O desenvolvimento das tecnologias da informação e comunicação (TIC) levou à digitalização de amplas dimensões da sociedade, conformando o espaço cibernético. Caracterizado por aspectos físicos e virtuais, constitui instrumento central de várias atividades, de atores privados ou estatais, incluindo a criminalidade e o conflito. Com a expansão das redes, usuários e aparelhos conectados à internet, em suas múltiplas dimensões, emergem questões técnicas, como segurança do tráfico e da estocagem de dados, e políticas[1], como regulação desse meio, pretensamente anárquico e transnacional, impostas pelo aumento do número e da complexidade de ataques cibernéticos.
No âmbito das relações internacionais, o espaço cibernético configura o quinto espaço de conflito geopolítico, após os espaços territorial, marítimo, aéreo e sideral, com características e desafios específicos, ensejando estratégias ofensivas e defensivas, tentativas de regulação e o surgimento de guerras híbridas. Não se trata de um espaço isolado e restrito a si mesmo, mas de uma extensão do mundo real, com implicações em ambas as dimensões, capazes de acentuar rivalidades e dificultar a cooperação internacional.
Entende-se por guerra cibernética (ou ciberguerra) uma modalidade de guerra que envolve o uso de ataques digitais contra um Estado via redes de computadores, causando danos informacionais comparáveis aos das guerras físicas ou prejudicando sistemas computacionais relevantes. São perpetrados por atores estatais, ou indivíduos com auxílio estatal, com interesses políticos, inclusive como instrumento adicional a ações militares convencionais e guerras híbridas[2]. Trata-se de definição não pacificada, visto que ainda há intenso debate entre especialistas sobre qual seria a definição de guerra cibernética; contudo, países como Estados Unidos (EUA), Reino Unido, Rússia, Índia, China, Israel, Irã e Coreia do Norte desenvolveram capacidades cibernéticas para engendrar operações ofensivas e defensivas. O tema é tratado desde os anos 2000 e não produziu nenhum tratado internacional vinculante. Cada vez mais, os Estados se valem de operações cibernéticas, mesclando suas particularidades com elementos de guerras convencionais, o que aumenta a possibilidade de que uma dessas operações tenha como consequência confrontações físicas e violência.
A importância da guerra cibernética para a política internacional é percebida por posições como a de Paulo Shakarian, ex-militar norte-americano, hoje professor universitário e especialista em inteligência contra ameaças cibernéticas. Para o acadêmico, que faz alusão à clássica definição de Clausewitz, a guerra cibernética é a continuação da política por meio de ações no ciberespaço por parte de atores estatais, ou atores não estatais com apoio ou orientação significativa de seus Estados, que constituem séria ameaça à segurança de outro Estado, ou uma ação da mesma natureza adotada como resposta a uma ameaça à segurança deste Estado, seja esta ameaça verdadeira ou percebida.
Ciberataques podem prejudicar infraestruturas de todo tipo, incluindo fornecimento de energia, água, combustível, comunicações e transportes. Até mesmo o mercado de ações pode ser alvo de ações de guerra cibernética. Há várias modalidades de guerra cibernética, que representam uma multiplicidade de ameaças contra um Estado. Em seu nível mais superficial, ataques cibernéticos podem ser usados como suporte em uma guerra tradicional, como no caso de usar ciberataques para tornar inoperantes sistemas de defesa aérea para facilitar um ataque com aviões. Há também a possibilidade de ciberespionagem, que não é um ato de guerra, mas pode vir a causar tensões substanciais entre nações, a exemplo dos escândalos envolvendo os EUA na primeira metade da década de 2010, que tiveram como alvos países como Brasil e Alemanha. Outra modalidade de ciberguerra envolve a exploração de vulnerabilidade de componentes de um sistema, como computadores e satélites, para interceptação de informações, ordens e comunicações, ou para entrada de comandos maliciosos, que levam a ações que podem danificar e até mesmo inutilizar um sistema. Exemplo que é tido como um marco para o tema é o caso Stuxnet (2010), um software malicioso provavelmente originado em Israel e supostamente usado como uma arma cibernética em conjunto com os EUA na Operação Jogos Olímpicos a partir de 2006, que, por meio de computadores industriais, se espalhou por pontos críticos de infraestrutura industrial em vários países, sobretudo o Irã, afetando o sistema operacional SCADA da Siemens e causando a queda da capacidade operacional da centrífuga de Natanz, utilizada para enriquecimento de urânio, em 30%, devido a várias interrupções de processos causadas por problemas técnicos, depois ligados ao Stuxnet.
São perpetrados sobretudo por atores privados, com interesses privados, associados a crimes transnacionais e nacionais no ambiente virtual. O tema é tratado desde os anos 1990 por diversas instâncias e é contemplado em tratados internacionais de escopos variados.
São esforços para roubar, alterar, expor, desativar ou destruir informações por meio de acesso não autorizado a um computador ou a uma rede de computadores. A estratégia básica de ataque é explorar uma vulnerabilidade não corrigida do sistema ou uma má configuração, incluindo o comportamento de pessoas e empresas. São orientados por custos de operação, relativamente baixos por causa da dificuldade de atribuição de autoria e origem, e objetivos de acesso, influência ou lucro. A maioria dos ataques[3] se dá em ambiente doméstico, via web, com objetivos financeiros, por indivíduos, de efeitos privados e alcance limitado. Ataques mais sofisticados envolvem Estados ou grupos altamente especializados que contam com alguma ajuda estatal. São exemplos as operações de espionagem, com roubo de dados sensíveis e de propriedade intelectual para fins políticos ou econômicos, de sabotagem técnica e de perturbação social, sobre a rede ou sobre a informação. Em todos os casos, compromete-se a confiança na base do funcionamento de sistemas sociais, econômicos e políticos, inclusive o sistema internacional.
O primeiro ataque data de 1988[4]; a primeira “guerra virtual” data de 2007, na Estônia[5]. O cenário muda com o caso Stuxnet, em 2010. Outros casos notórios são Snowden[6], Sony[7], invasão dos sistemas de distribuição de eletricidade na Turquia[8], eleições nos EUA[9], WannaCry[10], NotPetya[11], SolarWinds[12] e Colonial Pipeline[13]. Segundo consultorias de segurança, em 2021, as perdas globais podem chegar a US$ 6 trilhões, sendo o Brasil o 5º país mais atingido; 20% da usuários globais tiveram dados vazados em 2021. Destaca-se o mega vazamento brasileiro em janeiro de 2021[14] e os ataques em dezembro do mesmo ano contra sites do Ministério da Saúde, do Sistema Único de Saúde (SUS), da Polícia Rodoviária Federal (PRF), do Ministério da Economia, da CGU, etc. Mais de 50 países vêm desenvolvendo capacidade ofensiva e defensiva, com estruturas e orçamentos dedicados.
Os EUA são o principal alvo de ataques cibernéticos. Analistas apontam para um problema de concepção na abordagem norte-americana, expressadas pelas políticas de defesa e de estratégias cibernéticas, executadas pelo Comando Cibernético[15] e pela Agência de Cibersegurança dos EUA (CISA, na sigla em inglês), centradas em operações defensivas e em cenários de ataques a infraestruturas críticas, que não se concretizaram. Haveria demasiada atenção a preservação de redes e ausência de estratégias sobre integridade da informação, tornando-o mais vulnerável a campanhas de desinformação. Há reposicionamento em 2018, como resposta à intervenção estrangeira às eleições de 2016, orientando por maior capacidade ofensiva[16] e de dissuasão, como sanções e responsabilização internacional. No contexto das eleições presidenciais de 2024 nos EUA, Washington acusou Moscou, Pequim e Teerã[17] de realizar ataques cibernéticos e utilizar a inteligência artificial para buscar influenciar o pleito. No fim de dezembro, o Tesouro dos EUA anunciou que atores patrocinados pela China teriam realizado ataques cibernéticos e obtido acesso a documentos não classificados, no que foi considerado um “grande incidente cibernético”. O Ministério das Relações Exteriores chinês negou envolvimento de Pequim no episódio. Os EUA concentram-se em entendimentos bilaterais para superação de crises, mas há iniciativas multilaterais de escopo limitado, como nos Five Eyes (FVYE) e na Organização do Tratado do Atlântico Norte (OTAN).
Expressão de sharp power, os maiores ataques cibernéticos proveriam da China e da Rússia, cujas estratégias são diferentes. A China emprega operações de espionagem industrial, para o seu próprio desenvolvimento econômico, desde pelo menos a gestão Clinton, com entendimentos pontuais em Obama, mas exacerbação em Trump, na guerra comercial e associação ao 5G, questões de controle de tecnologia, da rede e de protocolos de comunicação para futuras aplicações, como “internet das coisas” (IoT, na sigla em inglês). As operações chinesas fazem parte de um plano de longo prazo para que o país possa tornar-se a maior potência cibernética do mundo nos próximos anos. A Rússia, de economia menor e menos desenvolvida, destaca-se em operações de desinformação para avançar interesses via desestabilização política e social de rivais, além de operações tradicionais. Ambos desenvolvem fronteiras cibernéticas sobre seus territórios, utilizam-se de ataques como moeda de troca de negociações, patrocinam grupos para minar a confiança em instituições no exterior, além de promover coesão social no seu interior. Israel também é um ator importante no que tange a ataques cibernéticos, principalmente na região do Oriente Médio, dado o desenvolvimento de seu setor de tecnologia cibernética civil e militar – expressão desta última é a Unidade 8200, responsável pelas ações de inteligência das forças armadas israelenses. O Irã, principal alvo de operações cibernéticas israelenses, também desenvolve um programa com capacidades defensivas e ofensivas. Soma-se a Coreia do Norte, inclusive com operações de mineração clandestina e roubo de criptomoedas, como forma de contornar sanções internacionais.
Segundo dados do FortiGuard Labs, laboratório de inteligência e análise de ameaças da Fortinet, uma empresa multinacional que desenvolve e comercializa software, produtos e serviços de cibersegurança, no Brasil, passou-se de 103 bilhões de tentativas de ataques cibernéticos, em 2022, para 60 bilhões, em 2023. A redução de pouco mais de 40% pode ser atribuída ao aumento nos investimentos em segurança da informação.
Embora ainda não haja um arcabouço jurídico com abrangência e aceitação global, há tentativas por várias partes de instituir estruturas legais para definir o que é aceitável e o que não é no que concerne à guerra cibernética.
A mais conhecida deles é o Manual Tallinn, um documento acadêmico não vinculante que estuda como o Direito Internacional (em especial o direito à guerra e o Direito Internacional Humanitário) se aplica a conflitos cibernéticos. O Manual, redigido entre 2009 e 2012 com o apoio do Centro de Excelência de Ciberdefesa Cooperativa da OTAN (CCDCOE, na sigla em inglês), foi publicado pela primeira vez em 2013 pela Cambridge University Press. O Manual ganhou uma segunda edição, Tallinn 2.0, publicado em 2017 como um livro, expandindo o escopo da primeira edição. De forma resumida: as primeiras duas partes lidam com a relação entre o Direito Internacional e o ciberespaço e a existência de regimes especializados, enquanto a terceira parte discorre sobre a relação entre segurança e paz internacional e atividades cibernéticas, e a parte final se foca na lei dos conflitos cibernéticos em guerra (este o escopo original de Tallinn 1.0). Alguns pontos relevantes dentro das regras do Manual: Estados não teriam soberania sobre a internet, mas teriam soberania sobre componentes da internet dentro de seus territórios; o mero fato de um ataque cibernético originar-se no território de um Estado e de um ataque cibernético ser conduzido por meio da infraestrutura cibernética de um Estado não é suficiente para que se lhe atribua o ataque; embora um ataque cibernético não esteja no mesmo nível de um ataque armado convencional, isso não dá aos Estados o direito de uso ou ameaça de uso da força. Cumpre lembrar, novamente, que não são considerações vinculantes. Para o futuro, já está em curso o processo de revisão e expansão da obra para o Manual Tallinn 3.0, ainda sem data prevista para publicação, mas que buscará adequar as práticas cibernéticas recentes ao Direito Internacional, com a inclusão de temas como mecanismos de responsabilização e solução de ambiguidades.
O próprio CCDCOE, sediado também em Tallinn, na Estônia, foi construído em 2008 na esteira dos ciberataques sofridos pelo país báltico em 2007, atribuídos pelo governo estoniano à Rússia, que revelaram pela primeira vez a vulnerabilidade dos sistemas de informação e comunicações dos países-membros da OTAN. O Centro busca melhorar a interoperabilidade entre as defesas cibernéticas relacionadas à OTAN, aperfeiçoar a segurança da informação e a educação e capacitação relacionadas à ciberdefesa, analisar aspectos legais da defesa cibernética, entre outras atribuições.