Para avaliar se as táticas de segurança cibernética estão funcionando, você deve primeiro descobrir o que era realmente um hack de solarwinds.
Salve esta história
Salve esta história
A lista de agências governamentais afetadas pelos hacks do Solarwinds continua a se expandir: é relatado para penetrar no Tesouro, o Ministério do Comércio, o Ministério da Segurança Interna, bem como, possivelmente, para o Estado, o Ministério da Defesa e o Centro para controle e prevenção de doenças. Isso é muito importante para a segurança nacional: este é o maior vazamento de dados bem conhecido sobre informações do governo desde o momento da gestão do pessoal de hackers em 2014 e pode dar aos hackers uma dispersão de informações internas.
Opinião com fio
Sobre o site
A Dra. Erica Borgard é pesquisadora sênior do Atlantic Council e pesquisadora júnior do Instituto de Estudo da Guerra e do Mundo em homenagem a Saltsman na Universidade de Columbia. O Dr. Zhaklin Schneider é pesquisador da Hoover na Universidade de Stanford, pesquisador não residente do Instituto de Política de Cibernética e Inovação do Colégio Naval e funcionário do Stanford Center for International Security and Control of Arms.
Embora a escala desse hacking ainda esteja sendo esclarecida, essa penetração tão incomum nos faz fazer uma pergunta completamente óbvia: a estratégia cibernética dos EUA funciona? Os Estados Unidos historicamente confiaram pela primeira vez na estratégia de dissuasão e, recentemente – com a idéia de “defesa adiante” para prevenir e responder ao comportamento malicioso no ciberespaço. Esta é a falha dessas estratégias para culpar? A resposta a esta pergunta (assim como a todas as questões políticas) é complicada.
Primeiro de tudo, é importante determinar que tipo de hack era. O fato de que, presumivelmente, o sujeito do estado (provavelmente a Rússia) foi capaz de comprometer os terceiros (Solarwinds) para obter acesso ao número desconhecido de redes governamentais dos Estados Unidos e retirar dados é uma conquista significativa no campo da espionagem. E isso ilustra como os fornecedores de terceiros podem ameaçar a oportunidade de realizar campanhas de espionagem de uma escala que geralmente não é encontrada fora do ciberespaço.
Mas para chamar esse incidente, um ataque cibernético estaria errado. No momento, a operação parecia ser uma espionagem para roubar informações sobre segurança nacional, e não uma violação, recusa ou deterioração da qualidade dos dados ou redes do governo dos EUA. Embora possa parecer que é apenas a separação de cabelos, a terminologia é importante, pois tem consequências políticas e muitas vezes legais. A espionagem é uma parte universalmente reconhecida da estrutura estatal internacional, à qual os estados geralmente atendem a prisões, diplomacia ou contr a-inteligência. Por outro lado, o ataque (até a kiberataka) tem consequências legais internacionais e internas que podem permitir que os estados respondam por força. Até agora, pelo menos esse hacking não é tal.
Por outro lado, a questão do que esse incidente significa para as ciberngelas não é tão inequívoca. Para entender por que essa é uma pergunta difícil, é útil descobrir como essa estratégia funciona (e não funciona). A derminação é a crença do inimigo de não fazer algo, ameaçando o castigo ou criando a impressão de que é improvável que a operação seja be m-sucedida. Fazer isso não é fácil por vários motivos. Em primeiro lugar, os estados devem ameaçar uma resposta que assustaria e despertasse a confiança. A ameaça pode ser implausível, porque o estado não tem possibilidades para sua implementação. Ou, como costuma ser o caso no caso dos Estados Unidos, as ameaças podem não causar confiança, porque os oponentes não acreditam que serão cumpridos. Por exemplo, os Estados Unidos podem ameaçar o uso de armas nucleares em resposta a ciberespões, mas nenhum estado acreditará que os Estados Unidos realmente iniciarão um ataque nuclear em resposta a um vazamento de dados. Esta é apenas uma ameaça implausível.
O que ainda mais complica a situação é que é difícil determinar quando a dissuasão realmente funcionou, porque se funcionasse, nada aconteceu. Portanto, mesmo que o estado tenha sido contido por uma boa defesa, é quase impossível descobrir se o ataque foi seguido simplesmente porque não estava interessado nisso desde o início.
Existem muito poucos mecanismos de dissuasão, se é que existem, que funcionam para prevenir a espionagem cibernética. Como os estados espionam uns aos outros rotineiramente – tanto amigos quanto inimigos – há penalidades confiáveis muito limitadas que os estados podem usar para ameaçar outros a não espionar. Os EUA tentaram várias opções de dissuasão cibernética, como a emissão de mandados de prisão para hackers patrocinados pelo Estado ou a ameaça de sanções à inteligência cibernética. Mas eles tiveram sucesso limitado. Contudo, isto não significa que devamos deitar fora a dissuasão juntamente com a água do banho. Como salienta John Lindsay, professor da Universidade de Toronto, o sucesso da dissuasão para além do ciberespaço pode impulsionar e moldar o comportamento dos Estados no ciberespaço. E há provas convincentes de que a dissuasão pode funcionar no ciberespaço. Nenhum adversário alguma vez conduziu um ataque cibernético contra os Estados Unidos que resultasse em violência ou em impactos significativos e sustentados nas infraestruturas ou nas capacidades militares. Isto pode dever-se ao facto de as grandes e letais forças convencionais dos EUA proporcionarem um impedimento credível a limiares mais elevados de ataques cibernéticos. O desafio estratégico mais difícil para os Estados Unidos reside no espaço entre a espionagem de segurança nacional (onde a dissuasão não se aplica) e os grandes ataques cibernéticos (onde a dissuasão parece funcionar).
