A guerra moderna está a forçar a coordenação entre a segurança nacional e empresarial – e ninguém tem a certeza de quem é responsável pelo custo do pagamento da segurança empresarial.
Nas guerras com os Estados Unidos e Israel, o Irão não limitou os seus ataques a meios militares; Atingiu refinarias de petróleo e petroleiros encalhados no Golfo Pérsico, bem como instalações petroquímicas, aeroportos civis, fundições de alumínio, estações de tratamento de água e centros de dados da Amazónia. Nos últimos anos, as centrais eléctricas ucranianas, os serviços públicos americanos e os cabos submarinos do Mar Báltico a Taiwan também foram alvos.
Embora as infra-estruturas civis tenham sido durante muito tempo um alvo em tempos de guerra, um mundo cada vez mais interligado significa activos empresariais de valor militar crescente. Na nova era da guerra, as empresas estão a descobrir que as instalações concebidas para um custo mais baixo e uma manutenção mais fácil requerem mais protecção – e muitas vezes apenas são fornecidas tradicionalmente aos militares.
Em áreas muito instáveis, algumas infra-estruturas críticas, como centrais de dessalinização e centros de dados, terão de ser reforçadas com camadas de betão armado, duplicadas ou possivelmente transportadas para o subsolo para fornecer backup – a um custo elevado. Já estão a surgir discussões entre empresas e governos sobre as novas regulamentações e os custos potenciais.
Na Alemanha, associações poderosas que representam empresas privadas e serviços públicos municipais reagiram contra os novos padrões de segurança física, alertando que poderiam enfrentar a ruína financeira. O governo da Nova Zelândia tem enfrentado resistência de grupos industriais sobre propostas para multar empresas de infraestruturas críticas e os seus diretores por violações de segurança cibernética.
“Há muito tempo que não temos paz”, disse Norman Heitt, diretor global de segurança corporativa e resiliência da gigante das telecomunicações Vodafone. “As pessoas não entendem que a segurança física das empresas é um bem público, como a defesa.”
Um sinal de como os limites estão a confundir-se: os 32 países da Organização do Tratado do Atlântico Norte concordaram no ano passado que, como parte de um acordo para gastar 5 por cento da produção económica em defesa e segurança, 1,5 por cento iria para necessidades militares, incluindo infra-estruturas críticas e segurança de redes.. Os gastos visam tudo, desde segurança cibernética e capacidade industrial até ferrovias, pontes e portos para logística militar. O progresso nestes esforços será o foco quando os líderes se reunirem para uma cimeira da NATO, a 7 de Julho, na Turquia.
“Precisamos de um conceito mais amplo de defesa – a defesa já não é apenas militar”, disse o almirante italiano Giuseppe Cuomo Drago, principal conselheiro militar da OTAN.
Para aumentar a complexidade, as empresas agora precisam proteger as redes de dados que servem como gateways para infraestruturas críticas. Os hackers visam cada vez mais não apenas ficheiros de computador para roubar informações, mas também sistemas que gerem funções críticas, como o acesso a edifícios e o controlo de fábricas, causando remotamente danos físicos ou permitindo a espionagem.
NÓS. Em Abril, as autoridades alertaram que hackers iranianos estavam a tentar destruir os sistemas de água potável dos EUA, visando equipamentos informáticos que ligam hardware a software. Há um ano, supostos hackers russos removeram válvulas de uma barragem hidroeléctrica norueguesa.
“Os ataques digitais a sistemas físicos criam problemas físicos”, disse Gianni Cuzzo, presidente-executivo da Axin, uma startup italiana que incorpora software de segurança em microchips em dispositivos que vão de televisões a máquinas de venda automática e sistemas de ventilação.
Outro desafio será analisar a jurisdição e a responsabilidade pelos activos que atravessam águas internacionais ou são danificados em guerra – tais como cabos de dados submarinos ou condutas de energia. As guerras territoriais entre as autoridades policiais e os militares já são empreendimentos complexos.
Quando drones russos suspeitos aterraram em aeroportos europeus no ano passado, os governos tiveram dificuldade em esclarecer quem deveria responder. Após uma série de voos de drones sobre locais industriais e de segurança na Alemanha, no início deste ano o governo deu aos militares mais poderes para lidar com drones em áreas normalmente controladas pelas autoridades locais.
“Os proprietários privados podem investir em capacidades de redundância, monitorização e reparação, mas apenas os governos e os militares podem realmente parar, patrulhar, atribuir ou responder às atividades do Estado”, disse Mark Glasser, que passou três décadas a trabalhar em segurança cibernética e segurança de infraestruturas no Departamento de Transportes e no Departamento de Segurança Interna dos EUA.
Como executivo-chefe do Porto de Long Beach, Califórnia, Noel Hesgaba luta diariamente com essas preocupações. Ele vê as novas tecnologias e a sua utilização por intervenientes estatais hostis redefinindo as ameaças que o porto enfrenta, que está entre os mais movimentados dos Estados Unidos, movimentando anualmente 300 mil milhões de dólares em carga.
“Tudo o que fazemos deve ser visto através de lentes de segurança”, disse ele.
Poucas empresas são mais antigas do que os portos, mas a movimentação de carga tornou-se digital. HashGaba lançou um centro de operações de defesa cibernética em maio para impedir milhares de ataques cibernéticos por dia, que colocam em risco os sistemas de computador e todos os equipamentos a eles conectados.
“Há cinco anos, a segurança portuária tratava principalmente de pessoas e carga. Hoje, trata-se de pessoas, carga, software, hardware e espaço aéreo”, disse ele. “Um incidente cibernético na terça-feira, um drone na quarta-feira, um choque geopolítico na quinta-feira e todos atingiram o mesmo ativo na sexta-feira.”
A escala da ameaça está a motivar apelos para que a responsabilidade pela segurança corporativa seja elevada aos altos executivos, da mesma forma que a crise financeira da década de 1990 empurrou os gestores financeiros para o lado do CEO. Executivos e especialistas em risco empresarial publicaram um apelo à ação na Harvard Business Review em março, intitulado “O caso para contratar um diretor de resiliência”.
Os proponentes dizem que estes funcionários precisam estar no nível da diretoria devido às interrupções nos negócios e às possíveis responsabilidades decorrentes dos custos de cumprimento dos novos regulamentos.
As empresas dizem que precisam de mais clareza por parte dos governos sobre quais as protecções que irão fornecer e subsídios para os ajudar a defender activos privados que fornecem bens públicos.
A maioria dos governos não oferece incentivos para que as empresas invistam mais do que os requisitos mínimos de flexibilidade legal. Provavelmente se tornará uma área de competição entre empresas, disse Hate da Vodafone, e as empresas que forem capazes de investir na sua flexibilidade como um benefício para os clientes vencerão.
“Se as empresas esperam ajudar o Estado a proteger infra-estruturas críticas, precisam de ser incentivadas a fazê-lo”, disse Hite. A Vodafone e oito outras empresas relacionadas com as telecomunicações instaram no ano passado as autoridades europeias e a NATO a aumentarem o apoio público e a cooperação governamental na protecção do cabo submarino.
As regras estão começando a mudar. A UE adotou novas medidas após a invasão em grande escala da Ucrânia pela Rússia, exigindo que os países reduzissem as vulnerabilidades. As avaliações nacionais de risco e as listas de instituições críticas devem ser entregues este mês, mas muitos estados estão atrasados.
As novas leis propostas no Reino Unido procuram aumentar as penas para demolições subterrâneas, atualizando códigos que datam da época em que os cabos telegráficos foram instalados pela primeira vez, no século XIX.
Nos EUA e noutras partes do mundo, novos requisitos foram promulgados ou estão a ser implementados, embora muitas vezes se concentrem mais em sectores específicos, como a energia e as finanças, do que na economia como um todo, dizem os especialistas. O Congresso criou a Agência de Segurança Cibernética e de Infraestruturas em 2018 para ajudar outras agências governamentais e organizações do setor privado, mas o seu orçamento e pessoal foram reduzidos nos últimos anos.
Os esforços recentes reflectem os que ocorreram em resposta aos ataques terroristas de 11 de Setembro de 2001, quando aeroportos concebidos para serem eficientes e fáceis de viajar mudaram as operações para dar prioridade à segurança. A América reestruturou o governo federal e injetou centenas de milhares de milhões de dólares na segurança interna.
Agora, quase todo tipo de instalação é um alvo potencial. Em Março, ataques de drones iranianos destruíram centros de dados nos Emirados Árabes Unidos e no Bahrein que eram utilizados para fins bancários e outros fins comerciais. Eles permanecem off-line, parte de uma série de sinais de alerta que piscam em todo o mundo, à medida que a crescente dependência da inteligência artificial torna os data centers indispensáveis.
“Essas lições serão melhor aprendidas agora”, disse Sam Winter-Levy, membro do Programa de Tecnologia e Assuntos Internacionais do Carnegie Endowment for International Peace.
Escreva para Stephen Kalin em Stephen.kalin@wsj.com e Daniel Michaels em Dan.Michaels@wsj.com





