O que as pesquisas em biossegurança e cibersegurança têm em comum

Kendall Hoyt

  • Slate

As pesquisas em biossegurança e cibersegurança compartilham um problema incomum: os esforços para prever e combater novas ameaças muitas vezes expõem e criam vulnerabilidades. Por exemplo, os cientistas primeiro precisam aprender a isolar e cultivar um patógeno antes que possam desenvolver uma nova vacina. De modo semelhante, os pesquisadores precisam aprender a invadir um sistema de computadores para poder protegê-lo.

Nas mãos erradas, os dois tipos de conhecimento podem ser usados para desenvolver uma arma, em vez de uma vacina ou uma proteção. As ferramentas genéticas e o software de exploração que permitem essas atividades estão ficando mais fáceis de usar e adquirir, levando os especialistas em segurança a se perguntar, com urgência cada vez maior, como podemos nos proteger contra o uso indevido, sem limitar a pesquisa e a inovação?

Ambos os campos enfrentam há décadas, de forma independente, esse dilema da dupla utilidade. Em 2005, quando os cientistas reconstruíram o vírus da gripe de 1918 que matou 50 milhões de pessoas em todo o mundo, eles fizeram avançar a ciência da prevenção ou introduziram novos riscos? Quando os cientistas testam sistemas de computador em busca de vulnerabilidades, eles promovem o desenvolvimento de software legítimo, descontaminação e auditoria de segurança? Ou também permitem a computação hostil?

Os esforços dos governos para controlar esse tipo de "conhecimento de dupla utilidade" datam da Guerra Fria (e antes), com resultados mistos. Trabalhando juntos, especialistas em cibersegurança e biossegurança têm a oportunidade de identificar novas abordagens e evitar a repetição de antigos erros.

Os órgãos reguladores dos governos não querem esmagar a inovação, mas trabalham com instrumentos grosseiros. Até hoje, eles se concentraram nos produtos tangíveis de pesquisas delicadas como as de patógenos, publicações e código malicioso. As regulamentações que contam com listas estatísticas se esforçam para acompanhar o ritmo de campos que se modificam tão depressa quanto bio e cibersegurança. Pior, eles podem prejudicar a produtividade da pesquisa sem oferecer uma segurança significativa.


Por exemplo, em 1997, a regulamentação de "agentes seletos" --assim chamada porque se concentra em criar restrições em torno de determinados patógenos, como antraz e peste bubônica-- foi implementada depois que um supremacista branco obteve de modo fraudulento frascos de Y. pestis (a bactéria que causa a peste) da Coleção Americana de Cultura de Tipos.

Certamente pode parecer uma política racional. Mas muitos cientistas logo pararam de trabalhar com esses patógenos depois de concluir que os riscos profissionais e as cargas regulatórias eram demasiado incômodos. Em consequência, a pesquisa legítima foi prejudicada.

Entretanto, um bioterrorista determinado ainda pode roubar patógenos de laboratórios, isolá-los da natureza ou sintetizá-los. A regulamentação de agentes seletos oferece uma base para processos jurídicos se os patógenos forem obtidos de forma ilegal, mas, como demonstraram os ataques com cartas contendo antraz, é fácil demais escapar da detecção. Esse tipo de regulamentação de combate ao crime provavelmente não apanhará um adversário hábil, mas certamente prejudicará a pesquisa legítima.

Como podemos nos proteger do mau uso sem limitar a pesquisa e a inovação?

A legislação sobre propriedade intelectual e cibersegurança --a Lei de Direitos Autorais Digitais do Milênio (DMCA na sigla em inglês) e a Lei de Abuso de Fraudes de Computador-- abafou igualmente as atividades científicas e comerciais e retardou as aplicações defensivas. Em um exemplo bem conhecido, o medo de processo sob a DMCA dissuadiu um estudante de Princeton de relatar um problema que ele descobriu: sem que os usuários soubessem, CDs de música da Sony BMG estavam instalando spyware (software espião) em seus computadores.

Várias semanas se passaram antes que outro pesquisador (que não sabia das possíveis consequências legais sob a DMCA) relatou o problema. Enquanto isso, centenas de milhares de computadores continuaram rodando o spyware da Sony juntamente com um rootkit [software geralmente malicioso que permite o acesso a um computador] que tornava esses sistemas mais vulneráveis a outros vírus.

Acordos internacionais também hesitam sobre essa dualidade. O Acordo Wassenaar restringe as exportações de "software de intrusão", que os reguladores americanos definiram como modificações de software que permitem o acionamento de "instruções fornecidas externamente". A ideia é evitar que empresas exportem software de vigilância para regimes autoritários que poderiam usar essas ferramentas para limitar as liberdades civis e abusar dos direitos humanos. Mas uma definição tão ampla também impede a exportação de produtos de software legítimos que podem aumentar a segurança, como antivírus e ferramentas de teste de desempenho.

Mais recentemente, especialistas em biossegurança começaram a avaliar não apenas patógenos e publicações, mas também as atividades e técnicas que as criam, identificando sete categorias de pesquisa que exigem exame mais minucioso. Estas incluem um subconjunto de experimentos que aumentam a estabilidade dos patógenos, sua transmissibilidade ou o leque de hospedeiros (animais que podem abrigar a doença).

Esse tipo de pesquisa ganhou notoriedade em 2011, quando dois laboratórios criaram uma forma altamente patogênica de gripe aviária para se transmitir mais facilmente entre mamíferos. Esses esforços, embora ainda estejam em progresso, indicam uma maneira de os reguladores começarem a se concentrar menos nos patógenos e no código e mais nos riscos e na intenção dos projetos de pesquisa.

Apesar de suas semelhanças, diferenças chaves entre os riscos e os cronogramas de biossegurança e cibersegurança irão ditar estratégias regulatórias variadas. Por exemplo, explorações do dia zero --isto é, brechas em um sistema desconhecidas do criador do software-- podem ser remendadas em questão de meses, enquanto novas drogas e vacinas podem levar décadas para ser desenvolvidas. As vulnerabilidades digitais têm uma meia-vida mais curta que as ameaças biológicas. As medidas para promover a divulgação e a solução de problemas em grupo terão, portanto, um maior impacto imediato na cibersegurança.

Por outro lado, relatar "vulnerabilidades" no reino biológico representa um maior risco de segurança quando contramedidas não estão disponíveis, e talvez nunca estejam. A menos que o tempo de desenvolvimento de drogas e vacinas melhore drasticamente (isto é, de décadas para semanas), a explicação racional para se restringir a pesquisa delicada é um pouco mais forte porque o risco supera o benefício.

Além disso, algumas restrições são mais factíveis nas ciências da vida. Os pesquisadores precisam de laboratórios caros com supervisão institucional, verbas federais e um fluxo de publicações. Em consequência, os governos, organizações de pesquisa e editoras têm muitas oportunidades de intervir. Por exemplo, depois que cientistas anunciaram os resultados dos experimentos com a gripe aviária em 2011, a Casa Branca e os Institutos Nacionais de Saúde mandaram suspender as pesquisas existentes até que os custos e benefícios desses experimentos pudessem ser avaliados mais completamente. É difícil imaginar como alguém poderia implementar uma medida semelhante na comunidade hacker.

Mas os dois campos enfrentam o mesmo problema básico: não há verdadeiros "pontos de sufocamento" em nenhum deles. O governo dos EUA não é a única fonte de fundos para pesquisa e, graças em grande parte à própria internet, é cada vez mais difícil restringir informação delicada. Enquanto o financiamento, as ferramentas e as técnicas para pesquisa de segurança são distribuídos globalmente, dilemas de dupla utilização se tornarão mais pronunciados e os desafios regulatórios que os dois campos enfrentam terão mais semelhanças que diferenças.

Olhando para o futuro, a regulamentação de biossegurança e cibersegurança precisará adotar um regime de governança mais liberal que ponha menos ênfase nas listas estáticas de itens controlados. Essa opção reconhece e até adota os limites das regras "duras", como regras de agentes seletos e listas de controle de exportações. É claro que os reguladores deveriam erguer altos muros em torno de algumas atividades de alto risco e mal definidas, como a pesquisa que aumenta a patogênese dos vírus.

Mas esses limites devem ser traçados com precisão e restrição. De outro modo, os reguladores devem dar prioridade a medidas que mantenham as comunidades de pesquisa vibrantes. Estas incluem ações para promover o compartilhamento de informações e estabelecer normas responsáveis. Esses métodos devem ser desenvolvidos com os próprios cientistas e moldados em tecnologias e métodos de pesquisa específicos.

Os instrumentos de políticas tradicionais --legislação, tratados, padrões de segurança nacionais e internacionais-- continuam oferecendo oportunidades para formulação de regras e desenvolvimento de normas mais brandas. Cada vez mais, porém, novas plataformas de compartilhamento de informação podem facilitar acordos concretos que constroem as normas, padrões, confiança e transparência necessários para que a pesquisa de segurança floresça. Exemplos incluem a Iniciativa Global de Compartilhamento de Dados sobre Influenza, que abriga uma base de dados para promover compartilhamento de dados genéticos de vírus de gripe em todo o mundo, e Organizações de Análise e Compartilhamento de Informações de diferentes setores, que buscam fornecer informação oportuna para atenuar as vulnerabilidades cibernéticas.

Os reguladores devem trabalhar com especialistas em biossegurança e cibersegurança para preservar ambientes de pesquisa produtivos para que eles, por sua vez, possam nos defender. Nosso mundo interconectado de humanos e computadores oferece terreno fértil para vírus de ambos os tipos. Conforme essas conexões aumentam em densidade, os vírus tornam-se mais difíceis de conter. Comunidades de pesquisa capazes de detectar e reagir rapidamente a essas ameaças emergentes serão nossa maior defesa no futuro.
 

Tradutor: Luiz Roberto Mendes Gonçalves

Veja também

UOL Cursos Online

Todos os cursos