Por que o governo sempre erra na questão de cibersegurança?

19 / 04 / 2017

Há uma máxima atribuída a Otto Von Bismarck em que ele diz “leis são como salsichas: é melhor não ver como são feitas”. Charlie Mitchell defende essa visão em seu livro Hacked: The Inside Story of America’s Struggle to Secure Cyberspace no qual oferece uma descrição profunda e abrangente da política de cibersegurança durante a administração Obama. Esse relato cronológico explora interações entre a Casa Branca, os burocratas, os interesses especiais e o Congresso. Mitchell considera diversos pontos de vista, oferecendo ao leitor perspectivas concorrentes no tocante a questões de privacidade e regulamentação.

Esse é um relato histórico, e não teórico (a teoria da Escolha Pública nunca é mencionada), mas é de grande valor aos estudiosos da Escolha Pública, pois explora questões do coração da disciplina, por exemplo, como legisladores, burocratas e interesses especiais respondem a incentivos, e como a política (legislação) é feita à luz de interesses concorrentes.

A política da legislação em cibersegurança

A articulação da política de cibersegurança começou para valer ao final da administração Bush, com a administração Obama levando adiante o trabalho já feito. Contudo, depois de o Congresso fracassar na aprovação de legislação específica durante seu primeiro mandato, o presidente Obama emitiu um decreto em fevereiro de 2013 pedindo (entre outras coisas) uma abordagem não regulatória à cibersegurança, baseada na colaboração entre o governo e a indústria tecnológica.

O National Institute of Standards and Technology – NIST (Instituto Nacional de Padrões e Tecnologia) recebeu a missão de desenvolver uma estrutura de “padrões voluntários” para cibersegurança em colaboração com a indústria tecnológica. Isso foi feito através de uma série de conferências em que representantes dos dois lados se encontraram em diversos campi de faculdades no país para discutir os detalhes de tal estrutura. Durante e após o processo, outras agências governamentais visaram a cibersegurança dentro de suas várias esferas de influência, algumas com sucesso Federal Communications Commission (Comissão Federal de Comunicações) e outras, não, Department of Homeland Security (Departamento de Segurança Interna).

Um tema constante ao longo do livro é a dificuldade de o Congresso aprovar legislações significativas em cibersegurança. A questão parecia sempre estar frente ao Congresso durante o segundo mandato de Obama, sendo frequentemente posta de lado por disputas partidárias, eleições, impasses, recessos e outras preocupações legislativas. A legislação em cibersegurança é finalmente aprovada tanto na Câmara como no Senado, respectivamente, em abril e outubro de 2015.

Como mencionado anteriormente, a história da política em cibersegurança durante a administração Obama é propícia à análise da Escolha Pública, já que é uma história de incentivos e autointeresse de parte da legislatura, dos interesses especiais e da burocracia.

O Congresso tem poucos incentivos a lidar de forma eficiente com o problema da cibersegurança. Para fazê-lo, teria de criar um “comitê em cibersegurança”. Isso é muito improvável, porque como o deputado aposentado Jane Harman diz, “os congressistas obtiveram seu poder por posições em comitês”. A cibersegurança é atualmente jurisdição de vários comitês diferentes, nenhum dos quais está disposto a ceder poder ou influência sobre um tema tão importante.

Mitchell mostra isso ao mencionar que John McCain pediu a criação de um comitê em cibersegurança, até ele mesmo assumir o controle de um. Ademais, Hacked mostra como os incentivos perversos da política partidária e reeleição forçam os políticos a aprovar medidas míopes. Esse elemento essencial à segurança nacional que deveria ser prioridade é constantemente deixado de lado com pouca esperança de ser discutido porque os políticos estão ocupados com questões “mais urgentes”.

O papel dos interesses especiais

Interesses especiais têm grande influência na discussão de qualquer proposta de legislação, e a cibersegurança não é exceção. Os representantes da indústria de tecnologia não confiam em agências governamentais, e têm receio de que o processo “voluntário” logo tome a forma de regulamentações pesadas. Eles e outros grupos de interesse se fazem ouvir via processo legislativo. Os dois grupos concorrentes de interesses especiais vistos no livro são: i) os que argumentam em prol da proteção da privacidade como o ACLU e o Center for Democracy and Technology e ii) os que representam os interesses das indústrias de tecnologia, como a Câmara de Comércio dos Estados Unidos.

Como forma de protesto contra o Cyber Information Sharing Act (CISA), os defensores da privacidade enviaram faxes aos senadores pedindo que votassem contra a lei (e utilizaram tal meio porque diziam que tal medida legislativa lembrava o “Grande Irmão” da obra 1984 de Orwell). Do outro lado da discussão, os representantes da indústria começaram uma campanha “mito-versus-fato” de modo a mostrar que a CISA não era uma forma de vigilância. Ambos os lados lutaram por seus interesses particulares, e não por uma medida que beneficiasse a todos.

O crescimento da presença do Departamento de Segurança Interna

A burocracia federal é um exemplo excelente do princípio da Escolha Pública que os agentes públicos respondem a incentivos da mesma forma que agentes privados, isto é, que estão preocupados com seu próprio autointeresse. O Departamento de Segurança interna (DSI) é visto como pouco disposto a cooperar com a indústria (ele não tem incentivo a fazê-lo), e fez pouco para mudar sua reputação. O DSI, que tem mais responsabilidade pela cibersegurança que qualquer outra agência, tem muitas outras preocupações além dessa, e por causa disso, não tem incentivo a dar a atenção que a questão merece.

De fato, o DSI só entrou no debate porque “viu potencial de vitória na questão”. A Comissão Federal de Comércio (CFC) oferece um exemplo de agência burocrática tentando aumentar sua influência. A CFC considera estar protegendo o consumidor de “práticas empresariais injustas e enganosas”. Ela buscava estender seu poder ao domínio virtual e tinha sua autoridade para regular e punir empresas ratificada por dois processos judiciais em 2015. As empresas de cibersegurança aproveitaram-se disso, e em um cenário complexo, criaram produtos baseados na estrutura NIST, assegurando que, devido aos novos poderes da FTC, a cibersegurança se tornava obrigatória.

Contudo, Hacked oferece um exemplo de incentivos público e privado alinhados em torno de uma estrutura particular de processo criativo proposta pela NIST. A NIST tem diversas vantagens institucionais: é simples, mas muito respeitada, e “não provoca inveja ou ataques direitos de outras agências governamentais, já que ela não é um regulador e não entra em conflitos burocráticos”. Era menos provável (e tinha menos incentivos) a interferir no setor privado.

Isso, bem como o fato de que a estrutura que ela criou deveria ser voluntária e fruto de um processo colaborativo ajudou a criar um sistema em que o governo e o setor privado trabalhavam juntos. A natureza não regulatória do programa também significou que a ameaça da regulação governamental acabassem por incentivar companhias a usar tal estrutura.

Mitchell conclui o livro refletindo sobre o futuro da cibersegurança nos Estados Unidos: como a reestruturação da burocracia melhor equiparia o governo a lidar com o problema e as questões que ainda permanecessem sobre como encorajar empresas a investir em cibersegurança e quem deveria encabeçar tal intento. Para ele, uma política não pode ser reacionária, mas sim adaptável às mudanças nas circunstâncias, com o objetivo de reduzir os entraves à inovação. Seu comentário final oferece um insight necessário em um campo complicado, e seu livro ajuda estudiosos a ver a teoria da Escolha Pública em ação.

Artigo original: “Why government always gets cybersecurity wrong”
Autoria: Wilson Alexander