O relatório bipartidário da Cyberspace Solarium Commission, divulgado hoje, faz mais de 75 recomendações que vão do bom senso às desconcertantes.
Salve esta história
Salve esta história
Hoje, a Comissão do Solarium do Ciberespaço dos EUA divulgou seu relatório final. O documento de 182 páginas foi o culminar de um processo bipartidário que durou um ano para desenvolver uma nova estratégia cibernética para os Estados Unidos. Criada pela Lei de Autorização de Defesa de 2019, a comissão inspira-se no trabalho da comissão criada pelo Presidente Dwight Eisenhower na década de 1950, quando este enfrentava novos desafios estratégicos que exigiam revisões políticas.
“O que estamos tentando fazer é um relatório da comissão sobre o 11 de setembro sem o 11 de setembro”, disse-me o senador Angus King, um dos dois co-presidentes da comissão.”Estamos tentando resolver o problema antes que se torne um desastre.”
OPINIÃO COM FIO
SOBRE O SITE
Justin Sherman (@jshermcyber) é redator de análises da WIRED e membro da Atlantic Council Cyber Status Initiative.
Ao ler o relatório, destacam-se três categorias de recomendações: sólidas e específicas, vagas e ausentes. Cada proposta do relatório enfrentará inevitavelmente obstáculos políticos e burocráticos, levantando questões sobre como medir o sucesso da comissão na revisão da estratégia cibernética dos EUA.
No cerne das mais de 75 recomendações da Comissão Cyberspace Solarium está a crença de que as políticas de segurança cibernética existentes estão a falhar.“Os opositores suspeitam que o governo dos EUA irá retaliar pelos cortes de energia numa grande cidade”, diz o relatório, “mas questionam a determinação dos americanos” em responder a eventos como a interferência eleitoral e o roubo de propriedade intelectual.“O resultado é uma espécie de morte por mil golpes”, disse o senador King.
Em primeiro lugar, estas são recomendações específicas e de bom senso que tentam fazer a bola rolar. Muitas medidas de segurança eleitoral enquadram-se nesta categoria.
A comissão recomenda, por exemplo, o uso de “sistemas de votação em papel verificáveis e verificáveis pelo eleitor”. Se as eleições de 2016 não foram suficientes para nos fazer pensar, o desastre de Iowa em Fevereiro deveria ter sido um sinal de alerta: a utilização de tecnologia não testada nas eleições é um acto imprudente que mina tanto o processo eleitoral como a confiança pública. A votação impressa, desde que as condições listadas sejam atendidas, é uma resposta confiável e também específica.
O restabelecimento do cargo de coordenador cibernético da Casa Branca é uma proposta igualmente sólida apresentada pela comissão. A eliminação do cargo por John Bolton em 2018 (juntamente com muitos cargos vagos no Conselho de Segurança Nacional) prejudicou a capacidade do poder executivo de gerir a política cibernética. A reintegração do coordenador reconhece a necessidade de a política cibernética se tornar uma prioridade nacional e de uma estratégia cibernética abrangente dos EUA ser coordenada através de um alto funcionário da Casa Branca.“É preciso haver um coordenador de ação no ciberespaço no poder executivo”, disse-me o deputado Mike Gallagher, outro co-presidente do painel.
Outra recomendação de bom senso é criar e dotar de recursos adequados o Gabinete de Segurança do Ciberespaço e Tecnologias Emergentes do Departamento de Estado, chefiado por um Secretário de Estado Adjunto. É muito importante; o financiamento para a ciberdiplomacia é essencial. O Congresso e várias administrações da Casa Branca continuam a reduzir as capacidades diplomáticas dos EUA numa variedade de frentes, e isto está a prejudicar a capacidade da América de se envolver na resolução de problemas cibernéticos.“A mudança a longo prazo na conformidade requer a participação de toda a comunidade internacional”, diz o relatório, “e este processo começa com a liderança, os recursos e o pessoal apropriados no Departamento de Estado”.
Mais popular
A ciência
Uma bomba-relógio demográfica está prestes a atingir a indústria da carne bovina.
Matt Reynolds
Negócios
Dentro do complexo ultrassecreto de Mark Zuckerberg no Havaí
Guthrie Scrimgeour
Engrenagem
Primeiro, dê uma olhada no Matic, o aspirador robô redesenhado
Adriane So
Negócios
As novas alegações de Elon Musk sobre a morte de macacos estimulam novas demandas de investigação da SEC
Dhruv Mehrotra
“Reconhecemos que as regulamentações não surgem de um laboratório criado por diplomatas cibernéticos – elas exigem uma ação contínua e uma disposição para arcar com os custos”, disse o porta-voz Gallagher. Mas “acreditamos que, com o tempo, trabalhando em colaboração com os nossos aliados, poderemos resistir ao autoritarismo digital, liderado pela China, e à interferência cibernética, liderada pela Rússia”.
Além de sugestões específicas de bom senso, há um segundo grupo de sugestões – aquelas que são úteis, mas definitivamente vagas. Embora muitos deles tenham boas intenções, o uso excessivo de jargões e a falta de especificidade correm o risco de turvar o caminho para a implementação.
O painel recomenda, por exemplo, que o Pentágono desenvolva uma “estratégia de sinalização multicamadas” baseada no conceito de “defesa avançada” delineado na Estratégia Cibernética de 2018 do Departamento de Defesa.(De acordo com o Pentágono, isto envolve interromper ou parar a atividade cibernética maliciosa na sua origem, inclusive para além do limiar do conflito armado.)Quando a estratégia foi divulgada, houve um entusiasmo generalizado na comunidade de segurança nacional orientada para os militares e para a dissuasão sobre o conceito de “defender para a frente”. No entanto, noutros países houve confusão igual, se não maior, sobre o que significava “defesa avançada”.
Os analistas militares chineses também ficaram confusos, e mesmo dentro do próprio Pentágono não estava claro até que ponto os estrategistas e operadores concordavam com os riscos desta mudança estratégica (ou seja, que um país estrangeiro perceberia “defesa avançada” como um código para “ataque”). . A recomendação da Comissão é certamente bem direccionada. No entanto, uma proposta vaga para sinalizar internacionalmente quando os militares ainda enfrentam incertezas internas sobre a “defesa avançada” é uma proposta com um caminho pouco claro para a implementação e capacidade limitada para medir o sucesso.
A recomendação para o poder executivo “desenvolver e manter o planeamento da continuidade económica em consulta com o sector privado” tem elementos relativamente vagos. A recomendação parece ter como objetivo garantir que funções económicas críticas, como as comunicações celulares civis e o transporte marítimo, sejam mantidas em caso de crise cibernética. Este é um exemplo do aumento das parcerias público-privadas, uma frase adorada e extremamente vaga que parece ser um requisito de facto em todos os documentos cibernéticos governamentais.
Assim, o planeamento da continuidade económica reconhece duas coisas: a segurança nacional e os riscos económicos estão a tornar-se cada vez mais interligados, e o sector privado está a influenciar cada vez mais a segurança nacional através da manutenção da infra-estrutura digital. O principal desafio, contudo, é gerir adequadamente esta rede de riscos de uma forma que impeça, por exemplo, que o governo alargue excessivamente os seus poderes de segurança. O relatório presta pouca atenção a estas questões do mundo real.