Securitização da Cibersegurança

-

No dia 9 de Maio de 2018 ocorreu a 39º edição dos Colóquios do Curso de Relações Internacionais, com o tema (In)Governabilidade no Século XXI. Foi neste contexto que o Professor Doutor André Barrinha e o Professor Doutor Henrique Santos abordaram o tema da cibersegurança.
O Professor Doutor André Barrinha apresentou o tema “Cibersegurança: problemas e paradoxos” e começou por questionar até que ponto a cibersegurança como uma questão securitária é contextualizada nas instituições pré-existentes, como a NATO, a União Europeia, e os Estados.  Para abordar a questão, este explica cinco pontos fundamentais.
O primeiro ponto, é a ideia do conceito da cibersegurança como politicamente contestável. Apesar da natureza técnica do tema, diferentes actores definem a cibersegurança de forma diferenciada. Para além disso, é necessário definir qual deve ser o objetivo de estudo. Ou seja, quem queremos proteger? O Estado, a economia, ou os utilizadores? Neste contexto podemos também correr o risco de securitizar a nossa privacidade. Por isto, André Barrinha defende que a forma como as entidades estatais e as organizações internacionais definem a cibersegurança importa porque, a narrativa política não é uma simples questão técnica. Este primeiro ponto está relacionada com o tema da securitização da cibersegurança porque, nos últimos anos o tema da cibersegurança tem vindo a entrar nas agendas dos Estados, tornando-se assim um tema politizado. A definição e a importância que os Estados dão a este tema reflete-se na nossa privacidade, que pode também vir a ser securitizada.
O segundo ponto aborda o ciberespaço como um espaço pouco seguro, porque a sua infraestrutura não foi construída para as utilizações atuais. Esta estrutura é bastante susceptivel a violações de segurança porque não foi construída para a realização de negócios e transmissão de informações confidenciais. Neste ponto, André Barrinha questiona se devemos limitar o acesso às redes de informação ou devemos aceitar os riscos do seu uso massificado.
No terceiro ponto, é defendido que na cibersegurança podemos notar um domínio do privado. O setor privado e o setor publico têm prioridades diferentes, e André Barrinha argumenta que o setor privado pode não ter interesse em divulgar um ataque informático porque isso reduz a confiança dos consumidores na empresa.
No quarto ponto, André Barrinha aborda o carácter transnacional do espaço. Como já foi antes referido, o ciberespaço torna a geografia irrelevante e elimina os constrangimentos físicos. Neste ponto, o Professor questiona se um Estado deve investir em controlar o ciberespaço ou deve adotar uma atitude liberal apesar das consequências de radicalização e acesso a organizações militares.
O quinto ponto relaciona o ciberespaço com as relações internacionais. André Barrinha coloca três problemas neste contexto: as ciberarmas, a atribuição e, a definição de normas. Uma ciberarma é uma vulnerabilidade informática que é executada para afetar um sistema. Só podem ser usadas uma vez porque quando uma vulnerabilidade é descoberta é arranjada mas, as consequências da sua utilização fragilizam o ciberespaço como um todo. Segundo André Barrinha, um Estado pode ter uma ciberarma guardada para efeitos de segurança mas, esta arma pode ser roubada e utilizada por outros atacantes. Assim sendo, este questiona se devemos ambicionar mais capacidade ofensiva ou devemos aceitar que os riscos das consequências da utilização das ciberarmas não compensam os seus potenciais benefícios. Quanto à atribuição, como já foi referido na entrada anterior realizada no blog, “A Securitização da Cibersegurança”, o ciberespaço elimina a identidade e permite a realização de atividades criminosas de forma anónima ou com falsas identidades, tornando-se difícil atribuir responsabilidades. As relações internacionais desenvolvem-se por regra do campo do visível e, sem ser possível assumir responsabilidades, estas seriam ainda mais imprevisíveis. Segundo André Barrinha, o ciberespaço permite a interação entre os principais atores do sistema internacional de forma anónima e sem conhecimento de resultados. Assim sendo, os princípios clássicos de dissuasão não ocorrem no ciberespaço, visto não ser fácil sinalizar intenções. Em relação à definição de normas, André Barrinha questiona se o ciberespaço é produto da hegemonia ocidental e do equilíbrio de poder. Isto porque, a visão do ciberespaço adotada pela Rússia ou pela China assentam em diferentes premissas. Estes Estados defendem as ideias de “cibersoberania”, ou seja, cada país deve ter um controlo absoluto sobre aquilo que se passa no país em termos de acesso ao ciberespaço, e devem ter o poder de censura.
                O Professor Doutor André Barrinha termina a sua apresentação dizendo que a cibersegurança assemelha-se a um pântano político e étnico, onde uma medida num sector pode afectar outro. Este argumenta que muito pode mudar na forma como gerimos as nossas vidas e como funcionam as relações internacionais mas, a questão do poder não vai mudar. O poder vai continuar a ser fundamental para definir regras e prioridades e ainda não se sabe quem vai gerir o futuro do ciberespaço.
                O orador seguinte, o Professor Doutor Henrique Santos, faz um enquadramento geral sobre os desafios da cibersegurança, com o objetivo de Intenção de desmitificar problemas e tecnologias e mostrar que existe uma grande dimensão humana neste assunto. Este define a cibersegurança como proteger a informação e os sistemas de informação de um conjunto de atividades que consideramos maliciosas, como por exemplo, a utilização de forma inapropriada, a divulgação, a modificação, a destruição e a interrupção. Entre as ameaças identificadas na apresentação, apesar de estas estarem em constante mutação, podemos mencionar o terrorismo e crime organizado, os erros e as falhas humanas e, a fraude. No entanto, o Henrique Santos apresenta que os erros e as falhas humanas são responsáveis por 75% dos ciberataques.
                Assim como André Barrinha, Henrique Santos menciona que a cibersegurança e as principais informações sobre o tema provêm atualmente pertence ao setor privado, que tem como principal interesse ganhar dinheiro.
                O tema da securitização foi também abordado por Henrique Santos. Este apresentou o exemplo de 2009 Barack Obama declarar a infraestrutura digital do país como um recurso critico. As consequências desta declaração foram o pentágono passar a ter mais uma área. Até ao momento, este tinha 4 áreas: aérea, marítima, terrestre e espaço. Ou seja, a cibersegurança passou a ter uma dimensão bélica. Barack Obama apresentou a missão de “to deffend america and its networks and attack other countries systems”. Depois disto, vários outros países introduziram a cibersegurança nas suas agendas. Podemos notar uma securitização da cibersegurança, porque este era um tema não abordado politicamente, passa a aparecer nas agendas dos governos. Como já foi dito anteriormente na outra entrada, quando um tema é securitizado, significa que o problema apresentado é uma ameaça que requere medidas de emergência, legitimando estas. significa que o problema apresentado é uma ameaça que requere medidas de emergência, legitimando estas.

                Foi apresentada uma balança (ver foto) onde podemos ver como é realizada a gestão do risco. De um lado encontramos a flexibilidade e o consumo, e temas como negócios, democraticidade e socialização. Do outro lado da balança encontramos a proteção e temas relacionados com a legislação, políticas e regras. Segundo Henrique Santos, o risco é uma balança e é a nossa perceção deste que nos faz actuar.

Henrique Santos argumenta que o custo dos ataques do ponto de vista económico são reduzidos. Ou seja, os ciberataques são considerados rentáveis e o risco é mínimo. Sendo o ciberespaço um espaço paralelo onde circula informação que ninguém controla, gerir vulnerabilidades pode tornar-se negócio. Henrique Santos dá o exemplo de jovens estagiam em empresas e deixam lá marcas que sabem que estão lá. Quando saem da empresa começam negociar e a vender vulnerabilidades ao cibercrime. Ou seja, o beneficio percebido de um ataque pode ser maior que prejuízo e, as agências governamentais não têm uma capacidade de resposta e muito menos de forma coordenada a nível mundial. Segundo Henrique Santos, existem normas, mas não existe vontade de as implementar porque as normas custam dinheiro e, uma empresa não vai implementar as normas se o Estado não as obriga e os consumidores não se mostram preocupados.
Como educar e treinar é fundamental, foi também apresentado como devia ser constituído um cibercurriculo, ou seja, uma profissionalização da área da cibersegurança, permitindo uma organização profissional que disciplina, regula e controla os atos profissionais e competências. O cibercurriculo apresentado por Henrique Santos abrange áreas como ciências da computação, economia e gestão, sociologia e psicologocia, direito, sistemas de informação e engenharia informática.
Henrique Santos conclui que existem muitos problemas com a cibersegurança e poucas soluções. A evolução tecnologia é imparável e a cibersegurança é cada vez mais relevante. O ciberespaço é um organismo dinâmico sem fronteiras e importa compreendê-lo e, a gestão da cibersegurança começa a ser critica e envolve conhecimento multidisciplinar. Para além disso, Henrique Santos considera a regulamentação e a colaboração internacional fundamentais para permitir avanços na cibersegurança.
                As abordagens da cibersegurança apresentadas no painel dos colóquios de relações internacionais foram de encontro ao que escrevi na primeira entrada no blog. As tecnologias têm vindo a aumentar nos últimos anos e o ciberespaço faz agora parte do nosso dia a dia. Todos os dias as pessoas introduzem informações pessoais no ciberespaço e os próprios Estados utilizam este para o seu funcionamento e para informação confidencial. No entanto, a estrutura que suporta o ciberespaço não tem evoluído proporcionalmente à sua maior utilização. Isto faz com que existam agora perigos no ciberespaço desde propagante terrorista ou ataques feitos com o objetivo de prejudicar o funcionamento de uma entidade. Com estes novos perigos que não têm fronteiras e anónimos, o tema da cibersegurança foi securitizado. Nos últimos anos, os Estados começaram a incluir a cibersegurança nas suas agendas, tendo mesmo este passado a fazer parte do “pentágono” junto com o poder terrestre, aéreo, marítimo e espacial. Ao tornar a cibersegurança um tema securitizado, a privacidade dos utilizadores pode ser prejudicada. Para além disso, podemos continuar a aplicar a teoria realista e o dilema de segurança à cibersegurança. Os Estados adquirem “ciberarmas”, argumentando que são apenas de defesa. No entanto, esta adquirição é uma justificação para outros Estados procurarem ciberarmas, argumentando também que são armas de defesa. No entante, no ciberespaço é mais fácil uma ciberarma ser adquirida por outra entidade e utilizá-la, como ocorreu na Estónia em 2007. A dissuasão é também utilizada no contexto da cibersegurança. Os Estados podem não utilizar as suas ciberarmas com medo de retaliação e, o discurso de Barack Obama em 2009 prova-nos isso.

Concluindo, as perguntas para futuros trabalhos de debate e investigação são as seguintes:
  • ·         É possível conciliar a privacidade e a segurança no ciberespaço ou é necessário haver um trade-off entre ambos?
  • ·         A cibersegurança deve continuar a ser regulada por entidades privadas? Ou o setor publico deve intervir mais neste sector?
  • ·         A cibersegurança deve ser um tema securitizado?


                                            Eva Ticiana Meireis Marques, aluna do 2º ano de Relações Internacionais

Comentários

Enviar um comentário

Mensagens populares deste blogue

Uma breve introdução aos Colóquios de Relações Internacionais na Universidade do Minho

-
Imagem
A Universidade do Minho foi a primeira Universidade do país a implementar uma Licenciatura em Relações Internacionais no ano letivo de 1975/1976. Tal iniciativa deveu-se, principalmente, à perceção do alargamento das relações de Portugal a nível internacional e à necessidade crescente de especialistas com formação superior, com capacidade para acompanhar e gerir os principais desafios de dimensão internacional. Em dezembro de 1983, é criado o núcleo mais antigo da Universidade do Minho, o Centro de Estudos do Curso de Relações Internacionais, oficializado mais tarde por Decreto-lei publicado no Diário da República, III Série, nº28, de 2 de fevereiro de 1984. Mais conhecido por CECRI, o núcleo é assim fruto da conjugação de esforços de ex-alunos, discentes e docentes da então pioneira Licenciatura em Relações Internacionais. Na base da sua criação estava o desejo de enriquecer o curso, permitindo aos alunos uma integração mais eficaz e completa no campo das Relações Internacionais...
Ler mais

Dilemas e paradoxos do ciberespaço na interação social nas RI

-
Imagem
A XXXIX Edição dos Colóquios de Relações Internacionais na Universidade do Minho realizou-se nos passados dias 8 e 9 de maio e, como mencionado anteriormente, tiveram como tema a “(In)governabilidade no Século XXI”. Foi composta por quatro painéis: o papel das OI’s/ONG’s na Governabilidade; Status quo da diplomacia do século XXI; cibersegurança; e governabilidade no espaço. O painel que irei abordar, como sabem, será o da cibersegurança. Este painel teve como oradores: André Barrinha, professor de Segurança Internacional na University of Bath, e Henrique Santos, professor associado no Departamento de Sistemas de Informação na nossa prestigiada Universidade do Minho. Inicialmente, e tendo em conta as áreas de estudo de ambos os oradores, o meu trabalho iria focar-se na apresentação do Prof. Henrique Santos, contudo, após assistir a este painel, tornou-se claro que a temática abordada pelo Prof. André Barrinha está mais relacionada com as questões levantadas no meu post anterior. A...
Ler mais