Kaja Ciglic – Diretora Sênior, Paz Digital
Na semana passada, a Organização das Nações Unidas (ONU) divulgou suas recomendações mais substanciais até o momento sobre como os governos podem proteger o ciberespaço contra a escalada de conflitos. As recomendações reconhecem que o direito internacional se aplica ao comportamento do Estado online e relaciona setores específicos que devem ser considerados uma infraestrutura crítica e, portanto, proibidos de atacar, incluindo saúde, rede elétrica, educação, serviços financeiros, transporte, telecomunicações e processos eleitorais. Mas, embora isso seja um progresso, ainda não é o suficiente. A recente enxurrada de ataques cibernéticos prejudiciais, contra tudo, desde oleodutos a suprimentos de alimentos a organizações humanitárias, e os ataques de ransomware cada vez mais prejudiciais em uma variedade de setores, exigem que tomemos medidas concretas que implementem e mantenham as regras no ciberespaço. Os Estados membros da ONU devem se atentar a essas recomendações, juntamente com outras divulgadas no início deste ano, e rapidamente transformá-las em expectativas significativas e aplicáveis.
O relatório GGE – áreas de consenso avançam gradativamente
As novas recomendações divulgadas na semana passada estão incluídas no relatório final do Grupo de Especialistas Governamentais das Nações Unidas (GGE) sobre segurança cibernética, o grupo de trabalho a portas fechadas de representantes de 25 Estados membros da ONU estão encarregados de fornecer orientações sobre o comportamento de um Estado responsável online. De forma encorajadora, os principais compromissos no relatório final do GGE refletem aqueles reconhecidos pelo Grupo de Trabalho Aberto da ONU paralelo (OEWG) sobre segurança cibernética, que divulgou seu relatório final em março deste ano. Embora houvesse preocupações anteriores de que os dois processos da ONU poderiam ter chegado a conclusões contraditórias, os dois relatórios ressaltaram o consenso internacional sobre o que está sendo cada vez mais referido como a “estrutura para o comportamento do Estado responsável no ciberespaço” – o reconhecimento de que o direito internacional se aplica online e que as 11 normas de comportamento do estado acordadas no relatório do GGE de 2015 precisam ser mantidas.
Além de simplesmente reafirmar esses compromissos, no entanto, o relatório do GGE pela primeira vez explica como os estados devem implementar as 11 normas de segurança cibernética. É importante ressaltar que o relatório enumera uma lista não exaustiva de setores específicos que devem ser considerados “infraestrutura crítica” e fora dos limites para ataques. Destacar “infraestrutura médica e de saúde”, que tem sido tão essencial durante a pandemia de Covid-19, é particularmente digno de elogio, mas a lista também inclui outros setores que têm estado sob ataque recentemente, incluindo “energia, geração de energia, água e saneamento, educação, serviços comerciais e financeiros, transporte, telecomunicações e processos eleitorais.” Reconhecer expressamente esses setores como necessitando de proteção ajudará a impulsionar maiores investimentos em sua segurança e também deve ser visto como uma linha vermelha para comportamentos maliciosos de estados que – quando ultrapassados - geram consequências.
Além de explicar o que os Estados podem e devem fazer por conta própria, o relatório reconhece que o ciberespaço não para nas fronteiras nacionais e que a cibersegurança não é um jogo de soma zero. Os estados precisarão trabalhar juntos para manter a segurança e a estabilidade online. Esse tipo de cooperação, no entanto, requer a construção da base diplomática necessária para se engajar no que é um novo espaço temático para muitas nações. Para tanto, o relatório incentiva os estados a participarem dos esforços de capacitação, estabelecer pontos de contato designados para se coordenar com outros governos e criar meios para responder às solicitações de assistência após incidentes cibernéticos, bem como rotinas para relatar vulnerabilidades técnicas. Essas são ações fundamentais para garantir que os estados possam cumprir seus compromissos de promoverem a segurança online.
Apesar desses elementos promissores, no entanto, o relatório infelizmente faz progresso limitado na aplicação do direito internacional online ou na inclusão de múltiplos interessados. Embora reafirme que o direito internacional se aplica ao ciberespaço, o relatório falha em dizer como o faz, ao invés de encorajar os estados a apresentarem suas próprias opiniões sobre o assunto, deixando em aberto questões jurídicas a resolver. No entanto, mesmo aqui há alguma promessa, já que o relatório vem com as opiniões dos 25 Estados que participaram do diálogo sobre o assunto – pedimos que outros façam o mesmo em breve. Talvez a omissão mais gritante seja a escassa referência à participação de múltiplos interessados nesses diálogos ou na implementação dos compromissos resultantes. Em um domínio cibernético que pertence e é operado em grande parte pelo setor privado, o progresso significativo no desenvolvimento e na manutenção de expectativas de comportamento responsável exigirá uma cooperação muito mais estreita entre governos e indústria, bem como a sociedade civil.
Passando a tocha – um novo capítulo dos diálogos cibernéticos
A série de diálogos do GGE que começou em 2004 lançou uma base inestimável ao estabelecer e reforçar normas online para o comportamento do Estado responsável. Mas implementar e manter essas expectativas não é adequado para grupos de trabalho ad hoc, ou seja, criados para determinado fim, e abertos apenas a estados. O fato de o progresso ter sido tão lento e incremental na última década sinaliza claramente que uma nova e significativamente diferente era de diálogo internacional sobre segurança cibernética precisa começar – na ONU e além.
Em primeiro lugar, os Estados precisam colocar os cidadãos no centro dessas discussões. O foco das deliberações não deve ser apenas na competição interestadual, mas também em garantir que outros aspectos da segurança nacional sejam considerados. Isso inclui elementos como a preservação dos benefícios do ciberespaço para as economias nacionais e a proteção dos direitos humanos e das liberdades, que foram reconhecidos em domínios físicos, estendendo-os ao ciberespaço.
Em segundo lugar, os estados precisam reconhecer que os limites de mandato para esses diálogos são contraproducentes no contexto do conflito cibernético. Esta é uma área problemática que persistirá no futuro previsível, à medida que o mundo continua a aumentar sua dependência da tecnologia. Um órgão permanente para tratar de questões de paz e segurança no ciberespaço precisa ser estabelecido, a fim de acompanhar os desafios em um domínio digital em constante evolução.
Finalmente, as futuras discussões na ONU devem ser construídas em torno de um modelo de participação múltipla que reúna as vozes da indústria e da sociedade civil de forma sistemática e consistente. O mundo online é amplamente construído e mantido pela indústria privada, portanto, as deliberações sobre paz e segurança online não podem ser exclusivas de um grupo seleto de governos. A inclusão de múltiplos interessados deve ser construída na estrutura de todos os futuros diálogos sobre segurança cibernética na ONU, com padrões mínimos definidos para sessões de consulta por escrito e presenciais com partes interessadas não governamentais.
Sem tempo a perder
Olhando para o futuro, o Programa de Ação (POA) atualmente discutido, proposto pela França, Egito e outros países, tem o potencial de fornecer o órgão inclusivo e permanente descrito acima. No entanto, não podemos esperar que ele seja introduzido até o final do novo OEWG em cinco anos, como alguns estados sugeriram. Os ataques estão aumentando muito à frente do ritmo da diplomacia. Precisamos nos mover mais rápido e agir imediatamente.
Além de nos movermos rapidamente, também precisamos pensar de forma criativa para garantir que os recursos e percepções fora da ONU sejam aproveitados para manter as expectativas internacionais online. O trabalho da Chamada de Paris por Confiança e Segurança no Ciberespaço reúne uma coalizão de múltiplas partes interessadas sem precedentes de apoiadores comprometidos em manter as expectativas de um comportamento responsável online. Suas recomendações sobre a implementação de normas devem ser consideradas no contexto dos esforços da ONU. Além disso, na interpretação do direito internacional no ciberespaço, o chamado “Processo de Oxford” fornece um fórum proeminente para construir consenso entre os principais acadêmicos de todo o mundo sobre questões delicadas. Em vez de operar em silos como processos totalmente independentes, o trabalho dessas e de outras iniciativas deve ser visto como ferramentas para levar adiante a visão estabelecida pela ONU para um ciberespaço mais pacífico e seguro, e como fonte para mais inovação e evolução de expectativas internacionais para todos os atores online.
Finalmente, precisamos ir além das discussões. Precisamos trabalhar juntos como uma comunidade global para garantir que os agentes mal-intencionados sejam responsabilizados. Quando as linhas são cruzadas, as normas rompidas e as leis internacionais violadas, deve haver consequências. Minar a segurança das cadeias de fornecimento de TIC, atacar organizações de saúde, ameaçar o transporte de energia e colocar em risco os recursos alimentares não podem se tornar os tipos de atividades que são normalizadas devido à falta de ação. Os alarmes estão soando e precisamos coletivamente estar à altura do desafio.