A guerra errada: a insistência em aplicar as metáforas da Guerra Fria à segurança cibernética é mal colocada e contraproducente

Para cada grande problema de política, geralmente há um paralelo que pode ser encontrado no passado. Como Mark Twain disse certa vez, a História não se repete, mas rima.

O problema para os formuladores de políticas, porém, é identificar que melodia é exatamente o que eles estão ouvindo. Embora a aplicação de lições do passado possa ser uma ferramenta analítica útil, frequentemente desenterramos velhas analogias que podem não ser adequadas ao novo problema que enfrentamos. Na verdade, na maioria das vezes recorremos às canções que conhecemos melhor, aquelas que cantarolamos em nossa juventude, quando outras podem ser mais adequadas. Por exemplo, oficiais graduados da Força Aérea durante a Guerra do Vietnã se agarraram a uma campanha de bombardeio estratégico mais adequada às suas primeiras experiências de bombardear a Alemanha nazista do que uma insurgência do Terceiro Mundo, enquanto, por sua vez, o recente debate sobre o Afeganistão continua ecoando as preocupações dos baby boomers sobre se uma guerra do século 21 seria o Vietnã de Obama.

Hoje, os criadores de sucessos de Washington podem estar cometendo um erro semelhante no que diz respeito à segurança cibernética, tentando colocar uma nova questão na estrutura histórica errada. Os novos ritmos do crime online, espionagem e política são desconhecidos. Então, talvez não seja surpreendente, eles estão se voltando para um velho paralelo no qual passaram a maior parte de suas vidas profissionais trabalhando: a Guerra Fria.



Guerra Fria, Guerra Errada

Repetidamente nos círculos políticos, a dinâmica, as ameaças e as respostas da segurança cibernética são comparadas de forma consistente à tecnologia de armas nucleares e ao impasse entre os Estados Unidos e a União Soviética. O ex-Conselheiro de Segurança Nacional Brent Scowcroft, por exemplo, descreve a Guerra Fria e a segurança cibernética como assustadoramente semelhantes, enquanto o jornalista David Ignatius resumiu suas reuniões com altos funcionários do Pentágono em um artigo de 2010 intitulado Cold War Feeling on Cybersecurity.

Até a empresa de segurança de rede McAfee é suscetível a esse tipo de conversa. Acreditamos que estamos vendo algo parecido com uma guerra fria cibernética, diz o vice-presidente da McAfee, Dmitri Alperovitch. Essa atitude culminou, talvez, com o que é relatado na versão secreta da recente estratégia cibernética do Departamento de Defesa, que anunciou uma nova doutrina de equivalência, argumentando que ações prejudiciais dentro do domínio cibernético podem ter resposta paralela em outro domínio. Troque as palavras convencional e nuclear por cibernético e cinético e a nova doutrina é, na verdade, revelada como essencialmente a velha doutrina de dissuasão de resposta flexível dos anos 1960, onde um ataque convencional pode ser recebido com uma resposta convencional e / ou nuclear. O Comando Cibernético do Pentágono e o Departamento do Terceiro Exército do Exército de Libertação do Povo de Pequim agora substituem o antigo Comando Aéreo Estratégico e as Forças de Foguetes Estratégicos do Exército Vermelho.

O problema é que a música não é a mesma e a adaptação histórica à Guerra Fria não é tão nítida. O ciberespaço é um domínio de comunicação e comércio tecnológico feito pelo homem, não um tabuleiro de xadrez geográfico de alianças concorrentes. A Guerra Fria foi uma competição principalmente entre duas superpotências, com liderança política e tomada de decisões claramente localizadas em Washington e Moscou, cada uma no centro de uma rede de tratados aliados e estados clientes, e uma zona do Terceiro Mundo pela qual competiam. Em contraste, a Internet não é uma rede de governos, mas as atividades digitais de 2 bilhões de usuários, viajando através de uma rede pertencente a uma série de empresas, a maioria 5.039 provedores de serviços de Internet, que dependem quase exclusivamente de acordos de handshake para transportar dados de um lado do planeta para o outro, de acordo com Bill Woodcock e Vijay Adhikari em seu artigo Pesquisa de características de acordos de interconexão de operadora de Internet da Packet Clearing House. A Guerra Fria também foi uma guerra de idéias entre duas ideologias políticas concorrentes. A maior parte da infraestrutura da Internet está nas mãos desses ISPs e redes de operadoras, assim como a experiência para proteger essa infraestrutura. As ideias em jogo às vezes tocam na ideologia, mas também variam de questões de privacidade e direitos humanos a postagens no Twitter sobre o novo corte de cabelo de Justin Bieber.

quem tem mais probabilidade de se tornar presidente em 2020

Essa desconexão vai muito além. As barreiras de entrada para obter a arma definitiva da Guerra Fria, a bomba nuclear, eram bastante altas. Apenas alguns estados poderiam se juntar ao clube atômico das superpotências - e nunca em números que tornassem essas potências nucleares de segundo nível comparáveis ​​às forças dos EUA e soviética. Em comparação, os atores no ciberespaço podem variar de adolescentes em busca de emoção, gangues de criminosos, comunidades de hackers patrióticos patrocinados pelo governo e mais de 100 estados-nação que estabeleceram unidades militares e de inteligência de guerra cibernética.

Os problemas de segurança cibernética são mais de análise forense e atribuição e influência sutil do que a dissuasão antiquada. Portanto, a ideia de tornar os ataques nucleares e cibernéticos da velha escola equivalentes pode ter um certo apelo, mas no reino cibernético você pode não saber quem o atacou - ou mesmo quando e se você foi atacado. Veja o worm Stuxnet, que foi supostamente projetado para prejudicar o programa nuclear iraniano. Os iranianos (assim como a maioria das empresas de segurança cibernética) levaram vários meses para perceber que estavam sob ataque, e mesmo agora a fonte desse ataque é baseada mais em retrocesso e dedução forense do que em qualquer fonte óbvia, como o lançamento de um míssil balístico intercontinental pluma.

No entanto, existe um paralelo da Guerra Fria que pode ser verdadeiro. Muitas das discussões de hoje sobre segurança cibernética em Washington lembram os debates bizarros sobre armas nucleares nos anos 1940 e 50, nos quais o hype e a histeria variavam livremente, versões do mundo real do Dr. Strangelove eram levadas a sério e ideias políticas horríveis como a A divisão Pentômica do Exército (que foi organizada para usar a artilharia nuclear, como se fosse apenas mais uma arma) foi realmente implementada. Como Loving the Cyber ​​Bomb, um estudo recente realizado por especialistas cibernéticos reais no Mercatus Center da George Mason University (ao contrário de muitos Cold Warriors que agora se renomearam como especialistas cibernéticos) descobriu, há uma quantidade enorme de inflação de ameaças acontecendo em Washington discussão dos perigos online, mais frequentemente por aqueles com motivos políticos ou de lucro para divulgar as ameaças. É uma nova versão da velha histeria do intervalo dos mísseis.

Cuidado com o vão

O resultado desse mal-entendido fundamental é que, na imprensa, um ataque cibernético poderia ser inquestionavelmente retratado como uma enorme nuvem em forma de cogumelo amalucada pairando sobre todas as cidades americanas (como dizia a capa da revista Economist). Em Washington, o malware pode ser descrito como uma [arma de destruição em massa] (Sen. Carl Levin, D-Mich.) Capaz de destruir nossa sociedade (Scowcroft), o que significa que deve ser visto como uma ameaça existencial (almirante Mike Mullen, presidente do Estado-Maior Conjunto). Mas a realidade é que mesmo um conflito cibernético total não se compara a uma guerra termonuclear global que realmente ameaçou acabar com a vida na Terra. Nem houve um prelúdio do tamanho de Hiroshima ainda. Por exemplo, o tão alardeado ataque russo à Estônia em 2007 foi uma preocupação para o governo do país, que viu seus sites bloqueados e desfigurados, mas mal afetou a vida diária da maioria dos estonianos.

o trânsito está ruim agora

Na Geórgia, os ciberataques russos em 2008 derrubaram alguns sites do governo voltados para o exterior por alguns dias, mas esses foram um amendoim em comparação com os danos reais causados ​​por mísseis e bombas russos reais na guerra que os acompanhou. De fato, no ano seguinte, uma mulher de 75 anos foi capaz de superar todo o aparato de guerra cibernética russo usando uma mera pá. Em busca de sucata, ela acidentalmente cortou um cabo e tirou todo o serviço de Internet da vizinha Armênia. No entanto, nenhuma catástrofe local ou global resultou das ações físicas muito mais eficazes desse assim chamado hacker spade.

Da mesma forma, os ataques de 2009 contra os Estados Unidos e a Coreia do Sul são repetidamente citados como exemplos do que um governo estadual (a Coreia do Norte é geralmente reivindicada neste caso) pode fazer aos Estados Unidos neste domínio, mas o resultado real foi que os sites da Nasdaq, a Bolsa de Valores de Nova York e o The Washington Post ficaram intermitentemente inacessíveis por algumas horas. Os sites se recuperaram e, mais importante, essas instituições e as que delas dependem não foram irremediavelmente perdidas como se uma verdadeira arma de destruição em massa os tivesse atingido.

O problema da inflação de ameaças e da história mal aplicada é que existem riscos extremamente sérios, mas também respostas administráveis, das quais nos afastam. Ataques cibernéticos massivos, simultâneos e abrangentes na rede elétrica, no sistema bancário, nas redes de transporte, etc., nas linhas de um primeiro ataque da Guerra Fria ou o que o secretário de Defesa Leon Panetta chamou de o próximo Pearl Harbor (outro exagerado e inadequado analogia) certamente teria consequências importantes, mas também permanecem completamente teóricas, e a nação se recuperaria. Nesse ínterim, um perigo real para a segurança nacional está sendo ignorado: a combinação de crime online e espionagem que está gradualmente minando nossas finanças, nosso know-how e nossa vantagem empresarial. Enquanto os aspirantes a Cold Warriors cibernéticos olham para o céu e esperam que ele caia, eles estão tendo suas carteiras roubadas e seus escritórios roubados.

Aproximadamente 7 milhões de americanos relataram ter sofrido diretamente com atividades cibercriminosas no ano passado, enquanto de acordo com o governo britânico, ladrões online, extorsionários, golpistas e espiões industriais custam às empresas cerca de US $ 43,5 bilhões somente no Reino Unido. Internacionalmente, esses números somam centenas de bilhões de dólares, criando um grande entrave à economia global. Eles também estão reduzindo lentamente a confiança na indústria de TI e inovação que impulsionou grande parte do crescimento econômico da América nas últimas duas décadas (ainda mais importante durante o declínio da manufatura). Esses compromissos de propriedade intelectual crítica ameaçam minar as vantagens de longo prazo que os Estados Unidos têm desfrutado no comércio econômico. Veja os chamados ataques do Dragão da Noite, que revelaram segredos corporativos de empresas de energia ocidentais pouco antes de elas fazerem ofertas contra os chineses em grandes depósitos de petróleo. O resultado: bilhões de dólares em negócios perdidos nos próximos anos. Essa espionagem atingiu até mesmo pequenas empresas, até pequenas empresas de móveis. O problema também atinge a segurança nacional. Veja o comprometimento das contas de e-mail de funcionários dos EUA por hackers com base na China e cabos diplomáticos do WikiLeaks revelando segredos internos e comprometendo alianças externas. Ou veja a repetida penetração da Lockheed Martin Corp., fabricante do F-35 Joint Strike Fighter - o maior programa de armas da história do Pentágono. Terabytes de dados não classificados relacionados ao design do jato e aos sistemas eletrônicos foram roubados. Esses bytes perdidos representam bilhões de dólares em pesquisa e desenvolvimento e anos de vantagem tecnológica perdidos, tornando mais fácil contra-atacar (ou copiar) nosso último avião de guerra. E como um sinal do que estava por vir, tokens de segurança, permitindo que infiltrados passassem por funcionários da empresa, mais tarde também foram levados.

O Código Pirata

Se o paralelo mais adequado não é a Guerra Fria, então quais são algumas alternativas às quais poderíamos recorrer para obter orientação, especialmente quando se trata do problema de construção da cooperação internacional neste espaço? Os paralelos da cibersegurança, e algumas de suas soluções, estão mais nas décadas de 1840 e 1950 do que nas décadas de 1940 e 1950.

Muito parecido com o que a Internet está se tornando hoje, nos séculos passados ​​o mar era um domínio primário de comércio e comunicação sobre o qual nenhum ator poderia reivindicar o controle total. O que é notável é que os atores que se relacionavam com a segurança marítima e a guerra no mar naquela época são paralelos a muitas das situações em nossas redes hoje. Eles escalaram de piratas individuais a frotas estatais com uma presença global como a Marinha britânica. No meio estavam piratas sancionados pelo estado, ou corsários. Muito parecido com os hackers patrióticos de hoje (ou contratados da NSA), essas forças foram usadas para aumentar as forças militares tradicionais e adicionar desafios de atribuição para aqueles que tentam defender recursos marítimos distantes. Na Idade de Ouro dos corsários, um invasor poderia mudar rapidamente de identidade e localidade, muitas vezes tirando vantagem de portos de terceiros com leis locais flexíveis. As ações que o invasor pode realizar variam de bloqueios comerciais (semelhantes a uma negação de serviço) a roubo e sequestro, até ataques reais a ativos militares ou infraestrutura econômica subjacente com grande efeito.

Durante a Guerra de 1812, por exemplo, a frota corsária americana tinha mais de 517 navios - em comparação com os 23 da Marinha dos Estados Unidos - e, embora os britânicos conquistassem e incendiassem a capital americana, causaram tantos danos à economia britânica que obrigaram negociações.

Se houver certos paralelos, quais são então as lições em potencial que podemos adaptar à situação atual, além de tentar pendurar hackers no braço?

lei sharia na américa 2016

A pirataria marítima ainda está entre nós hoje. Mas está confinado às costas de estados falidos e em uma escala relativamente minúscula (cerca de 0,01 por cento do transporte marítimo global é realmente levado por piratas modernos). O corsário, paralelo aos ataques mais flagrantes que vimos no reino cibernético, não apenas caiu em desuso como tática militar, mas há muito tempo tornou-se um tabu. Embora o corsário possa ter vencido a Guerra de 1812 para os Estados Unidos, em 1856, 42 nações haviam concordado com a Declaração de Paris, que aboliu o corsário, e durante a Guerra Civil, o presidente Lincoln não só se recusou a recrutar saqueadores de aluguel, mas também criticou os confederados como imorais por fazerem eles próprios. Lembre-se, duas gerações antes, o emprego desses sequestradores foi a pedra angular da estratégia naval americana. Na década de 1860, não era mais algo que os governos civilizados faziam.

A forma como essa mudança aconteceu é instrutiva para a segurança cibernética e as relações globais hoje. Assim como o mar, o ciberespaço pode ser pensado como um ecossistema de atores com interesses e capacidades específicas. Responsabilidade e prestação de contas não são, de forma alguma, resultados naturais do mercado, mas incentivos e estruturas legais podem ser criados para permitir o mau comportamento ou para apoiar uma ordem pública mais ampla.

Para reprimir a pirataria e os corsários, foi adotada uma abordagem em duas frentes, que ia além de apenas reforçar as defesas ou ameaçar um ataque maciço como os Cold Warriors teriam. O primeiro passo foi ir atrás dos mercados e estruturas subjacentes que colocam os lucros em prática e lubrificam as engrenagens do mau comportamento. Londres desmantelou os mercados para o comércio de espólios de piratas; cidades amigas dos piratas, como Port Royal, na Jamaica, foram subjugadas e bloqueios foram lançados contra os potentados que abrigavam os corsários do sul do Mediterrâneo e do sudeste da Ásia. Hoje, existem equivalentes modernos a esses paraísos piratas. Por exemplo, as redes de apenas 50 provedores de serviços de Internet respondem por cerca da metade de todas as máquinas infectadas em todo o mundo, de acordo com um estudo preparado para a Organização para Cooperação e Desenvolvimento Econômico. Apenas três empresas processam 95% das transações de cartão de crédito para drogas falsas anunciadas por spammers, de acordo com uma pesquisa apresentada no Simpósio IEEE sobre Segurança e Privacidade em maio. Quando uma empresa de hospedagem particularmente nociva - McColo Corp. de San Jose, Califórnia - foi retirada, o volume de spam em todo o mundo caiu 70%. Sem o apoio dessas empresas, as empresas criminosas online não podem praticar suas ações ilegais, o que não só limpa os mares, mas também facilita a identificação e a defesa contra os ataques mais graves à infraestrutura. E, assim como os antigos portos amigos dos piratas, aquelas empresas e estados que permitem o crime cibernético um passe livre legal são geralmente conhecidas.

Isso se vincula à segunda estratégia: construir redes ou tratados e normas. Como Janice Thompson relata em seu estudo seminal, Mercenaries, Pirates and Sovereigns (Princeton University Press, 1996), sequestradores marítimos (e suas contrapartes aprovadas pelo estado) tornaram-se marginalizados à medida que as nações afirmavam ter maior controle sobre suas fronteiras e estabeleceram o monopólio da violência. Ao longo desse período, foi estabelecida uma teia de acordos bilaterais e multilaterais que afirmam os princípios do comércio aberto em mar aberto. Poucos desses documentos aboliram explicitamente a pirataria; nem foram universalmente aceitos. Mas eles pavimentaram o caminho para um código de conduta global que acabou transformando piratas de atores aceitos em párias internacionais, perseguidos por todas as grandes potências do mundo. Eles também estabeleceram que qualquer respeito pela soberania marítima viria somente quando uma nação assumisse a responsabilidade por ataques que emanassem de suas fronteiras.

O paralelo cibernético de hoje novamente é mais instrutivo do que tentar repetir as conversas sobre limitação de armas da Guerra Fria, como proposto em alguns relatórios recentes de grupos de reflexão. (Boa sorte ao tentar contar botnets como se fossem sites ICBM!) Em vez disso, o que é necessário é o desenvolvimento gradual de uma agenda internacional que busque criar um padrão de comportamento online que garanta o comércio legal e responsabilize aqueles que visam a web. A expectativa global compartilhada de liberdade dos mares deve ser acompanhada por uma expectativa global compartilhada de liberdade de comércio na Internet. Se você intencionalmente hospedar ou encorajar piratas marítimos ou corsários, as ações deles refletirão em você. O mesmo deve ser verdade online. A construção dessas normas motivará os estados e as grandes empresas a controlar melhor os hackers e criminosos individuais (o equivalente ao pirata). Também enfraquecerá o valor da terceirização de ações para hackers e empreiteiros patrióticos (os corsários modernos usados ​​com tanta frequência por estados como a Rússia e a China). E ajudará a criar uma linha mais distinta entre a conduta e os alvos civis e militares, uma grande preocupação dos ciberatores dos EUA.

razões pelas quais Hillary Clinton não deve ser presidente

Além de encorajar essa nova responsabilidade, os formuladores de políticas também podem buscar estratégias de fortalecimento da confiança que podem ter recompensas reais. No início de 1800, por exemplo, a Royal Navy e a nascente US Navy preparavam-se constantemente para lutar uma contra a outra. Mas eles também cooperaram em campanhas antipirataria e de tráfico de escravos. Essa cooperação ajudou a sublinhar as normas globais, bem como a construir uma maior confiança entre as duas forças, o que ajudou a mitigar o verdadeiro perigo de um conflito militar real durante várias crises. Da mesma forma, os Estados Unidos e a China certamente continuarão a reforçar nossas defesas cibernéticas e até mesmo as ofensas. Mas isso não deve ser uma barreira para tentar construir uma maior cooperação. Em particular, podemos lançar uma iniciativa para perseguir o que os chineses chamam de crimes duplos, aquelas ações no ciberespaço que ambas as nações reconhecem como ilegais.

O ponto subjacente aqui é que, ao navegar pela questão emergente da segurança cibernética, os formuladores de políticas terão que ser mais cuidadosos do que tentar aplicar cegamente as lições de seu próprio passado pessoal. Embora a segurança cibernética seja uma questão crucial e crescente de importância econômica e de segurança, os paralelos torturados da Guerra Fria cibernética de sua juventude não são tão frutíferos quanto seu uso generalizado poderia parecer. Na verdade, eles são menos úteis do que uma história marítima menos conhecida dos séculos anteriores.

Mas para esses e quaisquer outros paralelos históricos, há um limite. Devemos usar tais metáforas para abrir novos horizontes e perspectivas, não criar novas barreiras. Na verdade, como Mark Twain também disse em um corretivo à sua ideia de que a história rima, há apenas uma coisa solitária sobre o passado que vale a pena ser lembrada: o fato de que ele é passado.