N.º 3: O destino de cyber sob Trump
O peso de MAGA, DOGE e America first na cibersegurança global
A 64ª Secretária de Estado dos Estados Unidos, Madeleine Albright, afirmou certa vez que se incomodava com a frequente analogia entre a diplomacia e o jogo de xadrez. Na realidade, dizia ela, diplomacia se assemelha mais a um jogo de sinuca, isso porque não é trivial prever para onde todas as bolas vão depois de uma tacada. E eu, criado na ZN de São Paulo, humildemente adicionaria à sua analogia o fato de que, em um jogo de sinuca, se as coisas esquentarem é preocupante também o fato de que todos os jogadores estão com um taco nas mãos.
A ordem mundial, que é a maneira pela qual os países e outras entidades globais se organizam e se regulam, está passando, já há alguns anos, por um jogo de sinuca tenso. Tínhamos um país muito poderoso na mesa, os Estados Unidos, que praticamente pautou o jogo por uma geração inteira, mas, com o tempo, testemunhou outro jogador, a China, consolidar-se como uma força global significativa por meio de jogadas que passaram a influenciar o jogo como um todo.
Ao mesmo tempo, a Organização das Nações Unidas, que deveria organizar o jogo, sobretudo por meio de seu Conselho de Segurança, vem passando por uma deterioração que acomete também a adesão aos princípios do multilateralismo, que respaldaram a fundação da ONU após a Segunda Guerra. Sobram, então, as jogadas sujas aqui e ali, independentemente de alguém estar olhando ou não.
Na história recente, só na Guerra Fria passamos por algo assim, em que a eventual possibilidade de uma bola ao menos triscar no lugar errado, já nos causava calafrios. Mas, com duas diferenças: naquela época, o clima do planeta não era um fator relevante para a sobrevivência de todos e não tínhamos a facilidade de, com o clique em um botão, interromper a operação de um gasoduto, interferir numa eleição disseminando mentiras por meio de vídeos completamente falsos, ou, roubar um banco à distância.
Um novo governo Trump, na configuração em que está: tendo ganhado tanto entre os delegados, quanto no voto popular, com maioria nas duas casas e muita influência na Suprema Corte, é um elemento que adiciona mais instabilidade ao jogo.
Minha intenção com a TLP Black de hoje apontar tendências para a cibersegurança nos próximos quatro anos considerando este arranjo de poder.
Interesses e necessidades
Atender necessidades não é a mesma coisa que atender a interesses. No entanto, a sobrevivência de um governo depende de lidar com as duas coisas. Em qual dose isso deve acontecer? Maquiavel já mostrou que depende muito da conjuntura.
Governos interessados em abrigar as múltiplas vozes de uma nação (ou de nações, como no caso dos EUA) criam conselhos e outros grupos de discussão para isso. A vantagem de tal abordagem é que as políticas possuem mais chances de chegar lá na ponta, nos necessitados, com menos erros de implementação. Mas isso demanda consultas públicas e muito debate, o que frequentemente tem sido interpretado como perda de tempo e de dinheiro, sobretudo pela administração Trump, que chamou o Elon Musk para cuidar da DOGE, ou Department of Government Efficiency. Qualquer semelhança com a Dogecoin não é mera coincidência.
E logo no primeiro dia de governo, a nova administração eliminou os comitês consultivos do Department of Homeland Security (DHS), dentre eles, o Cyber Safety Review Board, grupo que estava conduzindo uma investigação sobre os ataques do Salt Typhoon. O argumento para a medida é a de que ela visa eliminar o uso inadequado de recursos públicos.
Quem também está na mira da redução de custos é a própria agência de cibersegurança do país, a CISA. Já se fala em uma forte diminuição no seu tamanho ou até em sua extinção. Em uma longa entrevista à Wired, que marca sua saída do cargo de diretora da CISA, Jen Easterly fala sobre o quanto a agência cresceu sob seu comando e sobre a importância de se estabelecer parcerias e cooperação formal quando se faz um trabalho como este. Mas, fazer parcerias, ou seja, se colocar numa posição de igual para igual com o outro, não é algo em que tem a ver com esse novo governo. O Make America Great Again, não com combina com humildade e sim com agir com força. A crise diplomática com a Colômbia incendiada nesse final de semana é um exemplo típico disso.
Essencialmente, o DOGE surge para impor ao governo uma forma de administração típica de uma empresa, não de um tipo qualquer de empresa, mas de uma startup. O corte de custos é uma consequência lógica disso e é claro que, logo mais, veremos o Elon Musk “gesticulando” por aí sobre o quanto ele economizou.
No entanto, governo e empresa são bichos diferentes. Quando uma pessoa tem um interesse ferido em uma empresa, ela muda de emprego ou cria uma concorrente. Agora, interesses violados no contexto de um governo, podem resultar no acúmulo de forças de um adversário com potencial de se tornar inimigo e, ao final dessa cadeia, isso pode custar vidas. Há anos, que os chineses vêm se posicionando em áreas desprezadas por outros países e um argumento comum entre analistas da política internacional é o de que os desprezados por Trump, cairão no colo de Xi Jinping.
Dilema
A ideia de “America First”, defendida pela direita americana, pressupõe que os anos antes de Trump foram tempos em que se cedeu mais aos outros e que os EUA perderam muito com isso. Agora seria diferente.
Também está embutida nessa abordagem a necessidade de correr e de atrapalhar a corrida dos adversários, bem como proteger os bens nacionais. No centro da coisa toda estão as tecnologias criadas pelos bilionários presentes na posse de Trump, as quais são peça-chave na formação de uma relação simbiótica entre o governo e as Big Techs.
Há um conceito na ciência política chamado “path dependence” em que algumas medidas, sejam elas mudanças de rumo ou políticas públicas, acabam se tornando tão enraizadas em uma administração que se torna muito difícil removê-las. O Bolsa Família, por exemplo, é uma dessas políticas. Se um candidato disser que vai extinguir o programa, ele não se elege.
Interpreto essa vinda das Big Techs para dentro do governo Trump como o começo de uma path dependence. Por um lado, não há como vencer a corrida com a China sem isso, por outro, os CEOs dessas empresas vêm apanhando há anos em ações na justiça ligadas a temas como a violação da concorrência e da privacidade. Esse quid pro quo tende a mesclar interesses de modo a enraizar a dependência entre os atores. Não sem conflito, claro, pois estamos falando de interesses concorrenciais. Mas será um caminho sem volta.
Em termos de cibersegurança, podemos prever, em primeiro lugar, uma busca por derrubar barreiras que, entre mil aspas, “burocratizariam” o desenvolvimento de novas tecnologias. Temas como privacidade, neutralidade e transparência perdem força nesse contexto.
Com a invenção do imigrante como o inimigo interno e a China como “o inimigo” (não o adversário) externo, tecnologias de vigilância e de espionagem tendem a ser fortemente estimuladas, assim como toda a indústria que elas carregam, tais como pesquisadores e tecnologias para se descobrir e vender vulnerabilidades zero-day. Empresas do setor de Defense Tech estão lambendo os beiços nesse momento.
Outro elemento previsível é um aumento nas atividades ofensivas, o hack back, por parte das empresas de cyber. Há tempos, vem se desgastando a premissa de que se deve usar as capacidades ofensivas para testar sua segurança ao invés de atacar quem te ataca, e indústria vem colocando a faca nos dentes em ações ofensivas. Temos testemunhado um aumento nas operações em que empresas colaboram com polícias para interromper a atividade de grupos, sejam eles criminosos ou ligados a governos (exemplos 1, 2 ou 3 que peguei de memória). E isso ainda rende um baita marketing.
É possível prever um “release the Kraken” deste tipo de atividade por parte do governo Trump para as empresas que fizerem parte do seu ecossistema, de modo que vai ter CEO se engalfinhando por uma partida de golfe em Mar-a-Lago para poder entrar nesse jogo. No entanto, equívocos em operações como estas podem causar o que e o pesquisador Ben Buchanan chama de “Cybersecurity Dilemma”.
Numa ação militar cinética, é fácil distinguir quando o adversário está fazendo reconhecimento ou quando está realmente te atacando. Pois uma atividade tem chumbo envolvido e a outra não. Em cyber a coisa é diferente e um mero scan para se identificar as capacidades de um adversário pode, por múltiplas razões, ser tratado como um ato de guerra. Esse é o dilema que Buchanan propõe. A gente já vê isso no dia a dia, mas o alargamento dos players autorizados a fazerem isso pode tornar a situação muito mais difícil.
Resumindo: a contração nos custos em cibersegurança que pode ser aplicada pela DOGE somada à agressividade na mesa de negociação pode representar a perda de aliados e o enfraquecimento das defesas do país. Além disso, abrir a porteira para que as Big Techs se enraízem na administração e estimular ainda mais as Defense Techs e o mercado da vigilância pode criar consequências com inimigos do país que, nessa eventualidade, empurrarão as forças de defesa do Estado a intervir para limpar a sujeira.
Se tivesse viva, como será que Madeleine Albright estaria vendo esse jogo de sinuca?
São tantas forças tentando criar um empuxo gravitacional na mesa, impedir os outros de jogar, colocar suas próprias bolas viciadas na mesa e equipá-las com dispositivos para não precisar de tacadas, ou para agir de forma inesperada à uma tacada alheia e, em meio a tudo isso, o planeta tem se remexido e mostrado que o jogo que criamos para ordenar o poder entre as nações está incomodando demais.
No Horizonte
A SonicWall publicou uma correção para uma vulnerabilidade em seus firewalls que permite que qualquer pessoa possa tomar o controle dos equipamentos da linha SMA1000. A fabricante afirma que essa falha vem sendo explorada em ataques nesse momento.
Na ocasião do Fórum Econômico Mundial, a entidade lançou o seu Global Cybersecurity Outlook para 2025. Os itens 3, 4, 5 e 6 (abaixo) são sobre ele.
Relevante o fato de que tanto CISOs quanto CEOs estão preocupados com a elevação nas tensões geopolíticas, sobretudo com as suas consequências, em primeiro lugar, na parada da operação e, em segundo, em atividades de espionagem.
71% dos líderes em cyber ouvidos pelos pesquisadores do Fórum acreditam que pequenas organizações já atingiram um ponto crítico em que não podem mais se proteger adequadamente contra a crescente complexidade dos riscos cibernéticos. Ou seja, se não investirem pra valer (ou não surgir um produto / serviço barato que tire boa parte do risco das costas delas) elas continuarão sendo a fruta mais baixa da árvore indefinidamente.
42% das pessoas da América Latina que responderam à pesquisa disseram não botar fé que seu país consiga lidar com grandes incidentes de cibersegurança contra a infraestrutura crítica.
Para 66%, IA é o principal elemento que pode afetar a cibersegurança nos próximos 12 meses. No entanto, 63% afirmam não possuir processos para lidar com isso.
Link Aleatório
É uma onda - Um novo estudo do Rockefeller Neuroscience Institute da West Virginia University está testando o uso de ondas de ultrassom em partes do cérebro associadas ao vício, de modo a interromper as conexões que estão vinculadas ao desejo pela próxima dose… E a próxima dose… E a próxima dose… Os resultados são interessantes.
“Quero ver você passar, por debaixo da cordinha” - Os Hutis, uma milícia que se opõe ao governo do Iêmen e que controla as regiões do país no Mar Negro, criou um processo pra extorquir os navios comerciais que desejam ter passagem livre pelo local. Basta mandar um email com antecedência e pagar aproximadamente US$ 200 mil que seu navio não será atacado. Segundo reportagem do Economist, o atendimento é super cordial. Desde quando os Hutis passaram a controlar a região, o que, não sem motivo, coincide com o começo da guerra entre Hamas e Israel, boa parte da logística de cargas mundial teve que desviar suas rotas, evitando a região e dando a volta na África, o que aumentou o tempo das viagens em mais de 10 dias, os custos em US$ 1 milhão por viagem, causando impacto para a economia mundial nos custos de frete.
“Coat of Many Colors” - CEOs e conselheiros de grandes corporações estão se consultando com a ex-governadora republicana da Carolina do Sul, Nikki Haley com o objetivo de saber como navegar pelo próximo governo Trump. Haley tem dito aos executivos para a agirem como a cantora country Dolly Parton que, em seus mais de 60 anos de carreira, sempre apoiou os direitos LGBT, mas que, para além disso, pouco se sabe sobre suas preferências políticas.
O The Journal até publicou um trecho de uma entrevista em que Parton diz o seguinte “Não estou sendo política. Não faço política. Não estou entrando em nada disso. Tenho muitos fãs por aí e não quero ofender ninguém. Além disso, simplesmente não me meto nisso. Portanto, se você estiver decidindo se quer me perguntar algo mais sério, não o faça, pois não vou responder.”
Ou seja, o que Nikki Haley tem dito é algo como, faça seu trabalho sendo fiel aos seus princípios, aproveite as oportunidades e sobre assuntos políticos mais amplos, fique calado.