Os ataques cibernéticos raramente saem das manchetes. Sabemos que atores estatais, terroristas e criminosos podem alavancar meios cibernéticos para atingir as infraestruturas digitais de nossas sociedades. Também aprendemos que, à medida que nossas sociedades se tornam dependentes de tecnologias digitais, elas se tornam mais vulneráveis ​​a ataques cibernéticos.
Não faltam exemplos, desde os ataques de 2007 contra os serviços digitais da Estônia e o ataque cibernético de 2008 contra uma usina nuclear na Geórgia até o WannaCry e o NotPetya, dois ataques de ransomware que criptografaram dados e exigiram pagamentos de resgate, e o ataque cibernético de ransomware no US Colonial Pipeline, um sistema de oleodutos dos EUA que fornece combustível para os estados do sudeste.

Ao analisar as implicações éticas e legais dos ataques cibernéticos, é fundamental distinguir os atores envolvidos, uma vez que a permissibilidade de determinadas ações depende também dos atores envolvidos.

Meu trabalho se concentra principalmente em ataques cibernéticos de estado versus estado. Um dos exemplos mais recentes desse tipo de ataque foram os lançados contra as forças militares da Ucrânia e atribuídos à UNC1151, unidade militar da Bielorrússia, antes da invasão russa da Ucrânia.

Observadores analisaram a invasão russa e esperavam que o ciberespaço fosse um elemento-chave. Muitos temiam um "ciber-Pearl Harbor", ou seja, um ataque cibernético maciço que teria um resultado destrutivo desproporcional e levaria a uma escalada do conflito.

Até agora, a invasão da Ucrânia provou ser altamente destrutiva e desproporcional, mas o cibernético desempenhou pouco ou nenhum papel na entrega desses resultados. Isso significa que um cyber-Pearl Harbor nunca acontecerá? Mais importante, isso significa que os ataques cibernéticos são uma capacidade secundária na guerra, e podemos continuar deixando seu uso sub-regulamentado?

A resposta curta para ambas as perguntas é não, mas há nuances. Até agora, os ataques cibernéticos não foram usados ​​para causar destruição em massa; um cyber-Pearl Harbor, como alguns comentaristas argumentaram no início de 2000. A falta do elemento cibernético na Ucrânia não é uma surpresa, dado o quão violenta e destrutiva foi a invasão russa. Os ataques cibernéticos são mais disruptivos do que destrutivos. Eles não valem a pena serem lançados quando os atores estão visando danos cinéticos maciços. Essa destruição é alcançada de forma mais eficaz com meios convencionais.

No entanto, os ciberataques não são isentos de vítimas nem inofensivos e podem levar a danos indesejados e desproporcionados que podem ter consequências negativas graves para os indivíduos e para as nossas sociedades em geral. Por esse motivo, precisamos de regulamentos adequados para informar o uso estatal desses ataques.

Por muitos anos, o debate internacional sobre este tema tem sido conduzido por uma abordagem míope. A lógica era regular os ataques cibernéticos interestaduais na medida em que eles tivessem resultados semelhantes a um ataque armado (convencional). Como resultado, a maioria dos ataques cibernéticos interestaduais não foi regulamentada.

Este é o fracasso do que chamei de "abordagem por analogia" para a regulamentação da guerra cibernética, que visa regular tal guerra apenas na medida em que se assemelha à guerra cinética, ou seja, se levar à destruição, derramamento de sangue e baixas. Na verdade, ele não consegue capturar a novidade do ataque cibernético, que é mais disruptivo do que destrutivo, e a gravidade das ameaças que eles representam para uma sociedade digital. A base dessa abordagem é a falha em reconhecer o valor ético, cultural, econômico e de infraestrutura que os ativos digitais têm para nossas sociedades digitais.

É reconfortante que, após o fracasso de 2017, em 2021, o Grupo de Especialistas Governamentais da ONU para o Avanço do Comportamento do Estado Responsável no Ciberespaço no Contexto da Segurança Internacional possa concordar que os ataques cibernéticos interestaduais devem ser regulamentados de acordo com os princípios da Direito Humanitário (DIH).

Embora isso esteja na direção certa, é apenas um primeiro e atrasado passo. De fato, os princípios do DIH e os princípios éticos da Teoria da Guerra Justa ainda são válidos quando se considera a guerra cibernética. Precisamos que os ataques cibernéticos interestaduais sejam proporcionais, necessários e distingam combatentes de não combatentes. No entanto, a implementação de tais princípios é problemática no contexto cibernético – por exemplo, não temos um limite claro para ataques proporcionais e desproporcionais e critérios para avaliar danos a bens imateriais. Também carecemos de regras para considerar questões relacionadas à soberania e due diligence.

Análises filosóficas e éticas são necessárias para superar essa lacuna e entender a natureza de uma guerra que dissocia a agressão da violência, que visa objetos não físicos e ainda pode paralisar nossas sociedades. Ao mesmo tempo, precisamos garantir que, à medida que mais instituições de defesa vejam as tecnologias digitais como um ativo decisivo para manter a superioridade contra os oponentes, elas invistam, desenvolvam e usem essas capacidades de acordo com os valores que sustentam as sociedades democráticas e para manter estabilidade internacional.

À medida que a tecnologia digital continua a ser integrada nas capacidades de defesa, veja, por exemplo, inteligência artificial (IA), surgem mais questões conceituais e éticas sobre sua governança. Para isso, é importante que as instituições de defesa identifiquem e abordem os riscos e oportunidades éticos que essas tecnologias trazem e trabalhem para mitigar os primeiros e alavancar os segundos.

Ontem, o Ministério da Defesa do Reino Unido emitiu um documento de política:Ambicioso, seguro, responsável:nossa resposta à entrega de capacidade habilitada para IA em Defesa, contendo um apêndice fornecendo Princípios Éticos para uso de IA em defesa. É um passo na direção certa. Os princípios são amplos e mais trabalho precisa ser feito para implementá-los em contextos de defesa específicos. No entanto, eles estabelecem um marco importante, pois mostram o compromisso do MoD em focar nas implicações éticas do uso da IA ​​e abordá-las de forma coerente com os valores das sociedades democráticas.

Esses princípios chegam dois anos após os publicados pelo Conselho de Inovação em Defesa dos EUA. Entre os dois conjuntos de princípios, há algumas convergências que podem sugerir o surgimento de uma visão compartilhada entre os aliados sobre como usar a IA e, mais amplamente, as capacidades digitais para defesa. Minha esperança é que esses princípios possam ser as sementes para desenvolver uma estrutura compartilhada para a governança ética do uso de tecnologias digitais para fins de defesa.