A Costa Rica não implementou a estratégia de preparação cibernética que estabeleceu há cinco anos e agora serve de exemplo não apenas para outras nações latino-americanas, mas também para o mundo.
O recém-eleito presidente da Costa Rica declarou estado de emergência nacional, já que a crise em curso custa à nação cerca de US$ 38 milhões por dia.
Talvez em uma época diferente, poderíamos supor que o país foi atingido por um desastre natural devastador ou estava lutando com algum conflito interno – mas os tempos mudaram. A Costa Rica foi atingida não por um terremoto, uma bomba ou um ataque, mas por uma nova crise nacional: o cibercrime.
Lidar com ataques cibernéticos tornou-se uma atividade cotidiana de todas as nações do planeta, à medida que tentam navegar no “oeste selvagem” da internet moderna. Estados-nação, sindicatos de crimes cibernéticos com fins lucrativos, ativistas políticos e brincalhões determinados vasculham a web a cada hora de todos os dias, procurando sua próxima vítima. E que melhor vítima do que a rede do governo de uma nação? As redes e sistemas governamentais estão repletos de recursos e informações, incluindo dados pessoais que são vitais para operações federais e civis. Ao mesmo tempo, eles geralmente estão atrasados em relação às práticas recomendadas de segurança, tornando os sites e sistemas governamentais os principais alvos.
Há um mês, em 12 de abril, o governo da Costa Rica começou a sofrer um número maior do que o normal de ataques cibernéticos em seus sistemas nacionais. Os serviços de previdência social e trabalhistas começaram a entrar e sair da funcionalidade, e os ataques só aumentaram em frequência nos dias seguintes.
Neste ponto, infelizmente, a história pode soar familiar porque dezenas de ataques cibernéticos em larga escala contra estados-nação foram relatados na última década. Além dos ataques a governos, um número incontável de ataques é cobrado contra empresas e indivíduos todos os dias. Mas trinta dias após o início dos ataques, a natureza única dessa situação começou a ficar clara.
Um novo presidente herda uma crise
Em 8 de maio, com os sistemas financeiros nacionais ainda não funcionando normalmente, Rodrigo Chaves tomou posse como presidente da Costa Rica. Em 11 de maio, como um de seus primeiros atos como presidente, Chaves declarou estado de emergência. Ele realocou fundos do estado de emergência anterior do COVID-19, acreditando que esta declaração permitirá que a nação responda com agilidade e eficácia à crise. Mas nunca é tão simples.
Horas após a declaração, a Comissão Nacional de Prevenção de Riscos e Gestão de Emergências (CNE) da Costa Rica fez um anúncio público de que não tinha rota, estratégia e plano para lidar com essa emergência.
Todo o entusiasmo da declaração de Chaves foi desperdiçado por falta de preparo – não por falta de esforço, é claro. O Ministério da Ciência, Inovação, Tecnologia e Telecomunicações (MICITT) formou a Equipe de Resposta a Incidentes de Segurança Cibernética (CSIRT) do país em 2012. Em 2017, o governo da Costa Rica adotou oficialmente uma Estratégia Nacional de Segurança Cibernética, que delineou uma série de etapas que devem ser tomadas para proteger a nação de ataques cibernéticos – uma série de medidas, ao que parece, que não foram tomadas.
Um país em guerra
E isso não é o fim de questões complicadas para esta declaração de emergência. Dias após os ataques iniciais, o infame grupo de ransomware CONTI assumiu a responsabilidade pelo ataque. A CONTI, uma gangue cibernética de língua russa com supostos laços com o Kremlin, esteve fortemente envolvida no conflito ucraniano em andamento. Uma recompensa de US$ 10 milhões por qualquer informação sobre sua liderança e uma recompensa de US$ 5 milhões por informações sobre seus membros oferecidas pelos Estados Unidos não impediram o grupo.
De repente, a linguagem exata usada na declaração de emergência tem implicações enormes. O presidente Chaves disse que deseja acabar com o sofrimento da Costa Rica nas mãos de “cibercriminosos” e “ciberterroristas”. O cibercrime é uma coisa – o código penal da Costa Rica tem diretrizes claras para processar crimes dessa natureza – mas o “ciberterrorismo” é uma fera completamente diferente. A quadrilha do ransomware disse que seu objetivo é derrubar o governo, e a resposta do presidente Chaves foi que o país está “agora em guerra”, o que é único, considerando que a Costa Rica aboliu seu exército há 70 anos.
Além das potenciais consequências políticas e de direito internacional que esta declaração pode ter, o código penal costarriquenho não tem expressamente uma definição de ciberterrorismo em seus livros, mas a natureza inegavelmente motivada politicamente implícita no “terrorismo” tem implicações quando aplicada a um grupo que é entendido por muitos como intimamente ligado ao Kremlin.
Um exemplo para o mundo
Onde isso deixa a Costa Rica e o que isso significa para o resto do mundo?
A Costa Rica continua a perder quantias incalculáveis de dinheiro diariamente com interrupções de serviço e, embora o governo tenha anunciado um “plano de ação”, parece que ainda está lutando para parar/conter o ataque e gerenciar esse tipo de crise em nível nacional. Mesmo que fossem, não há estrutura legal em vigor para processar significativamente os perpetradores. Neste ponto, o governo deve fazer cinco anos de trabalho de preparação cibernética nas próximas semanas.
A América Latina está repleta de infraestrutura crítica global; e se esses ataques se espalharem por lá? O Canal do Panamá opera com uma receita de US$ 2,7 bilhões por ano, e uma interrupção do serviço teria um impacto econômico de uma ordem de magnitude além disso. Na fronteira entre Brasil e Paraguai, a Usina de Itaipu produz mais energia do que outra hidrelétrica do mundo, no valor de US$ 3,2 bilhões. Isso, é claro, é apenas arranhar a superfície.
A Costa Rica não implementou a estratégia de preparação cibernética que estabeleceu há cinco anos e agora serve de exemplo não apenas para outras nações latino-americanas, mas também para o mundo. As nações precisam atualizar sua infraestrutura, desenvolver planos de resposta, atualizar seus códigos penais e harmonizá-los com padrões e melhores práticas internacionalmente reconhecidos, e se juntar à comunidade cibernética internacional.
O mundo tem trabalhado em conjunto para aliviar o fardo de qualquer entidade individual que tenta se fortalecer contra ataques cibernéticos. O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) publicou o Cyber Security Framework (CSF), que foi adotado por inúmeras nações e empresas privadas em todo o mundo. Qualquer nação que não se integrou à comunidade cibernética internacional, qualquer nação que não codificou seus planos e estratégias de defesa cibernética, qualquer nação que tenha ignorado seus especialistas em segurança cibernética, corre um risco extremo.
A melhor época para plantar uma árvore é vinte anos atrás, mas a segunda melhor época é agora.
Fonte: CSO
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
