“As vulnerabilidades que os cibercriminosos estão a usar para ganhar dinheiro são as mesmas que podem ser exploradas pelos Estados”

Atualmente, George Beebe é vice-presidente e diretor de estudos do Center for The National Interest, nos Estados Unidos, mas, antes, foi diretor da CIA para análise de temas relacionados com a Rússia, e special advisor do vice-presidente Dick Cheney para os temas relacionados com a Rússia e Eurásia e inteligência.

Beebe é, também, autor do livro ‘The Russia Trap: How Our Shadow War with Russia Could Spiral into Catastrophe’. Esta ‘shadow war’, ou guerra de sombras, diz respeito ao domínio cibernético. Em 2019, no Digital Enterprise Show, em Madrid, George Beebe falou de como a linha entre a guerra e a espionagem é cada vez mais ténue por causa da Internet.

Três anos depois da palestra, a Rússia invadiu a Ucrânia e a humanidade está mais próxima do que nunca de uma nova grande guerra onde, desta vez, o digital terá um papel muito importante e onde nenhum país está ‘longe demais’ para ficar fora do conflito.

“Não acredito que os russos pensam que estão em guerra com a Ucrânia; os russos pensam que estão em guerra com o ocidente. (...) A Rússia acredita que isto é parte de uma campanha mais ampla para cercar a Rússia, para a enfraquecer e, finalmente, iniciar a mudança de regime dentro da própria Rússia”

Em 2019, no Digital Enterprise Show, falou de uma guerra de sombras. Hoje, estamos a viver uma guerra de sombras?

Na verdade, gostaria que estivéssemos a viver uma guerra de sombras. Infelizmente, acho que estamos a passar de uma guerra de sombras para uma hot war. Essa é uma situação extremamente perigosa e acho que ainda não vimos o que vai acontecer dentro do domínio cibernético à medida que avançamos para esta hot war entre a Rússia e o Ocidente.

Acho que há uma suposição por parte de muitas pessoas no Ocidente de que podemos atacar a Rússia através de uma guerra económica, podemos encorajar a deposição do regime russo e que os russos não vão retaliar porque isso é contra as regras; as regras que nós acreditamos que se aplicam indicam que não se pode atacar a infraestrutura crítica através de meios cibernéticos, que não se pode fazer coisas que ameacem a instabilidade dos países da NATO ou dos Estados Unidos, de que não se pode retaliar contra as forças da NATO que estão a treinar, a armar e a reabastecer ucranianos contra os militares russos.

Acredito que estamos muito perto de uma situação em que os russos vão retaliar, e de maneiras que consideramos completamente fora dos limites e completamente inaceitáveis. No entanto, acho que estamos num ponto em que os russos acham que não há muitas mais regras que se apliquem a esta luta. Acreditam que as suas costas estão contra a parede, tenham ou não razão. Acho que é assim que eles veem o tema e acho que vamos assistir a uma escalada bastante dramática que vai incluir elementos cibernéticos.

Acredita que esses elementos cibernéticos serão apenas contra a Ucrânia ou também contra os seus aliados, nomeadamente os países da NATO?

Não acredito que os russos pensem que estão em guerra com a Ucrânia; os russos pensam que estão em guerra com o Ocidente. Ao longo de muitas décadas, a NATO tem tentado integrar-se dentro da Ucrânia, junto à fronteira com a Rússia, para criar uma cunha entre a Rússia e a Ucrânia. A Rússia acredita que isto é parte de uma campanha mais ampla para cercar a Rússia, para a enfraquecer e, finalmente, iniciar a mudança de regime dentro da própria Rússia. Eles acham que o que está em jogo para eles é existencial e não acreditam que é o governo em Kiev a mandar; acreditam que Washington e os aliados da NATO é que estão por detrás disto. Acho que estamos à beira de ataques contra membros da NATO e contra os Estados Unidos.

Nesse sentido, acredita que uma eventual terceira guerra mundial será cibernética?

Acho que o elemento cibernético fará certamente parte disso. É inevitável. Estamos numa situação em que a ofensa cibernética tem enormes vantagens sobre a defesa cibernética. Isto significa que a infraestrutura cibernética é um alvo muito tentador e muito vulnerável.

Numa situação em que o Ocidente está a tentar, essencialmente, asfixiar a economia russa e, ao fazê-lo, a tentar a capitulação russa, quanto mais perto a Rússia acredita que está a chegar ao desastre económico, mais estarão propensos a atacar. Acho que a infraestrutura cibernética é um alvo muito tentador. Quando isso acontecer, é muito provável que o Ocidente retalie porque os cibercombatentes ocidentais são extremamente capazes. A infraestrutura da Rússia não é mais defensável do que a nossa. É provável que entremos numa espiral crescente de ataques olho por olho, e será difícil conter essa situação quando começar.

George Beebe no palco do Digital Enterprise Show, em Madrid, durante 2019

Os ataques contra infraestruturas críticas têm muitas implicações na vida real. Por exemplo, e fora deste espetro, existiu um ataque de ransomware num hospital que terá levado à morte de uma pessoa. Acredita que isso pode acontecer novamente?

O ransomware é, claro, motivado em grande parte por motivos criminosos e comerciais, querendo extorquir dinheiro. Mas as mesmas vulnerabilidades que os cibercriminosos estão a usar para ganhar dinheiro podem ser exploradas pelos Estados, bem como por atores não estatais, para fins de coerção. Isso vai quase de certeza acontecer, exceto se encontrarmos uma maneira muito rápida de diminuir essa situação e encontrar um compromisso mutuamente aceitável entre a Rússia e o Ocidente.

Neste momento, não parece haver nenhum desejo na Rússia ou no Ocidente de tentar encontrar algum tipo de compromisso. Cada lado pensa que deve vencer. Isso não é uma receita para encontrar um caminho a seguir. Vamos ver ataques cibernéticos com implicações para o mundo real e para os cidadãos da Rússia e do Ocidente? Acho que quase certamente que sim.

Vou pegar num exemplo. Os Estados Unidos são quase inteiramente dependentes de satélites do Global Positioning System [GPS]. Isto não permite apenas que os cidadãos comuns naveguem do ponto A para o ponto B; também é um sistema de tempo que sustenta tudo o que acontece na nossa economia, a nossa capacidade de utilizar caixas automáticas, a nossa capacidade de realizar transações de pontos de venda em lojas com cartões de crédito, sistemas de gestão de stock, todo o tipo de infraestrutura física, incluindo a geração e distribuição de energia, fábricas de purificação de água… tudo isso depende d a constelação de satélites de GPS. Os russos podem destruir ou desativar esse sistema? Sim, podem. O que os impede de o fazer? Bom, seria uma escalada dramática para uma guerra direta com os Estados Unidos e com a NATO. Mas se estiverem a um canto onde acreditam que estão a enfrentar a extinção, a derrota humilhante, passam a estar numa situação em que não têm mais nada a perder se atacarem o sistema e há muitos incentivos para o fazerem.

A menos que as tendências atuais se desviem substancialmente do caminho em que estão, acho que é para onde estamos a caminhar, o que tem enormes implicações no mundo real, para as pessoas. É, também, provável que provoque uma onda de emoção, de indignação, de exigência de retaliação. Será muito difícil conter esse tipo de ciclo quando começar.

“A natureza do domínio cibernético é tal que é necessário sondar, constantemente, as fraquezas do outro lado. É preciso entrar nos sistemas e encontrar vulnerabilidades zero day que se possam explorar. Essas vulnerabilidades surgem e desaparecem à medida que os especialistas em cibersegurança as descobrem e as corrigem, expulsam invasores desses sistemas”

Já mencionou algumas vezes que o conflito é entre a Rússia e o Ocidente. No entanto, as conversações que têm ocorrido são entre a Rússia e a Ucrânia. Na sua opinião, o Ocidente devia estar presente nas conversações?

Não acho que as conversas serão bem-sucedidas a menos que o Ocidente esteja envolvido, incluindo os Estados Unidos. A Rússia está a procurar um entendimento sobre quais são as novas regras do jogo entre o Ocidente e a Rússia. As antigas regras que se aplicaram durante a Guerra Fria, que ajudaram a regular essa competição e mantê-la contida dentro dos limites acordados, desapareceram. Essas regras incluíam entendimentos formais como tratados de controlo de armas e outras medidas de construção de confiança e segurança entre o Ocidente e o Leste, mas também entendimentos informais, linhas vermelhas que não cruzariam.

Os entendimentos formais desapareceram, praticamente, mas, para os russos, um entendimento informal sobre linhas vermelhas que não seriam cruzadas é fundamental, e não pode chegar a um novo entendimento com o Ocidente apenas a conversar com a Ucrânia; tem de ter os Estados Unidos envolvidos nisto. Acredito que não podemos encontrar o nosso caminho para sair desta situação a menos que os Estados Unidos e a Nato se envolvam diretamente com a Rússia.

Falando de ciberguerra de um modo mais geral, existiu alguma ciberguerra que, eventualmente, o público não tenha tido conhecimento?

Não chamaria de guerra cibernética porque não teve o tipo de escala ou implicações que uma guerra real teria, mas estamos, certamente, a lutar uns com os outros, diariamente. A natureza do domínio cibernético é tal que é necessário sondar, constantemente, as fraquezas do outro lado. É preciso entrar nos sistemas e encontrar vulnerabilidades zero day que se possam explorar. Essas vulnerabilidades surgem e desaparecem à medida que especialistas em cibersegurança as descobrem e as corrigem, expulsam invasores desses sistemas. É preciso estar cada vez mais à procura e isso está a acontecer diariamente, 24 horas por dia, sete dias por semana, 365 dias por ano, a maior parte fora dos olhos do público. É um mundo muito confuso, envolve atores estatais e não estatais, é um domínio extremamente ativo, e o público é, na maioria das vezes, quase totalmente ignorante sobre o que está a acontecer.

“Se descobríssemos invasores russos num satélite de comando e controlo que opera um sistema de mísseis, vamos supor que estão lá para recolher informações sobre os nossos dados de alvo, sobrem quem podemos estar a atacar? Ou devemos supor que talvez estejam a tentar desativar a nossa capacidade de usar o satélite para lançar armas que talvez precisemos lançar?”

Esses ataques acontecem de ambos os lados. Provavelmente, todos os países do mundo têm algum programa para explorar, ativamente, as vulnerabilidades de outros países ou governos…

Acho que isso é quase certo. Um dos perigos de tudo isto – e que mencionei no DES, em Madrid, há uns anos – é que envolve uma indefinição de velhas linhas que, no passado, separaram a guerra da espionagem e o setor privado do estado. O domínio cibernético é uma das melhores e mais acessíveis formas de recolher informações sobre os seus adversários no mundo.

Quando se entra num sistema, é possível recolher muitos dados, muitas informações – coisas que costumavam precisar de seres humanos para recolher ou intercetar sinais eletrónicos. Foram necessários grandes aparatos estatais para recolher essas informações – um estabelecimento lento e muito perigoso de redes individuais de agentes. Agora, isso pode ser feito através de portáteis, há uma enorme quantidade de informações disponíveis e os riscos para os seres humanos em fazer tudo isso são muito menores do que nos velhos tempos.

Muito disso está a ser feito agora, mas a dificuldade é que quando quem defende encontra um intruso na rede, é impossível saber quais são as suas intenções. Estão simplesmente a recolher informações? Estão a sabotar a rede para desativá-la ou destruí- la? Isso significa que a linha que separa a recolha de informações da guerra e do combate é muito confusa e isso torna-se muito importante numa situação de crise.

Por exemplo, se descobríssemos invasores russos num satélite de comando e controlo que opera um sistema de mísseis, vamos supor que estão lá para recolher informações sobre os nossos dados de alvo, sobre quem podemos estar a atacar? Ou devemos supor que talvez estejam a tentar desativar a nossa capacidade de usar o satélite para lançar armas que talvez precisemos lançar? Numa crise militar, da qual nos estamos a aproximar, rapidamente, entre a Rússia e o Ocidente, isto torna-se num dilema altamente desestabilizador para as pessoas do lado da segurança cibernética.

George Beebe foi special advisor do vice-presidente Dick Cheney (administração de George W. Bush) para os temas relacionados com a Rússia e Eurásia

Há alguma maneira não de resolver, mas de facilitar o papel de quem defende?

Não vejo que haja uma solução técnica para esse problema, pelo menos não no horizonte a curto prazo. A lição para mim é que, dada a realidade, é extremamente importante que não entremos numa crise em que esse tipo de instabilidade possa ter repercussões dramáticas. E, agora que entrámos na crise, acho que é imperativo encontrarmos uma saída rápida antes que as coisas saiam do controlo.

Tem alguma eventual solução para como sair desta situação?

Os russos disseram que o envolvimento da NATO na Ucrânia é, para eles, uma linha vermelha e nós dissemos que não reconhecemos essa linha vermelha. Os russos disseram ‘ok, então vamos para guerra para impor essa linha vermelha’. A situação que estamos a enfrentar agora é que a Rússia não pode vencer essa guerra, não pode dominar a Ucrânia, não pode conquistar e controlar todo o território ucraniano. Mas a Rússia pode garantir que todos os outros também perdem se a Rússia perder.

Na verdade, estamos num confronto sem vitória entre a Rússia e o Ocidente s obre a Ucrânia. Para mim, a única maneira de sair disso sem consequências distróficas absolutamente horríveis é o compromisso, e o compromisso tem de ser, acredito, algum tipo de neutralidade ucraniana. Algo com que a Rússia concorda é que a NATO não deve estar na Ucrânia e que retirará as suas forças do leste da Ucrânia, e que algum tipo de compromisso sobre as fronteiras territoriais da Ucrânia também terá de ocorrer.

Até ao momento, não parece que a Rússia ou o Ocidente estejam dispostos a contemplar isso, mas, para mim, essa é a única alternativa para um conflito mutuamente suicida entre a Rússia e o Ocidente.

“Por causa das interconexões, alguém que está a defender um alvo com o qual não tem nada a ver, pode se envolver em algumas práticas de segurança descuidadas que, inevitavelmente, tornam o seu sistema vulnerável, mesmo que tenha feito tudo certo”

Há pouco mencionou a entrada do setor privado na proteção de infraestruturas críticas do estado, como distribuição de água e energia. Isso torna a situação mais difícil de proteger, uma vez que não é só o governo o ‘dono’ da situação?

Acho que é mais difícil de defender porque todas as interconexões entre os sistemas e os softwares que estão a ser utilizados, não ocorrem isoladamente de outras empresas, outras infraestruturas, outros softwares. Por causa das interconexões, alguém que está a defender um alvo com o qual não tem nada a ver, pode se envolver em algumas práticas de segurança descuidadas que, inevitavelmente, tornam o seu sistema vulnerável, mesmo que tenha feito tudo certo. Somos tão seguros quanto o nosso ponto mais fraco e é quase impossível para entidades individuais se isolarem dessas conexões com outras entidades. É um desafio formidável. Requer muita coordenação entre entidades do setor privado e entidades do setor público, e agora não há uma coordenação muito robusta a acontecer.

Na IT Security falamos, essencialmente, para os profissionais de cibersegurança. Qual é o conselho que deixa para que as organizações tenham o mínimo de disrupção possível durante esta guerra, que se pode transformar numa ciberguerra?

O meu conselho para todos é resiliência e, neste caso, resiliência significa que precisa de muitos sistemas de backup. É preciso planear o fracasso. Planeie uma situação em que a sua rede seja invadida e desativada. O que é que faz? Qual é o seu plano de backup para isso? Tem mais do que um plano de backup? Acho que é uma ideia sábia nas circunstâncias que estamos a enfrentar.