Ataques Cibernéticos e o Direito de Defesa do Estado

Por Tárik César Oliveira




Admirável Mundo Novo dos Ciberataques

A digitalização das mais diversas atividades humanas tem sido uma tendência inexorável. O ciberespaço, esse conjunto de hardware e software espalhado no planeta, se torna assim um fulcro das mais diversas atividades econômicas e sociais. Com as oportunidades também aparecem as ameaças. E aparecem em grandes quantidades. Ciberataques têm ganhado manchetes e a preocupação do público nos últimos anos. Isso devido ao fato de que ataques têm aumentado em número, se tornando atividades comuns. Para além do número, o nível qualitativo de ameaça dos ataques também tem aumentado. Vimos o recente ataque de ransomware a infraestrutura de Gás americano pela organização criminosa DarkSide, afetando 45% do fornecimento de combustíveis a Costa Leste americana e levando o preço do gás a $3,00 dólares o barril. O ataque da DarkSide foi um ataque de ransomware em busca de dinheiro. O porta-voz da organização imediatamente fez questão de expressar que não havia objetivo político. Alguns dias depois a organização anunciou que seus servidores foram capturados e suas carteiras de criptomoedas drenadas. Ainda não se sabe se esse resultado foi uma ação do estado americano ou se foi um exit scam de um dos filiados para não dividir o dinheiro do ransomware com o resto da organização.


Se muitos desses ataques estão relacionados à busca de dinheiro por meio ilícito, várias outras ações são relacionadas à procura de fins políticos, ao exercício do poder militar ou que têm consequências políticas marcantes.


Um ataque complexo tecnicamente foi o realizado contra a empresa de tecnologia SolarWinds. Os sistemas SolarWinds Orion Platform, versões 2019 e 2020 tinham uma vulnerabilidade que permitia o bypass da autenticação de usuário. Hackers, supostamente relacionados ao serviço de Inteligência Russa, exploraram essa vulnerabilidade para inserir pedaços de código no software da plataforma criando um backdoor que poderia ser usado para instalar outros malwares. A SolarWinds enviou updates para seus clientes em 2020 que possuíam o código malicioso. O hack afetou por volta de 18.000 diferentes clientes da iniciativa privada como a Microsoft, a Intel, a Cisco e vários hospitais. Também diversas agências do governo americano incluindo a CISA, Agência de Cibersegurança e Infraestrutura de Segurança, assim como o Pentágono.


Ataques usualmente afetam a infraestrutura, mas não somente. Ainda em 2020, uma mulher morreu no Hospital Universitário de Düsseldorf, na Alemanha, após hackers terem encriptado dados de saúde do Hospital. É a primeira vítima fatal conhecida de um ataque de ransomware. Vários outros países e organizações também têm sido alvos de ciberataques com claras finalidades políticas, como durante a crise Ucraniana ou os ataques americanos ao programa nuclear iraniano. Isso demonstra a existência de fortes incentivos ao uso político e militar do ciberespaço, assim como o potencial de causar danos catastróficos à infraestrutura de um país. Não por acaso a consultoria de risco político Eurasia Group colocou a cibersegurança como um dos seus 10 principais riscos para 2021.


No caso da SolarWinds, o governo Russo nega ter participação, mas isso não impediu o governo americano de aplicar sanções a indivíduos relacionados à Inteligência Russa. Tal ação do governo americano tem guarida no Direito Internacional? Até que ponto um Estado nacional pode se defender, de que formas ele pode fazê-lo e, em última análise, o Direito Internacional se aplica ao Ciberespaço?


Direito de Defesa e o Artigo 51 da Carta das Nações Unidas

Existem três perguntas a serem respondidas em relação ao ponto. 1) A lei internacional se aplica ao ciberespaço? 2) A lei internacional permite que Estados se defendam? 3) O que seria um alvo legítimo em um ciberataque.


A primeira pergunta é alvo de controvérsia, mas de maneira geral menos que as seguintes. A maioria dos especialistas e muito da prática dos atores internacionais e de opinião que a lei internacional abrange o ciberespaço. Podemos ver esta abordagem no International Humanitarian Law and Challenges of Contemporary Armed Conflicts da Cruz Vermelha [1] e no O Manual de Tallinn de Leis Internacionais Aplicáveis à Guerra Cibernética [2] feito por especialistas da OTAN, usualmente usado como referência no Direito Internacional associado ao ciberespaço. Os problemas emergem quando passa-se para o como a lei internacional lida com o ciberespaço.


De maneira geral não há muito consenso entre estudiosos sobre quais mecanismos pensados para o mundo físico são aplicáveis ao ciberespaço e de qual modo. Até mesmo se é necessário ou framework completamente novo ou se apenas readaptação dos mecanismos atuais é fonte de controvérsia. Soma-se a isso uma relativa escassez de tratados e outros institutos relacionados à matéria que poderiam cortar o nó górdio que envolvem as aplicações práticas.


Como dito antes, a não existência de guias claros não significa que as operações no ciberespaço não vivem num vazio legal, mas dão ao ambiente um tom de cor fortemente cinzento. Para responder a pergunta, se um Estado pode-se defender e de que modo demanda-se olhar os fundamentos da capacidade de defesa no Direito Internacional. Em primeiro lugar, o Estado Nacional tem direito a se auto-defender se atacado de acordo com o artigo 51 da Carta das Nações Unidas, ciberespaço ou não.


ARTIGO 51 – Nada na presente Carta prejudicará o direito inerente de legítima defesa individual ou coletiva no caso de ocorrer um ataque armado contra um Membro das Nações Unidas, até que o Conselho de Segurança tenha tomado as medidas necessárias para a manutenção da paz e da segurança internacionais. As medidas tomadas pelos Membros no exercício desse direito de legítima defesa serão comunicadas imediatamente ao Conselho de Segurança e não deverão, de modo algum, atingir a autoridade e a responsabilidade que a presente Carta atribui ao Conselho para levar a efeito, em qualquer tempo, a ação que julgar necessária à manutenção ou ao restabelecimento da paz e da segurança internacionais.

Via de regra, o Direito internacional admite o uso da força apenas em autodefesa conforme o artigo 51 e o Direito baseado no costume internacional ou sob autorização do Conselho de Segurança. Seguindo a leitura do supracitado artigo, é profundamente restrito o uso legítimo da força mesmo para defesa. De fato, até mesmo ações de defesa contra estados que estejam violando norma internacional podem estar, elas mesmas, em violação com o Artigo 51 se não forem apropriadas e no nível adequado. Contramedidas aceitáveis perante a lei internacional que funcionem como instrumentos para induzir comportamento digamos “correto” nos outros sujeitos internacionais têm certos requisitos. Estas devem ser dirigidas apenas ao Estado responsável pelo ato, ser proporcional ao dano e ser aplicada após a tentativa de negociação com a outra parte, além de não violar direitos humanos.


Essa vedação do uso da força já abrange o uso de instrumentos cibernéticos. De fato, já existe jurisprudência da Corte Internacional de Justiça sobre o direito de defesa ir além de ataques cinéticos armados [3]. Conforme O Manual de Tallinn de Leis Internacionais Aplicáveis à Guerra Cibernética:

“O Grupo Internacional de Especialistas concordou por unanimidade que esta declaração é um reflexo preciso do direito consuetudinário internacional. Portanto, o mero fato de que um computador (em vez de uma arma, sistema ou plataforma mais tradicional) seja usado durante uma operação não tem influência sobre se essa operação equivale a um "uso da força". Da mesma forma, não tem qualquer influência sobre se um Estado pode usar a força em legítima defesa.“

Do mesmo modo, ciberataques são violação do Direito internacional e podem ser alvo de contramedidas incluídas também de natureza cibernética.


Embora a escrita do artigo 51 implica um cerceamento do direito de autodefesa, na aplicação prática, os Estados tendem a seguir uma interpretação extensiva do direito de defesa, incluindo aí um direito de autodefesa preventiva. Ainda assim, existem alguns requisitos que se somam aos já considerados em ações de defesa tradicionais, para se considerar razoável a aplicação do Direito de autodefesa preventiva. A existência de inteligência que indique um ataque iminente, por exemplo.


Se ataques cibernéticos são passíveis de defesa, a natureza e a mensuração da extensão desta defesa adequada e legítima é uma operação complicada. Como identificar e responsabilizar, sobretudo no caso de atores não estatais no ciberespaço não é tarefa simples e na prática se torna ainda mais complicada com a extensão do artigo 51.


Definir o alvo e a natureza da reação de defesa para ataque tem consequências importantes. É menos dramático usar de instrumentos cibernéticos para reagir a ataques cibernéticos decerto, mas e se falarmos de usar ataques letais como contramedidas a ciberataques? Uma visão expandida do artigo 51 pode sugerir essa possibilidade inclusive como defesa antecipada, observados os pré-requisitos anteriores. Se as consequências reais ou esperadas do ciberataque forem demasiado grandes seria válido contramedida armada letal?


Pensando que, como dito antes, o meio não importa, e que uma contramedida armada deve ser proporcional, podemos já imaginar que sim, ataques cibernéticos podem ser alvo de contramedidas que envolvam letalidade, dependendo da extensão deste, ou seja, a natureza do ataque cibernético deve ser correspondente de um ataque armado. Seguindo, mais uma vez seguindo o Grupo Internacional de Experts:


O Grupo Internacional de Especialistas concorda que qualquer uso de força que ferir ou matar pessoas ou danificar ou destruir propriedade satisfaria o requisito de escala e efeitos. Eles também concordaram que atos de coleta de inteligência cibernética e roubo cibernético, bem como operações cibernéticas que envolvam interrupção breve ou periódica de serviços cibernéticos não essenciais, não se qualificam como ataques armados.

O Direito Internacional do ciberespaço demandará uma certa criatividade dos especialistas e dos atores internacionais para regular um dos grandes campos de batalha geopolítica deste século.


Referências Bibliográficas


[1] RED CROSS. International Humanitarian Law and the Challenges of Contemporary Armed Conflicts. 32nd International Conference of the Red Cross and Red Crescent, Geneva, Switzerland, 8-10 December 2015. Document prepared by the International Committee of the Red Cross. Acesso em 20/06/2021 https://www.icrc.org/en/document/international-humanitarian-law-and-challenges-contemporary-armed-conflicts


[2] SCHMITT, Michael N. (Ed). Tallinn Manual on the International Law Applicable to Cyber Warfare. Cambridge University Press. 2013.


[3] International Court of Justice. Legality of the Use by a State of Nuclear Weapons in Armed Conflict - Advisory Opinion of 8 July 1996 - Advisory Opinions [1996] ICJ 2; ICJ Reports 1996, p 66; [1996] ICJ Rep 66. 1996.