Este artigo foi publicado por Jarno Limnell no blog da McAfee no início de junho. Sua tradução foi gentilmente cedida pela empresa ao Ciso Advisor
Por Jarno Limnell *
A dissuasão é uma importante parte da guerra e, geralmente, a forma mais eficaz de defesa. Portanto, nos próximos anos, esperamos ver os governos revelarem alguns de seus recursos cibernéticos de ofensiva mais abertamente do que o fazem hoje. A finalidade da dissuasão é impedir que os oponentes ataquem. Porém, se a dissuasão for muito intensa, podemos ficar tentados a baixar nossos próprios portões de proteção. A lógica complexa da dissuasão cibernética merece uma análise mais aprofundada.
A dissuasão eficaz convence nossos oponentes de que seu prejuízo será grande se eles nos atacarem. Essa avaliação baseia-se em fatos concretos e percepções sobre nossas habilidades e motivações. Podemos alcançar a dissuasão por meio de uma defesa reforçada, da capacidade convincente de transformar o possível sucesso do oponente em uma vitória de Pirro e de recursos sólidos de retaliação. É possível aumentar a eficácia da dissuasão por meio de campanhas informativas enfáticas. Porém, no ciberespaço, praticamente todos os sistemas são passíveis de violação, a atribuição é difícil (se não impossível), as armas geralmente são utilizadas uma única vez e a averiguação dos recursos de terceiros é complexa. A produção da dissuasão eficaz exige formas aplicadas de pensamento.
Dissuasão por meio da defesa reforçada
A ideia por trás da maioria das soluções de segurança é o estabelecimento de defesas que nenhum invasor seja capaz de derrubar. Defesas inteligentes não tentam proteger tudo, mas concentram-se em assegurar os ativos mais essenciais em todas as circunstâncias. Não é fácil prever o sucesso dessa empreitada, pois a maioria dos ataques avançados pode se autocamuflar. Geralmente, eles levam muito tempo para serem detectados e, às vezes, isso nunca acontece. Mesmo assim, é válido estabelecer uma defesa reforçada, pois os possíveis invasores procuram alvos mais fáceis quando sabem da existência de defesas sólidas. Além dos aspectos técnicos, a defesa reforçada pressupõe que os funcionários saibam agir de forma inteligente.
Infelizmente, a defesa reforçada funciona como incentivo para alguns hackers. Com o tempo e os recursos suficientes, qualquer sistema pode ser invadido. A vitória é mais saborosa quando é difícil de ser alcançada. Além disso, a conquista de controle – seja de comunicações militares ou de sistemas SCADA em infraestruturas críticas – coloca o invasor em uma posição privilegiada. A capacidade de demonstrar uma defesa reforçada fortalece a dissuasão.
Dissuasão por meio de desempenho e ação
De maneira geral, as percepções efetivas sobre os recursos que contribuem para a dissuasão formam-se a partir da força militar e de outras ações concretas. A exposição dos equipamentos tem sido uma forma de convencer os oponentes – bem como o próprio povo – do poder militar.
No ciberespaço, tal exposição dos equipamentos não é uma boa ideia. A eficácia das armas cibernéticas está sempre associada ao contexto, e exibi-las pode revelar falhas sistemáticas aos oponentes. A melhor opção é ocultar nosso arsenal. Mesmo que usemos armas cibernéticas, podemos plausivelmente negar sua existência devido à dificuldade de atribuição. A exposição de equipamentos fica para os “hacktivistas” e os criminosos. Há pouco tempo, os governos começaram a reconhecer sua responsabilidade nos ataques cibernéticos.
Recursos observáveis de prevenção e impedimento de ataques podem fazer parte da dissuasão. No entanto, é um desafio provar que um evento foi evitado – pois pressupõe-se que algo que teria acontecido não aconteceu. Ambas as estratégias exigem preparação e domínio excelentes para que os ataques sejam evitados. Por exemplo, se nosso oponente for desconhecido, tentativas de impedimento poderão ter um resultado contrário ao esperado: atingir o alvo errado cria um novo inimigo e pode agravar o conflito.
Dissuasão por meio de retaliação
Quando não é possível criar uma defesa reforçada, muitos optam por estabelecer recursos sólidos de retaliação. Se o oponente conseguir burlar nossas defesas, revidaremos implacavelmente. A criação de recursos convincentes de ofensiva exige um tipo de raciocínio e investimentos diferentes em relação ao estabelecimento de defesas: o ideal é que um processo complemente o outro. No ciberespaço, a retaliação depende de nossa capacidade de identificar o oponente e conhecer seus sistemas. Mesmo assim, o simples fato de saber que dispomos de recursos pode dissuadir alguns dos possíveis oponentes. Além disso, os ataques cibernéticos também podem ser revidados com ações físicas.
O ciberespaço é onipresente em nossa sociedade. Portanto, só podemos produzir dissuasão em cooperação com todas as camadas da sociedade. O ideal é que tecnologias de ponta se unam a pessoas capacitadas para gerar dissuasão – porém, é necessário comprovar os recursos. Essa necessidade aumenta a importância dos recursos de ofensiva. Devido ao alto número de ataques cibernéticos que enfrentamos todos os dias, é difícil estimar quando, contra quem e por quanto tempo a dissuasão cibernética continuará eficaz.
* Jarno Limnéll é diretor de Cibersegurança da McAfee, parte da Intel Security, da Intel Corporation. Ele é um especialista em políticas de segurança internacional e nas realidades das ameaças atuais e ambientes de segurança. Jarno tem uma profunda compreensão do cenário global de ameaças, combinado com sua coragem em abordar as questões mais complexas. Na Intel Security, concentra-se em questões estratégicas de segurança cibernética, especialmente no campo da guerra cibernética e espionagem cibernética. Ele é um o principal orador da Intel Security. Mr. Limnéll tem um grau de doutor em Ciências Militares, em Estratégia, pela Universidade de Defesa Nacional da Finlândia. Ele escreveu o livro “O Mundo e a Finlândia depois do 9/11”, e acaba de publicar outro intitulado “Cibersegurança”. Antes de ingressar na McAfee, Jarno Limnéll fez uma longa carreira como oficial das forças armadas da Finlândia .
