Good afternoon. If you have followed diplomatic news in the past weeks, you may have heard of a kind of crisis between China and the U.S. regarding cyberattacks against the American company Google. Many things have been said about this. Some people have called a cyberwar what may actually be just a spy operation -- and obviously, a quite mishandled one. However, this episode reveals the growing anxiety in the Western world regarding these emerging cyber weapons.
Bom dia. Se têm acompanhado as notícias diplomáticas das últimas semanas, devem ter ouvido falar sobre uma espécie de crise entre a China e os EUA, em relação a ataques informáticos contra a empresa americana Google. Tem-se dito muita coisa sobre este assunto, falou-se de ciberguerra o que pode ser, provavelmente, apenas uma operação de espionagem, uma operação, obviamente, bastante desajeitada. Por vezes, este episódio mostra a ansiedade crescente do mundo ocidental face ao aparecimento destas armas cibernéticas.
It so happens that these weapons are dangerous. They're of a new nature: they could lead the world into a digital conflict that could turn into an armed struggle. These virtual weapons can also destroy the physical world. In 1982, in the middle of the Cold War in Soviet Siberia, a pipeline exploded with a burst of 3 kilotons, the equivalent of a fourth of the Hiroshima bomb. Now we know today -- this was revealed by Thomas Reed, Ronald Reagan's former U.S. Air Force Secretary -- this explosion was actually the result of a CIA sabotage operation, in which they had managed to infiltrate the IT management systems of that pipeline.
Acontece que estas armas são perigosas, elas são de uma nova natureza, e podem fazer com que o mundo entre num conflito eletrónico que se poderá transformar num confronto armado. Estas armas virtuais podem também destruir o mundo físico. Em 1982, em plena Guerra Fria, na Sibéria Soviética, um oleoduto explodiu com uma detonação de 3 quilotoneladas, o equivalente a um quarto da bomba de Hiroxima. Hoje em dia sabemos — isto foi revelado por um ex-secretário da Força Aérea de Ronald Reagan, Thomas Reid — esta explosão foi na verdade o resultado de uma operação de sabotagem da CIA, que, na época, conseguiu infiltrar-se nos sistemas informáticos de gestão deste oleoduto.
More recently, the U.S. government revealed that in September 2008, more than 3 million people in the state of Espirito Santo in Brazil were plunged into darkness, victims of a blackmail operation from cyber pirates. Even more worrying for the Americans, in December 2008 the holiest of holies, the IT systems of CENTCOM, the central command managing the wars in Iraq and Afghanistan, may have been infiltrated by hackers who used these: plain but infected USB keys. And with these keys, they may have been able to get inside CENTCOM's systems, to see and hear everything, and maybe even infect some of them. As a result, the Americans take the threat very seriously. I'll quote General James Cartwright, Vice Chairman of the Joint Chiefs of Staff, who says in a report to Congress that cyberattacks could be as powerful as weapons of mass destruction. Moreover, the Americans have decided to spend over 30 billion dollars in the next five years to build up their cyberwar capabilities.
Mais recentemente, o governo americano revelou que em setembro de 2008, mais de 3 milhões de habitantes no estado de Espírito Santo no Brasil sofreram um apagão de energia elétrica, vítimas de chantagem de ciberpiratas. Ainda mais inquietante para os americanos, em dezembro de 2008, foi o "Santo dos Santos", o sistema informático da CENTCOM, a central que comanda hoje em dia as guerras no Iraque e no Afeganistão, que teria sido infiltrada por hackers, que usaram isto, simples pens USB infetadas e, graças a essas pens, foram capazes de entrar nesses sistemas informáticos, de ver e ouvir tudo, e talvez até mesmo de infetar parte destes sistemas. Os americanos levam muito a sério estas ameaças. Vou citar o General James Cartwright, o Vice-Presidente do Estado Maior dos EUA e que diz, num relatório ao Congresso, que "os ciberataques podem ser tão poderosos "como as armas de destruição maciça". Além disso, os americanos decidiram investir mais de 30 mil milhões de dólares durante os próximos cinco anos para desenvolverem as suas capacidades de ciberguerra.
And across the world today, we see a sort of cyber arms race, with cyberwar units built up by countries like North Korea or even Iran. Yet, what you'll never hear from spokespeople from the Pentagon or the French Department of Defence is that the question isn't really who's the enemy, but actually the very nature of cyber weapons. And to understand why, we must look at how, through the ages, military technologies have maintained or destroyed world peace. For example, if we'd had TEDxParis 350 years ago, we would have talked about the military innovation of the day -- the massive Vauban-style fortifications -- and we could have predicted a period of stability in the world or in Europe. which was indeed the case in Europe between 1650 and 1750.
Vê-se hoje em dia que existe, por todo o mundo, uma espécie de corrida às ciberarmas com as unidades de ciberguerra que são construídas por países como a Coreia do Norte, ou mesmo o Irão. Mas o que nunca e ouviu da parte dos intervenientes do Pentágono ou do Ministério da Defesa Francesa, é que o problema não é necessariamente quem é o inimigo, mas sim a natureza destas ciberarmas. Para compreender isso, temos de ver como, ao longo dos tempos, as tecnologias militares foram capazes de assegurar ou quebrar a paz mundial. Por exemplo, se tivéssemos tido a oportunidade de ter o TEDxParis, há 350 anos, teríamos falado sobre a inovação militar desses dias — as fortificações maciças ao estilo Vauban — e poderíamos ter previsto um período de estabilidade no mundo ou na Europa, o que aconteceu de facto na Europa entre 1650 e 1750.
Similarly, if we'd had this talk 30 or 40 years ago, we would have seen how the rise of nuclear weapons, and the threat of mutually assured destruction they imply, prevents a direct fight between the two superpowers. However, if we'd had this talk 60 years ago, we would have seen how the emergence of new aircraft and tank technologies, which give the advantage to the attacker, make the Blitzkrieg doctrine very credible and thus create the possibility of war in Europe. So military technologies can influence the course of the world, can make or break world peace -- and there lies the issue with cyber weapons.
Se tivéssemos tido esta conversa há 30 ou 40 anos, teríamos visto como o advento das armas nucleares, e da ameaça de destruição mútua que elas implicam, viriam a prevenir um combate direto entre as duas superpotências. Contudo, se tivéssemos tido esta conversa há 60 anos, teríamos visto como o aparecimento dos tanques blindados e das forças aéreas, que dão vantagem aos ataques ofensivos, tornariam a doutrina Blitzkrieg bastante credível e, consequentemente, criariam a possibilidade de guerra na Europa. Assim, as tecnologias militares são capazes de influenciar o curso normal do mundo, podem assegurar ou quebrar a paz mundial e esse é o problema das ciberarmas.
The first issue: Imagine a potential enemy announcing they're building a cyberwar unit, but only for their country's defense. Okay, but what distinguishes it from an offensive unit? It gets even more complicated when the doctrines of use become ambiguous. Just 3 years ago, both the U.S. and France were saying they were investing militarily in cyberspace, strictly to defend their IT systems. But today both countries say the best defense is to attack. And so, they're joining China, whose doctrine of use for 15 years has been both defensive and offensive.
Primeiro problema: Imaginem que um potencial inimigo anuncia que está a construir uma nova arma de ciberguerra, mas apenas para a defesa do seu país. Muito bem, mas o que é que distingue isto de uma unidade para atacar? O problema ainda é pior quando os motivos de utilização se tornam ambíguos. Há apenas 3 anos, tanto os EUA como a França disseram que estavam a investir militarmente no ciberespaço, apenas para defender os seus sistemas informáticos. Mas atualmente, ambos os países afirmam que a melhor defesa, é o ataque. Por isso, estão-se a juntar à China, que faz uso há 15 anos destas armas não só defensiva, mas também ofensivamente.
The second issue: Your country could be under cyberattack with entire regions plunged into total darkness, and you may not even know who's attacking you. Cyber weapons have this peculiar feature: they can be used without leaving traces. This gives a tremendous advantage to the attacker, because the defender doesn't know who to fight back against. And if the defender retaliates against the wrong adversary, they risk making one more enemy and ending up diplomatically isolated. This issue isn't just theoretical.
Segundo problema: o vosso país podia estar sob um ciberataque, com regiões inteiras deixadas numa escuridão total, e vocês poderiam nem saber de quem vinham os ataques. As ciberarmas têm esta característica peculiar: podem ser usadas sem deixar rasto. Isto dá uma vantagem tremenda ao atacante, porque o alvo do ataque, não sabe contra quem responder. E se o alvo contra-atacar o adversário errado, arrisca-se a fazer mais um inimigo e a acabar diplomaticamente isolado. Este problema não é meramente académico.
In May 2007, Estonia was the victim of cyberattacks, that damaged its communication and banking systems. Estonia accused Russia. But NATO, though it defends Estonia, reacted very prudently. Why? Because NATO couldn't be 100% sure that the Kremlin was indeed behind these attacks. So to sum up, on the one hand, when a possible enemy announces they're building a cyberwar unit, you don't know whether it's for attack or defense. On the other hand, we know that these weapons give an advantage to attacking.
Em maio de 2007, a Estónia foi vítima de ciberataques, que afetaram o seu sistema de comunicação e o seu sistema bancário. A Estónia acusou a Rússia. Mas a NATO, embora defenda a Estónia, reagiu com muita prudência. Porquê? Porque a NATO não tinha 100% de certeza de que o Kremlin estava de facto por detrás destes ataques. Por isso, e resumindo, por um lado, quando um possível inimigo anuncia que está a construir uma unidade de ciberguerra, não se sabe se é para ataque ou para defesa. Por outro lado, sabemos que estas armas dão uma vantagem ao atacante.
In a major article published in 1978, Professor Robert Jervis of Columbia University in New York described a model to understand how conflicts could arise. In this context, when you don't know if the potential enemy is preparing for defense or attack, and if the weapons give an advantage to attacking, then this environment is most likely to spark a conflict. This is the environment that's being created by cyber weapons today, and historically it was the environment in Europe at the onset of World War I. So cyber weapons are dangerous by nature, but in addition, they're emerging in a much more unstable environment.
Num famoso artigo publicado em 1978, o Professor Robert Jervis da Universidade de Columbia em Nova Iorque descreveu um modelo para compreender como podem surgir os conflitos. Este modelo diz que, num ambiente onde não se sabe se o potencial inimigo está a preparar a defesa ou o ataque, e se as armas dão uma vantagem ao atacante, este ambiente é bastante propício a gerar um conflito. Este é o ambiente que está a ser criado atualmente pelas ciberarmas. Historicamente, foi este o ambiente na Europa pouco antes da Primeira Guerra Mundial. Por isso, as ciberarmas são perigosas por natureza, mas, além disso, estão a surgir num ambiente muito mais instável.
If you remember the Cold War, it was a very hard game, but a stable one played only by two players, which allowed for some coordination between the two superpowers. Today we're moving to a multipolar world in which coordination is much more complicated, as we have seen at Copenhagen. And this coordination may become even trickier with the introduction of cyber weapons. Why? Because no nation knows for sure whether its neighbor is about to attack. So nations may live under the threat of what Nobel Prize winner Thomas Schelling called the "reciprocal fear of surprise attack," as I don't know if my neighbor is about to attack me or not -- I may never know -- so I might take the upper hand and attack first.
Se se lembram da Guerra Fria, foi um jogo muito difícil, mas um jogo estável e com apenas dois jogadores, o que permitia alguma coordenação entre as duas superpotências. Hoje, estamos em direção a um mundo multipolar onde a coordenação é muito mais complicada, como temos visto em Copenhaga. Esta coordenação pode tornar-se ainda mais difícil com a introdução das ciberarmas. Porquê? Porque nenhuma nação tem a certeza se o seu vizinho está prestes a atacar ou não. Por isso, as nações vivem sob a ameaça daquilo a que o Prémio Nobel da Economia, Thomas Schelling, chamou o "receio recíproco de um ataque surpresa", pois não sabemos se o nosso vizinho está para nos atacar ou não — poderemos nunca vir saber — por isso, podemos antecipar-nos e atacar primeiro.
Just last week, in a New York Times article dated January 26, 2010, it was revealed for the first time that officials at the National Security Agency were considering the possibility of preemptive attacks in cases where the U.S. was about to be cyberattacked. And these preemptive attacks might not just remain in cyberspace. In May 2009, General Kevin Chilton, commander of the U.S. nuclear forces, stated that in the event of cyberattacks against the U.S., all options would be on the table.
Na semana passada, num artigo do New York Times de 26 de janeiro de 2010, revelou-se pela primeira vez que responsáveis da Agência Nacional de Segurança estavam a considerar a possibilidade de realizar ataques preventivos no caso de os EUA estarem prestes a ser alvo de um ciberataque. Esses ataques preventivos podem não se restringir apenas ao ciberespaço. Em maio de 2009, o general Kevin Chilton, comandante das forças nucleares norte-americanas, anunciou que, no caso de ciberataque contra os EUA todas as opções estariam em cima da mesa.
Cyber weapons do not replace conventional or nuclear weapons -- they just add a new layer to the existing system of terror. But in doing so, they also add their own risk of triggering a conflict -- as we've just seen, a very important risk -- and a risk we may have to confront with a collective security solution which includes all of us: European allies, NATO members, our American friends and allies, our other Western allies, and maybe, by forcing their hand a little, our Russian and Chinese partners.
As ciberarmas não substituem as armas convencionais ou nucleares. Elas vêm aumentar os dispositivos de terror existentes. Mas, ao fazê-lo, arriscam-se a desencadear um conflito, como já vimos, um risco muito grande o risco de podermos ter de nos confrontar com uma solução de segurança coletiva que inclui todos nós, obviamente, Aliados europeus, membros da NATO, os nossos amigos e aliados americanos, os nossos aliados ocidentais, e, talvez, se formos obrigados a isso, os nossos parceiros russos e chineses.
The information technologies Joël de Rosnay was talking about, which were historically born from military research, are today on the verge of developing an offensive capability of destruction, which could tomorrow, if we're not careful, completely destroy world peace.
Em relação às tecnologias da informação, sobre as quais falava Joël de Rosnay, que nasceram historicamente da investigação militar, estão hoje prestes a desenvolver uma capacidade ofensiva de destruição, que poderá, no futuro, se não formos cuidadosos, destruir completamente a paz mundial.
Thank you.
Obrigado
(Applause)
(Aplausos)