José António Henriques Dinis fala-nos da guerra de informação: o que é, que perigos coloca, como pode ser combatida, e que implicações tem a nível militar e civil.
O que é para si a guerra de informação?
A terminologia “guerra de informação”, do inglês “information warfare”, configura-se com o “combate electrónico” no contexto da Sociedade da Informação, estando associado a “operações de informação”, com as quais se pretende, em princípio, obter a superioridade de informação. Este tipo de guerra é real. As operações de informação são conduzidas não só por forças militares, mas também por organizações não patrocinadas por qualquer Estado, onde a competitividade e a conflitualidade muitas vezes são as razões de ser deste combate. Nestas circunstâncias, as organizações têm cada vez mais necessidade de proteger e gerir a informação de uma forma adequada aos desafios da própria globalização em que “vivemos”.
É um tipo de guerra assimétrica que não se declara e onde, de uma forma geral, não se conhece o inimigo ou adversário. Muitas vezes, existe mesmo a necessidade de ocultar as acções dos ataques e danos sofridos, para evitar dar uma imagem de falta de condições de segurança de informação, que, por exemplo, em instituições financeiras pode ter consequências gravosas e pôr mesmo em causa a confiança institucional perante os seus clientes.
Embora este conceito, de uma forma geral, esteja associado a actividades essencialmente militares, no entanto, penso ser útil alargar o seu âmbito, perante o tipo de actores que podem estar hoje envolvidos neste tipo de “combate”, sem querer nem pretender adulterar o conceito das operações militares associadas a este tipo de guerra.
Quais os aspectos que tornam a guerra de informação mais preocupante agora do que no passado?
A sociedade da informação pode caracterizar-se pela massificação na utilização das tecnologias de informação a todos os níveis da sociedade, onde a utilização das redes de computadores e, em particular, as acessibilidades à Internet se considera o ambiente privilegiado para o espaço de batalha deste novo tipo de guerra. Assim, a sociedade fica mais dependente da utilização destes meios de acesso à informação, que embora tragam novas oportunidades, trazem com certeza também novas ameaças. Nestas circunstâncias, devemos maximizar as nossas forças para reduzir os efeitos dos riscos associados às ameaças e deste modo minimizar as nossas fraquezas.
O ciberespaço, onde a maioria dos povos mais desenvolvidos, de uma forma ou de outra, têm a sua presença obrigatória, obriga a ter as redes com mecanismos de segurança adequados, caso contrário é o mesmo que sair do trabalho no meio de um temporal com as mãos vazias, e costuma dizer-se que “quem vai à chuva molha-se”!…
Nestes termos, a dependência que se tem cada vez mais da utilização das tecnologias de informação (informática e telecomunicações), deve levar também a uma maior preocupação na sua utilização com segurança adequada a fim de evitar prejuízos ou contratempos evitáveis.
Quais as principais diferenças entre a guerra de informação a nível militar e nível organizacional?
A guerra de informação a nível militar tem necessariamente um enquadramento diferente do que a nível organizacional, entendendo-se este nível associado a uma grande quota-parte inserida no tecido empresarial e outra parte associado a instituições (estaduais ou privadas) com objectivos socioeconómicos diferenciados.
Enquanto a nível militar este tipo de guerra se deve circunscrever e inserir em operações legalmente mandatadas pelo poder político, no entanto, as operações de informação levadas a cabo por outras organizações, inserem-se, em princípio, em actividades ilegais e com objectivo de atingir resultados para fins particulares. No entanto, existem actividades deste tipo que não se configurando ao nível militar, mas ao nível civil e com repercussão no Estado a nível nacional ou mesmo internacional, e neste caso também se deve enquadrar no âmbito do interesse da sociedade.
Alguns aspectos deste tipo de guerra já não se diferenciam tanto a nível militar ou civil. Se se pensar que as operações de informação, a nível militar, podem trazer benefícios como consequência de reduzir o número de baixas por morte nas operações, no entanto, temos o caso dos ataques do 11 de Setembro de 2001, nos EUA, que não se considerando um ataque militar teve consequências desastrosas, com milhares de mortes. E, neste caso, os ataques foram conseguidos com certeza através de operações de informação bem planeadas e melhor executadas, garantindo a segurança de informação a níveis que tornou impossível uma reacção militar da maior potência mundial da actualidade, contra aqueles ataques terroristas.
Talvez não seja fácil de concluir que as consequências deste tipo de guerra são mais preocupantes a nível militar do que a nível civil, mas que toda a sociedade pode ser afectada por acções diversas e de diferentes tipos pela sua dependência dos sistemas de informação.
Vê o Estado Português preocupado com a guerra de informação? O que foi feito até agora?
Em Portugal, no âmbito da defesa não-militar, o Sistema Nacional de Planeamento Civil de Emergência (SNPCE) é responsável pela preparação de planos e procedimentos capazes de responder a situações de crise ou de tempo de guerra, garantindo o funcionamento das actividades fundamentais, nomeadamente nos sectores de produção e abastecimento alimentar, industrial e energético, da saúde, dos transportes, das comunicações e ciberespaço, do ambiente, de protecção das populações e do apoio civil ao esforço militar. O SNPCE compreende o Conselho Nacional de Planeamento Civil de Emergência (CNPCE) e as Comissões de Planeamento de Emergência (CPE).
A legislação mais recente sobre as CPE (DL 128/2002, de 11 de Maio) identifica «a necessidade reforçada e imperiosa de dar resposta às novas ameaças, ainda mais patentes após os atentados de 11 de Setembro de 2001, através do reforço da capacidade e eficácia do sistema de planeamento civil de emergência nas áreas do ambiente e do ciberespaço». Neste sentido, foram criadas duas Comissões de Planeamento de Emergência específicas do ambiente e do ciberespaço. No entanto, parece estar previsto que as atribuições da CPE do Ciberespaço sejam integradas na CPE das Comunicações, o que se considera menos adequado face à importância que o Ciberespaço tomou nas nossas vidas. Naturalmente que as comunicações e o ciberespaço estão intimamente relacionadas, mas do ponto de vista de segurança apresentam-se com aspectos relativamente diferenciados e específicos, o que leva a segurança de computadores (COMPUSEC) e a segurança de comunicações (COMSEC) constituírem dois conceitos individualizados, muito embora se considere necessidade de uma estreita coordenação das suas actividades.
Em Portugal existe também um serviço de resposta a incidentes de segurança informática suportado pelo CERT.PT (que substituiu o anterior FCCN CERT) que a nível nacional tem como âmbito de actuação a comunidade utilizadora da Rede Ciência, Tecnologia e Sociedade (RCTS). O termo «CERT» (Computer Emergency Response Team) passou recentemente, a nível internacional, a designar-se por «CSIRT» (Computer Security Incident Response Team), no entanto, a sigla tradicional de «CERT» mantém-se como mais conhecida.
A nível militar, as preocupações na utilização da informação e respectiva segurança são necessidades permanentes. Existem órgãos especializados de estado-maior, nas estruturas orgânicas dos diversos comandos, para elaborar o estudo de situação em cada operação, com vista ao levantamento das diversas modalidades de acção para aconselhar a tomada de decisão e, assim, poder adaptar-se ao melhor emprego dos meios disponíveis, com vista ao desenvolvimento de cada operação obter os melhores resultados. Nestas circunstâncias, as operações de informação poderão desenvolver-se integradas com outro tipo de operações militares no sentido de apoiar o desenvolvimento de qualquer outro tipo de combate. No entanto, se levadas a efeito de forma isolada para atingir objectivos específicos, então poderão configurar-se com operações de guerra de informação.
Face à importância dos temas envolventes da guerra de informação, a Academia Militar (do Exército Português) criou um Curso de Pós-Graduação em 2002/2003 sobre Guerra de Informação e Competitive Intelligence, frequentado por alunos civis e militares, onde estive envolvido tanto na sua concepção como coordenação. Considero que este curso constitui um marco importante para reflexão multidisciplinar desta temática e no âmbito da formação pós-graduada, em Portugal, que neste momento está na sua terceira edição.
Que mais deveria ser feito para preparar Portugal, enquanto país, para este tipo de guerra?
Naturalmente que não se pode pensar que Portugal se pode preparar isoladamente para os desafios deste tipo de guerra, ou de qualquer outra. No entanto, existem alguns aspectos onde se pode incidir, nomeadamente na apreensão de conhecimento e sentimento de responsabilidade para a necessidade de criar uma “cultura de segurança” a nível individual, empresarial, institucional, nacional e mesmo global.
Salvo melhor opinião, considera-se imprescindível a sensibilização dos responsáveis políticos e do mundo empresarial para as ameaças da guerra de informação, que podem afectar tanto o cidadão individual e particular como qualquer organização, em especial as empresas ou as instituições do próprio Estado.
Medidas a tomar, passariam por acções onde os decisores políticos e os gestores das instituições, incluindo o tecido empresarial, pudessem tomar consciência para a problemática da Sociedade da Informação em que nos inserimos e onde existem muitas oportunidades, mas onde os riscos das ameaças são omnipresentes. Algumas das medidas a tomar poderiam passar por acções de formação de curta, média e longa duração, incluindo cursos sobre determinadas matérias multidisciplinares, de especialização alargada, onde se pudessem apreender conceitos e práticas que ajudassem à compreensão global da necessidade interdisciplinar nas tomadas de decisão. Nestas circunstâncias deveriam formar-se “gestores híbridos”, isto é, que tenham conhecimentos de gestão, mas também de muitas outras áreas do saber, nomeadamente relacionadas com a utilização de sistemas de informação – espaço de batalha da guerra de informação – e outras matérias da sua envolvente socioeconómica.
Olhando o futuro na sua bola de cristal (imaginemos que a tem) o que vê? O que caracterizará as guerras daqui a 50 anos?
Esta questão levaria a algumas reflexões que não é possível desenvolver neste tipo de resposta.
No entanto, pensando que ao longo da existência do Homem, os conflitos que deram origem a guerras tiveram causas diversas, consoante as épocas, a sua origem e a sua localização. A evolução tecnológica e a da doutrina de emprego dos meios (humanos e materiais) sofreram alterações constantes ao longo do tempo. Assim, umas vezes é a tecnologia que “puxa” (pull) para criar nova doutrina, mas em outras situações é mesmo a doutrina que “empurra” (push) para o desenvolvimento de nova tecnologia. Pensa-se que no futuro este mecanismo de desenvolvimento do binómio “tecnologia-doutrina” continuará a influenciar a evolução dos tipos de guerra. Neste contexto, não é necessário ter uma bola de cristal para ver o futuro, pois de um ponto de vista determinístico, as guerras do futuro serão o que a tecnologia permitir, mas para ver a evolução tecnológica, então uma bola de cristal faz falta para ver o que será a tecnologia daqui a 50 anos.
A partir da I Guerra Mundial passou a utilizar-se com maior extensão a terceira e a quarta dimensões do campo de batalha – a altura – com a utilização do avião e – o espaço electromagnético – com a operação dos equipamentos de rádio para comunicações militares.
Num “futuro próximo” teremos a nanotecnologia e a biotecnologia a serem aplicadas em diversos campos socioeconómicos e provavelmente de modo extensivo no “espaço de batalha”. Neste caso, os “exércitos” poderão vir a ser constituídos por tropas telecomandadas, compostas por nanorobôs voadores ou transportados por meios não-tripulados, onde o homem continuará a ser uma peça fundamental, mas provavelmente mais longe das áreas de confronto com o inimigo ou adversário. Claro que neste caso estamos a prever confrontos entre dois tipos de combatentes, as tropas compostas por homens (e mulheres) das sociedades mais pobres e do outro lado tropas constituídas por máquinas das sociedades mais ricas e com tecnologia mais evoluída, ou mesmo como acções terroristas contra alvos predefinidos. Nestas circunstâncias, pode pensar-se também que os actuais vírus poderão ser substituídos por vírus em forma de nanorobôs com eventual poder de destruição física. Isto pode ser uma visão futurista, sem uma base científica ainda bem fundamentada, mas não deixa de se configurar com uma situação preocupante, onde a miniaturização dos objectos pode levar a novas doutrinas de emprego destes meios e naturalmente dos necessários cenários de defesa contra este tipo de ameaças. A possibilidade de se fazer uso da nanotecnologia não só para fins militares, mas também poderem ser utilizados por criminosos ou terroristas são um de seus principais perigos.
Como descreveria a atitude das organizações portuguesas quanto à guerra de informação?
A terminologia “guerra de informação”, em princípio e como penso ser natural, pode dizer-se que é quase desconhecida a nível das organizações portuguesas em geral. Por um lado, porque é um conceito que mesmo a nível internacional se insere essencialmente na doutrina militar e poucas vezes aparece aplicado com um âmbito mais alargado a toda a sociedade. Por outro lado, porque embora estejamos integrados numa sociedade globalizante, temos ainda algumas dificuldades de adaptação a novas realidades. Nestes termos, considerei de alguma forma oportuno reflectir sobre este tema numa abordagem alargada a toda a sociedade, também inserida no contexto da globalização. Assim, com a publicação do meu livro Guerra de Informação – Perspectivas de Segurança e Competitividade, em Portugal, pretendi contribuir de alguma forma para alterar alguma atitude de passividade (talvez por desconhecimento) de organizações portuguesas responsáveis e também sensibilizar os cidadãos em geral para algumas preocupações que devem ser de todos nós.
A atitude das organizações portuguesas talvez se possa caracterizar em dois patamares. As organizações inseridas num contexto mais internacional ou em sectores socioeconómicos onde o valor da informação está já bem identificado como sendo um activo a contabilizar, e, por outro lado, as organizações que por desconhecimento, ou por outras razões, ainda não apreenderam as circunstâncias em que vivemos, onde a “cultura de segurança” deve ser uma prioridade.
A atitude dos responsáveis das organizações, em geral, e das empresas, em particular, deve enquadrar-se numa perspectiva de que os investimentos em segurança são mais económicos do que os investimentos que serão necessários para a recuperação da imagem da organização, perante acções de “guerra de informação” bem sucedidas, por invasão dos respectivos sistemas de informação. Neste caso, podendo envolver alterações dos sites na Internet com interrupção de actividades comerciais ou comprometendo dados sigilosos.
Nas empresas, onde deveria residir a responsabilidade pela gestão do risco da guerra de informação?
A responsabilidade pela gestão do risco da guerra de informação poderia dizer-se que deve estar diluída a todos os níveis da organização, uma vez que existem estudos que provam que as ameaças estão também e em grande parte dentro das organizações – alguns dos problemas nascem no interior da própria organização. No entanto, a responsabilidade ao nível do plano de gestão estratégica da organização, incluindo as prioridades associadas à segurança dos sistemas de informação, deve estar ao nível dos gestores de topo, naturalmente com a assessoria interna dos responsáveis pela gestão dos sistemas de informação e, se necessário, com assessoria externa especializada. Em qualquer dos casos, considera-se facilitador que os gestores de topo possuam características de “gestores híbridos”, isto é, que para além de competências nas áreas de gestão, tenham também alguns conhecimentos em tecnologias, nomeadamente em tecnologias de informação, e, neste caso, estejam bem integrados no sistema das operações que a organização desenvolve, para de uma forma mais consciente possam tomar decisões em conformidade com as prioridades definidas e as disponibilidades dos meios necessários, a fim de melhor conseguir atingir os objectivos propostos.
Como podem as organizações aprender com o passado de forma a prevenir as consequências da guerra de informação?
Parafraseando Alvin Toffler da sua obra Choque do Futuro, onde referia em 1970 que “as organizações têm hoje estruturas para resolver problemas que já não existem”, então, há que fazer permanentemente o estudo da situação e adaptar a organização aos requisitos de segurança de informação, que no passado era muito menos importante que nos nossos dias. O financiamento em segurança de informação deve ser encarado como um investimento e não como uma despesa, pois como diz o ditado popular “vale mais prevenir do que remediar”.
No entanto, penso estar subjacente a esta questão, a necessidade de as organizações também aprenderem com os erros do passado. Neste caso, haverá necessidade de utilizar ferramentas associadas aos sistemas de informação, onde se incluam as pessoas, os processos e as tecnologias, de forma a preparar de forma sistemática um repositório de informação, que permita criar a memória da organização. Assim, poderão criar-se as condições para uma aprendizagem organizacional permanente, onde a saída natural de alguns dos colaboradores não ponha em causa a utilização das lições aprendidas com o passado e também se possa fazer uma gestão do conhecimento de forma mais efectiva.
Neste caso, penso que o portal KMOL, criado pela Ana Neves, contribui de forma excelente para uma melhor aprendizagem (dos interessados) sobre matérias relacionadas com a Gestão do Conhecimento e a Aprendizagem Organizacional. Costuma dizer-se que “errar é humano” e que só erra quem faz alguma coisa, no entanto, errar sistematicamente ou não fazer alguma coisa para não errar, penso serem atitudes que não ajudam ao desenvolvimento da sociedade com progresso socioeconómico.