O que o Stuxnet nos pode dizer sobre debates de segurança cibernética no Brasil

20/12/2013

Daniel Oppermann

Em novembro de 2013, Ralph Langner voltou a fazê-lo. Ele surpreendeu a comunidade de segurança cibernética com uma nova e mais detalhada análise do Stuxnet, o software que causou graves danos ao programa nuclear do Irã há alguns anos, até que foi detectado por um analista de segurança cibernética da Bielorrússia em junho de 2010. Naquela época, Langner, um profissional alemão de segurança industrial, estava entre aqueles que deram luz sobre as ocorrências inexplicáveis no Irã, quando quebrou um grande número de centrífugadoras nas instalações nucleares de Natanz. Este problema foi causado por uma manipulação da respectiva infraestrutura provocada pelo Stuxnet, um malware misterioso que, como sabemos hoje, foi desenvolvido pelos EUA em cooperação com Israel para fazer exatamente o que ele fez: para sabotar partes da infraestrutura do Irã.

Langner foi o primeiro a identificar o programa nuclear do Irã como o alvo do então recém-descoberto malware. E sem surpresa, inicialmente, poucas pessoas ousaram acreditar na sua teoria de sabotagem industrial. No entanto, as suas teorias apontavam na direção certa, como o resto do mundo teve de admitir nos próximos meses e anos. Em 2012, David Sanger, jornalista do New York Times, publicou o seu segundo livro chamado Confront and Conceal, no qual ele se dirige a membros altamente colocados na administração Obama que confirmaram a responsabilidade dos EUA terem realizado sabotagem cibernética no Irã.

Embora os detalhes da análise de Langner sejam verdadeiramente interessantes, também há outro aspecto que precisa ser considerado. É a função que Langner tem no contexto de segurança cibernética, e o grupo que ele representa como analista de infraestrutura industrial. Sempre que ouvimos pessoas no Brasil falando ou escrevendo sobre a segurança cibernética e, especialmente, sobre o contexto político, frequentemente enfrentamos o mesmo dilema: o foco em apenas um ator no cenário de segurança cibernética, que normalmente é o setor público. A crença errônea de que aspectos políticos da segurança cibernética são questões apenas do governo é amplamente difundida no Brasil. E, além disso, há uma tendência de muitos para se orientar por posições e crenças que não se preocupam com a situação na América do Sul, mas os interesses de outras regiões próximas.

No entanto, o caso Stuxnet mostra perfeitamente que há muito mais por trás de segurança cibernética do que o que se encaixa nas estratégias de Washington e, além disso, há atores muito mais relevantes do que simplesmente os governos. Agora chegamos a um momento na história em que uma série de conceitos sobre o ciberespaço está sendo repensada. Em vez de adotar as políticas cibernéticas de Washington para a América do Sul (e em outras regiões do mundo), precisamos questioná-las. Na verdade, as políticas secretas de espionagem e sabotagem de Washington não são um modelo, mas uma ameaça para a segurança cibernética na América do Sul. E, ao mesmo tempo em que pensamos sobre ameaças no espaço cibernético, precisamos de ser esclarecidos que não são só os governos aqueles capazes de lidar com essa situação. Há muitos mais intervenientes que precisam ser considerados. Langner como membro do setor privado é apenas um exemplo disso e ele não é o único. Existem milhares de analistas de IT que trabalham dentro de suas próprias empresas, dentro das equipes CERT, e também na internet, trocando ideias e códigos com seus pares em todos os continentes para desenvolver soluções que tornam a internet mais segura. Ao fazê-lo, melhoram a proteção das infraestruturas públicas e privadas em todo o mundo. A segurança na internet é desenvolvida principalmente por eles, e não pelos governos. Outros exemplos são os analistas que olham para a segurança cibernética de um ponto não técnico. O atual debate global sobre as responsabilidades de reestruturação em relação à infraestrutura e administração da internet nunca teria começado sem a profunda análise política e social de vários problemas cibernéticos nos últimos anos, seja Stuxnet seja as revelações de Snowden ou qualquer outro tópico. É também aqui que encontramos as contribuições mais relevantes de indivíduos que não pertencem a nenhum governo.

Enquanto os governos acreditam que manter questões de segurança para eles mesmos é benéfico no ciberespaço, é importante que tenhamos consciência que eles seguem um conceito que não se aplica ao ciberespaço, que é um conceito de soberania nacional baseado na ideia de território nacional. Uma tentativa fútil do setor público no Brasil de aplicar abordagens tradicionais de políticas internacionais ao ciberespaço foi o recente esforço cómico da Presidente do Brasil, Dilma Rousseff, de proteger os dados dos utilizadores brasileiros da internet, ao tentar nacionalizar o fluxo de dados. É óbvio que os governos ainda precisam aprender o que o ciberespaço realmente é e como funciona. Um detalhe importante sobre esta matéria pode ser encontrado num comentário de um membro da sociedade civil durante o Primeiro Fórum DNS Latino-americano e Caribenho em Buenos Aires: Klaus Stoll da Global Knowledge Partnership Foundation alertou para a necessidade de redefinir o conceito de soberania no ciberespaço. É obviamente prepotente considerar os governos os únicos atores que têm algo a dizer neste assunto sobre fronteiras nacionais. Sem dúvida, os governos têm o seu lugar nos debates sobre segurança cibernética, mas este lugar precisa ser partilhado com muitos outros intervenientes.