Quando em 1983 foi lançado o filme War Games, começou-se a ter uma ideia do que seria uma guerra na era dos computadores pessoais. Obviamente que a realidade a que esse filme nos transportava era bem diferente e demasiado temporal à época do filme, sendo que era considerado como Ficção Científica. Ainda assim contava-nos a história de um adolescente e hacker caseiro, que gostava de aceder ao computador da escola para alterar as notas e a folha de presenças. Mas também tinha como passatempo quebrar as entradas nos vários computadores das instituições federais e divertir-se um pouco. Um dia, sem perceber o tipo de computador em que entrou, começou a fazer um jogo de estratégia no computador de defesa norte-americano, simulando o lançamento de mísseis, o que ia originando a 3ª Guerra Mundial. Na altura, isto era o que o mundo encarava como ciberameaça. De alguma forma, era sempre um problema controlado porque as comunicações entre computadores fora dos seus ecossistemas eram feitas por acesso a um BBS (Os BBS permitiam a ligação via telefone a um servidor através de um computador pessoal e interagir com ele, tal como hoje se faz com a internet. Além de proporcionar a distribuição de softwares, aplicações e informações e lazer como jogos on-line, estes eram usados pelas empresas que precisavam que os seus funcionários externos pudessem estar ligados à empresa, para terem acesso, por exemplo, a dados e a relatórios de vendas.).
Foi uma realidade que a Internet fez mudar e, com o fim da Guerra Fria, esta tornou possível a ligação de todas as empresas entre si num palco global. Pensou-se mesmo que a Internet iria ser o palco da democracia, onde todos teriam a possibilidade de expressar a sua opinião de forma global sem serem silenciados, que os povos oprimidos pudessem dar a conhecer a todo o mundo as condições em que viviam e que o mundo os pudesse auxiliar de forma rápida e desinteressada. Contudo, os cenários que temos visto têm demonstrado exatamente o contrário e a internet tem sido mais o palco do delito de opinião.
Um outro dado preocupante, é que a internet também se tornou num veículo de guerra. O presidente Zelensky usa as redes sociais para se fazer anunciar e onde coloca o seu diário de luta. Os soldados precisam desses mesmos vídeos para manterem a sua moral e a sua identidade nacional. Zelensky sabe que, por muito bem que um exército esteja equipado, se não tiver vontade em combater, o equipamento não lhe será útil.
A guerra tornou-se assimétrica: um pequeno comando é capaz de infringir danos substanciais num adversário de maior dimensão. A lógica de guerra convencional, em que a dimensão das forças era sinónimo de sucesso, hoje acaba por não ser uma condição sine qua non para a obtenção desse mesmo resultado. Nesse contexto, a internet tem-se mostrado uma ótima ferramenta tática, no sentido em que permite afetar diretamente a capacidade defensiva e logística de um adversário.
Uma guerra obriga sempre a perdas materiais e a baixas humanas, pelo que é importante, antecipadamente, neutralizar o mais possível a capacidade de reação do adversário. Na mira estão sempre as infraestruturas críticas – as centrais elétricas e as cadeias de abastecimento são sempre as primeiras a serem visadas, ou seja, tudo o que impeça o adversário continuar a aprovisionar capacidade. Ainda assim, a elegibilidade de uma empresa para um cenário destes varia com a sua importância e o impacto que a sua inoperação causa no adversário. Não necessariamente com a dimensão e volume de negócios, mas o quão próximas estas se encontram do centro gravidade do objetivo final do conflito.
Na realidade, a internet veio desequilibrar o poderio militar dos países. Será que os Estados Unidos têm mesmo mais poder que a Coreia do Norte, quando um ataque direcionado a uma central elétrica norte americana causa um dano maior que um ataque semelhante na Coreia do Norte, local onde o acesso a luz elétrica é um bem acessível a poucos? Acha-se mesmo que uma central elétrica desligada na Coreia do Norte prejudica a população?
Além disso, um ciberataque é algo que pode ser executado muito longe do seu alvo e até ser lançado a partir de outro país, o que torna difícil perceber a origem e o propósito dos ataques, inviabilizando a atribuição das culpas e os consequentes processos penais e cíveis por eventuais danos. É algo que pode ser facilmente negado por qualquer agressor. Dito de outra forma, a Ciberguerra é algo que pode ser usado em qualquer fase do conflito. Não sofre baixas nem precisa de inutilizar equipamentos para causar danos e até pode ser executado durante um período da paz. É um meio de conflito sempre presente e que pode ser lançado em qualquer momento e de qualquer lugar. E da mesma forma que for lançado, poderá ser escondido e até negado. Surge sem ninguém dar conta e desaparece antes de alguém conseguir reagir.
Portanto, independentemente de as empresas poderem serem relevantes, ou não, estas devem considerar sempre que o são. As empresas têm de passar a conviver com este novo cenário de possível guerra. Num ciberataque não há satélites da inteligência a monitorizarmo-nos e alertar para a preparação de um ataque. Terão de ser as empresas a criarem sistemas de controlo sistemático para avaliar os comportamentos na sua rede. Um ciberataque não é um míssil que nos bombardeia. Os ciberalvos são estudados com tempo e os ciberataques são planeados para serem eficazes e não terem resposta. Um dia as coisas simplesmente, acontecem e, tipicamente estes ataques começam por ser confundidos com falhas anormais no serviço.
O que os relatórios do Centro Nacional de Cibersegurança (CNCS) nos têm revelado de ano para ano é que continua a haver muitas ocorrências de Phishing e de outras situações caseiras. Mas também que tem havido significativo crescimento do comprometimento de sistemas de Bancos, de instituições públicas, etc.. Ou seja, que os temas de segurança informática vão muito mais além da exploração de vulnerabilidades dos computadores dos colaboradores, e até da extorsão às empresas de valores monetários para não divulgarem determinados dados. Atualmente é usada para comprometer e ganhar vantagem em relação a um país inteiro.
Há empresas que ainda interpretam a Cibersegurança como um tema que orbita em torno da intrusão dos seus sistemas de informação, pensada de forma tática e em termos isolados dentro da empresa, colocando apenas camadas de segurança em volta dos seus sistemas. Mas a realidade tem mostrado que esta se tornou uma disciplina global que tem de ser pensada a nível estratégico e inserida num contexto mais vasto. As empresas têm de pensar qual é o seu lugar na economia e na geoestratégia do país para desenhar diversos cenários em que poderão ser atacados, de inferir quais serão os impactos diretos e indiretos de eventuais ataques e de que forma podem ser mitigados.
Há uns tempos, uma operadora portuguesa foi atacada. Alguma vez pensou que seria atacada na sua rede, ou pensou sempre num ataque com o intuito do roubo de dados de clientes? Foi alvitrada alguma vez a hipótese de serem atacados os sistemas de suporte à rede, foram desenhados meios de resposta e foram devidamente treinados? Além do impacto financeiro, foi pensado no impacto que isso teria em todos os que dependiam de tal infraestrutura. Algumas corporações de bombeiros e centros do INEM deixaram de ter capacidade de resposta, o que foi grave. Mas alguma vez se pensou nesse cenário de forma séria? Provavelmente a operadora até tinha esses planos de mitigação todos desenhados e testados e, talvez por isso, é que conseguiu reagir com tanta prontidão. Ainda assim, é um pontapé na reputação de uma empresa. Mas fica a pergunta: quantas empresas pensam na Cibersegurança de uma forma estratégica, estando preparados para a gestão de crises no Ciberespaço, desenhando diversos cenários e consequentes meios de resposta e que os coordenam com o CERT nacional?
A Ciberguerra já não é um tema de ficção científica. É uma questão real e deve fazer parte da formação dos gestores de TI e dos chefes das equipas de cibersegurança. Estes devem ter competências de geopolítica, guerra de informação e de ciberdefesa. A tecnologia com a qual a combateremos é apenas um aspeto meramente tático. É preciso um pensamento muito mais alargado para combater o fenómeno.
Pode parecer um pouco doentio a questão de embarcar numa teoria da conspiração permanente, mas a vida no Ciberespaço está-se a tornar cada vez pior, onde qualquer pessoa ou organização com conhecimentos e motivação suficiente para usar mecanismos de disrupção pode causar danos nas sociedades livres. Ou nos preparamos para lá estar, ou então no futuro poderemos ter de voltar a viver desligados.
Sobre o autor: João Moura é IT Project Manager and Specialist BI Architect na Mind Source.
