Como as ameaças russas fizeram da Estônia um país especialista em cibersegurança

Após ser alvo do maior ataque cibernético contra um único país, governo estoniano adotou uma ampla estratégia nacional de segurança de dados

Vista aérea da Estônia
Vista aérea da Estônia Foto: Cortesia de Visite a Estônia

Ivana Kottasová, da CNN

Ouvir notícia

Quando pessoas como a chanceler da Alemanha, Angela Merkel, ou o rei da Bélgica querem saber mais sobre segurança cibernética, eles vão para a Estônia

O país báltico funciona à base da internet. Declaração de impostos, eleições, registros de nascimentos e quase tudo que uma pessoa pode querer ou precisar do governo pode ser feito online. É uma abordagem incrivelmente conveniente para 1,3 milhão de habitantes da Estônia. Ao mesmo tempo, ela também exige um alto nível de segurança cibernética

Para sorte dos seus cidadãos, a Estônia está muito acima da média quando se trata de segurança online. Ela geralmente é colocada no topo das classificações de segurança. Sua capital, Tallinn, é o lar de centro de defesa cibernética da OTAN, chamado Centro de Excelência de Defesa Cibernética Cooperativa. Quando assumiu a presidência rotativa do Conselho de Segurança das Nações Unidas no ano passado, o país fez da segurança cibernética uma de suas prioridades políticas.

“A Estônia digitalizou muito mais cedo do que outros países, se concentrou em ações como ensino online e serviços governamentais online e adotou uma abordagem mais proativa à tecnologia”, afirmou Esther Naylor, analista de pesquisa de segurança internacional da organização Chatham House.

“Além disso, reconheceu que precisa ser um país seguro para que os cidadãos queiram usar sistemas online e as empresas queiram fazer negócios na Estônia. Acho que é por isso que a abordagem da Estônia é frequentemente proclamada como modelo”.

Um novo relatório da União Europeia obtido pela CNN na semana passada mostrou que os ataques cibernéticos sérios contra alvos críticos na Europa dobraram no ano passado. Também houve uma série de ataques contra alvos estratégicos dos EUA nas últimas semanas. O problema foi citado durante a cúpula entre o presidente dos Estados Unidos Joe Biden e seu homólogo russo Vladimir Putin na quarta-feira (16). 

Biden afirmou que disse a Putin que certas áreas de “infraestrutura crítica” deveriam ser proibidas para ataques cibernéticos, e alertou o líder russo que os Estados Unidos tinham “capacidade cibernética significativa” e responderiam a quaisquer novas incursões. Por sua vez, Putin disse a repórteres que os dois líderes concordaram em iniciar consultas sobre o assunto.

A Estônia conhece bem a ameaça cibernética representada pela Rússia. Em 2007, a decisão de transferir um memorial de guerra da era soviética do centro de Tallinn para um cemitério militar gerou uma briga diplomática com seu vizinho e ex-soberano. Houve protestos e declarações furiosas de diplomatas russos. Assim que os trabalhos de remoção do memorial começaram, a Estônia se tornou o alvo do que foi na época o maior ataque cibernético contra um único país. 

O governo da Estônia chamou o incidente de um ato de guerra cibernética e culpou a Rússia por isso. Já o governo russo negou qualquer envolvimento.

O ataque fez a Estônia perceber que precisava começar a tratar as ameaças cibernéticas da mesma forma que os ataques físicos.

Naquela época, o país já era líder em e-governo, tendo introduzido serviços como votação online e assinatura digital. Embora nenhum dado tenha sido roubado durante o incidente, os sites de bancos, a mídia e alguns serviços do governo foram alvo de ataques distribuídos de negação de serviço que duraram 22 dias. Alguns serviços foram interrompidos, enquanto outros foram totalmente removidos.

“Vimos o que aconteceria se nossos preciosos sistemas, que tanto amamos, estivessem inativos”, contou Birgy Lorenz, cientista de segurança cibernética da Universidade de Tecnologia de Tallinn. “Começamos a entender que notícias falsas são realmente importantes, que as pessoas podem ser manipuladas e que temos que proteger melhor nossos sistemas – e que isso não é só uma questão de sistemas, mas também de compreensão do papel que as pessoas desempenham nos sistemas”.

Pessoas importam

Após o ataque, o governo adotou rapidamente (e está sempre atualizando) uma ampla estratégia nacional de segurança cibernética. Ele se associou a empresas privadas para construir sistemas seguros e montou uma “embaixada de dados” em Luxemburgo, um data center superseguro que contém backups em caso de um ataque ao território da Estônia.

O país também se tornou um dos primeiros a adotar a tecnologia blockchain e estabeleceu uma nova unidade cibernética dentro de sua Liga de Defesa da Estônia, uma organização de voluntários. Além disso, a nação começou a pressionar por mais cooperação internacional por meio da OTAN e de outras organizações.

Mas talvez o ponto mais importante tenha sido seu investimento em pessoal.

“A tecnologia nos dá muitas ferramentas para proteger o sistema, mas no final das contas, o nível de segurança depende dos usuários”, disse Sotiris Tzifas, especialista em segurança cibernética e executivo-chefe da Trust-IT VIP Cyber Intelligence.

“Mesmo que você construa o sistema mais seguro que puder, se o usuário fizer algo ruim ou mal orientado, ou ainda algo que não tem permissão para fazer, o sistema será enfraquecido muito rapidamente”. O especialista lembrou que alguns dos ataques cibernéticos mais prejudiciais da história recente foram causados por um insider confuso clicando em um link de phishing, e não por um hacker sofisticado usando a tecnologia mais avançada.

Tzifas disse que o ataque ao Colonial Pipeline, que forçou a empresa norte-americana a fechar um importante oleoduto da Costa Leste dos EUA em abril, foi um bom exemplo disso. “A ação gerou muito burburinho e custou muito dinheiro, mas não teve complexidade real, não foi diferente de outros ataques de ransomware”, contou.

O governo da Estônia tem investido fortemente em programas de educação e treinamento nos últimos anos. Entre campanhas de conscientização, oficinas voltadas especificamente para cidadãos idosos e aulas de “codificação” para alunos do jardim de infância, o governo está garantindo que todos os estonianos tenham acesso ao treinamento de que precisam para manter os sistemas de TI do país seguros.

O governo também quer que seus adolescentes saibam hackear. “Estamos ensinando defesa, mas você não pode aprender defesa se não souber hackear”, explicou a cientista Lorenz. Ela está administrando campos educacionais onde os adolescentes aprendem a hackear em um ambiente seguro.

Hackers atacaram campanhas presidenciais de Biden e Trump, diz Google
Governo da Estônia ensina crianças a hackear sistemas como forma de educação e treinamento sobre segurança digital
Foto: Kacper Pempel/Reuters

 

A especialista não incentiva seus alunos a tentarem hackear empresas ou órgãos governamentais, mas, se isso acontecer, ela estará à disposição para garantir que eles se comportem de maneira ética. “Eu os ajudo a colocar em um pacote e depois mandamos para a empresa e dizemos, olha, os alunos encontraram essa vulnerabilidade no seu sistema”, explicou.

Lorenz é o cérebro por trás de muitos dos programas educacionais da Estônia que são projetados para ensinar as crianças sobre tecnologia, mas também para identificar e nutrir futuros líderes em tecnologia. “Para conseguir talentos, é necessário ter volume para escolher, por isso já temos treinamentos e competições para crianças do ensino fundamental”, afirmou.

A cientista contou que as crianças ficam ansiosas para aprender sobre segurança cibernética, se sentirem que são parte da solução. “Elas não querem ouvir os adultos dizendo o que devem fazer, então a gente diz para as crianças que precisamos de ajuda e pede que elas ajudem seus pais ou irmã mais nova com segurança, fazendo uma auditoria de todos os seus gadgets e senhas, mostrando como fazer isso para que aprendam as habilidades e se sintam capacitados para assumir responsabilidades”, detalhou.

Hackers do governo

Para entender o que um país pode fazer para proteger sua infraestrutura crítica, o governo precisa entender as motivações de seus invasores em potencial, disse Tzifas, especialista em segurança cibernética. “Há hackers patrocinados pelo governo que estão atacando, há os fraudadores tentando obter um ganho econômico e há também os ‘script kiddies’ ou hackers de baixo nível que estão só testando para ver se conseguem”, elencou.

Alguns governos e empresas incentivam o último grupo a tentar invadir seus sistemas, oferecendo prêmios aos que têm sucesso na esperança de que os ajudem a descobrir os pontos fracos dos quais podem não estar cientes, acrescentou.

Houve um grande aumento de ataques patrocinados pelos estados nos últimos anos, com governos usando hacks para desestabilizar seus adversários. No ano passado, os Estados Unidos e o Reino Unido fizeram uma advertência sobre ataques cibernéticos coordenados por governos contra organizações envolvidas na resposta à pandemia de coronavírus. 

É aí que a cooperação internacional se torna crucial – e a Estônia, um pequeno país à margem da UE, está bem ciente disso.

“A Estônia tem sido muito ativa na diplomacia cibernética, está usando sua voz para falar sobre o que deve ou não acontecer no ciberespaço”, disse a analista Naylor, da Chatham House. “Algo que a Estônia fez no ano passado quando se juntou ao Conselho de Segurança da ONU – e esta foi a primeira vez que isso aconteceu no Conselho de Segurança da ONU – foi se alinhar com o Reino Unido e os EUA para responsabilizar a Rússia por um ataque cibernético na Geórgia”, contou, acrescentando que, embora a etapa “não resolva necessariamente todos os nossos problemas no ciberespaço, ela envia uma mensagem”.

O e-Estonia Briefing Center, um centro de informações de serviços digitais e segurança cibernética com financiamento público em Tallinn, é outra forma de o país construir parcerias. Ele foi criado especificamente para oferecer programas de treinamento e oficinas a delegações estrangeiras. Os visitantes incluem Merkel, o rei da Bélgica e vários ministros das Relações Exteriores e governos locais. 

“Compartilhamos nossas histórias de sucesso e nossos erros para que outros países não tenham que reinventar a roda”, disse Florian Marcus, assessor de transformação digital do centro.

A infraestrutura do governo depende de várias camadas de segurança, continuou Marcus. “Um aspecto é que sempre nos certificamos de armazenar o mínimo de dados possível e, quando armazenamos dados, fazemos isso da forma mais separada possível”, disse, explicando o princípio do governo de “uma única vez”.

“Não há dados duplicados dentro do serviço governamental, então, por exemplo, apenas o registro da população tem permissão para armazenar meu endereço. Assim, se qualquer outro órgão, como a autoridade fiscal ou o comitê de votação, precisar do meu endereço, ele deve perguntar ao registro de população por meio de uma troca de dados criptografados que usa blockchain para verificar a integridade dos dados”.

Tzifas disse que essa abordagem é muito mais segura do que ter grandes superbancos de dados que contêm todos os tipos de dados – de endereços e números de identificação a datas de nascimento e dados de cuidados de saúde e seguros – tudo em uma plataforma.

“Estamos falando do sistema bancário, das seguradoras, dos bancos de dados do governo onde todos esses dados são coletados. Isso é ouro puro para os hackers, porque esses dados podem ser facilmente usados para ataques de falsificação de identidade. Quando alguém quer criar uma identidade falsa, precisa de todos esses dados”, lembrou.

A Estônia construiu sistemas de TI seguros, fomentou a cooperação internacional e gastou muito dinheiro e tempo treinando seus cidadãos. Mas, em um mundo onde os hackers estão, na maioria das vezes, um passo à frente dos governos, o país está constantemente tentando encontrar maneiras de melhorar seu sistema.

“Ser puramente defensivo não o protegerá de toda a ampla gama de incidentes cibernéticos que podem ocorrer. Devido à natureza mutável das técnicas usadas por grupos criminosos, é preciso pensar sobre resiliência e tomar medidas de mitigação proativas”, opinou a analista Naylor.

Um exemplo dado por ela é o foco da Estônia na resposta a incidentes cibernéticos. “São simulações de ataques cibernéticos em uma infraestrutura crítica ou em um setor, para que eles estejam mais bem preparados para responder a um ataque potencial”.

A combinação da conscientização do cidadão, o monitoramento de ataques potenciais e contramedidas flexíveis são peças-chave para uma defesa cibernética bem-sucedida, disse Tzifas, “porque qualquer tecnologia que instalarmos será contornada no futuro”.

Para a cientista Lorenz, o sucesso do programa cibernético da Estônia se resume a um princípio simples: todos, desde os altos escalões do governo até as crianças em idade escolar, estão fazendo a sua parte.

“De certa forma, é algo bem estoniano”, afirmou. “Não temos um líder que nos diga o que fazer. Vamos à sauna e uma pessoa diz ‘meu vizinho está pensando em fazer isso’ e outra diz ‘meu vizinho está pensando em fazer aquilo’. Ninguém fala sobre o que vai fazer e nada é decidido, mas todo mundo vai para casa e faz, e de alguma forma está tudo funcionando”.

 

(Texto traduzido. Leia o original em inglês aqui.)

Mais Recentes da CNN