.
Novas diretrizes foram codificadas para reger as regras de engajamento relativas aos hacktivistas envolvidos na guerra cibernética em curso.
O Comité Internacional da Cruz Vermelha (CICV), a organização de protecção humanitária responsável pela promoção do direito internacional, estabeleceu oito regras para hacktivistas e outras quatro para os estados desencorajarem o envolvimento civil em ataques cibernéticos contra outros países.
A taxa a que os civis estão a envolver-se em conflitos internacionais foi descrita como “uma tendência preocupante” pelo CICV – um fenómeno exacerbado pela guerra em curso na Ucrânia, que viu pela primeira vez conflitos ocorrerem tanto no mundo físico como no digital. espaço simultaneamente.
Especificamente citado pelo CICV foi o Exército de TI da Ucrânia – o grupo de vigilantes hacktivistas que se reuniu no início da guerra usando a plataforma de mensagens Telegram – como um exemplo de civis que se juntaram aos esforços de guerra.
Desde então, o grupo expandiu-se para desenvolver um serviço que convida qualquer pessoa a doar poder computacional para lançar ataques disruptivos autónomos contra alvos russos.
Uma das oito novas regras que cercam os esforços de hacktivismo proíbe explicitamente atividades como esta, proibindo o uso de métodos de ataque autônomos e, por extensão, exemplos históricos como o Stuxnet.
A mesma regra também proíbe o uso de ataques que possam “transbordar” e interromper sistemas longe do alvo pretendido.
Enquanto o ataque à ViasatO ataque, que ocorreu apenas uma hora antes do início oficial da guerra na Ucrânia, não foi listado como exemplo, mas serve como um dos casos mais recentes deste tipo de ataques indiretos.
Nas semanas que se seguiram, os utilizadores da Internet por satélite em toda a Europa relataram problemas, e os efeitos chegaram a perturbar parques eólicos em países vizinhos.
O Verme NotPetya de 2017 também apresenta um exemplo histórico infame de ataques cibernéticos cujos efeitos se espalham e afetam alvos além do alcance pretendido, incluindo Møller-Maersk, Mercke Mondelez.
A lista completa de regras que se aplicam a atacantes civis online é:
- Não direcione ataques cibernéticos contra objetos civis
- Não use malware ou outras ferramentas ou técnicas que se espalhem automaticamente e danifiquem objetivos militares e objetos civis indiscriminadamente
- Ao planejar um ataque cibernético contra um objetivo militar, faça todo o possível para evitar ou minimizar os efeitos que sua operação possa ter sobre os civis
- Não conduza nenhuma operação cibernética contra instalações médicas e humanitárias
- Não realizar nenhum ataque cibernético contra objetos indispensáveis à sobrevivência da população ou que possam liberar forças perigosas
- Não faça ameaças de violência para espalhar o terror entre a população civil
- Não incitar violações do direito humanitário internacional
- Cumpra estas regras mesmo que o inimigo não
Muitas das regras ecoam o código de conduta tácito que geralmente é entendido como estando em vigor no mundo da segurança cibernética, de que os ataques não devem prejudicar civis ou ter como alvo hospitais, instituições de caridade e organizações semelhantes.
Essas regras são geralmente compreendidas na maioria dos casos e até mesmo os grupos de ransomware mais prolíficos têm mostraram vislumbres de que eles obedecem a um código moral. No entanto, alguns cibercriminosos ainda operam sem tais restrições.
O CICV disse que as três principais preocupações decorrentes do aumento do envolvimento civil na guerra digital incluem o aumento do risco de danos civis devido ao aumento do número de ataques contra objetos civis, o risco de os civis se exporem a operações militares e o fato de a linha cada vez mais se confunde entre quem é civil e quem é combatente.
“Sob [international humanitarian law (IHL)], os civis não devem ser atacados, a menos e enquanto participarem diretamente nas hostilidades. A realização de ataques cibernéticos contra alvos militares ou civis pode equivaler a tal ‘participação nas hostilidades’ e corre o risco de tornar os hackers civis sujeitos a ataques”, disseram dois assessores do CICV em um comunicado. artigo anunciando as regras.
“Além disso, embora os membros das forças armadas de um Estado (incluindo os operadores cibernéticos) gozem de impunidade por atos lícitos de guerra (como atacar uma instalação militar) e se tornem ‘prisioneiros de guerra’ quando capturados, os hackers civis não. Se capturados, correm o risco de serem considerados criminosos ou ‘terroristas’ e processados como tal”.
Regras para estados
O CICV também elaborou regras para os próprios países, num esforço para dissuadi-los de tolerar atividades hacktivistas.
Todos giram em torno da legalidade do envolvimento em conflitos militares digitais como civis e das responsabilidades dos Estados de defender o DIH, processando as violações quando necessário.
É importante notar que nem os EUA, a Rússia, nem a China – três das principais potências mundiais – fazem parte do Tribunal Penal Internacional, a instituição responsável pela administração do direito internacional.
As quatro regras são:
- Se hackers civis agirem sob a instrução, direção ou controle de um Estado, esse Estado será legalmente responsável internacionalmente por qualquer conduta desses indivíduos que seja inconsistente com as obrigações legais internacionais do Estado, incluindo o Direito Internacional Humanitário.
- Os Estados não devem encorajar civis ou grupos a agir em violação do direito humanitário internacional
- Os Estados têm a obrigação de devida diligência para prevenir violações do direito internacional humanitário por parte de hackers civis no seu território
- Os Estados têm a obrigação de processar crimes de guerra e tomar as medidas necessárias para suprimir outras violações do DIH
“O DIH estabelece regras essenciais para limitar os efeitos dos conflitos armados sobre os civis. Ninguém que participa na guerra está fora destas regras”, afirmou o CICV.
“Em particular, cada hacker que conduz operações no contexto de um conflito armado deve respeitá-las, e os Estados devem garantir que este seja o caso para proteger as populações civis contra danos”.
Alguma coisa será alterada?
Com a prática de acompanhar a guerra cinética com ataques cibernéticos tão profundamente enraizada no conflito em curso na Ucrânia, os especialistas que falaram com Strong The One disseram que não estão convencidos de que as regras terão um impacto substancial na guerra.
“A forma como a Rússia está se comportando… [taking] prisioneiros de guerra, bombardeios em teatros e hospitais… Não consigo imaginar que isso tenha qualquer efeito sobre os hacktivistas”, disse o professor Alan Woodward, especialista em ciência da computação e segurança da Universidade de Surrey.
“Se [hacktivists are] disposto a se envolver nessa guerra, dessa forma, algumas regras estabelecidas pelo CICV farão alguma diferença? Eu não acho.”
Kevin Curran, membro sênior do IEEE e professor de segurança cibernética na Universidade de Ulster, elogiou o espírito das regras, mas repetiu o que parece ser o sentimento predominante de que as regras podem não ter o impacto que o CICV espera.
“As regras de engajamento do CICV são sensatas, variando desde não direcionar ataques cibernéticos contra objetos civis até cumprir essas regras, mesmo que o inimigo não o faça. No entanto, qualquer equipe de ofensiva cibernética que tentasse aderir a ‘esses nobres objetivos’ seria em desvantagem significativa.” Curran acrescentou que na mentalidade desses guerreiros do teclado “toda destruição dentro das fronteiras dos inimigos é justificada – nada está fora de questão”.
O líder da Killnet, os agentes DDoS alinhados à Rússia e reunidos no Telegram, conhecidos por lançar ataques perturbadores diários contra vários alvos em toda a Ucrânia, já disse o grupo não estaria aderindo às novas regras do CICV.
Falando com Strong The One, o porta-voz do Exército de TI da Ucrânia disse que o grupo está “comprometido em cumprir os padrões internacionais e práticas éticas e garantirá o cumprimento dessas regras recentemente sugeridas”.
Eles apontaram um suposto ataque cibernético ao hospital infantil de câncer de Okhmatdyt, que alegaram ter sido realizado hoje, como um exemplo da necessidade das diretrizes.
“Envidaremos todos os nossos esforços para separar claramente as contas militares e civis, especialmente em cenários em que sejam visados objetivos duplos civis/militares”, acrescentaram. “Isto está em linha com o nosso compromisso contínuo de minimizar qualquer dano potencial aos civis.
“Num espectro mais amplo, pode ser benéfico para os órgãos reguladores contemplarem mecanismos que compensem as perdas das partes que aderem a estas directrizes. A concepção actual pode inadvertidamente favorecer aqueles que desrespeitam as leis, incentivando assim potencialmente o incumprimento.
“Continuamos abertos a novas discussões para elucidar a nossa posição e estamos dispostos a cooperar com organismos internacionais para promover um ambiente operacional propício e legal.” ®
.
