MANUAL DE TALINN: A SEGURANÇA CIBERNÉTICA.

"Onde há muita luz, as sombras são mais profundas" (Goethe)

O presente artigo vem sido altamente discutido nas cavernas das forças armadas, porém nunca venho à tona por meio de artigo cientifico ou qualquer obra publica, por questão que ninguém quis expor tal trabalho ou talvez porque não interessasse. 

Este artigo foi um trabalho de conclusão do curso de Guerra de Inteligência Eletrônica realizado no ano de 2013, apresentado por alunos que com a devida vênia, venho expor a sua pesquisa. Este trabalho foi originalmente feito por slides e apresentado em auditório, porém, venho aqui reabilitado em forma de texto.  

MAS PORQUE E O QUE É ESSE MANUAL?

Operações cibernéticas maciças de ' hacktivistas ' contra a Estônia, em 2007, e contra a Geórgia durante a guerra com a Rússia em 2008, bem como os incidentes cibernéticos como o direcionamento das instalações nucleares iranianas com o worm Stuxnet em 2010, chamaram a atenção dos Estados sobre a Segurança do Espaço Cibernético.

Diante disso, em 2009, um Grupo Internacional de Peritos, a convite da NATO (Cooperative Cyber Defence Centre Of Excellence), uma Organização Militar Internacional com sede na cidade de Tallinn, na Estônia, na tentativa de estabelecer regras internacionais básicas para a Guerra Cibernética, elaborou o Manual de Talinn . 

O PORQUÊ DO NOME TALLINN?

Tallinn é a capital da Estônia, localizada no Golfo da Finlândia, na costa norte do país junto ao Mar Báltico. Tem cerca de 400.000 habitantes, aproximadamente um terço da população total do país. 

Em 2007, a Estônia foi alvo de ciberataques, o que deixou sites do governo fora do ar. A Estônia acusou a Rússia, que teria deflagrado os ataques por conta da remoção da estátua do Soldado de bronze de Tallinn, símbolo da vitória russa contra o nazismo. Porém, não houve comprovação da autoria.

Na Estônia, quase todos os serviços são integrados à Internet. (A Estônia foi o primeiro país a realizar votações para cargos públicos pela Internet).

Alguns [ciber]historiadores consideram o fato como o primeiro ciberataque de grandes proporções.

CONCEITO

O Manual de Direito Internacional Aplicável à Guerra Cibernética ou Manual de Tallinn define as condições em que um país pode responder a um ataque cibernético com força militar, que metas estão fora dos limites (por exemplo: escolas, hospitais e funcionários das Nações Unidas) e orienta sobre a resposta proporcional aos ataques digitais realizados por entidades não estatais; advertindo que os combatentes da guerra cibernética podem ser julgados por crimes de guerra cibernética. 

O PROJETO

Foram 3 anos de projeto e um Trabalho com 95 Regras, 282 páginas, com o trabalho de mais de 20 especialistas de renome internacional e publicado pela Cambridge University em 2013, a convite da OTAN (NATO Cooperative Cyber Defence Centre of Excellence).

O Grupo Internacional de Peritos:

Os membros do Grupo Internacional de Peritos foram cuidadosamente selecionados para incluir juristas, acadêmicos e especialistas técnicos. 

Três organizações foram convidadas a enviar observadores para o processo. Os observadores participaram plenamente das discussões e elaboração do Manual, mas o seu consentimento não era necessário para alcançar a unanimidade necessária para a adoção de uma regra. Participaram representantes do Comando Aliado da Transformação da NATO, representante dos EUA do Comando Cibernético e o Comitê Internacional da Cruz Vermelha. Este Manual não pretende refletir as posições jurídicas ou doutrina de qualquer uma destas três organizações 

Estrutura:

* Parte I:  → Lei de Segurança Cibernética Internacional;

* Parte II: → A Lei de Conflito Armado Cibernético;

* Tópicos:

* Soberania; 

* Responsabilidade do Estado;

* Jus ad bellum (Direito à Guerra);

* Lei humanitária internacional; e

* Lei da neutralidade. 

FUNCIONAMENTO

O Manual de Tallinn examina o direito internacional que rege a guerra cibernética de um modo geral, englobando tanto o jus ad bellum, (uso da força), direito internacional que rege o recurso à força por parte dos Estados, como instrumento de sua política nacional, e o jus in bello (conflito armado), direito internacional que regula a conduta dos conflitos armados. 

O manual não se aprofundou na questão da responsabilidade penal individual, quer sob a lei nacional ou internacional. 

Em suma, este não é um manual sobre "segurança cibernética", como o termo é entendido no uso comum. Cyber espionagem, roubo de propriedade intelectual, e uma ampla variedade de atividades criminosas no ciberespaço representam ameaças reais e sérias para todos os Estados, bem como para as empresas e particulares; e uma resposta adequada a esses crimes requerem medidas nacionais e internacionais. 

A ênfase do Manual de Tallinn é sobre as cyber-to-cyber operations, strictu sensu. Exemplos incluem o lançamento de uma operação cibernética contra infraestruturas críticas de um Estado ou um ataque cibernético a sistemas de controle e de comando inimigo. 

Sobre as Regras:

As regras foram adotadas empregando o princípio do consenso dentro do grupo internacional de especialistas. Todos os especialistas participantes concordaram que, tal como foram formuladas, a Regra é replicar o direito internacional consuetudinário, salvo indicação em contrário. É necessário reconhecer que, por vezes, os membros do Grupo defenderam uma norma mais restritiva ou permissiva do que as eventualmente acordadas. A regra que surgiu a partir dessas deliberações contém o texto sobre o qual foi possível chegar a um consenso. 

Sobre os comentários:

O comentário que acompanha cada regra é a intenção de identificar a sua base jurídica, explicar o seu conteúdo normativo, abordar as implicações práticas no contexto cyber, e estabelecer diferentes posições quanto ao alcance ou interpretação. O Grupo Internacional de Peritos procurou capturar todas as posições razoáveis para inclusão nos comentários do Manual

de Tallinn. Como nem os tratados, nem a aplicação prática nos Estados é bem desenvolvida neste campo, o Grupo considerou de extrema importância articular todas as visões concorrentes para consideração dos usuários do Manual 

SOBRE A AUTORIDADE DO MANUAL

É essencial compreender que o Manual de Tallinn não é um documento oficial, mas apenas o produto de um grupo de peritos independentes que agem unicamente a título pessoal 

PRODUÇÃO E DESENVOLVIMENTO NO PAÍS

O sistema Feitos para proteger dados de espiões e sistemas de monitoramento, o CriptoGOV e o cGOV devem estar prontos para uso nos próximos dias. Os novos equipamentos foram apresentados no Planalto à representantes de mais de 30 ministérios. Muito mais simples que os existentes hoje, é uma espécie de pen drive chamado de Plataforma Criptográfica Portátil (PCP), que pode ser conectado em qualquer porta USB, acompanhado de um aplicativo. 

As informações do Governo, das empresas e da sua própria vida pessoal só podem ser protegidas se o Brasil desenvolver uma tecnologia independente e 100% nacional. Essa é a opinião compartilhada tanto por desenvolvedores e acadêmicos quanto pelo Exército Brasileiro. Ou seja: se usarmos a tecnologia de estrangeiros, estamos vulneráveis a ataques e espionagem internacional. 

EMPREGO NAS FORÇAS ARMADAS

O Governo Brasileiro publicou no Glossário das Forças Armadas (MD 35-G-01), aprovado pela Portaria Normativa Nr 196/EMD/MD, de 22 Fev 2007, os seguintes conceitos:

Guerra de Informação: Conjunto de ações destinadas a obter a superioridade das informações, afetando as redes de comunicações de um oponente e as informações que servem de base aos processos decisórios do adversário ao mesmo tempo em que garante as informações e os processos amigos.

Guerra Cibernética: Conjunto de ações para uso ofensivo e defensivo de informações e sistema de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informações e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.

Em 2008, publicou o Decreto Nr 6.703, de 18 de dezembro de 2008, criando a Estratégia Nacional de Defesa, onde descreve: "aborda-se o papel de três setores decisivos para a defesa Nacional: o espacial, o cibernético e o Nuclear".  Em seu Artigo 1º determinou o seguinte: 

Art. 1°- Atribuir ao Centro de Defesa Cibernética (CDCiber), do Comando do Exército, a responsabilidade pela coordenação e integração das atividades de defesa cibernética, no âmbito do Ministério da Defesa (MD), consoante o disposto no Decreto n 6.073, de 18 de dezembro de 2008.

Da Portaria Nr 45, de 08 Set 2009 do Gabinete de Segurança Institucional, se extrai o seguinte:

Segurança Cibernética: A arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no espaço cibernético, seus ativos de informação e suas infraestruturas críticas.

Ativos de Informação: "Tudo que agrega valor a uma organização". Os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

Publicou, também, em 08 de dezembro de 2011 o MD-30-M-01 (Doutrina de Operações Conjuntas), uma norma que trata vagamente sobre operações de guerra eletrônica e guerra cibernética, distinguindo as suas peculiaridades:

* Capítulo IV do Volume I - Operações Conjuntas das FA;

* Capítulo III do Volume 2 - Elaboração dos Planos e Ordens;

* Forças Inimigas;

* Operações de Informação.

Operações Conjuntas das FA:

A fim de iludir as forças oponentes em relação aos planejamentos, são adotadas medidas e ações de dissimulação nos níveis estratégico, operacional e tático. 

A dissimulação pode ser obtida pelo emprego da guerra eletrônica, camuflagem, desinformação, operações psicológicas, defesa cibernética e ações diversionárias (demonstrações e fintas), entre outras.

Elaboração dos Planos e Ordens:

* Formato dos Planos e Ordens

* Operações de Informação - Compreende as informações e diretrizes relacionadas à coordenação e sincronização das ações de comunicação voltadas a ComSoc, OpPsico, Guerra Eletrônica e defesa cibernética, entre outros.

Forças Inimigas:

* Capacidade de utilização de guerra cibernética:

1) Analisar a estrutura de Defesa Cibernética do inimigo; e

2) Descrever a doutrina e técnicas de Guerra Cibernética do inimigo.

Operações de Informação:

* Guerra Eletrônica - Apresentar considerações sobre as Medidas de Apoio de Guerra Eletrônica (MAGE), Medidas de Ataque Eletrônico (MAE) e Medidas de Proteção Eletrônica (MPE). Domínio do espectro eletromagnético.

*  Defesa Cibernética - Apresentar considerações sobre as atividades de defesa cibernética, relacionadas às ações de exploração, ataque e proteção cibernéticos. Domínio do ciberespaço.

ANÁLISE DE FATOS OCORRIDOS:

ANÁLISE DE FATO 1

Satélite de Segurança Britânico "Skynet" Hackeado!!! 

Um grupo de hackers suspeitos de assumir o controle de um satélite britânico de comunicações militares usando um computador em casa foi rastreado no sul da Inglaterra. (...)

Os hackers interceptaram a ligação entre o centro de controle do Skynet e da estação de solo. A fonte disse que os hackers "conseguiram reprogramar um sistema de controle do satélite. De muitas maneiras, a coisa inteligente a fazer era não perder o satélite" (...)

Poderíamos dizer que foi violada a imunidade soberana?

Estados e Ciberespaço - Soberania, Jurisdição e Controle

Regra 4 - Imunidade soberana e inviolabilidade

Qualquer interferência de um Estado na infraestrutura cibernética em uma plataforma que goze de imunidade soberana, em qualquer lugar que esta plataforma estiver localizada, constitui uma violação da soberania.

Imunidade soberana implica inviolabilidade; (...) tomar o controle do objeto violaria a imunidade soberana. Este foi o caso que ocorreu no incidente envolvendo a tomada e reprogramação do satélite de comunicação militar britânico.

ANÁLISE DE FATO 2

CASO DA GEÓRGIA

Site desfigurado com colagem de imagens do presidente georgiano Mikheil Saakashvili e Adolf Hitler. 

Civis envolvidos nas operações cibernéticas contra Geórgia poderiam ter sido submetidos à jurisdição georgiana?

Estados e Ciberespaço - Soberania, Jurisdição e Controle

Regra 2 - Jurisdição

Sem prejudicar a obrigação de aplicações internacionais, um Estado pode exercer a sua jurisdição:

a) sobre as pessoas engajadas em atividades cibernéticas em seu território;

b) sobre a infraestrutura cibernética localizada em seu território; e

c) extraterritorialmente, de acordo com as leis internacionais.

Regra 7 - Operações cibernéticas lançadas de infraestrutura cibernética governamental

O simples fato de que uma operação cibernética tenha sido lançada ou originada de uma infraestrutura cibernética governamental não é evidência suficiente para atribuir a operação ao Estado, mas é uma indicação de que o Estado em questão está associado com a operação.

ANÁLISE DO FATO 3

CASO DA(S) COREIA(S):

sexta-feira, 29 de março de 2013. A Agência de Segurança na Internet da Coreia (KISA) revela que os ataques cibernéticos mais frequentes vieram de endereços de IP com base na Índia, Brasil e Tailândia na segunda metade de 2012. 

A agência, no entanto, acrescentou que os endereços IP podem ter sido alterados para os ataques. 

Considerações:

À luz do MT não seria um ataque, pois não está caracterizado o Conflito Armado (estado de beligerância), também por que não conseguiu-se descobrir a autoria.

  Já que a Coreia do Sul não poderia utilizar os ciberataques sofridos para justificar um bombardeio ao seu vizinho do norte, que medidas poderiam tomar?

 Nesse caso o mais evidente são as operações cibernéticas, como o emprego do worm Stuxnet, o que permitiria o uso da força. 

Regra 10 - Proibição de ameaça ou uso da força 

Uma operação cibernética que se constitui em uma ameaça ou uso da força contra a integridade territorial ou independência política de qualquer Estado, ou que seja de qualquer outra maneira inconsistente com os propósitos das Nações Unidas, é ilegal.

Os responsáveis pela aplicação da lei só podem recorrer ao uso da força quando todos os outros meios de alcançar um objetivo legítimo tiverem falhado (necessidade) e o uso da força puder ser justificado (proporcionalidade) em termos da importância do objetivo legítimo (legalidade) a ser alcançado. 

(Fonte: Violência e Uso da Força - CICV, agosto de 2009)

CONCLUSÃO

Com o caráter orientador do Manual de Tallinn (não obrigatório), em face das muitas celeumas e falta de consenso das Nações acerca de determinados assuntos. A Guerra Eletrônica e Guerra Cibernética devem ser pensadas de forma interrelacionada. O Manual de Tallinn pode ser uma boa fonte de consulta para planejamentos de operações conjuntas.

Em situações de Conflito Armado, deve-se agir com a velocidade/ efetividade necessária no contexto da Guerra Cibernética.

Dificuldade de atribuição de autoria e de dimensionamento dos danos.

PARA PENSAR!!!

Obama diz que não pode ter iPhone ou qualquer tipo de Smarthphone por "questões de segurança". Por que será?