Os desafios do ciberespaço e as ameaças à segurança e defesa da União Europeia
Diogo de Brito Fonseca, aluno 28559, subturma 8
Conceito e primórdios até à atualidade da cibersegurança na “Sociedade Europeia”
O ciberespaço é uma representação
física e multidimensional do universo abstrato da 'informação'. Um lugar para
onde se vai com a mente, catapultada pela tecnologia, enquanto o corpo fica para
trás,[1]mas
não é assim tão linear.
Não
existe nenhuma definição universalmente aceite de ciberespaço, apesar de ser
intuitivo dizer que este é um espaço em que a presença física do utilizador não
é mandatória para constituir comunicação disposta por um meio de tecnologia.
Como a Professora Ana
Guerra Martins afirma no seu manual, o conceito de ciberespaço é um desafio
para o direito e os sujeitos de direito internacional. A União Europeia e o
SEAE, por exemplo, usam o termo cibersegurança para ameaças relacionadas com o
contexto civil, deixando o termo ciberdefesa para as ações militares,[2] mas entende-se que o
ciberespaço abrange desde a informação digitalizada, as infraestruturas, como
as comunicações por satélites, as redes de servidores, a internet, os
computadores, incapazes de se localizares espacialmente, as informações e até
os seres humanos, utilizadores de tecnologia.
Este
tema é relativamente recente nas agendas da União Europeia, prova disso é um
documento, datado do início de 2001, indexado por COM(2000) 890 e intitulado “Creating a Safer Information Society by
Improving the Security of Information Infrastructures and Combating
Computer-related Crime”[3], o que atesta a não
associação à ocorrência da catástrofe de 11 de Setembro de 2001, à luta contra
o “megaterrorismo”, mas como consequência do incremento de atividades ilícitas
de índole eletrónica, perpetradas pelo crime organizado transnacional nos
primeiros anos de Globalização. Esta Convenção de 2001 constituiu um
“catalisador” para a Comissão Europeia nos assuntos de combate a este tipo de
crimes, instigando os Estados-Membros a combater o crime por meios efetivos
(meios não muito elucidativos e demonstrados na convenção).
Nos
dois anos que se seguiram, foram publicados vários documentos da mesma natureza
e versando os mesmos temas e preocupações, sendo três deles significativos:
dois definindo e implementando a iniciativa eEurope
2005; um outro, considerado relevante na European
Economic Area, estabelecendo as bases da European Network and Information
Security Agency – ENISA.[4]
Pelos
anos seguintes, surgiram documentos fundamentais que davam resposta às
vulnerabilidades que pudessem advir dum resultado na falha de serviços
essenciais, Proteção de Infraestruturas Críticas, diretivas como a diretiva de
2008/114/EC que se centrava nos setores de energia e dos transportes,
abrangendo também as tecnologias de informação; a diretiva destinada ao setor
das telecomunicações (Telecommunications
Framework Directive – 2009/140/EC) que atribui à ENISA um papel relevante
quanto à segurança no setor das telecomunicações da UE; e a COM(2009) 149 de 30
de Março de 2009, focalizada na proteção para a Europa das possíveis
ciber-falhas contra as Infraestruturas críticas; e também é importante referir
a JOIN (2013) 1: Joint Communication to
the European Parliament, The Council, The European Economic and Social Commitee
and the committee of the Regions – Cybersecurity Strategy of the European
Union: An Open, Safe and Secure Cyberspace, que pretende reforçar a
preocupação com o facto de nos países não pertencentes à UE, os governos
poderem também utilizar de forma abusiva o ciberespaço para a vigilância e o
controlo dos seus próprios cidadãos e a diversificação e sofisticação dos
métodos dos cibercriminosos de acederem a sistemas informáticos quer no setor
público quer no dos particulares.
Seguindo
esta lógica surge em 13 de Setembro de 2017, a partir da Alta Representante e a
Comissão, uma Comunicação conjunta ao PE e ao Conselho, intitulada
“Resiliência, Dissuasão e Defesa: Reforçar a Cibersegurança na UE, que não se
limita a identificar problemas, como a Comunicação anterior, mas propõe
soluções concretas para os tentar resolver, baseando-se numa abordagem
coletiva, global e transversal, como a Professora Ana Guerra Martins o diz no seu manual. As
ações propostas na mesma destinam-se (i) a desenvolver a resiliência aos
ciberataques, (ii) a dissuadir ações maliciosas e criminosas ao nível da União
e (iii) a reforçar a cooperação internacional no domínio da cibersegurança.[5]
No que toca ao aumento da
resiliência aos ciberataques, a Comunicação propõe as seguintes ações chave:
Ø “A
aplicação, na íntegra, da diretiva relativa à segurança das redes e da
informação”
Ø A
adoção rápida, pelo Parlamento Europeu e pelo Conselho, do regulamento que
estabelece um novo mandato para a Agência da UE para a Segurança das Redes e da
Informação (ENISA) e um quadro europeu para a certificação;
Ø A
iniciativa conjunta da Comissão e da indústria para definir um princípio de
“dever de diligência” a fim de reduzir as vulnerabilidades dos
produtos/suportes lógicos e promover a “segurança desde a conceção”;
Ø A
execução rápida do plano de ação para a resposta a incidentes transfronteiriços
em grande escala;
Ø A
avaliação de impacto para estudar a possibilidade de uma proposta da Comissão,
em 2018, para a criação de uma rede de centros de competências em matéria de
cibersegurança e de um Centro Europeu de Investigação e de Competências em
matéria de Cibersegurança, partindo de uma fase-piloto imediata;
Ø O
apoio aos Estados-Membros na identificação dos domínios em que projetos de
cibersegurança comuns possam ser considerados para efeitos de financiamento
pelo Fundo Europeu de Defesa;
Ø A
criação de um “balcão único” a nível da
UE para ajudar as vítimas de ciberataques, prestando informações sobre as
ameaças mais recentes e reunindo recomendações práticas e instrumentos de
cibersegurança;
Ø A
adoção, pelos Estados-Membros, de medidas para integrar a cibersegurança em
programas de competências, na administração pública em linha e em campanhas de
sensibilização;
Ø A
adoção, pela indústria, de medidas destinadas a intensificar a formação em
matéria de cibersegurança para o seu pessoal e adotar o princípio da “segurança
desde a conceção” para os seus produtos, serviços e processos.[6]
Além
da resiliência, a Comunicação considera necessário criar um conjunto de medidas
dissuasoras ao nível da União que sejam eficazes:
Ø Iniciativa
da Comissão para o acesso transfronteiriço a provas eletrónicas (início de
2018);
Ø Adoção
rápida, pelo Parlamento Europeu e pelo Conselho, da proposta de diretiva
relativa ao combate à fraude e à contrafação de meios de pagamento que não em
numerário;
Ø Introdução
de requisitos relativos ao IPv6 nos concursos públicos e no financiamento de
investigação e de projetos por parte da UE;
Ø Celebração
de acordos voluntários entre os Estados-Membros e os fornecedores de serviços
de Internet para promover a adoção do IPv6;
Ø Ênfase
renovada e alargada da Europol no domínio da informática forense e da
monitorização da Internet obscura (darknet);
Ø Aplicação
do quadro para uma resposta diplomática conjunta da UE às ciberatividades
maliciosas;
Ø Reforço
do apoio financeiros a projetos nacionais e transnacionais para a melhoria da
justiça penal no ciberespaço;
Ø Criação,
em 2018, de uma plataforma de formação em matéria de cibersegurança para fazer
face ao atual défice de competências em matéria de cibersegurança e de
ciberdefesa.[7]
A Comunicação aprofunda a
cooperação com a NATO no que toca a matérias de cibersegurança.
Substancialmente, o reforço da cooperação internacional passa pelas seguintes
medidas:
Ø Criação
de um quadro estratégico para a prevenção de conflitos e a promoção da
estabilidade do ciberespaço no âmbito dos seus compromissos bilaterais,
regionais, multilaterais e com todas as partes interessadas;
Ø Apoio
aos esforços no sentido de reforçar a resiliência nacional de países terceiros,
o que irá aumentar o nível de cibersegurança a nível mundial;
Ø Promover
um modelo de reforço das capacidades baseado nos direitos, em consonância com a
abordagem Digital4Development.;
Ø Aprofundar
a sua cooperação com a OTAN em matéria de cibersegurança, ameaças híbridas e
defesa, incluindo a participação em exercícios paralelos e coordenados e uma
maior interoperabilidade das normas relativas à cibersegurança.
Cyber dangers: Darknet
e Ameaças híbridas
A Darknet resume-se a um
conjunto de redes encriptadas que estão intencionalmente escondidas da Internet
visível através de sistemas de encriptação. Como tal, não se encontram sites da
Darknet através de pesquisas em
motores de busca, ou ao escrever o endereço de IP em browsers normais.[8]
É difícil encontrar a
origem do conteúdo alojado nestas redes, visto que apenas podem ser acedidas
através de software e configurações
específicas, sendo que dois terços das vendas feitas a partir da Darknet são relacionadas
com drogas.[9]
A Diretiva 2013/40/EU do
Parlamento Europeu e do Conselho foi um passo importante para melhorar a
resposta do direito penal aos ciberataques, mas a Comunicação de 2017 supramencionada
concede ênfase renovado e alargado à Europol no domínio da informática forense
e da monitorização da Internet obscura, Darknet.
Na verdade a Europol
criou uma equipa de investigação para esta temática que reúne agências de
aplicação da lei de toda a UE e outros parceiros, como empresas de tecnologia e
de social media, de acordo com um
comunicado de imprensa da European
Union’s law enforcement agency, sendo também organizado sessões e campanhas
com o objetivo de prevenir e sensibilizar as populações para o cybercrime.[10]
Nos últimos anos, a EU e
os seus Estados-Membros têm estado progressivamente expostos às ameaças híbridas que incluem ações
hostis com o objetivo de desestabilizar uma região ou um Estado. As ameaças
híbridas têm uma natureza evolutiva que visam explorar as vulnerabilidades de
um país e, muitas vezes, pretendem minar os valores democráticos e liberdades
fundamentais.[11]
O conceito de Guerra
Híbrida surgiu no início do séc. XXI, quando as potências militares ocidentais
se viram envolvidas em ambientes operacionais complexos e desafiantes, como o
Afeganistão e o Iraque, e os teorizadores militares tentaram entender melhor o
seu desenvolvimento, incluindo a natureza da conduta da guerra nestes
conflitos, mais recentemente, este tipo de atuação tem sido atribuído ao
denominado Estado Islâmico, desde 2013, pelo uso sinérgico de operações
militares convencionais com terrorismo, crime organizado, guerra cibernética,
etc.[12]
Podemos definir o termo
“híbrido” como uma combinação de meios convencionais e não-convencionais (ou
irregulares) que podem ser utilizados de forma coordenada por intervenientes
estatais ou não estatais para atingir objetivos específicos sem a existência
formal de guerra declarada. Se existe algum consenso quanto às características
da guerra híbrida, ele já não existe quanto à novidade desta forma de conflito.
Muitos teorizadores referem que este não é um fenómeno novo, existindo vários
casos de guerras no passado que demonstram a utilização de estratégias que
caracterizam este tipo de guerra, como a guerra da Revolução Americana
(1775-83), com a participação e envolvimento de milícias populares, para além
do Exército Continental, e mais atual, a mistura de meios regulares e
irregulares também foi prevalente na guerra do Iraque em 2003, mais um indicador
da natureza adaptativa da ameaça.
Através de um documento
do European External Action Service (Countering hybrid
threats, food-for-though paper), de Maio de 2015, a UE caracterizou a
guerra híbrida como o uso centralmente concebido e controlado de várias t´ticas
encobertas e abertas, decretadas por meios militares e não-militares, que vão
desde operações de informações e cibernéticas através de pressão económica para
o uso de forças convencionais.[13]
A NATO define o conceito
de ameaça híbrida como aquela que é colocada por um adversário atual ou
potencial, incluindo Estados, não-Estados e terroristas, com a capacidade,
demonstrada ou provável para, simultaneamente, empregar meios convencionais e
não convencionais de forma adaptativa em busca dos seus objetivos.[14]
É da responsabilidade dos
Estados a resposta a estas ameaças dado que são a segurança e a defesa
nacionais que estão em causa, bem como a manutenção da lei e da ordem, que é
específica de cada país. No entanto, como a Professora Ana Guerra Martins
refere no seu manual, muitos Estados-Membros da UE enfrentam ameaças comuns,
que podem visar igualmente redes ou infraestruturas transfronteiras o que
possibilita uma resposta mais eficaz e coordenada a nível da UE, recorrendo às
políticas e instrumentos da UE, para tirar partido da solidariedade europeia,
da assistência mútua e de todo o potencial do Tratado de Lisboa.
Em 6 de Abril de 2016 a
Alta Representante e a Comissão apresentam a Comunicação Conjunta ao Parlamento
Europeu e ao Conselho, na qual se estabelece o Quadro comum em matéria de luta
contra as ameaças híbridas, apresentando 22 ações para responder a estas,
visando o aumento do conhecimento da situação, reforçar a resiliência,
prevenir, responder e recuperar das crises e intensificar a cooperação com a
NATO. A Comunicação propõe a criação de uma célula de fusão da EU contra as
ameaças híbridas no âmbito da estrutura existente INTCEN[15] (European Union Intelligence and Situation Centre), capaz de receber
e de analisar informações classificadas e provenientes de fontes abertas sobre
ameaças híbridas, tendo os Estados-Membros de criar pontos de contacto
nacionais sobre estas ameaças para garantir a cooperação e comunicação segura
com o Centre da UE, e no caso de um
Estado ser “atacado”, terá de estar preparado para responder e recuperar.
Baseando-se na ideia de
resiliência, dos Estados-Membros saírem
reforçados dos desafios, as ações propostas incidem em áreas como a proteção
das infraestruturas críticas, das já mencionadas neste artigo, a capacidade de
defesa, a proteção da saúde e da segurança dos alimentos, a cibersegurança, a
focalização no financiamento das ameaças híbridas, o reforço da resiliência
contra a radicalização e o extremismo violento e o reforço da cooperação com
terceiros.
Conclusões
O percurso de
implementação das políticas de Cibersegurança na UE tem sido enviesado,
complexo e difícil. Isto tem sido devido a razões de funcionamento interno –
descoordenação, sobreposição de instituições e de políticas por vezes
contraproducentes- e a condicionalismos de pressão externos numa comunidade
composta por Estados-Membros democráticos, mas com interesses díspares, agendas
muito próprias, que inibem os objetivos por eles mesmos definidos em Conselho,
e com amplas maiorias no Parlamento Europeu.
Mas a construção de uma
verdadeira Segurança para o Ciberespaço na União Europeia passa, segundo alguns
autores, como KLIMBURG, por três níveis: “Coordenação dos/nos Governos” dos
Estados-Membros, onde conta o “elo mais fraco” do sistema; “Colaboração
Internacional”, com uma participação atenta e ativa nos vários fóruns; e
“Cooperação na própria UE” e dos seus relacionamentos internos institucionais
com os EMs, ao nível do Conselho, no PE e suas relações com os Parlamentos
Nacionais e, muito em especial, com a Sociedade Civil europeia, as ONGs, não
esquecendo o setor privado da economia.[16]
Estes desafios passam
também pelo desenvolvimento de uma cultura de inovação do homem e da força
sustentada numa formação militar profissional sólida, no desenvolvimento
institucional de organizações de aprendizagem e no desenvolvimento de uma
mentalidade híbrida, que prepare o elemento humano para combater o
desconhecido.
Bibliografia/Webgrafia
- Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018.
- Aníbal Manuel da Costa Fernandes, “A dimensão política da Segurança para o
Ciberespaço na União Europeia: A Agenda Digital, a Estratégia de Cibersegurança
e a cooperação UE-OTAN”, Ponta Delgada, 2014.
- Hugo Miguel Moutinho Fernandes, “As Novas Guerras: O Desafio da Guerra
Híbrida”, Lisboa, 2016
- Comissão Europeia – Comunicado de Imprensa,
“Segurança: UE reforça resposta às ameaças híbridas”, Bruxelas, 6 de Abril de
2016
[1] Gibson, 2003, p.5-6
[2] Ana Maria Guerra
Martins, “Os Desafios Contemporâneos à Ação Externa da União Europeia”,
Almedina, 2018, p. 399
[4] Aníbal
Manuel da Costa Fernandes, “A dimensão
política da Segurança para o Ciberespaço na União Europeia: A Agenda Digital, a
Estratégia de Cibersegurança e a cooperação UE-OTAN”, Ponta Delgada, 2014,
p. 18
[5] Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018,
p. 401
[6] Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018,
p. 401 e 402
[7] Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018,
p. 402 e 403
[11] Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018,
p. 407
[12]
Hugo Miguel
Moutinho Fernandes, “As Novas Guerras: O
Desafio da Guerra Híbrida”, Lisboa, 2016, p. 8
[15] Ana Maria Guerra Martins, “Os
Desafios Contemporâneos à Ação Externa da União Europeia”, Almedina, 2018,
p. 409
[16] Alexander Watson Klimburg,
diapositivo n.º 6, https://mediacapture.brown.edu:8443/ess/echo/presentation/8792278f-7098-40ec-87a7-a51ac98c49fa
Sem comentários:
Enviar um comentário