O dilúvio de ataques cibernéticos que varre o mundo faz com que governos e empresas pensem em novas maneiras de proteger seus sistemas digitais, e os segredos corporativos e de estado armazenados nele. Por muito tempo, Os especialistas em cibersegurança ergueram firewalls para impedir a entrada de tráfego indesejado e criar alvos falsos em suas redes para distrair os hackers que entram. Eles também vasculharam a Internet em busca de dicas sobre o que os cibercriminosos podem fazer para proteger melhor a si mesmos e a seus clientes.

Agora, no entanto, muitos líderes e funcionários estão começando a pensar em intensificar suas atividades defensivas, tomando medidas mais ativas. Uma opção extrema neste campo de defesa ativa é às vezes chamada de "hackear" os sistemas de um adversário para obter pistas sobre o que eles estão fazendo, encerrar o ataque ou até mesmo excluir dados ou danificar os computadores de um invasor.

Tenho pesquisado as vantagens e desvantagens de várias opções de defesa ativa com Danuvasin Charoen do Instituto Nacional de Administração de Desenvolvimento da Tailândia e Kalea Miao, um bolsista de graduação Cox na Indiana University Kelley School of Business. Encontramos um número surpreendente e uma variedade de empresas - e países - explorando várias maneiras de serem mais proativos em suas práticas de segurança cibernética, frequentemente com pouca fanfarra.

Ficar ativo

Na superfície, pode parecer que o provérbio está certo:"A melhor defesa é um bom ataque." Os danos de ciberataques podem ser enormes:em maio de 2017, um único incidente, o ataque cibernético WannaCry, afetou centenas de milhares de sistemas em todo o mundo e causou mais de US $ 4 bilhões em perda de produtividade e custos de recuperação de dados. Um mês depois, outro ataque, chamado NotPetya, custou US $ 300 milhões à gigante de remessas globais Maersk e reduziu a empresa a depender do sistema de mensagens WhatsApp, de propriedade do Facebook, para comunicações corporativas oficiais.

Diante dessa escala de perdas, algumas empresas querem intensificar suas defesas. As empresas com sistemas de tecnologia sofisticados sabem o que é necessário para proteger seus clientes, redes e segredos comerciais valiosos. Eles provavelmente também têm funcionários com habilidades para rastrear hackers e penetrar nos próprios sistemas dos invasores. Mas a ética e as implicações de justificar um ataque cibernético como defensivo se complicam muito rapidamente.

Muitas vezes não está claro, por exemplo, exatamente quem está por trás de um ataque - incerteza que pode durar dias, meses ou mesmo anos. Então, quem deve ser o alvo do hack-back? E se uma empresa privada dos EUA acreditasse que estava sendo atacada por uma empresa do governo chinês? Se hackeado de volta, isso seria um ato de guerra entre os países? O que deveria acontecer para reparar as relações corporativas e internacionais se a empresa estivesse errada e seu invasor estivesse em outro lugar? As empresas não devem ter poderes para iniciar conflitos cibernéticos globais que podem ter consequências terríveis, mas online e offline.

Claro, também é importante pensar no que poderia acontecer se outros países permitissem que suas empresas voltassem contra o governo dos EUA ou os esforços corporativos. Como resultado, mais empresas dos EUA podem ser vítimas de ataques cibernéticos, e pode encontrar poucos recursos legais.

Envolvendo-se com a lei

No momento, hackear é ilegal, nos EUA e em muitas nações ao redor do mundo. Nos E.U.A., a Lei de Fraude e Abuso de Computador considera crime acessar outro computador sem autorização. Cada membro do G-7, incluindo os EUA, bem como a Tailândia e a Austrália, baniu o hacking de volta. Em 2018, mais de 50 países - mas não os EUA - assinaram um acordo que as empresas privadas sediadas em seus países não têm permissão para voltar atrás.

Contudo, os defensores de táticas defensivas ativas estão pressionando com força sua mensagem. A plataforma presidencial do Partido Republicano em 2016 prometeu garantir que "os usuários tenham o direito de autodefesa para lidar com os hackers como acharem adequado". Em março de 2018, a legislatura do estado da Geórgia aprovou um projeto de lei para permitir "medidas de defesa ativas destinadas a prevenir ou detectar o acesso não autorizado a computadores". Dois meses depois, então-Gov. Nathan Deal vetou, a pedido de empresas de tecnologia preocupadas com suas "implicações para a segurança nacional e outras ramificações potenciais."

Teria se tornado lei, O projeto da Geórgia ainda provavelmente entraria em conflito com a lei federal. Contudo, legisladores em Washington também propuseram permitir que as empresas se engajassem em certos tipos de defesa ativa. Em 2017, O representante dos EUA Tom Graves, um republicano da Geórgia, propôs a Lei de Certeza de Defesa Cibernética Ativa, que permitiria às empresas se envolver em certas medidas de defesa ativa, incluindo a vigilância de possíveis invasores, desde que a empresa informe o FBI primeiro e que a ação não ameace a "saúde ou segurança pública". O projeto morreu e ainda não foi reintroduzido; não é provável que vá longe na nova Casa Democrata.

A defesa ativa continua ilegal nos EUA e em grande parte do mundo. Mas as proibições não estão sendo aplicadas em casa ou no exterior.

Tornar-se global

Nem todo país proibiu o hacking de volta. Cingapura, por exemplo, tem permitido que empresas locais se envolvam em medidas ativas de defesa em um esforço para prevenir, detectar, ou combater ameaças específicas à sua infraestrutura crítica, incluindo o setor financeiro. Outras nações, como a França, não quero ver o setor privado na frente, mas ainda desejam manter a defesa ativa como uma opção para os governos.

Quanto mais países permitirem defesa ativa, é mais provável que todos - nos EUA e em todo o mundo - se tornem vítimas de um ataque cibernético. Em vez de impedir ataques, a defesa ativa agressiva aumenta a possibilidade de as luzes se apagarem, ou urnas eletrônicas americanas com resultados imprecisos.

As organizações podem e devem ser incentivadas a tomar medidas de defesa passiva, como reunir informações sobre invasores em potencial e relatar invasões. Mas, na minha opinião, eles devem ser desencorajados - se não impedidos - de agir agressivamente, devido ao risco de desestabilizar as relações corporativas e internacionais. Se a busca pela paz cibernética degenera em uma batalha olho-por-olho de vigilantismo digital, a insegurança global será maior, não menos.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.