• Enviar esta página
  • Imprimir esta página

Não há brechas jurídicas no ciberespaço

16-08-2011 Entrevista

A "guerra cibernética" e o Direito Internacional Humanitário. No mundo todo, as pessoas encarregadas de fazerem política e os líderes militares estão considerando as implicações da guerra cibernética. A especialista jurídica do CICV Cordula Droege explica que o marco jurídico existente é aplicável e deve ser respeitado mesmo no âmbito cibernético.

     

    ©CICV 
   
Cordula Droege, especialista jurídica do CICV 
         

  O que significa "guerra cibernética" e por que isso preocupa o CICV?  

O conceito de guerra cibernética ainda não é claro e, aparentemente, pessoas diferentes dão significados diferentes quando se referem a esse tipo de guerra. Para fins desta discussão, a guerra cibernética se refere aos meios e métodos de guerra que contam com info rmações tecnológicas e são usados no contexto de um conflito armado Segundo a definição contida no Direito Internacional Humanitário – em oposição às operações cinéticas militares tradicionais.

Da mesma maneira, termos como " ataques cibernéticos " , " operações cibernéticas " ou " ataques de redes de computadores " não têm um significado legal acordado internacionalmente e são usados em diferentes conceitos (nem sempre limitados aos conflitos armados) e com diferentes significados. Usaremos um termo um tanto mais amplo das operações cibernéticas para nos referirmos a tais operações contra ou por meio de um sistema de computador através de um fluxo de dados. Tais operações podem ter como objetivo fazer coisas diferentes, por exemplo, infiltrar-se em um sistema de computadores e coletar, exportar, destruir, modificar ou encriptar dados ou desencadear, alterar ou de outra forma manipular processos controlados pelo sistema infiltrado. A tecnologia pode ser usada na guerra e, sob certas circunstâncias, algumas dessas operações podem constituir ataques conforme definido no Direito Internacional Humanitário.

As operações cibernéticas podem levantar questões humanitárias, em particular, quando seu efeito não se limita aos dados do computador ou do sistema de computadores que têm como alvo. De fato, em geral, elas têm como objetivo ter um efeito no “mundo real”. Por exemplo, ao interferir nos sistemas de computadores de apoio, podem-se manipular os sistemas de controle de tráfico aéreo do inimigo, os sistemas de fluxo de oleoduto ou usinas nucleares. O impacto humanitário potencial de algumas operações cibernéticas é, portanto, enorme. As operações cibernéticas que foram realizadas até esse ponto, por exemplo, na Estônia, na Geórgia e no Irã, aparentemente não tiveram consequências graves para a população civil. No entanto, parece que é tecnicamente possível interferir nos sistemas de controle de aeroportos e outros sistemas de transporte, represas e usinas nucleares via ciberespaço. Os cenários potencialmente catastróficos, como colisões de aeronaves, liberação de produtos químicos venenosos em usinas ou a interrupção de infraestruturas e serviços vitais como eletricidade ou redes de água, portanto não podem ser desconsiderados. As principais vítimas de tais operações provavelmente são os civis.

  O Direito Internacional Humanitário se aplica às operações cibernéticas?  

O Direito Internacional Humanitário (DIH) só se aplica se as operações cibernéticas forem cometidas em um contexto de conflito armado – seja ele entre Estados, entre Estados e grupos armados organizados ou entre grupos armados organizados. Portanto, precisamos distinguir a questão geral da segurança cibernética da questão específica das operações cibernéticas em conflitos armados. Termos como " ataques cibernéticos " ou mesmo " terrorismo cibernético " podem evocar métodos de guerra, mas as operações às quais se referem não são necessariamente conduzidas em um conflito armado. As operações cibernéticas podem ser e de fato são usadas em crimes cometidos em ações cotidianas que não têm nada a ver com situações de guerra. Muitas operações coloquialmente chamadas de “ataques cibernéticos” são, na verdade, ataques de exploração de redes realizados com o propósito de reunir informações ilícitas e acontecem fora do contexto dos conflitos armados. Mas em situações de conflito armado, o DIH se aplica quando as partes recorrem a meios e métodos de guerra que contam com operações cibernéticas.

  Se o DIH se aplica às operações cibernéticas, o que diz a respeito delas?  

O DIH não menciona especificamente as operações cibernéticas. Devido a isso, e devido a que a exploração da tecnologia cibernética é relativamente nova e às vezes parece introduz ir uma mudança qualitativa completa nos meios e nos métodos de guerra, ocasionalmente se argumentou que o DIH está mal-adaptado ao campo cibernético e não pode ser aplicado à guerra cibernética. No entanto, a ausência de referências específicas no DIH às operações cibernéticas não significa que tais operações não estejam sujeitas às regras do DIH. Se os meios e os métodos da guerra cibernética produzirem os mesmos efeitos no mundo real que as armas convencionais (como destruição, interrupção de serviços, estragos, ferimentos ou mortes), são regidas pelas mesmas regras que as armas convencionais.

Novas tecnologias de todos os tipos estão sendo desenvolvidas sempre e o DIH é amplo o suficiente para acomodar esses desenvolvimentos. O DIH proíbe ou limita especificamente o uso de certas armas (por exemplo, armas químicas ou biológicas, ou minas antipessoal). Mas também regula, por meio de regras gerais, todos os meios e métodos de guerra, incluindo o uso de todas as armas. Em particular, o Artigo 36 do Protocolo I adicional às Convenções de Genebra dispõe que " durante o estudo, preparação ou aquisição de uma nova arma, de novos meios ou de um novo método de guerra, uma Alta Parte contratante tem a obrigação de determinar se sua utilização seria proibida, em algumas ou em todas as circunstâncias, pelas disposições do presente Protocolo ou por qualquer outra regra do Direito Internacional aplicável a essa Alta Parte contratante”. Além da obrigação específica que impõe sobre os Estados-Partes, esta regra mostra que as regras gerais do DIH se aplicam às novas tecnologias.

Isso não significa que não haja uma necessidade de desenvolver mais o Direito à medida que as tecnologias evoluam ou o impacto humanitário se torna mais compreensível. Isso será determinado pelos Estados. Enquanto isso, é importante reforçar que não há uma brecha jurídica no ciberespaço. Além disso, no entanto, enfrentamos inúmeras interrogaçõe s quando a como o DIH será aplicado na prática.

  O que acontece com o ciberespaço que dificulta a aplicação das regras do DIH?  

Os meios e os métodos da guerra cibernética ainda não são completamente compreensíveis, salvo, ao que tudo indica, pelos especialistas técnicos que as desenvolveram e as aplicaram. O desenvolvimento de novas tecnologias com frequência é confidencial. Dito isso, para determinar se e até que ponto os meios e os métodos de guerra são diferentes em termos de qualidade daqueles usados em guerras convencionais, o mais importante é entender como a tecnologia poderia ser usada e que efeitos teria em um conflito armado.

Mas um aspecto do ciberespaço que causaria dificuldades é o anonimato das comunicações. Nas operações cibernéticas que ocorrem diariamente, o anonimato é a regra e não a exceção. Parece que é impossível em alguns casos rastrear que a originou. Como todas as leis se baseiam na atribuição de responsabilidade (no DIH a uma parte em conflito ou a um indivíduo), surgem grandes dificuldades. Em particular, se aquele que realizou uma determinada operação e, portanto, o elo entre a operação e um conflito armado não pode ser identificado, é extremamente difícil determinar se o DIH é até mesmo aplicável à operação.

Outra característica do ciberespaço é, claro, a interconectividade. As interconexões entre sistemas de computadores – civis e militares – poderiam dificultar aplicação mesmo das regras mais fundamentais do DIH.

  Que regras do DIH são aplicáveis às operações cibernéticas? Como podem ser aplicadas ao mundo da interconectividade?  

Todas as regras do DIH regem a conduta de hostilidades são potencialmente aplicáveis durante conflitos armados, mas se são relevantes em tal contexto e como podem ser aplicadas são as verdadeiras perguntas. Antes de dar alguns exemplos, é importante lembrar que um dos principais propósitos do DIH é proteger a população civil e a infraestrutura civil contra os efeitos das hostilidades.

Consideremos algumas regras fundamentais do DIH para ilustrar não somente sua importância para as operações cibernéticas, mas também as difíceis questões que sua aplicação no ciberespaço levanta. Essas regras estão relacionadas com os princípios de distinção, proporcionalidade e precaução.

     

  O que o CICV está fazendo com relação à guerra cibernética?  

Precisamos ter em mente que o potencial militar e o impacto humanitário da guerra – apesar de tudo o que lemos sobre eles na mídia – está longe de ser completamente entendido. No entanto, com certeza é possível que as operações cibernéticas possam ter consequências desastrosas para os civis. Por isso o CICV monitora o desenvolvimento e lembra todas as partes envolvidas em um conflito de sua obrigação de cumprir com o DIH. Também prestamos atenção em inúmeras iniciativas que visam a esclarecer o Direito aplicável às operações cibernéticas em conflitos armados. Nosso objetivo é reafirmar a aplicabilidade, evitar qualquer enfraquecimento do DIH causado pelo desenvolvimento de novos parâmetros e lembrar a todos os envolvidos que no mundo da interconectividade a necessidade de poupar os civis é provavelmente maior do que nunca.

     
O princípio da distinção e da proibição de ataques indiscriminados e desproporcionais 
   
O princípio da distinção exige que todas as partes envolvidas em um conflito distingam sempre entre os civis e os combatentes e entre os objetos civis e os objetivos militares. Os ataques só podem ser direcionados contra combatentes e objetivos militares. Ataques indiscriminados, isto é, ataques que não são ou não podem ser direcionados a um objetivo militar específico ou aqueles cujos efeitos não podem ser limitados conforme exigido pelo DIH, são proibidos. Da mesma maneira, os ataques contra objetivos militares ou combatentes são proibidos se estes puderem vir a causar vítimas civis incidentais ou causar estragos que seriam excessivos com relação à vantagem militar concreta e direta antecipada (os chamados ataques desproporcionais).

    Isso significa que, ao planejar e realizar operações cibernéticas, os únicos alvos admissíveis segundo o DIH são objetivos militares, como computadores ou sistemas de computadores usados para apoiar infraestruturas militares ou infraestruturas usadas especificamente para fins militares. Os ataques através do ciberespaço não podem ser direcionados, por exemplo, a sistemas de computadores de estabelecimentos médicos, escolas ou outras instalações puramente civis. A questão da preocupação humanitária com relação a isso é que o ciberespaço é uma zona caracterizada pela interconectividade. Consiste de inúmeros sistemas de computadores interconectados no mundo todo. Os sistemas de computadores militares muitas vezes estão interconectados com sistemas comerciais e civis e contam com eles como um todo ou em parte. Portanto, pode ser impossível lançar um ataque cibernético contra uma infraestrutura militar e limitar os efeitos àquele objetivo militar. Por exemplo, o uso de um worm que se replica e não pode ser controlado e pode, desta forma, causar estragos importantes a infraestruturas civis, seria uma violação ao DIH. 
               
Obrigação de tomar devidas precauções 
   
    Aparte responsável por um ataque deve tomar medidas, o mais factível possível, para evitar ou reduzir o estrago incidental às infraestruturas civis ou causar danos aos civis. Isso exigirá a verificação da natureza dos sistemas que estão sendo atacados e os possíveis estragos que podem resultar de um ataque. Isso também significa que quando se torna claro que um ataque causará estragos incidentais excessivos aos civis ou vítimas civis, ele deve ser cancelado.    

    Também, as partes em um conflito têm a obrigação de tomar as precauções necessárias contra os efeitos dos ataques. Seria aconselhável, portanto, de modo a proteger a população civil contra os efeitos incidentais dos ataques, avaliar se os sistemas de computadores militares estão suficientemente separados dos civis. A confiança dos sistemas de computadores militares e as conexões com sistemas administrados por civis que também são usados para fins civis poderia ser um motive de preocupação.    

    Por outro lado, a tecnologia de informação poderia servir para limitar os estragos incidentais aos civis e às infraestruturas civis. Por exemplo, poder causar menos estrago interromper determinados serviços usados para fins militares e civis do que destruir a infraestrutura por completo. Em casos assim, o princípio da precaução comprovadamente impõe uma obrigação sobre os Estados que escolhem meios menos nocivos para alcançar um objetivo militar.