional na administração pública: segundo esse Documento, as autoridades públicas têm de dar exemplo no que tange à seguridade dos dados; 4. Criação do Centro de Resposta Cibernética Nacional (NCRC): esse órgão será ligado ao Federal Office for Information Security alemão e terá o 17 “[...] will strengthen our cyber systems and critical infrastructure sectors, support economic growth and protect Canadians as they connect to each other and to the world”. 18 Texto original: “The availability of cyberspace and the integrity, authenticity and confidentiality of data in cyberspace have become vital questions of the 21st century”. 19 Praga virtual que inutilizou centrífugas do programa nuclear iraniano, em 2010. É considerada, dentro da literatura relativa à ciberguerra, como a primeira arma cibernética que se tem notícia. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 10 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 objetivo de “otimizar a cooperação operacional entre todas as autoridades estaduais e melhorar a coordenação das medidas de proteção e de resposta para incidentes de TI” (ALEMANHA, 2011, p. 8, tradução nossa20); 5. Criação do Conselho de Segurança Nacional: um conselho composto por representantes de ministérios alemães e dos setores acadêmico e comercial com o intuito de “coordenar ferramentas preventivas e abordagens de cibersegurança interdisciplinares dos setores público e privado” (ibid., p. 910, tradução nossa21); 6. Efetivo controle do crime também no ciberespaço: combater o cibercrime através da cooperação e da adoção de leis especiais; 7. Ação coordenada e efetiva para garantir a segurança cibernética na Europa e no mundo: tal ação dar-se-á por intermédio da cooperação nos níveis nacional e internacional; 8. Uso de tecnologia de informação segura e confiável; 9. Desenvolvimento pessoal das autoridades federais: treinamentos interministeriais serão implantados; e 10. Ferramentas para responder aos ciberataques: criar, se necessário, poderes estatutários adicionais para melhor responder a tais ataques. 2.5 Holanda e sua The National Cyber Security Strategy Com o lema “Força através da cooperação” (Strength through cooperation) é a vez de a Holanda lançar, em 2011, sua estratégia de combate às ameaças virtuais, o The National Cyber Security Strategy (NCSS-HOL). A NCSS-HOL “constitui a resposta do governo para as propostas apresentadas pelo Parlamento” (HOLANDA, 2011, p. 3, tradução nossa22), no que tange ao combate a cibercrimes, cujo objetivo é “reforçar a segurança da sociedade digital, a fim de dar aos 20 Texto original: “To optimize operational cooperation between all state authorities and improve the coordination of protection and response measures for IT incidents[...]”. 21 Texto original: “[...] to coordinate preventive tools and the interdisciplinary cyber security approaches of the public and the private sector”. 22 Texto original: “[...] constitutes the Government’s response to Parliamentary motions tabled”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 11 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 indivíduos, empresas e órgãos públicos mais confiança na utilização das TIC” (ibid., p. 7, tradução nossa23). Assim como a END-BRA, a é composta por duas partes: a primeira delas apresenta um diagnóstico do problema tratado pela Estratégia, delineia princípios para a segurança cibernética e define objetivos; enquanto que a segunda parte define alguns planos de ação, contendo as principais atividades que visam à melhoria da segurança cibernética holandesa (ibid., p. 3). Para lograr tal tarefa, a NCSS-HOL planeja busca conscientizar sua população e setores do governo de que: as TIC são imprescindíveis para a sociedade e economia holandesa; a sociedade está vulnerável; exemplos recentes – como o StuxNet e o chamado “hacktivismo”24 – dão certo grau das possibilidades cibernéticas; e os atores da sociedade digital precisam cooperar nacional e internacionalmente para que haja um melhor combate às ameaças cibernéticas (ibid., p. 3-4). Conforme a própria NCSS-HOL (ibid., p. 5-6) argui, ela está baseada nos seguintes princípios: 1. Articulação e fortalecimento de iniciativas; 2. Parcerias público-privadas; 3. Responsabilidade individual: inclui a melhoria das redes e sistemas informacionais por parte das pessoas físicas e jurídicas (públicas e privadas); 4. Divisão das responsabilidades entre os ministérios; 5. Cooperação internacional ativa; 6. Medidas devem ser proporcionais; e 7. Autorregulação, se possível; e legislação, se necessário. Para alcança o objetivo citado mais acima, a NCSS-HOL seguirá as seguintes linhas de ação: assegurar uma abordagem integrada por entidades públicas e privadas; garantir avaliações apropriadas e atualizadas de ameaça e risco; reforçar a resistência contra interrupções na TIC e ciberataques; fortalecer a capacidade de resposta a interrupções TIC e ataques cibernéticos; intensificar a investigação de crimes 23 Texto original: “[...] to strengthen the security of digital society in order to give individuals, businesses, and public bodies more confidence in the use of ICT”. 24 Segundo Thing (2003, p. 376, grifo do autor) hacktivismo é “ato de praticar hacking, ou invadir um sistema de computador, envolvendo motivos políticos ou sociais”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 12 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 cibernéticos e a repressão a seus autores; e promover a pesquisa e educação em segurança cibernética. (HOLANDA, 2011, p. 8, tradução nossa 25). Nesse sentido, a criação do Conselho de Segurança Cibernética (Cyber Security Council) e do Centro Nacional de Segurança Cibernética (National Cyber Security Centre, NCSC), a exemplo do CCSS-CAN, também estão nos planos da NCSS-HOL, sendo este último formado por entidades pública e privadas e com data prevista para funcionar a partir de 1º de janeiro de 2012 (HOLANDA, 2011, p. 9). Ademais, como os EUA fizeram, a NCSS-HOL planeja implementar uma doutrina voltada para operações no ciberespaço, no âmbito do seu Ministério da Defesa (ibid., p. 12), mas ainda sem previsão. Conforme exposto até este momento, a tabela abaixo apresenta resumidamente as principais informações auferidas nos seis documentos dos cinco Estados analisados aqui. Tabela 1 – Breve análise sobre as estratégias nacionais de defesa e segurança cibernéticas de Brasil, EUA, Canadá, Alemanha e Holanda ESTRATÉGIA / PAÍS ANO ÁREA(S) END-BRA 2008* Defesa cibernética NSS-EUA 2010 Segurança cibernética SOC-EUA 2011 Defesa e segurança cibernéticas CCSS-CAN 2010 Segurança cibernética CSSG-ALE 2011 Segurança cibernética NCSS-HOL 2011 Segurança cibernética ÊNFASE Setor cibernético como um dos três pilares para a defesa e o desenvolvimento nacionais. Proteção à infraestrutura crítica digital, em especial, às econômicas. Proteção às redes do Departamento de Defesa. Proteção à infraestrutura digital. Proteção aos sistemas governamentais Proteção às infraestruturas ATORES RESPONSÁVEIS ÓRGÃO RESPONSÁVEL Majoritariamente públicos CDCiber (ligado ao Exército) Públicos e privados USCYBERCOM (ligado ao Departamento de Defesa) Públicos e privados Públicos e privados Público-privados CCIRC (ligado ao Ministério da Segurança Pública) NCRC (ligado ao Federal Office for Information Security) NCSC** (ligado ao Governo Federal) 25 Texto original: “ensure an integrated approach by public and private parties; ensure appropriate and up-todate threat and risk assessments; strengthen resilience against ICT disruptions and cyber attacks; strengthen our capacity to respond to ICT disruptions and cyber attacks; intensify the investigation of cybercrime and prosecution of its perpetrators; promote research and education in cyber security”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 13 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 críticas de TIC Notas: * 2ª edição lançada em 2009 ou 2010. ** Embora uma estratégia de defesa cibernética esteja nos planos, o que, per se, sugere a criação de um órgão especificamente voltado à defesa cibernética. 3 CONSIDERAÇÕES FINAIS Como visto, a END-BRA preenche uma primeira lacuna que é a de inserir as questões cibernéticas na agenda das Forças Armadas brasileiras e abrir caminho para que uma ampla e democrática discussão seja iniciada com vistas à implantação de estratégicas nacionais específicas de defesa cibernética e segurança cibernética. Discussão essa que, por exemplo, os EUA não fizeram (CLARKE e KNAKE, 2010, p. x), mas cuja estratégia voltada para o ciberespaço já se encontra em funcionamento. Já o CCSS-CAN é um documento mais sucinto, didático e voltado para alertar a população sobre a importância da Internet e a necessidade de se proteger das ameaças que vêm dela. Embora não faça sólidas projeções acerca do modus operandi – e.g.: prazos e criação de organismos ou outros documentos –, a estratégia canadense é efusiva em ressaltar a atuação crescente de governos estrangeiros na obtenção de vantagens por intermédio do ciberespaço, o que é uma visão realista dos fatos. Tanto o CSSG-ALE quanto o NCSS-HOL são os únicos documentos que mencionam o StuxNet, o que atesta a hipótese de que, embora não explicitada, a defesa cibernética está implicitamente ligada às questões de segurança cibernética, pelo menos, para esses países. O que, sugere-se aqui, constituir-se num erro, pois, ao misturar dois conceitos cujas áreas de ação são distintas (forças armadas e segurança pública), o Estado incorre em erro não só semântico, mas também estratégico, colocando, assim, toda a sua sociedade em risco. Outra ocorrência que chama atenção é o fato de a NCSS-HOL enquadrar o hacktivismo como uma ameaça ao Estado-nação, confundindo, assim, tal conceito com cibercrimes ou ataques de crackers. Para consubstanciar tal afirmação, basta lembrar que foram os hacktivistas quem restabeleceram as linhas de comunicação com a Internet em países como Egito, durante a chamada “Primavera Árabe” ou “eRevolution”, no primeiro semestre de 2011. Ademais, a NCSS-HOL é o único documento analisado que informa que as atividades e planos descritos em seu escopo serão absorvidos de orçamentos já existentes (HOLANDA, Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 14 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 2011, p. 15). Talvez, isso demonstre a confirmação de uma hipótese em que, na era da informação, pequenos investimentos – neste caso, em segurança cibernética –, estão relacionados mais a capital humano do que a softwares e hardwares, por exemplo. Ou, pelo contrário, pode ser a constatação de que os Estados não dão a devida atenção financeira à segurança cibernética. Este artigo entende que a primeira hipótese condiz mais com a verdade, embora os gastos, cada vez maiores, do governo estadunidense, no que tange a investimentos nas áreas de segurança cibernética e defesa cibernética, por exemplo, demonstram que investimentos em material humano e em desenvolvimento de ciência e tecnologia (C&T) devam andar juntos. Como se vê na Tabela 1, a maioria das Estratégias analisadas, supra, enfatizam a questão da segurança cibernética, embora, como aponta a CCSS-CAN, seja possível identificar que “alguns Estados estrangeiros têm declarado publicamente que ciberataques são um elemento central em suas estratégias militares” (CANADÁ, 2010, p. 5, tradução nossa26). De todos os Estados analisados, os únicos que contemplam em suas Estratégias a criação/implementação de órgãos específicos para a defesa cibernética são EUA (que criou a priori) e Brasil (que criou a posteriori). Porém, países como a Alemanha já possuem o seu respectivo (SOUZA, 2011a, p. 9), sem mesmo mencionar tal fato em sua Estratégia. Canadá, Alemanha e Holanda situam-se num continente onde “50% do crescimento da produtividade é resultante da utilização das TIC” (HOLANDA, 2011, p. 3, tradução nossa 27). Assim, percebe-se, através da análise do uso das TIC nas estratégias de defesa e segurança cibernética dos cinco países aqui elencados que, nas palavras da CCSS-CAN (CANADÁ, 2010, p. 14, tradução nossa28), “não há mais volta a um mundo sem Internet”. Nesse sentido, se a disciplina de Relações Internacionais – especialmente os estudos sobre segurança internacional – quiser manter-se atual, ela tem de atentar aos riscos e oportunidades que as ações dos Estados têm tomado, no que se refere ao ciberespaço e ao uso das novas TIC. E as estratégias nacionais de defesa e segurança cibernéticas são importantes “termômetros” para demonstrar que esse estado de coisas está passando do estágio de percepção a uma idiossincrasia da política internacional hodierna. 26 Texto original: “Some foreign states have declared publicly that cyber attacks are a central element of their military strategy”. 27 Texto original: “[...] 50% of productivity growth is due to the use of ICT”. 28 Texto originals: “There is no turning back to a world without an Internet”. Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 15 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 REFERÊNCIAS ALEMANHA. Cyber Security Strategy for Germany. Berlin: Federal Ministry of the Interior, 2011. Disponível em: <http://www.cio.bund.de/SharedDocs/Publikationen/DE/StrategischeThemen/css_engl_download.pdf?__blob=publicationFile>. Acesso em: 8 out. 2011. BARROS, Sebastião do Rego. O papel da ciência e tecnologia na defesa da soberania nacional. In: PINTO, J. R. de Almeida; ROCHA, A. J. R. da; SILVA, R. Doring P. da (Org.). As Forças Armadas e o desenvolvimento científico e tecnológico do País. Brasília: Ministério da Defesa, 2004. p. 245-271. (Pensamento brasileiro sobre defesa e segurança; v. 3). BOBBIO, Norberto et al. Tradução: Carmen C. Varriale et al. 11. ed. Brasília: Editora UnB, 2007. v. 1. BRASIL. Estratégia Nacional de Defesa. 2. ed. Brasília: Ministério da Defesa, [2009 ou 2010]. CANADÁ. Canada’s Cyber Security Strategy. [S.l.]: Department of Public Safety, 2010. Disponível em: <http://www.publicsafety.gc.ca/prg/ns/cbr/_fl/ccss-scc-eng.pdf>. Acesso em: 4 out. 2011. CLARKE, Richard A.; KNAKE, Robert K. Cyber war: the next threat to national security and what to do about it. 1st ed. New York: HarperCollins Publishers, 2010. ESTADOS UNIDOS DA AMÉRICA. Remarks by the presidente on securing our nation’s cyber infrastructure. Washington D.C.: The White House, 2009. Disponível em: <http://www.whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyberinfrastructure>. Acesso em: 11 out. 2011. ______. National Security Strategy. Washington D.C.: The White House, 2010a. Disponível em: <http://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf>. Acesso em: 11 out. 2011. ______. Strategy for Operating in Cyberspace. Washington D.C.: Department of Defense, 2011. Disponível em: <http://www.defense.gov/news/d20110714cyber.pdf>. Acesso em: 11 out. 2011. ______. U.S. Cyber Command Fact Sheet. Washington D.C.: Department of Defense, 2010b. Disponível em: <http://www.defense.gov/home/features/2010/0410_cybersec/docs/CYberFactSheet%20UPD ATED%20replaces%20May%2021%20Fact%20Sheet.pdf>. Acesso em: 25 set. 2011. FLICK, Uwe. Introdução à pesquisa qualitativa. Tradução: Joice Elias Costa. 3. ed. Porto Alegre: Artmed, 2009. (Métodos de Pesquisa). Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 16 III Simpósio de Pós-Graduação em Relações Internacionais do Programa "San Tiago Dantas" (UNESP, UNICAMP e PUC/SP) 8 a 11 de Novembro de 2011 ISSN 1984-9265 GUIMARÃES, Samuel P. Uma estratégia militar para o Brasil. In: PINTO, J. R. de Almeida; ROCHA, A. J. R. da; SILVA, R. Doring P. da (Org.). Reflexões sobre defesa e segurança: uma estratégia para o Brasil. Brasília: Ministério da Defesa, 2004. p. 39-48. (Pensamento brasileiro sobre defesa e segurança; v. 1). HOLANDA. The National Cyber Security Strategy. [S.l.]: Ministry of Security and Justice, 2011. MELO, Marcus A. O viés majoritário na política comparada: responsabilização, desenho institucional e qualidade democrática. In: Revista Brasileira de Ciências Sociais, São Paulo, v. 22, n. 63, p. 11-29, fev. 2007. NEWMEYER, Kevin. FW: [sioac] - US Must Develop Cyber Intelligence [mensagem pessoal]. Mensagem recebida por <[email protected]> em 12 set. 2011. SOUZA, Gills L. M. A emergência do tema ciberguerra: contextualizando a criação do Centro de Defesa Cibernética à luz da Estratégia Nacional de Defesa. In: SEMINÁRIO DO LIVRO BRANCO DE DEFESA NACIONAL, 6., 2011, São Paulo. Anais... Brasília: Ministério da Defesa, 2011a. No prelo. ______. Da ciberguerra: idiossincrasias do século XXI e as instituições militares de defesa cibernética de Brasil, Estados Unidos, OTAN e União Europeia. In: ENCONTRO NACIONAL DA ASSOCIAÇÃO BRASILEIRA DE ESTUDOS DE DEFESA – ENABED, 5., 2011b, Fortaleza. Apresentação de Trabalho. THING, Lowell (Ed.). Dicionário de tecnologia Whatis.com. Tradução: Bazán Tecnologia e Linguística e Texto Digital. São Paulo: Futura, 2003 Anais do III Simpósio de Pós-Graduação em Relações Internacionais do Programa “San Tiago Dantas” (UNESP, UNICAMP e PUC/SP) Disponível em: http://www.unesp.br/santiagodantassp 17