Sobre o reforço das capacidades ciberofensivas, os Estados-Membros da UE não podem esperar depois de Bruxelas

As defesas cibernéticas europeias são fracas e vulneráveis. Nesta era de tensões geopolíticas, os sistemas informáticos do nosso continente são alvos fáceis para hackers e nações hostis. Precisamos nos proteger melhor, escreve Antonia-Laura Pup.

Embora o bloco tenha registado progressos no reforço de algumas infra-estruturas de defesa cibernética, nomeadamente através da sua recente Lei de Resiliência Cibernética, a UE continua atrasada em relação à Rússia, China e Estados Unidos no desenvolvimento de robustas capacidades cibernéticas ofensivas. Este é um problema fácil de resolver. Significa apenas flexibilizar as regras para que os Estados-membros da UE possam trabalhar em conjunto com mais facilidade. A Europa precisa de interoperabilidade e de mais exercícios conjuntos entre países que já possuem essa capacidade e têm uma avaliação de ameaças compartilhada.

A natureza do conflito cibernético torna obsoleta a distinção entre tempos de paz e tempos de guerra. Atores estatais com agendas estratégicas opacas, como Rússia e China, bem como atores não estatais, como grupos criminosos e hacktivistas, podem desafiar infraestruturas críticas, coletar informações valiosas e lançar ataques disruptivos, mantendo-se abaixo do limiar do conflito armado. Isso significa que a Europa deve avaliar cuidadosamente sua resposta.

Antes da votação presidencial em 2024, 85,000 ataques cibernéticos atingiu os sistemas eleitorais da Roménia. Isto levou a comunidade de inteligência romena a afirmar publicamente Sites eleitorais nacionais foram publicados em plataformas de crimes cibernéticos russos horas antes dos cidadãos irem às urnas. Em 2024, hackers chineses se conectaram com a agência nacional de inteligência MSS legisladores europeus anti-China foram alvo de ataques cibernéticos para coletar dados confidenciais.

Na zona cinzenta do domínio cibernético, a postura defensiva e passiva adotada pela UE é insuficiente. Sem capacidades cibernéticas robustas, a UE não pode ameaçar retaliações, que são um componente essencial da dissuasão e um elemento-chave para a credibilidade do bloco em sua tentativa de se tornar mais relevante militarmente.

A Comissão Europeia reconheceu esta urgência na sua Livro Branco para a Defesa Europeia, publicado em março de 2025, que injetou um pragmatismo muito necessário no domínio cibernético da UE. "Capacidades cibernéticas defensivas e ofensivas são necessárias para garantir a proteção e a liberdade de manobra no ciberespaço", afirmou.

A segurança europeia, contudo, não pode esperar pelo desenvolvimento de novos esquemas de apoio ou de uma capacidade ciberofensiva comum em todo o bloco. A questão é mais fundamental. Existe até mesmo uma falta de entendimento comum sobre o que constitui um risco cibernético. Para a Hungria, que desenvolveu uma parceria significativa de transformação digital com a Huawei, é muito menos provável que seus líderes políticos concordem que a China é um risco cibernético.

Da mesma forma, o governo eslovaco, liderado por Fico, simpatizante da Rússia, poderia constituir um obstáculo aos esforços da UE para conduzir operações ofensivas contra Moscovo. Estes dois países, por si só, poderiam facilmente vetar uma iniciativa para o desenvolvimento de uma capacidade ciberofensiva conjunta como parte do Política Europeia Comum de Segurança e Defesa, que precisa de unanimidade para suas decisões políticas. Sem uma perspectiva compartilhada sobre o que é uma ameaça à segurança, tentar desenvolver esforços conjuntos de capacidades ofensivas em cibersegurança em toda a UE se tornaria um projeto vazio antes mesmo de começar.

Não há tempo a perder com esta politicagem. Os Estados-Membros não devem esperar por uma capacidade ofensiva conjunta em toda a UE no ciberespaço. Devem começar já, através de mais exercícios conjuntos voluntários entre aliados europeus e de uma maior interoperabilidade, incluindo os Estados candidatos à UE com experiência na condução de operações cibernéticas ofensivas, como Ucrânia.

Por exemplo, eles poderiam analisar o PESCO (Cooperação Estruturada Permanente). Estabelecido em dezembro de 2017 a nível da UE, trata-se de um quadro que permite que os membros da UE, dispostos e capazes, colaborem mais estreitamente nas áreas da segurança e da defesa, sem necessidade de acordo unânime dos outros Estados-membros. Como plataforma voluntária, permite que os Estados-membros desenvolvam capacidades de defesa comuns, invistam em projetos conjuntos e aumentem a prontidão operacional através de uma colaboração mais estreita.

As iniciativas cibernéticas já estão em curso no âmbito da PESCO. Equipes de Resposta Rápida Cibernética (CRRT) tornou-se o primeiro projeto deste tipo a atingir plena capacidade operacional em maio de 2021. Este projeto reúne de 8 a 12 profissionais de segurança cibernética dos seis países participantes da UE (Croácia, Estônia, Lituânia, Países Baixos, Polônia e Romênia) para prestar assistência em caso de incidentes cibernéticos em membros, instituições e países parceiros da UE. Os países candidatos à UE com experiência no combate a operações cibernéticas também podem aderir e expandir este projeto da PESCO. Esta aliança mais ampla pode então expandir seu foco para incluir exercícios cibernéticos ofensivos conjuntos.

A PESCO está pronta para expansão. Os Estados-membros devem considerar ampliá-la, permitindo que os países em processo de adesão à UE participem, mas também ampliando o escopo de seu foco cibernético para incluir capacidades ofensivas e exercícios ciberofensivos conjuntos.

A interoperabilidade também deve ser uma prioridade. Neste caso, Centros de Análise e Compartilhamento de Informações (ISAC) visam promover a colaboração entre comunidades de cibersegurança em diferentes setores econômicos. O desenvolvimento de ISACs para capacidades ciberofensivas permitiria consultas com múltiplas partes interessadas e a identificação do apoio necessário às empresas, incluindo a redução da burocracia para startups que queiram participar do desenvolvimento de capacidades ciberofensivas para a UE.

A UE deve reforçar suas capacidades de ciberofensiva de forma mais ágil, por meio de mais exercícios conjuntos, mais interoperabilidade por meio do compartilhamento de informações e menos burocracia para os atores econômicos que desejam assumir esse esforço. No entanto, esperar que o consenso político e a maturidade compartilhada surjam em nível de bloco é contraproducente e deixaria a União Europeia ainda mais atrás dos atores estatais que já utilizam a ciberofensiva com grande habilidade. Com pragmatismo, a UE precisa ir mais longe no desenvolvimento de sua capacidade ciberofensiva, mesmo que apenas reunindo aqueles que já estão ansiosos para agir.

Antonia-Laura Pup é bolsista de políticas da Young Voices Europe. Ela é aluna do programa Fulbright em Estudos de Segurança na Universidade de Georgetown, onde pesquisa a influência da China na região do Mar Negro. Originária da Romênia, ela assessorou o presidente do Comitê de Defesa do parlamento romeno. Também trabalhou na OCDE e no Parlamento Europeu.

Compartilhe este artigo: