Filho de um imigrante brasileiro na França, Adrien Ogée reflete sobre como a experiência do imigrante despertou nele o desejo de transcender as fronteiras nacionais e enfrentar o desequilíbrio no mundo – algo que em seu trabalho para a CyberPeace Institute, uma organização não-governamental (ONG) dedicada a apoiar outras ONGs e organizações humanitárias, ele agora trabalha em tempo integral.
“Minha mãe teve um tempos difíceis como imigrante”, diz ele. “Algumas das assimetrias que ela sentiu, as que eu enfrentei e as que enfrentamos juntas por causa da nossa história familiar, me empurraram para uma carreira cibernética para tentar corrigir algumas dessas assimetrias, que são bastante proeminentes no espaço cibernético.”
Ogée tornou-se engenheiro de telecomunicações e sistemas e trabalhou por um tempo no setor privado na Bélgica, antes de ingressar na agência nacional francesa de segurança cibernética ANSSI, quando foi criado em 2010. Mas não foi o suficiente.
“Senti-me constrangido pelas fronteiras nacionais da França”, diz ele. “Eu queria ter um impacto profundo no ecossistema cibernético e buscar isso em um nível mais alto, então fui trabalhar para a União Europeia , mas novamente senti um pouco limitado pelas fronteiras europeias, porque, como sabemos, o ciber não conhece nenhuma fronteira.” )Fórum Econômico Mundial (WEF), ainda trabalhando em questões de segurança, e foi lá que ele conheceu pela primeira vez o trabalho do CyberPeace Institute, com sede em Genebra, criado em setembro de 2019.
A missão do Instituto parecia muito atraente para Ogée porque parecia que poderia permitir que ele finalmente trabalhasse para corrigir o desequilíbrio no mundo. Claro, quando se trata de desequilíbrio e injustiça global, ONGs e organizações humanitárias estão realmente na linha de frente, trabalhando em nome de algumas das pessoas mais vulneráveis do mundo.
Quem é vulnerável?
Mas vulnerável pode ser um termo carregado. O que significa e a quem deve ser aplicado? “É uma grande questão, certo?” diz Ogée. “Quem você considera vulnerável? Quem você não considera vulnerável? Gostamos de pensar nisso em termos de qualquer atividade sem fins lucrativos que visa proteger ou promover a vida humana.”
Claramente, o termo inclui vítimas de desastres naturais e colapso climático, requerentes de asilo e refugiados de regimes repressivos e conflitos, mas também pode significar pessoas que vivem em países ricos que dependem de serviços médicos e sociais, abrigos para vítimas de violência doméstica ou bancos de alimentos para poderem continuar com suas vidas.
“Existem mais de um bilhão de pessoas que dependem criticamente de ONGs para serviços que consideramos garantidos vindos do estado ou do setor privado aos quais temos acesso muito fácil”, diz Ogée. “Quando essas pessoas têm seu acesso à água potável, à comida, ao abrigo interrompido porque a ONG da qual dependem foi atingida por um ataque cibernético, as consequências para eles às vezes são de vida ou morte.
“É com esses tipos de grupos que estamos tentando trabalhar, e uma das principais razões para isso também é porque pensamos profundamente que esses grupos simplesmente não devem ser atacados online. Não há razão para serem atacados. E se não somos capazes de protegê-los, o que isso diz sobre nossa indústria? O que isso diz sobre os profissionais de segurança cibernética, o que isso diz sobre a internet que todos nós criamos e que todos estamos usando?”
“Não pode haver paz cibernética quando aqueles quem não deveria ser atacado é atacado”
Adrien Ogée, Instituto CyberPeace O CyberPeace Institute visa estabelecer uma conexão entre os ataques que os grupos vulneráveis enfrentam e o estado mais amplo da paz cibernética. “Não pode haver paz cibernética quando aqueles que não deveriam ser atacados são atacados”, diz Ogée.
Isso não quer dizer que qualquer organização ou pessoa deve
ser atacada, mas as ONGs precisam de atenção especial porque eles ocupam uma posição especial no ecossistema cibernético. Geralmente são organizações pequenas que não podem pagar pela experiência em segurança de um banco ou conglomerado industrial e, devido à natureza de seu trabalho, são incrivelmente importantes e podem atrair inimigos poderosos.
Isso os torna particularmente vulneráveis, diz Ogée. “As ONGs arrecadam uma média de um trilhão de dólares americanos anualmente, o que é de interesse de cibercriminosos motivados financeiramente, mas também são alvo de interesses que às vezes contrastam com os interesses dos governos”, diz ele.
“Eles são alvos de Estados que não procuram necessariamente roubar seu dinheiro, mas obter acesso a dados confidenciais que possam ter sobre refugiados, por exemplo, como aconteceu com o Comitê Internacional da Cruz Vermelha [CICV] no início deste ano. Ou eles podem ter informações específicas sobre onde certos jornalistas ou defensores dos direitos humanos estão atualmente localizados no mundo para poder roubá-los.
“E olhando para o que está acontecendo agora na Ucrânia, às vezes As ONGs também são visadas pelas próprias operações que fornecem – o apoio crítico que oferecem a algumas comunidades vulneráveis.”
Três pilares da paz
A missão central da CyberPeace Institute é promover a paz cibernética por meio de três serviços principais:
- Através do apoio às ONGs na assistência direta às comunidades vulneráveis.
- Através da documentação de danos causados a pessoas vulneráveis comunidades com o objetivo de afastar o debate público sobre cibersegurança das agendas política, econômica e militar para centrar-se em como os ataques cibernéticos impactam a vida humana .
Pressionando aqueles que têm o poder de efetuar mudanças para fazê-lo.
Para uma ONG que busca o apoio do Instituto, o serviço de utilidade mais imediata que presta é o primeiro destes.
“Temos uma iniciativa de voluntariado chamada CyberPeace Builders, que basicamente conecta esses engenheiros a profissionais de segurança cibernética do setor privado”, diz Ogée. “Para ONGs que às vezes têm dificuldade em encontrar recursos para atrair e reter esses especialistas, esta é uma ponte para a capacidade.
“Esses especialistas podem fazer qualquer coisa, desde executar testes rápidos de penetração até avaliar vulnerabilidades , para fornecer avaliações gerais de segurança, para dar conselhos sobre seguro cibernético ou práticas de proteção de dados. É uma ajuda muito material, que usamos para levar as ONGs a uma jornada rumo a uma melhor resiliência cibernética. Estamos tentando elevar o nível de maturidade da segurança cibernética por meio desse programa de voluntariado, para que as ONGs fiquem protegidas contra 90% das ameaças.”
Interferência do Estado
Os outros 10% das ameaças são considerados um pouco mais difíceis de se defender porque se enquadram na categoria de atividade patrocinada pelo estado-nação, grupos de ameaças persistentes avançadas (APT) e espionagem direta. As ONGs podem ser extremamente vulneráveis a este tipo de atividade, mas não pode ser realmente abordada por meio de um programa de voluntariado.
“Não vou dizer a você que a equipe que temos – o Instituto tem 30 pessoas, mais ou menos – vai poder se defender Capacidades APT
,” diz Ogée. “Mas o que podemos fazer é documentar os danos causados pelos atores estatais.
“Nossos métodos não são enfrentar um governo, mas documentar o que está acontecendo , disponibilizar as informações e trazê-las para os processos multissetoriais em fóruns, seja no UN, o Fórum da Paz de Paris e outros fóruns internacionais, onde podemos discutir essas questões para que aqueles que têm o poder de investigá-los mais profundamente e aqueles que têm o poder de efetuar mudanças tenham os dados corretos para fazê-lo.”
Indiscutivelmente, a história de segurança mais impactante de 2022 é a guerra cibernética paralela que se desenvolveu ao lado da invasão russa da Ucrânia, que gerou uma enxurrada de trabalho no CyberPeace Institute, particularmente em termos de documentação danos e conexão com tomadores de decisão.
“Houve muita ênfase em nosso trabalho analítico para documentar todos os danos causados lá, mas w Também temos ONGs em nossa rede que estão atualmente na Ucrânia e enfrentam ataques, por isso estamos fornecendo suporte e análise ativos no lado cibernético do conflito”, diz Ogée.
Ogée é compreensivelmente cauteloso em tirar conclusões prematuras do conflito em curso, e é ainda mais cauteloso em fazer declarações ousadas que possam jogar lenha na fogueira. “Estamos fazendo o melhor que podemos para capacitar aqueles que podem efetuar mudanças sem tentar agravar ainda mais a situação”, diz ele. “Há muitas considerações políticas que faremos e aprenderemos com o que está acontecendo.”
Uma fonte de preocupação que o Instituto está considerando é o impacto da chamada Ucrânia Exército de TI, uma rede hacktivista que ajuda na defesa da Ucrânia e ataca alvos russos.
Ogée está preocupado que esta rede possa ser invadida por agentes russos para subverter sua missão ou dar a Moscou justificativa para escalar o guerra, mas também que as convenções da guerra não levam em conta o hacktivismo. Por exemplo, um hacker voluntário da Ucrânia é tratado como um combatente? E, em caso afirmativo, que implicações isso pode ter para os estados onde vivem se um deles desencadear um ataque destrutivo a uma peça-chave da infraestrutura crítica?
Como se envolver
Profissionais cibernéticos interessados em se voluntariar para o Cyber PeaceBuilders podem contatar o CyberPeace Institute diretamente e são fortemente encorajados a fazê-lo.
“Nosso programa foi desenvolvido com suas necessidades em mente – nós ter uma proposta de valor para nossos voluntários”, afirma Ogée. “Temos a intenção de garantir que eles possam encaixar o voluntariado em sua programação. As missões que realizamos para nossos voluntários duram entre uma e quatro horas. Nunca será um noivado de um mês – isso é algo que não é possível com um trabalho diário.
“Nós os treinamos também – há muito treinamento que eles podem fazer para aprender mais sobre atividade humanitária e colonialismo digital, e alguns tópicos que são de grande interesse para ONGs e às vezes não são suficientemente discutidos nos círculos de segurança cibernética, então há também um componente de upskilling.
“Também é apenas uma grande comunidade de profissionais de segurança cibernética. Eles conhecem especialistas de outros países, constroem sua rede de contatos e, o mais importante, colocam um sorriso no rosto de alguém quando se envolvem com uma ONG e veem a diferença que podem fazer.”
Ogée, que no início deste ano
conduziu uma sessão no DEFCON em Las Vegas sobre a crescente rede de voluntários do Instituto, diz que vê um apetite crescente entre os profissionais cibernéticos para retribuir. “É ótimo para mim e para o nosso setor – é um verdadeiro sinal de maturidade no setor também”, diz ele.
“Estou vendo muito mais empresas investindo em impacto social programas que têm um lado de segurança cibernética, o que é ótimo porque a indústria cibernética às vezes investiu em CSR [responsabilidade social corporativa] esforços que estavam desconectados da missão principal.
“Mas agora eu vejo que eles estão tentando reconecte isso, portanto, estou grato e otimista sobre o futuro e o papel que o setor privado e a indústria de tecnologia podem desempenhar quando se trata de diminuir os incidentes no espaço cibernético. Eu encorajaria mais empresas a fazer isso.”