Segundo relatos de fontes geralmente consideradas como credíveis, Pete Hegseth, antigo apresentador de televisão nos Estados Unidos da Fox News e agora “Secretary of Defence” (Ministro da Defesa dos EUA) ordenou que todas as operações do ramo do exército dos EUA intitulado “Cyber Command” contra a Rússia fossem interrompidas. Segundo estas fontes os analistas do departamento deviam parar de seguir e reportar sobre todo o tipo de ameaças vindas da Federação Russa. A notícia deve ser tomada com um grão de sal mas – tendo em contra o actual contexto políticos nos EUA – deve ser encarada com a gravidade que o assunto merece.

Com efeito, a Administração Trump já sinalizou várias vezes que não considera a Federação Russa como uma ameaça contra os interesses nacionais dos EUA tendo sido uma delas a declaração de Liesyl Franz, um alto funcionário do Departamento de Estado (Ministério dos Negócios Estrangeiros) dos EUA que, num discurso perante um grupo de trabalho na ONU sobre cibersegurança afirmou que os EUA estavam preocupados com ameaças vindas da China e do Irão mas omitiu a Rússia. Por outro lado, mas na mesma direcção, um memorando recente da “Cybersecurity and Infrastructure Security Agency” (CISA) definindo as novas prioridades para a agência (que monitoriza as ameaças contra a infraestrutura crítica nos EUA) listou que as suas novas prioridades incluam a China mas tornou a omitir a Rússia. Esta mudança foi confirmada por uma notícia do jornal britânico “the Guardian” que teve acesso a uma fonte interna na agência que confirmou que os seus funcionários tinham recebido ordens verbais para deixarem de seguir e analisar todas as ameaças vindas da Rússia.

Isto sucede no mesmo contexto do despedimento de funcionários da CISA no decurso da operação da DOGE de Elon Musk e da realocação de funcionários que tinham como tarefa defender o sistema electrónico norte-americano contra espionagem e manipulação exterior fazendo crescer os rumores de que os EUA estão a caminho de uma perpetuação dos actuais governantes no poder, a partir do Kremlin e de uma operação massiva de manipulação das redes sociais (cujos líderes: Musk e Zuckerberg já expressaram apoio a Trump) que terá o seu culminar em todos os próximos actos eleitorais nos EUA.

A decisão de reduzir a zero todas as operações defensivas contra ameaças baseadas na Rússia é compatível com o novo rumo da Administração Trump (que, inclusivamente, já votou na ONU ao lado de Coreia do Norte e Rússia contra a Ucrânia e o resto do Ocidente) e representa uma severa ameaça para todos os países da NATO entre os quais está, também, Portugal. Doravante será possível que qualquer informação estratégica ou de defesa confidencial ou secreta e que esteja ao alcance da Administração Trump não acabe rapidamente na Rússia quer por cumplicidade activa quer por inércia e por desistência interna nos EUA.

É certo que, até agora, a NSA (“National Security Agency”) parece continuar a trabalhar como antes, com o devido foco nas ameaças russas uma vez que a directiva emitida pelo novo líder do Cyber Command, o general Timothy Haugh especifica apenas as actividades desta organização e não os da NSA e que, consequentemente, as operações de recolha de informação e monitorização irão – por enquanto – continuar. Mas, se esta direcção continuar, também elas estarão em risco num horizonte temporal muito curto.

Estes acontecimentos – a confirmarem-se – devem merecer a maior apreensão de todos. Não apenas entre a comunidade de cibersegurança mas também a todos os cidadãos porque sinalizam a involução do nosso maior aliado para um regime autocrático e aliado da maior ameaça (no mundo físico e cibernético) para a Europa: a Rússia de Putin.

Se atentarmos com a rapidez com que várias empresas tecnológicas norte-americanas aderiram à gramática contra programas “DEI”: Diversity, Equity, and Inclusion (Diversidade, Equidade e Inclusão) é provável que esta ordem para reduzir a actividade defensiva contra actores russos chegue também, de forma directa ou indirecta, a empresas como a Google e a Microsoft afectando a cibersegurança de todos os que utilizam na Europa e, em Portugal, estas plataformas.

Este novo contexto representa um desafio significativo e de uma nova escala para a segurança cibernética e a estabilidade geopolítica da União Europeia (UE). Em resposta a estas mudanças, a UE deve considerar as seguintes acções:
1. Reforçar a cooperação interna em cibersegurança: É crucial que os Estados-membros intensifiquem a colaboração no domínio da cibersegurança, partilhando informações sobre ameaças, melhores práticas e desenvolvendo estratégias conjuntas para mitigar riscos. Propomos a criação de equipas de resposta rápida a incidentes cibernéticos com capacidade para reagirem e prevenirem ciberameaças em todo o espaço europeu.
2. Investimento urgente e com financiamento europeu em capacidades próprias de inteligência cibernética que respondam a esta diminuição na partilha de inteligência por parte dos EUA: Acreditamos que a UE deve investir no fortalecimento das suas próprias capacidades de recolha e análise de dados de inteligência cibernética. Isto inclui a formação de especialistas (com financiamento da EUA a cursos universitários na área), desenvolvimento autónomo de tecnologias avançadas de ciberdefesa e estabelecimento de centros europeus distribuídos pelo continente dedicados à monitorização de ameaças.
3. A UE deve procurar fortalecer parcerias com outras nações que partilhem preocupações semelhantes sobre a cibersegurança e a integridade das infraestruturas críticas: Canadá, Japão e Austrália.
4. Acreditamos que é essencial que a UE avalie e melhore a segurança das suas infraestruturas críticas, garantindo que todas estão preparadas para resistir a ataques cibernéticos. A implementação de padrões rigorosos de segurança e a realização de exercícios de simulação podem ajudar a identificar e corrigir vulnerabilidades. Estes padrões devem ser tornados obrigatórios a todos os Estado-membros e empresas da União (com os devidos ajustes de escala).
5. Reavaliar toda a partilha de dados pessoais de dados de cidadãos europeus com os EUA através do “Data Privacy Framework” (DPF), que foi aprovado pela Comissão Europeia em julho de 2023.

A CpC acredita que ao adoptar estas medidas, a União Europeia poderá mitigar os riscos associados às recentes mudanças na política de cibersegurança dos EUA e assegurar a protecção dos seus interesses e dos seus cidadãos.

Este texto deveria ter sido enviado na forma de petição ao Parlamento Europeu mas o site https://www.europarl.europa.eu/petitions está em baixo desde 2 de março devolvendo o erro: “HTTP Status 404 – Not Found Type Status Report: The origin server did not find a current representation for the target resource or is not willing to disclose that one exists. Apache Tomcat/9.0.94” o que, não significa nada de bom para as preocupações que aqui apresentámos:
https://security.snyk.io/package/maven/org.apache.tomcat%3Atomcat-catalina/9.0.94 tendo sido a versão 9 lançada há 7 anos e a última disponível (desde 3 de outubro de 2024) a 11.0.