À medida que a Cimeira da OTAN de amanhã em Vilnius, Lituânia se aproxima, Cibersegurança Notícias questiona o que a OTAN deve fazer sobre segurança cibernética.
O conflito Rússia/Ucrânia oferece uma oportunidade histórica para a OTAN fortalecer e ampliar a aliança militar. A Finlândia aderiu à OTAN, a Suécia solicitou a adesão à OTAN e a Ucrânia deseja aderir à OTAN. Essas discussões provavelmente fornecerão as principais manchetes do 2023 Cimeira da OTAN acontecerá de 11 a 12 de julho.
Mas a OTAN tem outra oportunidade de se beneficiar da guerra na Ucrânia – um programa de segurança cibernética mais próximo e integrado.
O problema da OTAN é que ela é dominada por países europeus – alguns ricos e sofisticados, outros nem tanto – e é politicamente diversificada (muitos membros estão dentro da UE, alguns deles rebeldes) e outros membros estão fora da UE. A Europa é historicamente tribal por natureza. Cada país se apega à sua própria natureza tribal, o que torna a OTAN fundamentalmente fragmentada. A severidade da percepção da ameaça militar russa, conforme demonstrado na guerra na Ucrânia, trouxe a unidade da OTAN mais próxima do que jamais esteve, militarmente.
Agora é hora de fazer algo semelhante no domínio cibernético. Isso não significa que a OTAN não faça nada (tem o seu próprio Centro de Operações Especiais na Bélgica), mas a OTAN poderia e deveria fazer mais. Cibersegurança Notícias discutiu este tópico com especialistas em segurança cibernética.
Existem várias dificuldades adicionais em um programa de cibersegurança da OTAN totalmente unificado. A primeira é de definição. A OTAN é principalmente uma aliança militar formada para defesa cinética. Não há correlação fácil entre guerra cinética e guerra cibernética (discutida em detalhes aqui: O que é Cyberguerra?). Desde o início, é difícil definir o objetivo da segurança cibernética da OTAN, pois é principalmente uma aliança de defesa cinética.
A segunda é a diferença no tamanho físico e sofisticação cibernética dos membros da OTAN, e a suspeita residual de atitudes nacionais fundamentalmente tribais. Dada a natureza global da ciberatribuição – a atribuição é muito difícil e o despiste é fácil – não seria nenhuma surpresa descobrir que os membros da OTAN realizam ciberespionagem contra outros membros.
A terceira é que seria politicamente irrealista esperar que os gigantes cibernéticos da OTAN (EUA, Reino Unido, Holanda, França, etc.) compartilhem totalmente suas capacidades cibernéticas com países como Hungria e Turquia.
No entanto, o mundo cibernético seria mais seguro se houvesse uma aliança de segurança cibernética da OTAN tão forte quanto a aliança militar da OTAN.
Ross Brewer, diretor de receita (CRO) da SimSpace, oferece uma abordagem em duas frentes para a segurança cibernética da OTAN. A primeira é reorientar. “Os países precisam parar de olhar pela janela para o Lobo Mau e olhar por cima do ombro. O problema não é externo, é interno – e isso se aplica a todos os países, setores industriais ou empresas.”
Ele não sugere que não haja ameaça de estados-nação adversários – como a Rússia – mas a batalha cibernética é travada localmente, não em algum campo de batalha estrangeiro. É a mesma batalha local que deve ser travada contra cibercriminosos e atores estatais – portanto, enquanto a aliança militar pode se beneficiar de olhar para os inimigos físicos, a segurança cibernética da OTAN deve se concentrar em ajudar entidades, especialmente aquelas pertencentes a infraestruturas críticas nacionais, em nível local.
A segunda sugestão de Brewer oferece uma abordagem para alcançar isso. Aqui ele está menos preocupado com os novos widgets de segurança de defesa do que com as capacidades das pessoas que os usam. Isso pode ser avaliado e melhorado por meio do uso regular de testes de estresse de alcance cibernético.
Para isso, ele sugere que a OTAN se guie pela experiência do US Cyber Command (USCYBERCOM). Isso tem três missões principais: defender redes e sistemas do DOD, conduzir operações cibernéticas ofensivas e construir parcerias cibernéticas.
Ele usa testes de estresse de pessoal de alcance cibernético como parte de seu próprio processo de treinamento. Aqui, o argumento decorre do bem-sucedido programa de treinamento Top Gun da Marinha, do Corpo de Fuzileiros Navais e da Força Aérea estabelecido em 1969.
Durante a Guerra do Vietnã, os EUA perderam uma aeronave para cada 2,8 perdidas pelo inimigo. Essa taxa de perda foi considerada muito alta – e o Top Gun foi estabelecido para ensinar técnicas avançadas de manobra aos pilotos. Seu sucesso pode ser medido pela Guerra do Golfo – 37 caças iraquianos abatidos sem perder uma única aeronave americana.
Faixas cibernéticas podem ser vistas como uma versão cibernética de Top Gun, ensinando os defensores da segurança a defender redes em condições de batalha simuladas. Brewer acredita que uma aliança de segurança cibernética da OTAN poderia ajudar as indústrias críticas dos estados membros a se tornarem mais resistentes a ataques criminosos e de estado-nação.
A sugestão de Brewer implica que um Comando Cibernético da OTAN ajudaria a proteger as indústrias críticas de todos os membros da OTAN da mesma forma que o Comando Cibernético dos EUA ajuda a proteger os EUA. Isso não significa que o USCYBERCOM já não auxilie seus aliados (ele possui equipes que irão, conforme necessário e solicitado, ajudar seus aliados a eliminar intrusos de suas redes). Mas um Comando Cibernético da OTAN seria mais eficaz na imposição do efeito de segurança trickle-down nas infraestruturas nacionais da OTAN.
Em termos de segurança cibernética, o lobo mau já está aqui entre nós – não lá na Rússia ou na China.
Assumindo que a OTAN pode desempenhar um papel maior na segurança cibernética de seus membros, possivelmente por meio de um Comando Cibernético da OTAN mais formal, a questão então se torna ‘o que devemos esperar?’
Uma esperança comum é que a OTAN se torne mais proativa – como um bloco – contra ameaças cibernéticas. “Na prática, isso exigiria que os aliados compartilhassem abertamente informações sobre ataques, ameaças e, o mais importante, fizessem parceria com o setor privado para criar ambientes resilientes a ataques”, sugere Dave Gerry, CEO da Bugcrowd. “Ameaças de países como Rússia, China e Irã nunca foram tão altas e os membros da OTAN devem responder ativamente de acordo.”
Um papel mais assertivo e ativo da OTAN sublinharia que esta defesa tem garra. “A OTAN deixou claro que um ataque cibernético intenso a um país membro poderia ser equivalente a um ato de guerra, potencialmente invocando o Artigo 5 do Tratado do Atlântico Norte”, comenta Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start. “Isso significa que a comunidade internacional está começando a ver os ataques cibernéticos não apenas como atividades criminosas ou perturbadoras, mas como potenciais atos de agressão que podem justificar a defesa coletiva”.
Vindo de uma aliança militar, um Comando Cibernético da OTAN alteraria a percepção de escudos bloqueados (exercício internacional anual de ciberdefesa da OTAN organizado pelo Centro de Excelência em Ciberdefesa Cooperativa da OTAN, CCDCOE, em Tallinn, Estônia) para Shields with Spear. O ciberespaço talvez deva ser considerado mais abertamente como uma opção de dissuasão.
Ao mesmo tempo, Craig Jones, vice-presidente de operações de segurança da Ontinue, gostaria de ver mais ciberdiplomacia da OTAN. “Estabelecer um papel de Embaixador Cibernético da OTAN, alguém que possa defender as normas e práticas de segurança cibernética em um cenário global”, diz ele. “Esse indivíduo poderia negociar tratados cibernéticos com outros países, incluindo Rússia, China, Irã e Coréia do Norte. Esse escritório também pode funcionar para diminuir as tensões e prevenir conflitos cibernéticos.”
Externamente, um Comando Cibernético da OTAN mostraria um punho de veludo – não queremos fazer mal a ninguém, mas não nos teste.
Dito isso, quase todos os especialistas em segurança cibernética concordam que a OTAN deveria se esforçar mais para melhorar a segurança das indústrias críticas das nações – e que muito disso pode ser feito por meio de testes e treinamento. A defesa da OTAN não pode depender simplesmente de dissuadir a agressão do Estado-nação. O mesmo dano poderia ser causado às economias nacionais por meio da extorsão criminosa contra as indústrias críticas e da agressão do Estado-nação.
“É sempre essencial colocar 100% de esforço na proteção da infraestrutura crítica”, alerta John Anthony Smith, CEO do Conversant Group. “Atores de ameaças investigam e fazem tentativas de ataque praticamente continuamente e as consequências da complacência podem ser catastróficas (incluindo, mas não se limitando à guerra). Freqüentemente, descobrimos que o tempo e o esforço não estão sendo gastos nos lugares certos para nos defender adequadamente contra ataques reais. Como não há autoridade de supervisão sobre órgãos de infraestrutura crítica, recomendamos que cada entidade passe por avaliações regulares para entender e priorizar os pontos fracos existentes.”
Um Comando Cibernético da OTAN, com supervisão específica de indústrias críticas, ajudaria a resolver isso.
Jones lista algumas de suas esperanças, incluindo scorecards nacionais de segurança cibernética, semelhantes aos scorecards de empresas individuais, mas em escala nacional. “Isso avaliaria os esforços de segurança cibernética, infraestrutura, prontidão e capacidade de resposta de cada país. Os scorecards podem ser usados para identificar pontos fracos, aumentar a responsabilidade e promover melhorias”, sugere ele.
O teste de estresse simularia os piores cenários, como ataques cibernéticos simultâneos de vários adversários, para avaliar o quão bem a aliança pode responder e se recuperar. Deve ser implementada uma campanha de formação cidadã. “Pode abranger higiene online, reconhecer tentativas de phishing e proteger dados pessoais. Um público informado pode ser a primeira linha de defesa contra ameaças cibernéticas”, acrescenta.
Sobre inovação, ele gostaria de ver um desafio de inovação da OTAN. “Isso pode acelerar a inovação, descobrir novas soluções e atrair novos talentos para o campo. Invista em tecnologias avançadas como inteligência artificial (IA) e aprendizado de máquina (ML) para prever e detectar ameaças cibernéticas em tempo real. Essas ferramentas podem processar grandes quantidades de dados para identificar padrões e anomalias que podem significar um ataque cibernético iminente.”
O compartilhamento aprimorado de ameaças e inteligência pode ser promovido por meio de um programa internacional de intercâmbio de segurança cibernética, em que profissionais de segurança cibernética de um país passam algum tempo em outro. “Isso encorajaria o compartilhamento de conhecimento, fomentaria relacionamentos mais fortes e promoveria uma abordagem unificada para a defesa cibernética”, acrescenta.
Em suma, uma postura de segurança cibernética mais unificada e alinhada deve ser promovida pela OTAN.
“A cibersegurança é uma segurança nacional e internacional e deve ser priorizada como tal. Proteger a infraestrutura crítica das nações da OTAN e os serviços dos quais as pessoas dependem de ataques cibernéticos é tão importante quanto protegê-la de ataques físicos, porque as consequências têm o potencial de ser igualmente devastadoras”, resume Darren Guccione, CEO e cofundador da Keeper Security .
Um Comando Cibernético formal da OTAN poderia fazer tanto pela segurança cibernética de membros individuais da OTAN quanto o USCYBERCOM já faz pelos EUA.