Bom dia, senhoras e senhores e um caloroso bem-vindos a Lisboa! Sou Robert Sherman, o Embaixador dos EUA em Portugal e é verdadeiramente um prazer passar a manhã convosco na abertura desta cimeira de três dias sobre Logística de Segurança através do Ciber espaço.
Permitam-me que comece por manifestar a minha gratidão a algumas pessoas:
Um sincero obrigado ao nosso parceiro português e colegas do Centro Nacional de Ciber Segurança por acolherem este evento.
As minhas felicitações ao meu colega, Contra-Almirante António Gameiro Marques, que inicia as suas funções à frente do Centro Nacional de Ciber Segurança, dando continuidade ao excelente trabalho desenvolvido pelo Vice Almirante Torres Sobral ao longo dos diversos anos em que chefiou o Gabinete Nacional de Segurança ou GNS.
Obrigado ao Comando Norte-Americano na Europa – EUCOM – não só pelo apoio financeiro a este evento mas por ser um verdadeiro líder na area cibernética dentro do governo dos EUA e internacionalmente.
Obrigado aos meus colegas de painel – nomeadamente o Contra-Almirante Marques e o Coronel Brian Vile, sub-director do Centro Cibernético Conjunto do Comando Norte-Americano na Europa – que são os verdadeiros especialistas nesta matéria.
E, mais importante, obrigado a todos por estarem aqui e pelo importante trabalho que desenvolvem diariamente.
Não preciso de o fazer com uma audiência como esta, mas mesmo assim sublinho que os riscos que enfrentamos no campo cibernético são verdadeiramente espantosos. Lá porque o nosso adversário não enverga uniforme de camuflagem, não exibe uma AK-47 ou traz um cinto de suicida não quer dizer que os potenciais riscos ou ameaças são de algum modo menos graves ou perigosos.
Pelo contrário ele ou ela pode usar um blusão e auscultadores e estar a escrever num café local ou em casa e ter a capacidade de causar muito mais danos do que os nossos adversários tradicionais. E a arma de destruição maciça não é mais do que um vulgar computador pessoal.
O Almirante Michael Rogers, chefe do Comando Cibernético dos EUA, disse em Abril que o que lhe tira o sono são os grupos não-estado que usam o ciber espaço como sistema de arma para causar danos. O Almirante Rogers não é o único a pensar assim.
O Presidente Obama, o Secretário da Defesa Ash Carter, o Secretário de Estado John Kerry, o Director da CIA John Brennan e o antigo Comandante Supremo Aliado Almirante Stavridis todos concordam com a magnitude da ameaça.
É por isso que as agências governamentais dos EUA há muito que vêm dando prioridade à ciber segurança e ao envolvimento internacional nesta matéria porque – tal como vocês – têm noção do potencial destrutivo dos ciber ataques seja na rede eléctrica, aeroportos ou portos. Na semana passada ao comemorarmos os trágicos acontecimentos de 11 de Setembro e homenagearmos as vítimas, lembrámo-nos que os nossos inimigos estão sempre à procura de meios não convencionais e servem-se de uma imaginação tétrica para nos atingirem severamente.
A ciber segurança náo é um assunto que possa ser tratado por um único país ou empresa. Porque a ameaça não está confinada a fronteiras ou limites, a nossa resposta deve ser colectiva. Temos de cooperar, de colaborar e de comunicar.
Sempre que podemos, devemos partilhar informação, devemos sincronizar o alcance das nossas respostas com o alcance das ameaças que enfrentamos e devemos criar uma comunidade internacional que partilhe e chegue a acordo quanto aos princípios sobre o que é um comportamento aceitável no ciber espaço.
Embora ainda tenhamos um longo caminho pela frente, ao longo dos últimos anos fizemos extraordinários progressos na area cibernética. Nos encontros do G20 no ano passado na Turquia e no início do mês na China, os líderes afirmaram que o direito internacional, nomeadamente a Carta das Nações Unidas, se aplica aos estados actores que operam no ciber espaço.
O que é que tudo isto quer dizer? Quer dizer que o ciber espaço não é uma terra sem lei onde vale tudo, mas antes um lugar onde a conduta do estado se rege pelas mesmas regras e os mesmos padrões que se aplicam ao mundo físico. Pura e simplesmente não há passagem livre para os ciber crimes.
E é nessa linha que os líderes do G20 confirmaram uma norma defendida pelos Estados Unidos de que nenhum país pode conduzir ou apoiar o ciber roubo de propriedade intelectual – nomeadamente segredos comerciais ou outra informação confidencial das empresas – com o intuito de conseguir condições vantajosas para as suas empresas ou sector comercial.
O nosso trabalho com vista a um consenso internacional em múltiplas vertentes é crítico, pois a liberdade e a democracia não podem coexistir com conflitos no ciber espaço.
Grande parte deste trabalho é feito pela ONU – o local apropriado e natural para o estabelecimento de normas de conduta internacionais. Em Junho de 2015, o grupo da ONU de peritos governamentais chegaram a acordo sobre os princípios cibernéticos em tempo de paz:
- Primeiro, nenhum país deve atacar infra estruturas críticas de outro estado que preste serviço público;
- Segundo, nenhum país deve impedir a organização de outro país que intervém em incidentes de segurança informática de reagir a incidents cibernéticos e tais organizações não devem ser usadas para fins malévolos;
- Terceiro, os países devem colaborar com os pedidos de outros estados para investigar e mitigar actividades cibernéticas maliciosas provenientes desse território.
A aplicação do direito internacional no ciber espaço, o estabelecimento de normas para tempo de paz do comportamento dos estados que acabei de referir, e a defesa de medidas que contribuam para uma maior confiança, tudo isto constitui o contexto de estabilidade cibernética para que estamos a trabalhar.
Mas o nosso trabalho não está apenas em envolver os governos – porque a internet é de todos – todos da sociedade civil. Para o bem e para o mal, as nossas vidas agora estão on-line e isso faz de todos nós partes interessadas.
É por isso que devemos formar parcerias alargadas publico-privadas com as empresas, academia, instituições de cariz religioso e mesmo com a comunidade da cultura. Quem quer que beneficie do acesso ao ciber espaço deve ter uma palavra sobre o seu futuro.
Como o ciber crime transcende as fronteiras internacionais, a nossa capacidade de resposta também o deve fazer. A lei e políticas internacionais devem reconhecer e encorajar a partilha de informação e o apoio a operações trans-fronteiriças.
A Convenção sobre Ciber Crime da Conselho da Europa em Budapeste faz precisamente isso – cria uma linguagem comum e processos legais pela parte de países com vista a, por exemplo, tornar admissíveis num tribunal do Reino Unido provas recolhidas, digamos, no Gana.
Os Estados Unidos são parte da Convenção de Budapeste e desejamos que outros países no mundo também a assinem.
O que deveria ser óbvio daquilo que eu disse até agora é: é raro o dia em que não ouvimos falar de um considerável ciber crime ou vulnerabilidade – seja no departamento de pessoal do governo dos Estados Unidos, na Sony Pictures ou na Saudi Aramco.
De facto, saíu esta semana no Washington Post que investigadores israelitas da Universidade Ben Gurion chegaram à conclusão que o sistema de resposta telefónica de emergência dos Estados Unidos – o nosso sistema 911 que consideramos uma infraestrutura crítica – pode ser alvo de pirataria e desactivado.
E apesar de as leis e políticas internacionais se estarem a desenvolver, ainda são imaturas. Uma área que continua a ser um vazio na nossa arquitectura defensiva é a auditoria da ciber segurança. O que isto quer dizer é que é preciso rever cuidadosamente as regras, processos e controlo usados para guardar os nossos activos de informação.
Estas obrigações de auditoria devem existir entre países, entre actores não-estado como empresas privadas e entre estado e actores não-estado. Ainda não foram decididos os padrões. Quais deveriam ser essas obrigações? Quando é que, por exemplo, um país de trânsito neutral deve ser obrigado a vigiar a sua rede para impedir um ciber ataque?
Face a estes enormes desafios, qual é o pensamento dos Estados Unidos sobre o nosso envolvimento internacional em matéria de ciber segurança? O nosso foco está em seis áreas principais.
Primeiro, aconselhamos os países a desenvolver uma estratégia de ciber segurança abrangente. Estas estratégias constituem a estrutura de sensibilização pública, interrupção e disuasão de actividade cibernética maliciosa e resposta a incidentes por envolvimento interno e externo.
Por exemplo, em Julho, o Presidente Obama aprovou uma política directiva conhecida por PPD-41, que codifica claramente os princípios que orientarão a resposta do governo a ciber incidentes de larga escala.
O PPD-41 articula cinco princípios:
- Responsabilidade partilhada – os indivíduos, juntamente com o sector privado e público têm responsabilidade de proteger o país de ciber ataques maliciosos.
- Resposta com base no risco – a nossa resposta e utilização de recursos é proporcional aos interesses nacionais em jogo.
- Respeito pelas entidades afectadas – a privacidade e liberdades cívis serão respeitadas tal como a informação privada sensível.
- Unidade no esforço do governo – logo que uma agência governamental fica a saber de um incidente, informará rapidamente as outras levando a uma resposta unificada e
- Permitindo a recuperação – o governo federal irá concentrar-se na reparação dos prejuízos da entidade sujeita ao ataque e ao mesmo tempo pesar os interesses de investigação e de segurança nacional.
O PDD-41 reconhece que a aplicação da directiva vai exigir cumprimento da lei, recursos técnicos e apoio dos serviços de informação.
Segundo, encorajamos a partilha e coordenação da informação do governo com o sector privado. Com tanto da nossa infra estrutura crítica na posse ou gestão do sector privado, estas parcerias são fulcrais para o nosso sucesso.
Terceiro, devemos ao mesmo tempo tratar o ciber crime com legislação apropriada e desenvolver as melhores práticas para uma efectiva execução.
Quarto, é preciso haver uma capacidade de gestão de incidentes que possa coordenar a vigilância, alerta, resposta e esforços de recuperação da ciber segurança; esta capacidade reside normalmente numa equipa de resposta de emergência informática.
Quinto, devemos construir uma cultura de sensibilização para a ciber segurança aumentando a compreensão dos cidadãos e indústrias para o papel importante que têm na protecção de ciber sistemas. Parte disso é muito linear. Os analistas de ameaças avisam que uma das maiores ameaças à nossa ciber segurança somos nós próprios – as nossas senhas fracas e a nossa deficiente prática administrativa é que nos tornam vulneráveis. Embora seja fácil de decorar, muita gente ainda usa o nome do filho ou do animal de estimação para senha de entrada no sistema, o que quer dizer que, se entram no nosso computador, entram na nossa rede.
Sexto, temos que identificar e conhecer peritos no governo, na sociedade civil, na academia e nas empresas que saibam quais são as exigências de uma política cibernética abrangente e que sejam capazes de trabalhar através de fronteiras na resolução destes assuntos.
E é precisamente disto que vão tratar ao longo destes três dias. E foi o que se passou na semana passada aqui em Lisboa – e alguns de vocês estiveram lá – quando o Idaho National Labs deu formação sobre sistemas de controlo industriais. E faz todo o sentido que esta conferência seja em Portugal. Portugal tem sido um excelente parceiro na defesa do pensamento estratégico sobre estas difíceis matérias.
Portugal acolheu as ciber conferências da NATO em Abril de 2015 e Maio de 2016 e vai receber a NATO Cyber School provavelmente em 2018, revelando assim repetidamente um papel de liderança na ciber política da NATO.
Sei que os assuntos que vão discutir nestes três dias não são fáceis. Estão em jogo muitos valores concorrentes. Um conversa sobre ciber segurança pode facilmente resvalar para conversa sobre liberdade da internet ou regras da internet. As discussões sobre protecção contra o ciber crime podem passar para conversas sobre qual o comportamento apropriado online.
É importante compreender os cruzamentos de valores da nossa sociedade.
Os nossos ciber adversários não partilham desses valores ou da nossa ética. Eles podem testar, experimentar de forma negligente e irresponsável e cometer erros quase sem consequências; procuram a mais pequena vulnerabilidade. Quanto a nós, não há espaço para erros. E sempre que pensamos que construímos a ratoeira perfeita, os ratos ficam mais espertos.
Durante os próximos três dias terão uma grande oportunidade de conhecer os vossos colegas. É um passo importante para a formação do tipo de redes internacionais importantes para o nosso esforço colectivo.
Por que é através das nossas parcerias e colaboração que seremos capazes de garantir que não apenas o nosso ciber espaço mas o nosso modo de vida está salvo e seguro.
Mais uma vez obrigado e boa sorte!
