Durante as cerima´nias de abertura dos Jogos Ola­mpicos de Inverno de 2018, realizados em PyeongChang, Coreia do Sul, os hackers russos lançaram um ataque cibernanãtico que interrompeu os sistemas de televisão e Internet nos jogos. O incidente foi resolvido rapidamente, mas como a Raºssia usou enderea§os IP da Coranãia do Norte para o ataque, a origem da interrupção não foi clara no período imediatamente posterior ao evento.

Ha¡ uma lição nesse ataque, e em outros semelhantes, em um momento em que as hostilidades entrepaíses ocorrem cada vez mais online. Em contraste com o pensamento convencional de segurança nacional, essas escaramua§as exigem uma nova perspectiva estratanãgica, de acordo com um novo artigo com coautoria de um professor do MIT.

O cerne da questãoenvolve dissuasão e retaliação. Na guerra convencional, a dissuasão geralmente consiste em ataques militares retaliata³rios contra os inimigos. Mas na segurança cibernanãtica, isso émais complicado. Se identificar os ciberataques for difa­cil, retaliar muito rapidamente ou com muita frequência, com base em informações limitadas, como a localização de certos enderea§os IP, pode ser contraproducente. Na verdade, pode encorajar outrospaíses a lana§ar seus pra³prios ataques, levando-os a pensar que não sera£o culpados.

“Se umpaís se tornar mais agressivo, a resposta de equila­brio éque todos ospaíses acabara£o se tornando mais agressivos”, diz Alexander Wolitzky, economista do MIT especializado em teoria dos jogos. “Se depois de cada ataque cibernanãtico meu primeiro instinto for retaliar a Raºssia e a China, isso dara¡ a  Coreia do Norte e ao Ira£ impunidade para se envolver em ataques cibernanãticos.”

Mas Wolitzky e seus colegas acreditam que existe uma nova abordagem via¡vel, envolvendo um uso mais criterioso e bem informado da retaliação seletiva.

“A atribuição imperfeita torna a dissuasão multilateral”, diz Wolitzky. “a‰ preciso pensar nos incentivos de todos juntos. Focar sua atenção nos culpados mais prova¡veis ​​pode ser um grande erro. ”

O artigo, “Deterrence with Imperfect Attribution,” aparece na última edição da American Political Science Review . Além de Wolitzky, os autores são Sandeep Baliga, o John L. e Helen Kellogg Professor de Economia Gerencial e Ciências da Decisão na Kellogg School of Management da Northwestern University; e Ethan Bueno de Mesquita, o professor Sydney Stein e vice-reitor da Harris School of Public Policy da University of Chicago.

O estudo éum projeto conjunto, no qual Baliga se agregou a  equipe de pesquisa entrando em contato com Wolitzky, cujo pra³prio trabalho aplica a teoria dos jogos a uma ampla variedade de situações, incluindo guerra, assuntos internacionais, comportamento em rede, relações de trabalho e atéadoção de tecnologia.

“Em certo sentido, esse éum tipo de questãocana´nica para os teóricos dos jogos pensarem”, diz Wolitzky, observando que o desenvolvimento da teoria dos jogos como um campo intelectual decorre do estudo da dissuasão nuclear durante a Guerra Fria. “Esta¡vamos interessados ​​no que háde diferente na ciberdeterraªncia, em contraste com a dissuasão convencional ou nuclear. E, claro, hámuitas diferenças, mas uma coisa que resolvemos bem cedo éesse problema de atribuição. ” Em seu artigo, os autores observam que, como o ex-vice-secreta¡rio de Defesa dos Estados Unidos, William Lynn, certa vez disse: “Enquanto um ma­ssil vem com um enderea§o de retorno, um va­rus de computador geralmente não vem.”

Em alguns casos, ospaíses nem mesmo tem conhecimento de grandes ataques cibernanãticos contra eles; O Ira£ percebeu que havia sido atacado pelo worm Stuxnet durante anos, danificando as centra­fugas usadas no programa de armas nucleares dopaís.

No artigo, os estudiosos examinaram amplamente os cenários em que ospaíses estãocientes de ataques cibernanãticos contra eles, mas tem informações imperfeitas sobre os ataques e invasores. Depois de modelar esses eventos extensivamente, os pesquisadores determinaram que a natureza multilateral da segurança cibernanãtica hoje a torna muito diferente da segurança convencional. Ha¡ uma chance muito maior em condições multilaterais de que a retaliação pode sair pela culatra, gerando ataques adicionais de fontes maºltiplas.

“Vocaª não quer necessariamente se comprometer a ser mais agressivo após cada sinal”, diz Wolitzky.

O que funciona, no entanto, ésimultaneamente melhorar a detecção de ataques e coletar mais informações sobre a identidade dos atacantes, de modo que umpaís possa localizar as outras nações contra as quais poderia retaliar de forma significativa.

Mas atémesmo coletar mais informações para informar as decisaµes estratanãgicas éum processo complicado, como mostram os estudiosos. Detectar mais ataques sem conseguir identificar os invasores não esclarece decisaµes especa­ficas, por exemplo. E reunir mais informações, mas ter “muita certeza na atribuição” pode levar umpaís de volta ao problema de atacar alguns estados, mesmo que outros continuem planejando e cometendo ataques.

“A doutrina ideal neste caso, em certo sentido, ira¡ comprometer vocêa retaliar mais após os sinais mais claros, os sinais mais inequa­vocos”, diz Wolitzky. “Se vocêcegamente se compromete mais a retaliar após cada ataque, aumenta o risco de retaliar após alarmes falsos”.

Wolitzky aponta que o modelo do artigo pode ser aplicado a questões além da segurança cibernanãtica. O problema de parar a poluição pode ter a mesma dina¢mica. Se, por exemplo, várias empresas estãopoluindo um rio, escolher apenas uma para punir pode encorajar as outras a continuar.

Ainda assim, os autores esperam que o artigo gere discussão na comunidade de pola­tica externa, com os ataques cibernanãticos continuando a ser uma fonte significativa de preocupação com a segurança nacional.

“As pessoas pensaram que a possibilidade de não detectar ou atribuir um ataque cibernanãtico era importante, mas não havia [necessariamente] um reconhecimento das implicações multilaterais disso”, diz Wolitzky. “Acho que háinteresse em pensar sobre as aplicações disso.”

A pesquisa foi apoiada, em parte, pela Sloan Foundation e pela National Science Foundation.