A utilização de índices na segurança cibernética comparada

27/06/2024

Renato Lira Brito, Doutorando em Ciência Política (UFPE)

A emergência de novas tecnologias como a Inteligência Artificial (IA) tem tornado cada vez mais saliente o debate sobre Segurança Cibernética, embora ainda haja um dissenso acerca da sua conceituação por parte da academia e dos decisores políticos. 

No Brasil, por exemplo, o Glossário de Segurança da Informação do Gabinete de Segurança Institucional se refere à Segurança Cibernética como as “ações voltadas para a segurança de operações, visando garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético, capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”.

Há uma variedade de definições alternativas e complementares, mas a delimitação utilizada se apresenta como uma base terminológica suficiente. Se o próprio conceito de Segurança Cibernética não é unânime, como podemos pensar a sua mensuração? Uma das possibilidades viáveis é a utilização de índices que levem em consideração a multidimensionalidade do tema.

Nesse sentido, as pesquisas em Segurança Cibernética Comparada têm utilizado índices e parametrizações originais. Dentre elas, é válido ressaltar contribuições que aplicaram indicadores já existentes e desenvolveram novas métricas para comparar o desenvolvimento de políticas na área. Mais recentemente, foi criado o International Cyber Expression Dataset, que reúne mais de 34.000 pronunciamentos oficiais de autoridades como os 193 Estados membros da Organização das Nações Unidas (ONU) e os categoriza para identificar padrões no desenvolvimento de normas para o Espaço Cibernético.

A partir desses exemplos de sistematizações, que denotam uma ênfase crescente da aplicação de índices em estudos sobre a temática, faz-se necessário o entendimento mais aprofundado sobre os principais índices e suas características.

Índices de Segurança Cibernética

Elaborado a partir de uma colaboração entre a International Telecommunication Union e a ABI Research, o Index of Cybersecurity Indices reuniu índices que mensuram a Segurança Cibernética através de indicadores. Levando em consideração a abrangência e o nível de análise com ênfase nos Estados, e inspirados pelo Index of Cybersecurity Indices, apresentamos 5 dos principais índices na área: i) Global Cybersecurity Index (GCI); ii) Cyber Readiness Index 2.0 (CRI); iii) National Cybersecurity Index (NCSI); iv) Cyber Maturity in the Asia-Pacific Region; e v) National Cyber Power Index (NCPI).

O GCI abrange 194 países para mensurar o seu comprometimento com a Segurança Cibernética, utilizando 25 indicadores divididos entre cinco eixos: 1) Legal, referente às medidas baseadas na existência de estruturas legais que tratam da segurança cibernética e do crime cibernético; 2) Técnico, que mensura a presença de instituições especializadas e infraestruturas técnicas dedicadas à proteção cibernética; 3) Organizacional, que observa a existência de órgãos coordenadores, políticas e estratégias para promover a segurança cibernética em nível nacional; 4) Desenvolvimento de Capacidade, que avalia iniciativas de programas de pesquisa e desenvolvimento, formação educacional e profissional, certificação de especialistas e agências governamentais que impulsionam o aprimoramento de habilidades; 5) Cooperação, que analisa as parcerias estabelecidas, estruturas colaborativas e redes de compartilhamento de informações.

O segundo índice em termos de amplitude é o CRI, que traz informações sobre 125 Estados com o intuito de contribuir com as autoridades nacionais na preparação no que tange à Segurança Cibernética, a partir de 70 indicadores que avaliam as esferas de: a) Estratégia Nacional; b) Resposta a incidentes; c) Crimes cibernéticos e aplicação da lei; d) Compartilhamento de informações; e) Investimento em pesquisa e desenvolvimento (P&D); f) Diplomacia e comércio; g) Defesa e resposta a crises.

De maneira semelhante, o NCSI avalia a preparação de 48 Estados para gerenciar crises cibernéticas e prevenir ameaças, evitando incidentes cibernéticos, tendo como enfoque a avaliação da existência de legislações específicas na área, organizações, departamentos e instituições responsáveis pelo setor, acordos de cooperação em Segurança Cibernética e políticas públicas desenvolvidas nessa seara.

O índice Cyber Maturity in the Asia-Pacific Region, por outro lado, prioriza os eixos 1) Governança; 2) Crimes Cibernéticos; 3) Militar; 4) Setor Privado; e 5) Social, com base em 10 perguntas, para analisar a maturidade cibernética de 25 Estados, de forma a contribuir com a prevenção aos incidentes de alta significância, como ataques a infraestruturas críticas nacionais. Mesmo tendo uma abrangência menor, esse índice aglutina informações importantes acerca dos países da região Ásia-Pacífico, a saber: Austrália, Bangladesh, Brunei, Camboja, China, Coreia do Norte, Coreia do Sul, Estados Unidos, Fiji, Filipinas, Ilhas Salomão, Índia, Indonésia, Japão, Laos, Malásia, Myanmar, Nova Zelândia, Paquistão, Papua-Nova Guiné, Singapura, Taiwan, Tailândia, Vanuatu e Vietnã.

O NCPI, que é resultado do Cyber Project (Harvard Kennedy School/Belfer Center), tem um enfoque maior na classificação dos Estados com base em seu poder cibernético, que é mensurado a partir das dimensões: a) Financeira; b) Vigilância; c) Inteligência; d) Comércio; e) Defesa; f) Controle de informações; g) Destrutiva; h) Normas/Legislações. Esse índice aglutina dados de 30 países, ranqueando-os em termos gerais e também em cada uma das dimensões analisadas.

O Problema da Comparação de Índices

A comparabilidade de fenômenos é uma questão muito cara ao fazer científico. Entre os cinco índices mencionados, a comparação se torna um problema por alguns motivos. O primeiro é a diversidade de amplitudes, onde observamos desde índices focados em regiões, como o índice Cyber Maturity in the Asia-Pacific Region, até o GCI, que avalia os 193 países-membros da ONU e a Palestina. 

Em segundo lugar, é difícil estabelecer a métrica para discernir até que ponto esses índices estão avaliando as mesmas dimensões da Segurança Cibernética. Enquanto o Cyber Readiness Index 2.0 e o National Cybersecurity Index utilizam o conceito de preparação cibernética, o Global Cybersecurity Index mensura o comprometimento com a Segurança Cibernética. Já o índice Cyber Maturity in the Asia-Pacific Region avalia a maturidade cibernética dos países e o National Cyber Power Index classifica os Estados com base no seu poder cibernético.

Levando em consideração o que a literatura apresenta como a dicotomia das mentalidades militar e liberal/civil, podemos identificar outra diferença importante entre os índices. A mentalidade militar na segurança cibernética foca na formulação de políticas e estratégias nacionais para lidar com ameaças emergentes, guerra cibernética e ataques internacionais, visando a defesa nacional. Por outro lado, a mentalidade liberal prioriza abordagens civis, como o debate legal sobre os limites do espaço cibernético, regulamentação da legislação para combater crimes cibernéticos e a defesa dos direitos individuais dentro desse contexto. 

Nesse sentido, enquanto o Global Cybersecurity Index e o Cyber Readiness Index 2.0 estão mais próximos da mentalidade liberal/civil, o National Cybersecurity Index (NCSI) e o índice Cyber Maturity in the Asia-Pacific Region se posicionam mais ao centro do gradiente, e o National Cyber Power Index se aproxima do extremo da mentalidade militar.

As diferenças que existem entre esses índices não anulam a contribuição que eles têm dado para a área, mas trazem à tona a necessidade de uma maior padronização entre os índices, conceitos e metodologias de mensuração.Como foi argumentado a partir do International Cyber Expression Dataset, a padronização tem sido um assunto amplamente debatido na Segurança Cibernética, mas os avanços ainda são tímidos nesse quesito. Na agenda de pesquisa da Segurança Cibernética Comparada, figura a proposição de novas formas de padronizar conceitos e de possibilitar a comparabilidade entre países nas suas mais variadas dimensões.