Em dezembro de 2021, o Council One Foreign Relations patrocinou um debate virtual com Joseph Nye, – ex-reitor da Kennedy School of Government de Harvard, – para discutir seu recente artigo de Relações Exteriores The End of Anarchy?: How to Build a New Digital Order. O professor Nye tem sido considerado um dos mais proeminentes pensadores estratégicos e cientistas políticos da América. Na década de 1970, ele presidiu o Grupo do Conselho de Segurança Nacional sobre a Não Proliferação de Armas Nucleares e, na última década, trouxe sua experiência para o estudo de conflitos e dissuasão no ciberespaço.
A segurança cibernética é um aspecto cada vez mais importante da estratégia de segurança nacional dos EUA, incluindo o comércio global e a proteção das infraestruturas críticas. Em junho de 2021, o diretor do FBI, Christopher Wray, comparou o perigo de ataques de ransomware a empresas americanas por grupos criminosos russos aos ataques terroristas de 11 de setembro. E, em um editorial de julho, o NY Times disse que os ataques de ransomware surgiram como “uma ameaça potencial à segurança nacional”, dada “sua capacidade de perturbar seriamente as economias e violar empresas ou agências estrategicamente críticas”, instando os governos que “essa é uma guerra que precisa ser travada e vencida.”
Em uma conferência do MIT em fevereiro de 2019, perguntaram ao ex-secretário de Estado dos EUA Henry Kissinger se precisamos de acordos de controle de segurança cibernética com Rússia, China e outras nações; semelhantes aos acordos de controle de armas nucleares que ele passou tanto tempo negociando durante a Guerra Fria. O Dr. Kissinger respondeu que para que o controle de armas fosse eficaz, os dois lados precisavam compartilhar informações e concordar com as inspeções. Mas esses mecanismos são mais difíceis de aplicar no mundo digital, porque a transparência que era essencial para o controle de armas seria muito difícil de estabelecer para ameaças cibernéticas. Além disso, embora os controles de armas físicas sejam relativamente explicáveis e negociáveis, a variedade e a velocidade dos ataques cibernéticos tornam muito mais difícil de se desenvolver acordos e controles adequados.
“Ataques de ransomware, interferência em eleições, espionagem corporativa, ameaças às redes elétricas: com base nas manchetes atuais, parece haver pouca esperança de trazer ordem à anarquia do ciberespaço”, escreveu Nye em The End of Anarchy. “As implacáveis notícias ruins pintam um quadro de um mundo online sem governo que está se tornando mais perigoso a cada dia – com implicações sombrias não apenas para o próprio ciberespaço, mas também para economias, geopolítica, sociedades democráticas e questões básicas de guerra e paz.”
Os ataques cibernéticos são um novo tipo de conflito. Embora as defesas inadequadas do setor privado possam impactar significativamente a segurança nacional, os sistemas de TI são, em sua maioria, de propriedade privada e, ao contrário das armas convencionais ou nucleares, os militares não os controlam. Além de setores regulamentados, como finanças e assistência médica, cabe às empresas tomar decisões sobre seus investimentos e controles de segurança cibernética.
“A dissuasão deve ser parte das abordagens, mas a dissuasão cibernética parece ser diferente das formas mais tradicionais e familiares de dissuasão que Washington pratica há décadas. Um ataque nuclear é um evento singular, e o objetivo da dissuasão nuclear é evitar sua ocorrência. Em contraste, os ataques cibernéticos são numerosos e constantes, e dissuadi-los é mais como dissuadir o crime comum: o objetivo é mantê-lo dentro dos limites. As autoridades detêm o crime não apenas prendendo e punindo pessoas, mas também por meio do efeito educacional de leis e normas, patrulhando bairros e policiamento comunitário. Dissuadir o crime não requer a ameaça de uma nuvem de cogumelo atômico.”
Dadas essas realidades, “qualquer sugestão de que é possível criar regras de trânsito no ciberespaço tende a ser recebida com ceticismo: os atributos centrais do ciberespaço, tornam quase impossível impor quaisquer normas ou mesmo saber se elas estão sendo violados em primeiro lugar”, disse Nye. “Os Estados que declaram seu apoio às normas cibernéticas realizam simultaneamente operações cibernéticas em larga escala contra seus adversários.” Para os céticos, isso é uma evidência de que “estabelecer normas para o comportamento responsável do Estado no ciberespaço é um sonho impossível. No entanto, esse ceticismo revela um mal-entendido sobre como as normas funcionam e são fortalecidas ao longo do tempo”.
As normas sociais são os entendimentos não escritos e informais que governam o comportamento dos membros de um grupo ou cultura. Mesmo que não explicitamente codificadas em regras ou leis, as normas sociais fornecem ordem e previsibilidade.
É possível estabelecer normas para o comportamento responsável do Estado?
Sim, argumenta Nye. “As normas criam expectativas sobre o comportamento que tornam possível responsabilizar outros Estados. As normas também ajudam a legitimar as ações sociais e ajudam os estados a recrutar aliados quando decidem responder a uma violação. E as normas não aparecem de repente ou começam a funcionar da noite para o dia. A história mostra que as sociedades levam tempo para aprender como responder às grandes mudanças tecnológicas disruptivas e estabelecer regras que tornem o mundo mais seguro contra novos perigos.”
O artigo cita vários exemplos de normas de comportamento do Estado ao longo da história: depois de muitas décadas, a Europa e os EUA desenvolveram normas contra a escravidão no século XIX; em 1963, o Tratado de Proibição Parcial de Testes Nucleares proibiu testes de armas nucleares na atmosfera, debaixo d’água e no espaço sideral; e em 1975, a Convenção de Armas Biológicas proibiu o desenvolvimento, produção e uso de armas biológicas.
“Embora a cibertecnologia apresente desafios únicos, as normas internacionais para reger seu uso parecem estar se desenvolvendo da maneira usual: lenta mas constantemente, ao longo de décadas. À medida que se firmarem, essas normas serão cada vez mais críticas para reduzir o risco que os avanços da cibertecnologia podem representar para a ordem internacional, especialmente se Washington e seus aliados e parceiros reforçarem essas normas com outros métodos de dissuasão. Embora alguns analistas argumentem que a dissuasão não funciona no ciberespaço, essa conclusão é simplista: funciona de maneiras diferentes do que no domínio nuclear.”
Por que os estados abraçariam tais normas de comportamento?
Nye cita várias razões: coordenação, prudência, custos de reputação e pressão dos pares.
Coordenação. “Expectativas comuns inscritas em leis, normas e princípios ajudam os estados a coordenar seus esforços.” Por exemplo, embora não ratificada universalmente, quase todos os estados tratam a Convenção das Nações Unidas sobre o Direito do Mar como direito internacional consuetudinário para resolver disputas em águas internacionais. Os benefícios da cooperação no ciberespaço ficaram evidentes nas poucas ocasiões em que a ICANN, – o sistema de nomes de domínio da Internet, – foi hackeada. Embora os estados possam controlar o acesso à Internet dentro de seus limites, eles se abstiveram de colocar em risco a estabilidade básica da Internet global.
Prudência. “A prudência resulta do medo de criar consequências não intencionais em sistemas imprevisíveis.” Por exemplo, a crise dos mísseis cubanos de 1962, que levou o mundo à beira de uma guerra nuclear, foi um fator importante no Tratado de Proibição Parcial de Testes Nucleares de 1963.
Custos de reputação. “Preocupações com danos à reputação e poder brando de um país também podem produzir contenção voluntária… e aumentar os custos de usar ou mesmo possuir uma arma que pode causar danos maciços.” Vimos isso com as condenações generalizadas dos regimes de Saddam Hussein do Iraque, Bashar a-Assad da Síria e Kim Jong-un da Coreia do Norte. “É difícil imaginar o surgimento de um tabu semelhante contra o uso de armas cibernéticas… Um tabu mais provável é aquele que proíbe o uso de armas cibernéticas contra alvos específicos, como hospitais ou sistemas de saúde”, semelhante aos tabus existentes contra o uso de armas convencionais em civis.
Pressão dos pares. “Depois de um certo período de gestação, algumas normas chegam a um ponto de inflexão, quando cascatas de aceitação se traduzem em uma crença generalizada e os líderes descobrem que pagariam um preço alto por rejeitá-la.” Nye cita a disseminação da preocupação com os direitos humanos universais após 1945, que, embora nem sempre bem-sucedidas, pressionaram Estados autoritários a reduzir suas violações de direitos humanos. Da mesma forma, nas últimas duas décadas, a pressão dos colegas levou ao aumento da aceitação da igualdade no casamento em todo o mundo.
O que deve ser feito quando ‘o cyberespaco’ de um país for atacado/invadido?
Acordos sobre ‘onde e como traçar linhas fronteiriças’ e o que fazer quando forem cruzadas, são difíceis de alcançar. “Ao invés de fazer uma pergunta sim ou não, os críticos argumentam que o foco (e qualquer advertência subsequente contra tais ações) deveria estar na quantidade de dano causado, não nas linhas precisas que foram cruzadas ou como as violações foram realizadas.”
“No ciberespaço, o ‘tamanho único’ não serve para todos”, escreveu Nye em conclusão. “Grupos de democracias podem estabelecer um padrão mais alto para si mesmos, concordando com normas relacionadas à privacidade, vigilância e liberdade de expressão e aplicando-as por meio de acordos comerciais especiais que dariam preferência àqueles que atendem aos padrões mais altos. A diplomacia entre as democracias sobre essas questões não será fácil, mas será uma parte importante da estratégia… Essa estratégia também deve incluir o desenvolvimento de normas com o objetivo de longo prazo para proteger ‘o velho teto de vidro’ da democracia, das novas pedras da era da Internet.”
