Cílem tohoto příspěvku je uvést přehled základních problémů a fenoménů, se kterými se lze v současné době setkat v kontextu útoků v kyberprostoru a nastínit, jak se s nimi vypořádává mezinárodní právo.
Exponenciální prostředí internetu
Každou vteřinu přibývá téměř 8 nových uživatelů internetu.[1] V okamžiku, kdy dočtete tuto větu, přibude téměř 219.000 nových příspěvků na Facebooku, 22.800 nových tweetů, bude staženo na 7.000 aplikací a na Amazonu se prodá zboží v hodnotě dosahující 9.000 dolarů.[2]
Internetové prostředí konstantně expanduje. S touto expanzí je neodmyslitelně spojen nárůst rizika užívání internetu pro všechny jeho uživatele.
V dnešní době již není nijak zvlášť nákladné pořídit si vlastní počítač, obstarat si internetové připojení či dokonce získat pro sebe malwarový program. V případě, že má uživatel zájem o nabourání se do cizích počítačů, je možné si na některé ze stránek tzv. "deep web" objednat počítačový virus podle vlastního přání, popřípadě si dokonce za pomoci speciální aplikace virus stvořit sám podle vlastních požadavků. Někteří poskytovatelé zmíněných služeb jdou dokonce tak daleko, že pro své zákazníky zajišťují dodatečný servis spočívající například v radě, jak nejlépe zmíněnou infekci implantovat do internetového prostředí, aby bylo dosaženo požadovaných výsledků.
V roce 2010 přišel americký list The Economist s analýzou předpokládající, že svět se v posledních několika letech dostal blízko momentu, kdy by mohla vypuknout válka v kyberprostoru.[3] Tato analýza se naštěstí prozatím nenaplnila, podle cpt. Brangetta je však možné, že potenciální vzrůst intenzity útoků může přerůst až v otevřenou válku.
Útoky v kyberprostoru
Kybernetický útok je v Tallinském manuálu definován takto: "Kybernetický útok je operace v kyberprostoru, ať už ofenzivní, nebo defenzivní, v jejímž důsledku je důvodné očekávat způsobení zranění či smrti osobám, nebo poškození či zničení věcí."[4] Je pravda, že postupem času se lidstvo stává čím dál závislejší na internetu a možnostech, které poskytuje. Neexistuje žádná větší společnost nebo stát, který by nebyl na připojení do kyberprostoru závislý. V případech, kdy se hackerům podaří v tomto prostoru realizovat rozsáhlý útok, jsou důsledky katastrofické. Vyřazením elektráren z provozu mohou být ochromena celá města, i jen částečným narušením výroby v továrnách může dojít ke ztrátám v řádech milionů dolarů, popřípadě i na lidských životech. Za útoky v prostředí internetu přitom velmi často stojí samotné státy. Stačí si připomenout rusko-gruzínský konflikt v roce 2008, kterému předcházelo napadení důležitých gruzínských serverů hackery. Jednotlivé incidenty, které v prostředí internetu probíhají, ale nelze bez dalšího označit za válku v kyberprostoru.
Nejznámějším incidentem z poslední doby bylo mimo jiné také napadení estonských serverů skupinou hackerů pravděpodobně z Ruska[5], případně počítačový červ STUXNET.
Mnohé moderní armády přitom využívají kyberprostoru k vedení konvenčních válek. Bomby jsou v současnosti naváděny satelity GPS, téměř každé letadlo i bojová loď slouží jako centra na zpracování dat, drony a jiné bezpilotní letouny jsou ovládány dálkově přes půlku světa. Toto vše v sobě skrývá velké riziko v případě nedostatečné ochrany proti potenciálním kyberútokům. Proto mnoho států světa vkládá čím dál více prostředků do obrany proti podobnému napadení.
Zmíněné kyberútoky se v poslední době nevyhnuly ani České republice; stačí si připomenout napadení počítačů Nejvyššího státního zastupitelství v Brně infekcí ransomware v polovině května tohoto roku, ačkoli v tomto případě není jisté, zda se jednalo o cílený útok, nebo jen náhodnou infekci.
Jak již bylo uvedeno výše, hrozba útoků v kyberprostoru neustále roste. To je zapříčiněno několika faktory. Zaprvé, ve většině případů je nesmírně obtížné určit, kdo je útočníkem. Zkušení hackeři se umí v prostředí internetu velmi dobře „schovat“, tím pádem je získat jakékoli stopy nebo důkazy ve většině případů nemožné. Toto se děje například anonymizací IP adres prostřednictvím různých software, například Tor, nebo Anonymizer.
Dále je nutné brát v potaz, že vstupní náklady pro to, aby se uživatel dostal do prostředí internetu, jsou velmi nízké. S tím souvisí další fenomén, který je zmiňovaný již v úvodu: počet uživatelů internetu je obrovský a každou vteřinou se zvětšuje (k 31. 12. 2011 činil odhad počtu uživatelů internetu 2,267,233,742)[6]. Pro útočníka je velmi jednoduché útočit z různých počítačů stále dokola, dokud nedosáhne svého cíle, navíc není v dnešní době zas tak drahé ani složité si obstarat malware, nebo jinou zbraň do kyberprostoru. S větším počtem uživatelů internetu je tedy logické vyvodit závěr, že se potenciálním útočníkům neustále rozšiřuje počet IP adres, ze kterých je možné zaútočit. Nakonec je třeba si uvědomit, že útok v prostředí internetu je možné provést z jakéhokoli místa na Zemi. I v případě, že se podaří vysledovat útočníky až do země původu, však téměř nikdy nedochází k jejich vydání.
Typologie kyberútoků
Útoky v kyberprostoru je podle cpt. Brangetta možné rozdělit do několika kategorií. První kategorie by se dala označit narušení. Jedná se o velmi častý typ útoku, mající za cíl objekt útoku pouze poškodit.
Druhou kategorií jsou útoky, které mají za cíl zničení objektu útoku. Mezi nejznámější patří počítačový červ STUXNET. Ten byl pravděpodobně vytvořen izraelskou armádou k sabotáži jaderné elektrárny Búšehr a závodu na obohacování uranu v Natanzu, v Íránu v roce 2009.[7] Prvním podobným útokem pak byla pravděpodobně sabotáž sibiřského ropného potrubí v roce 1982, přičemž se ale jedná o nepodloženou informaci. Tehdy měla údajně americká tajná služba CIA vpravit škodlivý kód do kontrolního systému zmíněného potrubí, což vyústilo v mohutnou explozi.
Nejčastější kategorií jsou však útoky mající za cíl špionáž. Mnoho států světa vydává velké prostředky na zjišťování informací od jiných států, nebo společností. V poslední době se nejslavnějším stal případ Edwarda Snowdena, díky kterému vyšel najevo rozsah odposlouchávání zejména evropských politiků ze strany americké tajné služby NSA. Samotná špionáž se přitom nemusí vztahovat jen na politické a vojenské aspekty - získávání ekonomických informací, jejichž prostřednictvím lze následně dosáhnout možné výhody oproti konkurenci, je mezi hackery stále velmi oblíbenou činností.
Mezinárodněprávní úprava
Vzhledem k tomu, jak dynamicky se internetové prostředí vyvíjí, by nebylo vhodné přijmout právní regulaci, která by byla příliš kazuistická. Dalším problémem v této oblasti je sémantická mezera, protože není mnoho právníků, kteří rozumí informačním technologiím, a také není mnoho informatiků, kteří rozumí právu.
Z toho důvodu se některé skupiny, například CCDCOE NATO, snaží o interpretaci již existujících mezinárodních smluv v kontextu kybernetické bezpečnosti. CCDCOE za tímto účelem v roce 2013 vydalo tzv. Tallinský manuál o mezinárodním právu aplikovatelném na válku v kyberprostoru. Dále se uvažuje o rozšíření Severoatlantické smlouvy o oblast útoků z kyberprostoru.[8]
Názor na to, které právní normy je možno aplikovat na problematiku související s kyberprostorem se liší stát od státu. Například Spojené státy americké zastávají názor, že principy mezinárodního práva jsou bez dalšího aplikovatelné na kyberprostor, zatímco Rusko požaduje novou mezinárodní dohodu, kterou by se upravila přímo tato problematika. To ovšem není nezbytně nutné. Jak je uvedeno v Tallinském manuálu, na základě článku 38 Statutu Mezinárodního soudního dvora bere Soudní dvůr za podklad ve sporech, které jsou mu předloženy, zejména mezinárodní úmluvy, mezinárodní zvyklosti, obecné zásady práva a s výhradou článku 59 soudní rozhodnutí a nauku nejvíce kvalifikovaných spisovatelů jakožto pomůcku pro určování právních pravidel. Z uvedeného je možné vyvodit, že stávající mezinárodní zvyklosti, obecné zásady práva a i některé části mezinárodních smluv lze bez dalšího použít na spory vzniklé v kyberprostoru.
Velmi diskutovaným tématem je v poslední době otázka, kdy mohou státy legálně reagovat na útok v kyberprostoru, tedy otázka Ius ad bellum, práva na válku, a Ius in bello, právo ve válce. Tallinský manuál se v této otázce snaží zejména o interpretaci Charty Organizace spojených národů a Ženevských úmluv.
Ius ad Bellum se zejména týká článek 2 odstavec 4 Charty OSN, který stanovuje, že: "Všichni členové se vystříhají ve svých mezinárodních stycích hrozby silou, nebo použití síly jak proti územní celistvosti nebo politické nezávislosti kteréhokoli státu, tak jakýmkoli jiným způsobem neslučitelným s cíli Organizace spojených národů."[9]
Na druhou stranu je zde ustanovení článku 51, které dává státům právo na sebeobranu v případě útoku. Na tomto místě je třeba analyzovat, jak extenzivně lze toto právo na sebeobranu interpretovat a zda se za sebeobranu dají považovat i preventivní útoky na servery a zařízení protivníka. V tom případě je nutné si položit otázku, za jakých podmínek může být kybernetický útok považovaný za útok podle článku 2 odst. 4 Charty OSN. Jedním z možných vodítek, jak dospět k závěru, je využití tzv. "Caroline" testu, popřípadě "Schmitt-criteria".
Caroline test, pojmenovaný podle incidentu mezi Spojenými státy a Spojeným královstvím za doby povstání v Horní Kanadě z roku 1837, stanovuje, že preventivní útok může být ospravedlnitelný, pokud jsou splněna dvě kritéria. Zaprvé, užití síly musí být nezbytné v důsledku bezprostřední hrozby, přičemž snaha o dosažení mírového řešení nepřipadá v daném okamžiku v úvahu. Druhým kritériem je proporcionalita tohoto zásahu vůči zmíněné hrozbě.
Schmitt-criteria, vymyšlená v roce 1999 prof. Schmittem, se skládají z několika faktorů. Jsou jimi závažnost, bezprostřednost, přímost, míru narušení, měřitelnost následků, domnělá legitimnost a zodpovědnost. V kyberprostoru je možné vzít tato kritéria v úvahu v okamžiku, kdy se státy snaží posoudit, zda je možné označit určité škodlivé kyberaktivity za užití síly podle článku 2 odst. 4 Charty.[10]
Z výše uvedených kritérií patří mezi složitější na interpretaci v kontextu kyberprostoru zejména bezprostřednost. V současné době jsou počítačové systémy natolik komplexní, že možná porucha systému může být způsobena stejně tak vadou, která se v systému časem projeví, například v důsledku jeho aktualizace, tak také napadením systému kyberútokem. Proto nemusí být, v mnoha případech, porucha systému brána ihned jako důsledek kyberútoku, který za ní je. Z toho důvodu by se bezprostřednost měla brát spíše jako kritérium fakultativní pro klasifikaci kyberútoku jako užití síly podle článku 2 odst. 4.[11]
Další použitelnou mezinárodní smlouvou v této oblasti je Severoatlantická smlouva. Podle jejího článku 5 je ozbrojený útok proti jednomu ze signatářů smlouvy považován za útok proti všem členům aliance. Článek 6 pak definuje, že za ozbrojený útok na jednu ze stran smlouvy se považuje ozbrojený útok:
"na území kterékoli smluvní strany v Evropě nebo Severní Americe, na alžírské departementy Francie, na území Turecka nebo na ostrovy pod jurisdikcí kterékoli smluvní strany v severoatlantickém prostoru severně od obratníku Raka;
- na ozbrojené síly, lodě či letadla kterékoli smluvní strany, jež se nacházejí na těchto územích nebo nad nimi nebo na kterémkoli jiném území v Evropě, kde byla umístěna okupační vojska kterékoli smluvní strany v den vstupu této smlouvy v platnost, nebo ve Středozemním moři nebo v severoatlantickém prostoru severně od obratníku Raka."[12]
Pro účely Severoatlantické smlouvy je tedy třeba nejdříve stanovit, nakolik extenzivně lze pojem ozbrojený útok vykládat, aby se následně mohl spustit mechanismus článku 5.
Co se týče Ius in bello, Tallinský manuál stanovuje 75 pravidel pro mezinárodní kybernetické konflikty i lokální konflikty. V kyberprostoru je ovšem velmi problematické řídit se pravidlem vyloučení civilistů z konfliktu podle Ženevských úmluv. Mnohdy může být obtížné rozlišovat mezi civilními a vojenskými objekty na síti, přičemž je zde sporná otázka hackerů - zda jsou v případě zapojení se do konfliktu přímými účastníky, nebo ne. V případě, že ano, jsou pak podle pravidla 34 c) Tallinského manuálu legitimním cílem kybernetických útoků ze strany státu.
Šedá zóna kyberbezpečnosti
Je otázkou, jak řešit útoky v kyberprostoru, které nejsou striktně vzato útokem, který by se dal podřadit pod výše uvedenou kategorii, tedy užití síly podle čl. 2 odst. 4 Charty OSN. Tato problematika je velmi důležitá z toho důvodu, že útoky v kyberprostoru v drtivé většině případů do této kategorie nespadají, ale i tak mohou představovat riziko pro bezpečnost státu.
Velmi diskutovaným případem z poslední doby je tzv. Sony Hack. Filmové studio Sony natočilo komedii o atentátu na diktátora Severní Korey, Kim-čong Una. Severokorejský režim na tuto skutečnost zareagoval vyjádřením, že dovolit výrobu, popřípadě distribuci takového snímku bude bráno jako podpora terorismu a válečný čin. Následně, 24. 11. 2014 došlo k rozsáhlému hackerskému útoku na společnost Sony, v důsledku kterého bylo získáno velké množství citlivých dat ohledně společnosti a jejích zaměstnanců, velké množství interních e-mailů i několik filmů, které ještě nebyly v kinodistribuci.
Hackerská skupina za tímto útokem, tzv. "Guardians of Peace", se o zmíněném filmu The Interview zmínili až 16. 12. 2014. Následně, 17. 12., obvinily USA Severní Koreu, že stojí za útokem a 19. 12. vydalo FBI prohlášení, že se mu podařilo propojit hackery se severokorejským režimem. Tento případ je jeden z prvních, kdy jeden stát přímo obvinil druhý z kybernetického útoku. Prezident Obama pak ještě ten den vydal prohlášení, že USA budou na útok přiměřeně reagovat.
Tím se dostáváme do šedé zóny kyberbezpečnosti. Je otázkou, nakolik by reakce USA, pokud by k ní došlo, byla v souladu s mezinárodním právem. Takzvaná odezvová kyberobrana (Responsive cyber defence), mezi kterou patří např. hack-back, tedy nabourání se do systému útočníka s úmyslem získat ukradená data zpět, je sama o sobě kyberútokem. Jakákoli operace, která naruší svrchovanost cizího státu, zakládá porušení mezinárodního práva. Z toho důvodu je dobré se v podobných případech pokusit toto jednání ospravedlnit. Jako ospravedlnění narušení mezinárodního práva se velmi často užívá nezbytnost a protiopatření. Nezbytností lze argumentovat, pokud je potřeba ochránit zásadní zájmy státu proti závažnému bezprostřednímu nebezpečí. V případě kyberútoku by se mohlo jednat například o potenciální narušení zásadní infrastruktury státu, kterou by bylo nutné ochránit. Protiopatření mají odradit útočníka od dalších případných útoků.
Z pohledu narušení vnitrostátního práva se může užít jako ospravedlnění zejména ochrana legitimních zájmů státu. To obvykle vyžaduje zmocnění jednotlivců k podobným krokům spolu s vytvořením jasné právní úpravy, která je exkulpuje v případě podobného jednání.
Do šedé zóny také spadají tzv. honeytokens a honeypots. Honeypots jsou webové stránky, popřípadě soubory, které jsou sestaveny tak, aby přilákaly útočníky, díky čemuž je následně možné zjistit např. o co se u dané stránky zajímají. Honeytoken je pak většinou souborem, který má v sobě skrytou funkci, jež se aktivuje na počítači hackera a pomocí níž je možné jej například lokalizovat. Samotné užití těchto prostředků je ale velmi diskutabilní a v podstatě protiprávní, vzhledem k tomu, že minimálně v případě honeytokens se jedná o vědomé zavedení malware do počítače jiné osoby.
Závěr
Problematika útoků v kyberprostoru je velmi komplexní záležitostí, u které si tento článek kladl za cíl stručně uvést její přehled a poukázat na aktuální otázky. Je vysoce pravděpodobné, že v budoucnu bude potřeba vyjasnit mnohé interpretační a aplikační problémy existující v této oblasti, například stanovením určitého právního rámce. Na druhou stranu by se vzhledem k tomu, jak rapidně se internetové prostředí rozvíjí, neměla přijímat žádná rozsáhlá právní úprava této oblasti, neboť je velmi pravděpodobné, že by se záhy stala neaktuální – včasné přijetí nové právní úpravy s ohledem na standardní délku přijímání mezinárodní legislativy se proto jeví nereálné. Jako vhodné řešení se mi v současné době jeví několik dílčích mezinárodních smluv zaměřených na nejvíce problematické oblasti, popřípadě uvažované rozšíření Severoatlantické smlouvy o útoky z kyberprostoru.
[1] Almost 8 new internet users added worldwide every second (infographic) [online]. [cit. 23.08.2015]. Dostupné z: http://royal.pingdom.com/2012/02/16/almost-8-new-internet-users-added-worldwide-every-second-infographic/
[2] The internet in real time [online]. [cit. 23.08.2015]. Dostupné z: http://www.webpagefx.com/internet-real-time/
[3] The threat from the internet: Cyberwar [online]. [cit. 23.08.2015]. Dostupné z: http://www.economist.com/node/16481504
[4] Tallinn manual on the international law applicable to cyber warfare: prepared by the International Group of Experts at the invitation of the NATO Cooperative Cyber Defence Centre of Excellence. First published. xix, 282 stran. s. 106. ISBN 978-1-107-61377-5
[5] Estonsko: Rusko stojí za internetovými útoky na naše servery [online]. [cit. 25.08.2015]. Dostupné z: http://technet.idnes.cz/estonsko-rusko-stoji-za-internetovymi-utoky-na-nase-servery-pud-/sw_internet.aspx?c=A070518_073723_sw_internet_vse
[6] Almost 8 new internet users added worldwide every second (infographic) [online]. [cit. 23.08.2015]. Dostupné z: http://royal.pingdom.com/2012/02/16/almost-8-new-internet-users-added-worldwide-every-second-infographic/
[7] Stuxnet worm "targeted high value Iranian assets" [online]. [cit. 25.08.2015]. Dostupné z: http://www.bbc.com/news/technology-11388018
[8] Brangetto, P., Cyber War and Law. ELSA Summer Law School Brno, 2015.
[9] Charta OSN [online]. [cit. 25.08.2015]. Dostupné z: http://www.osn.cz/wp-content/uploads/2015/03/charta-organizace-spojenych-narodu-a-statut-mezinarodniho-soudniho-dvora.pdf
[10] Ziolkowski, K. Ius ad bellum in Cyberspace - Some Thoughts on the "Schmitt-Criteria" for Use of Force [online]. NATO CCD COE, Legal and Policy Branch, 2012 [cit. 24.08.2015]. Dostupné z: https://ccdcoe.org/publications/2012proceedings/5_3_Ziolkowski_IusAdBellumInCyberspace.pdf
[11] Ziolkowski, K., 2012, op. cit.
[12] Severoatlantická smlouva [online]. [cit. 25.08.2015]. Dostupné z: http://www.mocr.army.cz/nato/dokumenty/dulezite-dokumenty-2411/
Diskuze k článku ()