Konference se dělila na dvě části: na strategickou a právní problematiku a v druhém sále se diskutovaly technické aspekty aktivní kybernetické obrany. Následující materiál se orientuje na první uvedenou tématiku, nejprve uvedu debatu o normách v kyberprostoru, naváži strategickým jednáním státu v kyberprostoru a souvisejícím mezinárodním právem, debatou o možných důsledcích kybernetických útoků a uzavřu krátkou debatou o informačních operacích. Záznam všech prezentací by měl být brzy zveřejněn na webu kybernetického centra excelence NATO www.ccdcoe.org.

Samotný důraz na aktivní řešení obrany a jeho reflexe se různí. Technicky orientovaní odborníci si lámou hlavu, proč tvůrci bezpečnostní politiky s tímto termínem přicházejí, když aktivní strategie už je podstatou řady dosavadních nástrojů. Behaviorální analýzy anomálií v sítích, které jsou schopny odhalit například komplexní mapování infrastruktury zevnitř nebo pokusy o proniknutí hackera zcela vymykající se každodennímu používání nejsou ničím extra objevným. Stejně tomu je i v případě klamných systémů (honeypot, honeynet) nebo celých infrastruktur majících za cíl útočníka nasměrovat do prostředí, ve kterém je jeho činnost do detailu pozorovatelná.

Obránce tak má možnost zjistit například míru jeho dovedností nebo zda má konkrétní specifické znalosti, které by jinak než od pracovníka zevnitř nezískal. Protiútok, někdy zmiňovaný jako tzv. hacking back, byl diskutován primárně z perspektivy mezinárodního práva, konkrétní podoby takových útoků již velmi sporadicky. Je tedy vcelku možné tvrdit, že pojem "aktivní kybernetická obrana" se začala používat především z důvodu zvyšování důrazu na celou problematiku, než že by se jednalo o revolučně nový přístup. Nicméně kategorizace aktivit v kyberprostoru, a analýza státem sponzorovaných nebo přímo vojenských aktivit, v první řadě vnáší do celé debaty výrazně lepší orientaci. Aktivní prvek ve smyslu, že obrana nesestává pouze z nainstalování firewallu, ale je nutné se aktivně na obraně podílet, však svého smyslu nabývá zcela zřetelně i s rostoucí sofistikovaností útoků.

Velmi důležitá je problematika norem v kyberprostoru. Profesor Cornish během půlhodiny de facto pouze shrnul asi tři stovky otázek, které se v této problematice rozvíjejí v rámci mezinárodní expertní skupiny ustanovené právě za účelem studia dynamiky vzniku společenských norem v kyberprostoru a jejich dopadu na jednání všech zúčastněných subjektů. Z takto uvedeného dne velmi trefně vyplývalo, že současný společenskovědní výzkum má v této otázce značné limity.

Je absolutně nad rámec tohoto článku tento úvod byť i jen dostatečně shrnout. Nicméně podstatnou poznámkou v této věci bylo, že ačkoliv si státy tvoří normy vlastního jednání například na půdě OBSE ve Vídni, o čemž jsem zde již publikoval, bylo by naivní si myslet, že tímto způsobem je jakkoliv možné ovlivnit jednání nestátních aktérů, kteří odjakživa ovlivňují podobu kyberprostoru a způsob, jak jej k životu využíváme. Normy je třeba vnímat nejen v duchu norem, které státy sepíší na společnou dohodu, ale i jako normy samovolně vznikající, přesně ty normy, které pro svoji platnost není třeba na jednání dotčených subjektů vymáhat, ale které se v našem jednání nejprve projevily a až posléze jsme je popsali.

Takto vznikající normy na internetu a v našem jednání hrají prim a netýkají se pouze nakupování, ale celé plejády činností lidí, jejich rolí, celých korporací a jejich globálního jednání, nakládání s citlivými údaji na globální úrovni, to zda činnost jinak kriminální a většině tak zapovězená je na internetu snadno vzkvétající s politickými stranami v zádech. Normy (CBMs) z pera OBSE byly beztak primárně o střetu dvou supervelmocí, ale i ideologií, v čele s USA a Ruskem. Nicméně nejen tito, ale i řada ostatních o celkovém významu na mezinárodní stabilitu zřetelně pochybovala.

Je však nepopiratelné, že kdo do budoucna bude tyto normy psát, bude vládnout internetu. K tomu se hned pojí debata, zda lze internet vnímat jako jeden prostor interakce nebo pouze jako vícevrstvé médium, kde může vznikat nekonečně mnoho sociálních prostorů. Takový prostor by pak byl absolutně rezistentní státnímu vlivu. Prostory podobného charakteru vznikají, vytváří si vlastní digitální měny (Bitcoin) a vzhledem k tomu, že taková měna dokázala přežít již řadu velkých problémů, důvěra v ni stále kvete. Z toho plyne, že sociální vrstvy v kybernetickém prostoru si již vytvořily stabilní normativní prostředí, na které se dokážou spolehnout, ve které si vybudovali sdílenou důvěru a které je nezávislé na státní autoritě.

Další zajímavou a podnětnou poznámkou v diskusi o normách byla jistě debata o identitách v kyberprostoru. Vezměme standardní definici norem – standardy vhodného chování v souladu s konkrétní identitou. Vznikem kyberprostoru od počátku jednoznačně s naší osobní identitou přibyla identita digitální. Dnes tato překvapivá debata v dobách vzniku internetu již není kavárenským tématem číslo jedna, začali jsme totiž také díky Facebooku zcela dobrovolně přenášet naši přirozenou identitu do kyberprostoru, namísto hrát role ve jménu identity nové, té digitální.

Toto je podstatný posun, protože lidem je zjevně na překážku hrát v životě více rolí, jejich osobní integritě taková nadbytečná role nepřispívá. To však neznamená, že nejsou situace, kdy se vlastní identity vzdáváme zcela dobrovolně, např. když stahujeme film, rozhodně se pod to na místo stažení nepodepíšeme. Důsledkem takového procesu může být ovlivňování zaběhnutých norem z běžného života zvyklostmi z kyberprostoru, což je proces úplně opačný, než o kterém se doposud kdy debatovalo. Profesor Cornish se tak ptá, zda je vůbec možné, aby vznikla jedna globální identita, která se bude řídit mixem norem napsanými státy a spontánními, které se vyvinou postupnou zkušeností. S velkou pravděpodobností nikoli a tudíž lze jen těžko očekávat, že jednoho dne bude kyberprostor méně chaotický. Zároveň to však znamená, že mohou v tomto smyslu být normativně nepřehledné i naše běžné životy.

V jiné prezentaci pak sociolog Stefan Larson prokázal empirickými daty, že regulace lidského jednání v kyberprostoru (Švédsko přijalo poměrně tvrdý zákon postihující sdílení dat) nevede k omezení kriminálního jednání, ale vede ke zvýšení vůle lidí platit za ilegální nástroje na zajištění anonymity. Zavádění represivních norem se v takovém světle jeví zcela zjevně kontraproduktivně a spontánní normy z kyberprostoru svým dopadem na lidské jednání převládají. Vraťme se k ústřednímu tématu konference. V otázce obrany státu protiútokem byla rozhodně velmi zajímavá analýza tří možných scénářů prof. Schmitta (autora Tallinnského manuálu), ze které stručně řečeno vyplývá, že do budoucna nebudeme pouze řešit problém rozdílu mezi použitím síly a použitím vojenské síly v mezistátních konfliktech, ale rozmnožení výrazně méně závažných mezistátních incidentů, které sice mezinárodní právo porušovat budou, nicméně rozhodně nedosáhnou "míry a efektů" použití síly, natož vojenské síly.

Již delší dobu Thomas Rid z britské King‘s College tvrdí, že budoucnost bude ve jménu vysokého počtu útoků s nižší mírou násilí. Prezentace Michaela Schmitta zde jen potvrzuje, že se s podobnými scénáři počítá i ve světle mezinárodního práva. Schmitt např. nevyloučil možnost použít DDoS útok, jako odpověď obrany státu na pokusy o proniknutí do kritické infrastruktury jiným státem.

Pokud totiž takový protiútok dosáhne zastavení snahy tohoto jiného státu o proniknutí, jedná se o odpovídající opatření v sebeobraně v duchu článku 51 Charty OSN. Dle mého je to poměrně velký průlom, i když Schmitt bude vždy tvrdit, že právo je právo a tudíž právní norma je právní norma, o které není třeba debatovat v politologických klubech, protože prostě je, jedná se o podstatný posun v tom, co stát v kyberprostoru může ve jménu své obrany dělat. Navíc si nejsem úplně jist, zda dostatečně silný DDoS útok dokáže stát vykonat za použití vlastního generátoru DDoS v rukou armády namísto statisíců počítačů koupených na černém trhu, popřípadě pod kontrolou armádou bez vědomí jejich uživatelů. Takové jednání by rozhodně veřejnost nepřijala s nadšením, nicméně jej můžeme s naprostou jistotou očekávat, minimálně na dobrovolné bázi. Této otázce se Schmitt vyhnul s tím, že se akorát pokoušíme rozebrat použitý scénář.

V praxi taková otázka ale bude podstatná, i když ve strategickém uvažování státu během klíčové obrany pochopitelně okrajová. Absence násilí do norem strategického uvažování státu ve jménu vlastní sebeobrany vnáší úplně nový prvek, který mezinárodní právo v současném momentě do takového detailu neřeší, i přesto, že jako celek i v takových případech aplikovatelné je.

Všeobecně zastávám názor, že k nové problematice, jakou je kybernetická bezpečnost se všemi jejími novostmi, je třeba přistupovat právě z perspektivy oné prázdnoty vyplývající z neznámého prostředí tvořeného těmito novostmi a nikoli aplikací konzervativních vojenských doktrín, které v kontextu celé řady charakteristik kyberprostoru vytvářejí zavádějící představy. Nicméně na konferenci bylo možné shlédnout několik velmi zajímavých prezentací, které naopak potvrdily, jak se současné strategické uvažování v kontextu novosti kyberprostoru značně posunulo. Současná krize na Ukrajině tomu rozhodně pomohla. Katastrofické scénáře o Pearl Harboru v kyberprostoru se sice až na jednu výjimku neodehrávaly, ale představa, že s konvenční válkou je možné vést celé spektrum operací zasahujících zcela výrazně naše životy, je již viditelnou realitou.

Rozhodně jsou příležitostí, kterou v případě konvenčního obsazování cizího území případný útočník neopomine použít a představu o tabu, že cizí území se neanektuje, dnes nikdo neobhájí. Kybernetické útoky vedené na infrastrukturu spojující hlavní město komunikačně od regionů, na vodní zdroje, které v jednom okamžiku způsobí hygienickou katastrofu a chaos v miliónovém městě, na energetickou infrastrukturu, která přes noc zvýší ve městě kriminalitu o stovky procent, nejsou ničím složitým. Armáda, ať už jakákoliv, vždy do takového prostředí vstoupí jako zachránce. Kybernetické útoky samy o sobě sice nemusí dávat strategický smysl, ve světle vojenské anexe Krymu však jako klíčový strategický doplněk smysl dávají zcela zřetelně. Konference pořádaná v estonském Tallinnu vážnost takového scénáře jen podtrhuje. Vojenské strategické uvažování nesoustředící se pouze na obranu v případě podobného útoku, ale i bleskurychlé zajištění dočasných služeb a rychlé znovuobnovení všech dodávek po útoku, je zde naprosto na místě. Strategické (na úrovni celé země), operační (na úrovni města) či taktické (na úrovni např. konkrétní čističky vody) plánování kybernetického útoku a celé řady scénářů jsou naprostou nutností pro každý moderní stát.

Aktivní kybernetická obrana v tomto světle není o konkrétní jinak se vymykající strategii, není ověnčená řadou pseudo-aktivních nástrojů, je zcela vyrovnaným a střízlivým alarmem, že moderní společnost nemůže žít v předpokladu věčného míru, ale musí uvažovat z perspektivy zranitelností své komplexní společnosti. Terorismus, ať už státem podporovaný nebo v rukou nestátního aktéra, přes všechny stovky svých definic má vždy jednu podstatnou komponentu - jeho cílem je šíření strachu mezi obyvatelstvem. Vysazení základních služeb z provozu během dvou dní způsobí v jakémkoliv větším městě chaos a může způsobit oslabení respektu k vládě.

Jako strategická výhoda, naprosto perfektní příležitost. V této věci se na konferenci objevil nový termín – mentální odolnost (mental resilience). V evropské strategii kybernetické bezpečnosti se termín odolnost používá v kontextu odolné kritické infrastruktury, která by měla případný útok ustát a pokud vypadne z provozu, měla by obnova jejího provozu být co nejrychlejší (recovery from attack). Mentální odolnost však poukazuje na dvě potenciální hrozby, které se tolik v debatě o kybernetické bezpečnosti neřeší.

První se týká odolnosti vůči panice vyplývající právě z výpadku běžných infrastrukturních služeb. Paniku obdobného charakteru mají ve svých krizových plánech pochopitelně všechny složky integrované pomoci, jejich propojování do scénářů není tolik běžné a důraz na zvyšování mentální odolnosti od dob vyřazení plynových masek na školách je nulový. Druhá hrozba pokoušející naši mentální odolnost je o poznání novějšího charakteru. Jedná se o schopnost rozlišovat mezi spolehlivými a manipulativními informacemi, s čímž se pojí i schopnost kriticky uvažovat. V prvních reflexích při masivním používání internetu se jednalo čistě o explozi množství textů, dnes se jedná o regulérní vojenské informační operace.

Poměrně velkou část konference se téma informačních operací diskutovalo z celé řady perspektiv. Mezinárodní právo intervenci do jiného státu formou záměrného zanášení masivního množství mystifikačních informací subversivně podlamujících jednotné vědomí společnosti nevnímá jako použití síly. Vměšování do státní suverenity je v tomto smyslu diskutabilní a problém přisouzení (attribution problem) vše s přehledem staví do patové situace.

Že jsme svědky precizně koordinované kampaně na východě Ukrajiny již dnes není pochyb a oba baltské CERTy (Estonsko a Litva mají signifikantní ruskou minoritu) mi během osobních debat potvrdily, že subversivní aktivita na jejich nejrozšířenějších zpravodajských portálech se od anexe Krymu možná i zdesetinásobila. Možná až stovky najatých lidí záměrně zanáší do diskusí podvratné protivládní, lživé a nenávistné komentáře, které sice nemají přímý dopad, jako by měl kybernetický útok na kritickou infrastrukturu, ale mají dlouhodobý, tichý, nenápadný, plížící se efekt na mentální odolnost jejich národa, na důvěru v jejich demokratický systém. Připomeňme, že v Estonsku žije 800 tisíc Estonců a 300 tisíc Rusů, v Lotyšsku je poměr obdobný, navíc Lotyši poslední roky emigrují do Norska nebo Velké Británie, naopak řada ruské populace imigruje do Litvy. Informační operace tohoto typu se stávají novým strategickým nástrojem vedení nenápadného tlaku (vyvaruji se slova válka), který v kontextu kybernetické bezpečnosti a aktivní obrany státu dostává o poznání novější rozměr, detailněji se o informačních operacích rozepíši v příštím článku.

Na závěr bych si dovolil vzpomenout na pár tisíc let známou radu geniálního stratéga Sun–c‘, která mi vždy přistane na mysli, když zauvažuji o dokonalé podobě války a jakým způsobem se ji novost kybernetického konfliktu přibližuje: "...největším úspěchem je vždy získat nepřítelovu zemi nedotčenou..." a k tomu je třeba trpělivosti a preciznosti, stejně tak nedostatečné bdělosti na straně obrany. I o tom je aktivní kybernetická obrana v moderní době s moderními konflikty a silná integrita společnosti v takové době je stejně důležitá, jako kdykoliv předtím.

Nikola Schmidt
autor působí na Institutu politologických studií Fakulty sociálních věd Univerzity Karlovy