O Impacto dos Empreiteiros Ligados à China na Segurança dos EUA
A Câmara dos Representantes dos EUA aprovou recentemente um projeto de lei que forçaria o proprietário chinês do TikTok a vender o aplicativo de vídeo ou proibi-lo nos Estados Unidos.
C. Alexander Ohlers - 22 MAR, 2024
A Câmara dos Representantes dos EUA aprovou recentemente um projeto de lei que forçaria o proprietário chinês do TikTok a vender o aplicativo de vídeo ou proibi-lo nos Estados Unidos.
Embora haja um debate sobre os detalhes e a abordagem da própria lei, o projeto de lei representa preocupações crescentes sobre até onde chegam os tentáculos da espionagem chinesa.
Na verdade, estes tentáculos estão a expandir-se muito para além do TikTok através do mar complexo e em expansão da cooperação económica internacional, do avanço das tecnologias e dos métodos de recolha de informações, da integração militar intensiva com parceiros estrangeiros e do papel de empresas independentes com informações valiosas. Como resultado, foram identificados riscos significativos para a inteligência dos EUA em bases estrangeiras onde são utilizadas tecnologias militares dos EUA, em casa através de ameaças críticas às infra-estruturas e tecnologias dos EUA e, mais recentemente, através de empresas contratantes dos EUA com ligações à República Popular da China. (RPC).
Expansão Militar e de Infraestrutura da RPC
Ao longo da última década, o governo dos EUA tornou-se cada vez mais atento às ameaças representadas pela extensão da sua tecnologia e infra-estruturas pelo Partido Comunista Chinês (PCC) em todo o mundo, especialmente porque a RPC proliferou a sua Iniciativa Cinturão e Rota (BRI). em estados que são parceiros de segurança dos EUA. Ao mesmo tempo, a administração Biden continua a implementar a sua Estratégia de Segurança Nacional de “dissuasão integrada” contra a China e está a construir relações de segurança mais profundas com parceiros globais. Muitos destes estados parceiros estão a adoptar tecnologias, infra-estruturas militares e infra-estruturas civis da RPC, que o governo acredita representarem riscos para a inteligência e a segurança dos EUA.
O Departamento de Defesa dos EUA (DOD), por exemplo, declarou que a utilização de tecnologias de Quinta Geração (5G) da RPC pelos aliados dos EUA “criaria riscos de segurança para as operações do DOD no estrangeiro que dependem de redes com componentes chineses na cadeia de abastecimento”. Da mesma forma, em relação ao equipamento militar do PCC, o General Michael Erik Kurilla declarou numa audiência do Comité de Serviços Armados do Senado dos EUA no USCENTCOM que a expansão das vendas de armas e equipamentos do PCC na região complica a parceria e a cooperação com as forças dos EUA, observando: '...se houver Se houver equipamento chinês lá, não seremos capazes de integrá-lo com equipamento dos EUA.' Os projectos de infra-estruturas militares da RPC, tais como portos e bases militares, também levantam bandeiras vermelhas para a cooperação de segurança dos EUA.
Como resultado, tanto as administrações Biden como Trump tentaram sancionar a utilização de certas tecnologias e infra-estruturas da RPC por parceiros dos EUA que representam riscos de inteligência e segurança. Por exemplo, a Agência Central de Inteligência dos EUA levantou preocupações sobre o grande investimento chinês em Israel, em particular o porto de Haifa, e acabou por levar a marinha israelita a tomar medidas especiais para proteger as suas plataformas da espionagem. Em 2021, o diretor da CIA, Bill Burns, disse ao primeiro-ministro Naftali Bennett que os EUA estavam preocupados com os investimentos chineses em Israel, especialmente no setor de tecnologia e em grandes projetos de infraestrutura, e pressionaram pela criação de um mecanismo consultivo israelense para abordar os aspectos de segurança nacional de investimento estrangeiro (o Comité Consultivo para Assuntos de Segurança Nacional em Investimento Estrangeiro). O governo até pressionou a Grã-Bretanha a desinvestir da Huawei nas suas redes 5G, em parte para proteger o pessoal dos EUA e informações de defesa proprietárias em futuras implantações em bases britânicas, e resistiu à cooperação armamentista entre os aliados dos EUA e a China e a Rússia.
Hacking na RPC e ameaças à infraestrutura dos EUA
Vulnerabilidades de segurança e inteligência também continuam a surgir em casa. Em 2023, a Microsoft divulgou que um grupo de hackers com sede na China, que eles chamam de “Storm-0558”, está focado em “obter acesso a sistemas de e-mail para coleta de inteligência” e violou um número não identificado de contas de e-mail vinculadas a cerca de 25 organizações, incluindo alguns relacionados a contas de consumidores individuais e agências governamentais na Europa Ocidental e nos EUA. Mais recentemente, autoridades dos EUA e autoridades de segurança da indústria disseram ao The Washington Post que os militares chineses estão aumentando sua capacidade de interromper as principais infraestruturas americanas, incluindo serviços de energia e água como bem como sistemas de comunicações e transporte, penetrando nos sistemas informáticos destas entidades.
No início deste ano, as autoridades de segurança cibernética internacionais e dos EUA emitiram um Conselho de Segurança Cibernética (CSA) conjunto após a descoberta de um conjunto de atividades de interesse associadas a um ator cibernético patrocinado pelo Estado da RPC, o Volt Typhoon. O Volt Typhoon, que tradicionalmente se concentra na espionagem e na recolha de informações, tem vindo a desenvolver capacidades que podem perturbar infra-estruturas críticas em áreas que incluem comunicações, produção, serviços públicos, transportes, construção, marítimo, governo, tecnologia da informação e educação. De acordo com o Diretor Executivo da Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna, Brandon Wales:
É muito claro que as tentativas chinesas de comprometer infra-estruturas críticas são, em parte, para se pré-posicionarem para serem capazes de perturbar ou destruir essas infra-estruturas críticas em caso de conflito, para impedir que os Estados Unidos sejam capazes de projectar poder na Ásia ou para causar o caos social dentro dos Estados Unidos – para afectar a nossa tomada de decisões em torno de uma crise.
Riscos de segurança de empreiteiros dos EUA na China
As autoridades dos EUA também estão cada vez mais inquietas com a proximidade de alguns empreiteiros de defesa dos EUA com a China. No início deste ano, o presidente do Comité de Segurança Interna e Assuntos Governamentais apelou a uma investigação sobre contratos federais envolvendo empresas de consultoria privadas que trabalham tanto para o governo dos EUA como para o governo chinês (e empresas estatais da RPC) e alertou para o potencial de grandes riscos para a segurança nacional. Numa carta ao Gabinete de Responsabilidade do Governo dos EUA (GAO), o Comité adverte:
Em alguns casos, empresas de consultoria apoiaram entidades diretamente ligadas ao governo chinês, nomeadamente através da construção de ilhas artificiais para posicionar mísseis, caças e bombardeiros no Mar da China Meridional e da participação em exercícios para um ataque anfíbio a Taiwan. Estamos preocupados que a prestação de tais serviços simultaneamente possa criar conflitos de interesses que ameacem a segurança nacional americana e prejudiquem a política externa dos EUA.
Na verdade, muitas empresas dos EUA que operam na China pagam um preço elevado em termos de segurança nacional. O PCC monitoriza agressivamente as empresas estrangeiras e obriga-as a cumprir as regras chinesas. Estas empresas também podem tornar-se vulneráveis à subversão enquanto estiverem no país. Como resultado, alguns especialistas alertam que os agentes de inteligência chineses estão a roubar os seus segredos comerciais e a extrair os seus dados.
O PCC também promulga leis que facilitam ativamente a espionagem contra empresas estrangeiras. A Lei de Inteligência Nacional da China, por exemplo, declara que “qualquer organização e cidadão deve, de acordo com a lei, apoiar, prestar assistência e cooperar no trabalho de inteligência nacional, e guardar o sigilo de qualquer trabalho de inteligência nacional de que tenha conhecimento. ” Alguns analistas interpretam esta lei como exigindo que as empresas chinesas cooperem com os serviços de inteligência, incluindo obrigando a instalação de backdoors para fornecer dados privados ao governo. Assim, as empresas de consultoria militar dos EUA que trabalham com empresas da RPC podem estar em risco de exposição.
Outra lei do PCC exige, entre outras coisas, que as empresas de tecnologia que descubram ou tenham conhecimento de uma falha hackeável nos seus produtos devem partilhar informações sobre a mesma no prazo de dois dias com o Ministério da Indústria e Tecnologia da Informação da RPC. O Ministério então insere a falha na Plataforma de Compartilhamento de Informações sobre Vulnerabilidades e Ameaças à Segurança Cibernética da RPC, ou Banco de Dados Nacional de Vulnerabilidade. Os dados são então partilhados com vários outros órgãos governamentais, incluindo as Equipas Técnicas/Centro de Coordenação de Resposta a Emergências da Rede Informática Nacional da China, ou CNCERT/CC, que, por sua vez, disponibiliza as informações a "parceiros" tecnológicos que incluem organizações chinesas dedicadas à exploração essas vulnerabilidades.
Um desses parceiros, o gabinete de Pequim do Ministério da Segurança do Estado da China, foi identificado pela Casa Branca, pelo Departamento de Justiça, pelo Reino Unido, pela UE, pela NATO e por governos do Japão à Noruega como sendo responsável por muitos dos problemas da RPC. operações de hackers patrocinadas pelo Estado mais agressivas nos últimos anos e para outras espionagens e crimes e ataques cibernéticos. As informações do CNCERT/CC também são compartilhadas com a Universidade Shanghai Jiaotong e a empresa de segurança Beijing Topsec, ambas com histórico de cooperação em campanhas de hackers realizadas pelo Exército de Libertação Popular da China (ELP).
Apesar destas preocupações de segurança, o governo federal – incluindo as suas principais agências de defesa – continua a permitir que os seus contratantes trabalhem em estreita colaboração com o governo chinês. Por exemplo, os Departamentos de Defesa e Segurança Interna concederam à SAP Concur, uma empresa baseada na nuvem que fornece software de gestão de viagens e despesas, e à sua subsidiária, um contrato, apesar de a organização ter escritórios em Pequim, Xangai e Guangzhou. A empresa também trabalha com várias empresas chinesas, incluindo Alibaba, Tencent e Baidu que, de acordo com a Lei de Inteligência Nacional da China, são obrigadas a apoiar e ajudar o PCC e o ELP. A SAP Concur também armazena seus dados de serviço da China na China.
Aquisição de equipamentos da RPC nos EUA
As suscetibilidades também ocorrem através das compras governamentais de equipamentos estrangeiros. Surpreendentemente, o governo dos EUA ainda está comprando alguns drones de fabricação chinesa da DJI, um fabricante líder de drones na RPC que foi rotulado como empresa militar chinesa em 2022 pelo Departamento de Defesa e recebe financiamento de quatro organismos de investimento de propriedade ou administrados pelo governo chinês. , incluindo um ligado ao Exército de Libertação Popular. Embora tenha havido progresso, como a proibição de “sistemas de aeronaves não tripuladas fabricados no exterior” sob a Lei de Autorização de Defesa Nacional para o ano fiscal de 2023, as compras são permitidas para agências federais civis, como o Serviço Secreto dos EUA e o Departamento do Interior. , bem como muitos governos estaduais e locais.
Em conclusão, as ameaças à inteligência e à segurança evoluem continuamente à medida que a tecnologia e os métodos avançam e a geopolítica muda. Nos últimos anos, o Departamento de Defesa dos EUA identificou muitas destas novas potenciais violações de inteligência e vulnerabilidades de segurança colocadas pelas tecnologias, infraestruturas e empresas do PCC em países estrangeiros nos quais os EUA mantêm cooperação em segurança. No entanto, existe uma maior necessidade de abordar estas vulnerabilidades a nível interno, muitas das quais são exploradas através de actividades aninhadas no sector privado, em empresas contratantes dos EUA e em instituições governamentais. Como resultado, é fundamental que o governo adapte a segurança da informação e a cibersegurança a este ambiente cada vez mais complexo e aplique maior escrutínio e padrões às relações governamentais com o sector privado.
***
Dr. C. Alexander Ohlers is a Visiting Fellow at the University of Tennessee where he teaches international affairs and politics. He is an expert analyst in international security, geopolitics, and international economics and development and is a former Senior Analyst for the U.S. Department of State in the Middle East.