Normas de segurança cibernética: Do conceito à aplicação

Por Paul Nicholas – Diretor Sênior de Computação Confiável 

No ano passado a Microsoft apresentou Seis Normas de Ciber Segurança com o objetivo de reduzir o conflito no ciberespaço e aumentar a proteção global de confiança na tecnologia. Elas oferecem considerações para limitar a atividade do Estado e da Nação contra a parte comercial, mercado em massa de ICT (Information and Communications Technology), vulnerabilidades e ciber armas; conduta de operações ofensivas no ciberespaço; e o apoio ao setor privado para a gestão de eventos cibernéticos. No entanto, enquanto continuamos a ser única a organização praticante a oferecer uma proposta neste espaço, o diálogo sobre normas de segurança cibernética evoluiu desde então.

Também, os intervenientes do governo, academia e sociedade civil apresentaram um certo número de propostas de normas de segurança cibernética, procurando resolver um espectro de desafios causados pela exploração de sistemas de ICT. Enquanto as propostas não são uniformes, oferecem um nível de sobreposição que significa que a discussão tem lentamente evoluído a partir de uma discussão conceitual sobre os direitos e responsabilidades do Estado e da Nação  para melhor esclarecerestas normas. As principais propostas conduzidas no debate são:

    • Acordo entre a Estados Unidos e China em Setembro 2015 sobre ciber roubo de propriedade intelectual, colaboração de aplicação da lei e outras medidas de segurança cibernética; e
    • G20 Communique Sobre ciber roubo de propriedade intelectual, privacidade e a colaboração internacional para a ciber segurança.

No entanto, mesmo que estas propostas começam a lançar raízes entre governos, há muitas perguntas na viabilidade da sua aplicação. Os governos têm reconhecido a centralidade do direito internacional em matéria de normas de segurança cibernética mas com os instrumentos jurídicos internacionais muitas vezes não podemos abordar a complexidade do ciberespaço. Atribuição de ataque sobre ciber segurança é indiscutivelmente o mais proeminente exemplo desta lacuna e foi alegado que sem ela, a questão de saber se um ataque foi perpetrado por um governo ou seus mandatários, normas de execução será falta de responsabilização e portanto a falta de credibilidade como um instrumento de política.

Atribuição não é impossível, mas pode ser difícil do ponto de vista técnico e perspectivas das relações internacionais. Este último representa um desafio típico de relações diplomáticas, como o Estado e a Nação podem escolher não agir  por razões não relacionadas com a ciber segurança. Essa falta de ação pode ao longo prazo minar o quadro propriamente dito. A partir de uma perspectiva técnica, o sector privado tem analisado os ataques e as suas origens durante muitos anos na defesa do ambiente online – independentemente do fato que os ataques podem ter sido patrocinados ou conduzidas por um estado. De fato, várias empresas globais das ICT, incluindo a Microsoft, adotaram políticas e práticas projetadas para alertar os usuários de serviços online populares quando parece que o Estado e a Nação podem os ter orientado.

Do nosso ponto de vista, essas práticas e políticas podem lançar as bases para a futura colaboração com outras partes interessadas para a responsabilidade da unidade normas no comportamento do Estado e a Nação e em última análise para proteger usuários das ICT na segurança de seus dados. Como indicado, acreditamos que a execução só é possível a partir de um processo de duas partes envolvendo tanto a avaliação técnica da natureza do ataque e da determinação política sobre a responsabilidade do Estado e da Nação. Estes são temas que vamos tratar aqui e em um próximo artigo nos próximos meses.

 

http://blogs.microsoft.com/cybertrust/2016/02/08/cybersecurity-norms-from-concept-to-implementation/