É numa base militar construída no final do século XIX para albergar o exército do czar russo que estão a ser lançadas as fundações daquilo que pode vir a ser a estratégia de ciberdefesa da NATO nos próximos anos. O Centro Cooperativo de Ciberdefesa (CCDCOE, na sigla original), sedeado em Talin, na Estónia, desenvolve actividade de pesquisa e exercícios militares numa área ainda pouco explorada, mas que já faz manchetes em todo o mundo.

O episódio mais recente envolveu a fuga e publicação do conteúdo de vários e-mails trocados pela direcção do Partido Democrata nos EUA, mas a pirataria informática pode ter efeitos bastante mais preocupantes. Em 2007, a Estónia sofreu durante três semanas uma série de ataques informáticos, designados como negação de serviço (ataques em que a penetração nas redes e servidores é feita através de vários computadores zombies, com os próprios utilizadores a ignorar estar a ser alvo de pirataria). Foram atacados vários sites de partidos políticos, jornais e também de bancos, impedindo a realização de operações bancárias online – num país onde 97% da população utiliza essa funcionalidade.

“A Estónia em 2007 e a Geórgia em 2008 [também alvo de ataques informáticos] foram os canários na mina de carvão”, diz a chefe do gabinete de imprensa do CCDCOE, Liisa Past. Foi a partir desse momento que a segurança informática se tornou numa das prioridades no pequeno país báltico. O tema é sensível para uma nação que nos últimos anos tem estado na vanguarda de um estilo de vida cada vez mais digital e que se orgulha de ser uma e-society. Os serviços públicos estão praticamente todos acessíveis através da Internet e até é possível votar pelo computador.

O CCDCOE foi criado pouco mais de um ano após os ataques informáticos. Não se trata, porém, de um centro operacional da NATO, lembrando mais um think-tank. Liisa Past gosta de definir o organismo como “uma comunidade de nações com a mesma visão, focado na pesquisa, análise aplicada e exercícios e treino”, que não está vinculado à política da NATO. O centro tem 18 países associados, dois dos quais não pertencem à aliança – Áustria e Finlândia – que o financiam e fornecem pessoal. Segundo a assessora de comunicação, a entrada de Portugal pode estar para breve, depois de um contacto entre o centro e o ministro da Defesa durante a cimeira da NATO, em Varsóvia.

Manobras virtuais

Uma das iniciativas mais importantes do CCDCOE é um exercício anual que é organizado desde 2010. À semelhança dos exercícios militares convencionais, o “Locked Shields” consiste numa simulação de um conflito com o objectivo de testar a preparação e prontidão das Forças Armadas participantes, com a grande diferença de tudo se passar no mundo virtual.

Durante uma semana, equipas dos 19 países tentam proteger as redes e os serviços virtuais de Barilia, um país ficcional, que se encontra sob ataques informáticos constantes de um país hostil. São construídas redes virtuais semelhantes o mais possível às do mundo real, que correspondem a serviços públicos, sistemas bancários e até de telemóveis. Para tornar o exercício ainda mais realista, é ainda introduzido o papel dos media e da sociedade civil, normalmente para testar a resposta das equipas de defesa em situações de pressão pública.

Um dos exercícios, explica Past, consistia no roubo de um ficheiro classificado de uma das redes que as equipas deveriam proteger, que acabaria por ser passado à imprensa. Houve três tipos de resultados: um terço das equipas não conseguiu proteger a rede e acabou por ser confrontado pelos media; outro terço, optou por esvaziar o servidor e, apesar de não ter conseguido proteger a rede, os hackers não conseguiram publicar o ficheiro; os restantes foram bem-sucedidos.

Os exercícios envolvem quase 700 pessoas e decorrem durante uma semana “muito intensa”, diz a responsável, mas a sua preparação ocupa quase o ano todo. “Um mês depois, analisamos o que aconteceu e já começamos a pensar em novos exercícios.”

Apesar da importância que os ataques informáticos vão assumindo, Liisa Past não acredita que se vá assistir a uma guerra cibernética, mas antes a uma combinação entre a componente informática e a convencional. “Ter botas no terreno é mais exacto, mais inesperado e mais barato”, diz.

Investigação forense

Em Junho, a NATO anunciou que vai passar a tratar o campo informático como uma área operacional, equiparando-a aos campos tradicionais de conflito: terra, mar e ar. A decisão vem no seguimento de uma das principais conclusões da cimeira de Gales, em 2014, em que foi determinado que um ataque cibernético pode ser invocado por um país-membro para accionar o Artigo 5.º da Carta da NATO, que implica o apoio militar dos restantes aliados. A decisão é, sobretudo, “um sinal político”, diz Liisa Past. A partir de agora será preciso pôr em prática a defesa do novo domínio operacional, algo que deverá “demorar algum tempo”, admite.

Uma das questões mais relevantes e problemáticas prende-se com a responsabilização por ataques deste tipo. As autoridades estónias acusaram o Governo russo de estar por trás do episódio de 2007, mas a profusão de origens de cada ataque torna impossível apontar um único culpado. Os servidores estónios foram atingidos por computadores com IP em mais de 150 países diferentes, “incluindo o Vaticano”, diz Liisa Past. “Num estado de guerra convencional, podem-se tirar as divisas [dos uniformes], mas sabe-se quem pilota o quê, quem conduz o quê, quem dispara o quê. As armas cibernéticas são mais democráticas.”

Para já, a investigação forense digital é uma área ainda em desenvolvimento e muito cara, segundo esta responsável. “Nestas situações, a maioria dos países prioriza a usabilidade, viabilidade e segurança em vez da investigação forense digital” e, nesse sentido, “o foco é a manutenção dos serviços [sob ataque]”, explica.

Liisa Past era jornalista na altura dos ataques informáticos de 2007 e ainda se recorda de ter sido necessário enviar uma pessoa à gráfica entregar em mão um CD com os layouts do jornal para serem impressos. Porém, a chefe de comunicação do CCDCOE não esconde o seu pragmatismo: “Não ser capaz de pagar com um cartão de crédito não é comparável a bombardeamentos.”

O jornalista viajou a convite do Ministério dos Negócios Estrangeiros da Estónia.