A ameaça do Discurso e do Código

Em 2010, um vírus de computador chamado Stuxnet foi encontrado em uma instalação de enriquecimento de urânio, em Nathanz, no Irã. O vírus tinha como objetivo danificar as centrífugas de enriquecimento, deixando-as inúteis. Por meio de vazamentos, foi descoberto que o programa teria sido desenvolvido por uma série de países liderados por Israel e Estados Unidos, com o intuito de afetar o programa nuclear iraniano.

O caso chocou o mundo, visto que esta foi a primeira vez na história que um vírus foi desenvolvido por Estados com o intuito de afetar parte da infraestrutura crítica de um inimigo. Ainda assim, a ideia de uma guerra feita por meio cibernéticos já ocupa o imaginário de cientistas e líderes militares desde a década de 90.

No artigo Cyberwar is Coming!, de 1993, os autores John Arquilla e David Ronfeldt afirmam que uma nova categoria de guerra estaria surgindo graças a revolução tecnológica da informática. Catastrófica e iminente em níveis nunca antes vistos, a guerra seria feita com intuito de danificar estruturas de comunicação e informação do inimigo, se utilizando do ciberespaço como meio para isso. O discurso de pânico e perigo apenas aumentou com o passar dos anos, evoluindo para a utilização de malwares para danificar estruturas críticas, assim como foi no caso do Stuxnet.

O principal argumento dos pessimistas é que o ciberespaço seria homogêneo e teria sua segurança negligenciada, proporcionando assim uma gama de vulnerabilidades. Isso se dá pelo fato da lógica da guerra cibernética ser diferente da guerra convencional. Tendemos a pensar em uma guerra como um equilíbrio entre uma força ofensiva e uma força defensiva que, por meio de diferentes estratégias, desempenham seu papel de defender ou de atacar. Já no ciberespaço, o ataque possuí uma natural vantagem sobre a defesa, uma vez que o ato de se hackear algo é justamente encontrando vulnerabilidades não percebidas por quem está sendo atacado e usa-las da forma que bem entender.

Ainda que essa vertente pessimista sobre o futuro norteie o debate dentro dos governos e exércitos, alguns pesquisadores afirmam que o perigo colocado por essa tendência é muitas vezes exagerado. Um dos céticos sobre esse tipo de guerra cibernética catastrófica é o pesquisador brasileiro Diego Canabarro. No ótimo artigo Reflections on The Fog of Cyberwar, escrito conjuntamente com Thiago Borne, os autores compilam diferentes fontes demonstrando que o ciberespaço não é homogêneo e que um ataque cibernético é extremamente difícil de ser executado. Da mesma forma, Canabarro e Borne afirmam que o discurso pessimista da guerra cibernética se encaixa em um discurso securitizador.

A securitização é um processo descrito pela chamada Escola de Copenhague, que possuí como expoente maior o autor Barry Buzzan. Buzzan afirma que segurança nada mais é que um ato de discurso que tem como objetivo securitizar um determinado objeto. Ao realizar um discurso que coloca em risco a existência de uma nação ou Estado, se coloca em pauta a necessidade urgente de proteção, abrindo brechas para que os atores que desejam securitizar a pauta possam trata-lo de forma excepcional. Isso coloca em risco diretos humanos básicos como a liberdade de expressão e a privacidade, especialmente quando se promove, por meio do discurso securitizador, a construção de aparatos de vigilância

Como Helen Nissenbaum demonstrou no artigo Digital Disaster, Cyber Security, and the Copenhagen School, o discurso catastrófico de ciberguerra rendeu rios de dinheiro para as entidades de segurança dos Estados Unidos. Tudo que seria destinado para proteção das fronteiras digitais da nação, acabou por construir o maior maquinário de vigilância já visto, como revelou Edward Snowden em 2013.

No Brasil, vivemos um processo parecido. Desde 2008, através de sua diretiva estratégica nacional, o exército brasileiro colocou o ciberespaço como um espaço elementar para defesa nacional. O apelo pela defesa do espaço cibernético se refletiu em esforços como a criação de diversos grupos de estudo, relatórios e documentos para este fim. Todo esse processo culminou na criação do Centro de Defesa Cibernético (CDCIBER), comandado pelo Exército Brasileiro.

O objetivo do CDCIBER seria, de acordo com o próprio regimento, “conjunto de ações defensivas, exploratórias e ofensivas (…) com as finalidades de proteger os nossos sistemas de informação, obter dados para a produção de conhecimento de inteligência e causar prejuízos aos sistemas de informação do oponente”. E leia-se oponente da forma mais abrangente que puder, considerando inclusive movimentos sociais.

Os gastos para o CDCIBER e para a Agência Brasileira de Inteligência aumentaram significativamente depois das revelações de Snowden em 2013. Um cenário de espionagem externa se instaurou e com ele, uma bolada foi investida na segurança cibernética do país. Deveria se esperar um aumento nesse setor certo? Pois não foi o que se verificou.

Dois casos emblemáticos representam isso: Primeiro, a interceptação do telefone da presidenta Dilma, vazado em cadeia nacional no mesmo dia. Mesmo sendo alvo de espionagem, a autoridade máxima do país não utilizava nenhum tipo de encriptação para sua segurança. Segundo, o sequestro dos computadores da Anatel por hackativistas, em protesto ao posicionamento favorável da agência sobre a criação de franquias limitadas de Internet. Novamente demonstra-se uma falta de segurança, visto que a entidade máxima de regulação das comunicações conseguiu ser facilmente invadida e ter seus computadores criptografados.

pô, eu avisei né

Ao mesmo passo que a segurança não parece ter aumentado, não se verificou o mesmo em relação a vigilância, principalmente focalizada em movimentos sociais. Tanto o CDCIBER quanto a ABIN revelaram possuir e utilizar os mecanismos de vigilância que possuí para monitorar movimentos sociais. Ainda que a justificativa seja um maior padrão de segurança que deveria ser implementado pela presença dos megaeventos dos últimos anos, o legado da vigilância continuará.

Percebe-se que, aparentemente, o mesmo processo que ocorreu nos Estados Unidos ocorre aos poucos por aqui. Um discurso pregando que nosso espaço cibernético precisa de proteção urgente e sendo utilizado para promover a construção de um aparato de vigilância. Infelizmente, nada disso pode ser confirmado, uma vez que a transparência nessas questões é quase nula. Da mesma forma se encontrava os Estados Unidos nessa questão antes de 2013. Precisaríamos do nosso Eduardo Snowden pra que soubéssemos o que realmente está sendo feito no Brasil sobre isso.

Em meio as competências vagas e falta de transparência, se coloca em dúvida qual o real perigo que enfrentamos. Por um lado, por não sabermos exatamente qual o real perigo da ameaça cibernética. Por outro, por deixarmos a total responsabilidade com autoridades que aparentemente tornam um caminho incerto em relação ao direito a nossa privacidade. Entre o código e o discurso, o último tem, por enquanto, mostrado os danos que pode promover para nosso bem-estar.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.