A Estratégia de Cibersegurança da União Europeia e a abordagem centrada no ser humano

A cibersegurança e a digitalização tornaram-se um tema central de debate internacional e, particularmente, tem-se figurado uma matéria primordial nas políticas de segurança da União Europeia (UE). A digitalização não só uniu o mundo como também se tornou o motor de uma nova economia assente no comercio digital e na indústria 4.0. O voraz desenvolvimento tecnológico e o surgimento de tecnologias emergentes na esfera internacional, reforçam a complexidade do ciberespaço e a proliferação de ameaças digitais que, consequentemente, explanam as vulnerabilidades quer sociais quer estatais na esfera cibernética. Por sua vez, o ciberespaço tornou-se um domínio transnacional onde os Estados procuram lidar com o paradoxo da fronteira e exercer a sua soberania, revelando ser um novo campo de atuação, como o quinto domínio operacional, à semelhança da terra, do mar, do ar e do espaço.

Contudo, caracterizado pela sua ambiguidade, o ciberespaço passa a ser palco de ameaças à segurança despoletando implicações políticas, militares e sociais, surgindo a cibersegurança como fruto da preocupação dos Estados com a segurança nacional e, posteriormente, com a segurança interna. Todavia, as agendas e estratégias de cibersegurança conduziram à militarização do ciberespaço, negligenciando o ciberespaço como um ecossistema composto por atores, caraterísticas e dinâmicas que vão além da tradicional soberania dos Estados, os quais ainda têm dificuldades em formular a sua soberania digital. Contudo, estas agendas descuram muitas vezes o fator humano ignorando as pessoas e comunidades que vivenciam a digitalização no seu quotidiano. Deste modo, a soberania e os direitos humanos tornaram-se separada e igualmente questões debatidas e contestadas nas questões das Tecnologias da informação e comunicação (TIC).

A cibersegurança, inicialmente, centrava-se particularmente em questões técnicas, de programação e na proteção das infraestruturas de informação críticas e da segurança da informação para o exercício da sociedade dos Estados. Ademais, foca-se especialmente em ameaças que dizem respeito ao cibercrime, ciberguerra, hacktivismo ou espionagem e preocupa-se sobretudo com a defesa do ciberespaço de potenciais ciberataques. No entanto, a pandemia Covid-19 forçou a migração de milhões de atividades humanas tais como a educação, a saúde e o trabalho para o ciberespaço.  Tal evento expandiu a influência do ciber como um território fértil e desafiador para a segurança dos Estados, das organizações e, principalmente, dos indivíduos. A pandemia veio colocar em evidência as vulnerabilidades das sociedades e dos indivíduos no ciberespaço revelando a dupla face da digitalização que, paralelamente ao desenvolvimento, conduz a novas ameaças à segurança dos indivíduos. O ciberespaço é hoje um domínio de atuação de atores estatais e não estatais, de organizações e grupos criminosos que atuam numa “terra sem dono”, cometendo cibercrimes que ameaçam não só a democracia e a sociedade num todo, mas o indivíduo em particular. Atualmente, crimes como roubo de dados pessoais, burlas ou desinformação fazem parte do quotidiano das sociedades. Neste sentido, o dilema de segurança do indivíduo na era digital contribui para o debate crescente sobre como ajustar a segurança humana ao ciberespaço e de como tornar a cibersegurança mais centrada no ser humano. Este contexto, desencadeou uma abordagem de cibersegurança centrada no ser humano e promotora dos direitos humanos, da democracia e da segurança humana na esfera digital^[1].

Num mundo em que a concorrência geopolítica no domínio da digitalização é cada vez maior e as crescentes sofisticações das ameaças cibernéticas representam desafios significativos para a segurança digital da UE, bem como dos seus Estados-membros e cidadãos. Neste sentido, a UE está a promover uma abordagem da digitalização centrada no ser humano e a colmatar o fosso digital segundo princípios democráticos e económicos. O objetivo deste paper, consiste em analisar de forma abrangente a estratégia de cibersegurança adotada pela UE para fortalecer a sua resiliência cibernética e promover a segurança humana e os direitos humanos na era digital.

O conceito de Segurança Humana, cujo objetivo máximo é a “proteção do núcleo vital de todas as vidas humanas contra ameaças críticas e generalizadas”^[2], distingue-se como uma narrativa focada no ser humano e que se poderá ajustar num quadro de cibersegurança mais amplo e aprofundado. O foco movimentar-se-ia para o ser humano enquanto objeto de segurança e não como o elo mais fraco do ciberespaço e da cibersegurança, consagrando deste modo a segurança, o desenvolvimento humano digital e a mitigação de riscos na era digital. A segurança humana não é apenas uma perspetiva académica, é também uma doutrina que fomenta uma compreensão mais abrangente da segurança e proporciona um valor acrescentado ao promover a segurança do ser humano relativamente aos impactos da digitalização nas sociedades. Portanto, uma estrutura de cibersegurança centrada apenas na segurança dos Estados ameaça sufocar a democracia liberal e, neste sentido, é emergente uma contra narrativa que supra essa controvérsia.

No contexto europeu, a UE reconheceu as crescentes ciberameaças, avançando com medidas legislativas com o intuito de regulamentar a cibersegurança, instituindo um quadro político e jurídico que constituí a política europeia de cibersegurança e que tem vindo a ser desenvolvido na última década. Deste conjunto de políticas de cibersegurança destacam-se as estratégias de cibersegurança da UE de 2013, 2017, 2020^[3], bem como o Regulamento Geral de Proteção de Dados^[4] (RGPD), que entrou em vigor em maio de 2018, visando proteger os dados pessoais dos cidadãos da UE e regular o seu processamento por organizações públicas e privadas. Por sua vez, distinguir-se igualmente como principais iniciativas, a  Diretiva sobre Segurança das Redes e da Informação (SRI) (conhecida como NIS Directive) que garante que os operadores de infraestruturas críticas e os prestadores de serviços digitais cumpram requisitos rigorosos em matéria de cibersegurança e a Lei da Cibersegurança da UE (The EU Cybersecurity Act)^[5] que introduziu um quadro para a certificação da cibersegurança dos produtos e serviços digitais, permitindo que os consumidores e as empresas façam escolhas informadas sobre a segurança dos seus produtos digitais.

Importa salientar que a UE coopera ativamente com parceiros internacionais para fazer face às ciberameaças e estabelecer normas de comportamento responsável no ciberespaço. Para o efeito a UE criou, em 2017, a “Cyber Diplomacy toolbox”^[6] destinada à promoção da cooperação internacional coletiva em resposta a ciber atividades maliciosas e, sobretudo, cooperação para a mitigação de ciberameaças. A UE trabalha em estreita colaboração com parceiros estratégicos, tais como o Brasil e o Japão, e também com organizações internacionais como a OTAN e a ONU para enfrentar desafios cibernéticos comuns.

Ademais, a UE é responsável pela sua própria cibersegurança e das suas instituições, órgãos e agências. Para tal, criou, em 2004 a ENISA, a “Agência Europeia para a Segurança das Redes e da Informação” com o propósito de aconselhar as instituições e os Estados-membros em matéria de cibersegurança, bem como o CERT-EU em 2012, “Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE”, que atua na ciberdefesa (civil) e coopera com os CERT nacionais. A ENISA desempenha um papel central na promoção da cibersegurança na UE, fornecendo orientações, boas práticas e apoio técnico aos Estados- membros e às instituições da UE. A UE, demonstra igualmente o seu empenho em promover a investigação e a inovação no domínio da cibersegurança com a criação Centro Europeu de Competências em Cibersegurança.

No entanto, reconhecendo a capital importância do ciberespaço e focada nos valores europeus assentes na democracia, igualdade, no estado de direito e na promoção dos direitos humanos, a UE lançou em 2020, a Estratégia de Cibersegurança da União Europeia para a Década Digital^[7], e posteriormente, a março de 2021, a Bússola Digital 2030: o caminho Europeu para a Década Digital, ambas com uma visão focada na digitalização da economia e da sociedade. O documento salienta o compromisso da UE para com uma transformação digital segura, protegida, sustentável e centrada nas pessoas, em consonância com os valores e os direitos fundamentais da UE. Esta estratégia surge com o objetivo máximo de reforçar a resiliência coletiva europeia contra ciberameaças com o desígnio de assegurar que todos os cidadãos e empresas possam beneficiar de serviços e ferramentas digitais seguras e confiáveis. Não obstante, esta estratégia apresenta a visão da UE em conciliar a digitalização do mercado e da sociedade, promovendo os recursos industriais e tecnológicos necessários para beneficiar do seu ambicioso Mercado Único Digital.

Deste modo, a União adotou uma abordagem de cibersegurança mais holística, centrada no ser humano e numa “human-centric approach”, tendo em vista salvaguardar os direitos humanos digitais, bem como reforçar a resiliência, dissuadir as ameaças, e promover a cooperação internacional na defesa e na segurança digital da UE. Neste sentido, o discurso da UE relativamente à cibersegurança passa a ser caracterizado pela centralidade no ser humano e na promoção valores europeus na esfera digital à semelhança dos outros domínios de atuação da UE. A atual estratégia apresenta uma mudança no discurso comparativamente com as anteriores estratégias. Se, inicialmente, a UE colocava as infraestruturas e a segurança nacional/regional no centro das suas preocupações no que ao ciberespaço diz respeito, atualmente, direciona o seu foco para a proteção dos cidadãos e dos seus direitos fundamentais.

Esta progressão discursiva, está amplamente relacionada com o desenvolvimento do ciberespaço que, além de proporcionar um progresso do ser humano, apresenta igualmente desafios à sociedade. É precisamente neste sentido que o conceito de SH representa uma importante ferramenta analítica para redefinir a cibersegurança^[8].

A UE surge assim com um novo compromisso digital que vai para além da proteção das infraestruturas críticas ao promover uma abordagem assente na capacitação digital das pessoas e das empresas, em políticas de cibersegurança centradas no ser humano e, por conseguinte, num ciberespaço europeu aberto, seguro, sustentável e mais próspero. O discurso da UE em matéria de cibersegurança, abraça uma abordagem mais compreensiva e holística adaptada acompanhando a contemporaneidade digital em busca do seu objetivo de digitalizar a economia e a sociedade até 2030.

Ao implementar narrativas de segurança humana nas políticas de cibersegurança, a UE promove um avanço no desenvolvimento humano, na capacitação, na consciencialização e no empoderamento dos seus cidadãos a um nível digital. Deste modo, a UE torna a cibersegurança e o ciberespaço mais inclusivos onde a sociedade coopera em busca de um espaço europeu digitalmente evoluído, seguro e contribuindo para a resiliência cibernética. Assim, torna-se imprescindível a discussão da segurança humana nos quadros de cibersegurança, bem como a consideração das vulnerabilidades do indivíduo para que o espaço digital europeu se torne seguro.

---

28 de maio de 2024

Cláudia Viana Barbosa

* Este texto foi redigido e apresentado no âmbito da participação nos Colloquia Talks, organizados pelo CECRI, em abril de 2024.

** Cláudia Viana Barbosa é doutoranda em Ciência Política e Relações Internacionais, Universidade do Minho. Bolseira de investigação pela FCT, investigadora membro do Centro de Investigação em Ciência Política (CICP) – Universidade do Minho.

---

^[1] Para mais informações sobre a abordagem centrada no ser humano, ver: Deibert, Ronald. 2018. “Toward a Human-Centric Approach to Cybersecurity”. Ethics & International Affairs 32 (4):411-424. Disponível em https://www.cambridge.org/core/journals/ethics-and-international-affairs/article/abs/toward-a-humancentric-approach-to-cybersecurity/4E8819984202A24186BB0F52E51BC1E4; Liaropoulos, Andrew. 2015. “A Human-Centric Approach to Cybersecurity: Securing the Human in the Era of Cyberphobia”. Journal of Information Warfare, 14 (4): 15-24. Disponível em https://www.jstor.org/stable/26487503.

^[2] Ver “Commission on Human Security (CHS). 2003. “Human Security Now: Protecting and Empowering People.” New York.” Disponível em https://digitallibrary.un.org/record/503749?v=pdf.

^[3] Ver “Estratégia da União Europeia para a cibersegurança: Um ciberespaço aberto, seguro e protegido”. Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:52013JC0001; “Resiliência, dissuasão e defesa: reforçar a cibersegurança na UE”. Disponível em https://eur-lex.europa.eu/legal-content/pt/ALL/?uri=celex:52017JC0450 ; “Estratégia de cibersegurança da UE para a década digital”. Disponível em https://eur-lex.europa.eu/legal-content/pt/ALL/?uri=celex:52017JC0450.

^[4] Disponível em https://digital-strategy.ec.europa.eu/en/policies/nis2-directive.

^[5] Disponível em https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act.

^[6] Ver https://www.cyber-diplomacy-toolbox.com/.

^[7] Disponível em https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELEX:52020JC0018.

^[8] Ver Filimonova, Nadezhda e M. Portugal-Ramirez. 2020. “The New Frontier for Human Cybersecurity: Russia’s Cybersecurity Policies in the Arctic.” In Digitalisation and Human Security, 57-81. Cham, Switzerland: Palgrave Macmillan