Za zajímavou snahu právně svázat kyber-prostor lze považovat dokument Deset pravidel pro kyber-bezpečnost (viz tabulka). Podle vyjádření velitele centra Tamma několik států již těchto deset pravidel přijalo jako manuál jak interpretovat již existující právní koncepty v kyber-prostoru.

Deset pravidel pro kyber-bezpečnost

CCD COE představilo tento dokument jako základní kámen pro utváření uceleného právního rámce v kyber-bezpečnosti. A tak jej musíme i vnímat - jako základ pro další debatu ohledně svázání kyber-prostoru. Přesto lze v dokumentu jasně rozpoznat zkušenosti nabyté z útoků proti Estonsku a dalších podobných incidentů. Ať již je to důraz na odpovědnost každého státu postihovat kyber-zločin na svém území, či nutnost mezinárodní spolupráce. NATO však odkazuje i na výše zmíněné ofenzivní využití internetu za účelem kyber-obrany či na možnou budoucí aktivaci článku č. 5 Washingtonské smlouvy.

Deset pravidel pro kyber-bezpečnost se nezabývá kyber-zločinem nízké úrovně, tedy krádežemi, průmyslovou špionáží apod. Soustředí se na chování států v kyber-prostoru, snaží se najít normy, které by státy měly dodržovat. I když je tento dokument ve své podstatě nezávazný, Aliance jej vnímá jako základ budoucího právního rámce. Lze se však domnívat, že v prosazování mnohých pravidel narazí u některých států na neústupný odpor. Zejména pravidla 2 a 3 budou těžce přijímána státy, jako jsou Čína s Ruskem, které se budou obávat o omezení své suverenity v kyber-prostoru. Pro zajištění bezpečnosti v kyber-prostoru jsou však tyto body naprosto nezbytné, neboť internet je fenomén, který nezná hranic. Jak již zaznělo na příkladu estonských útoků, těžko se domáhat vymáhání práva, pokud se hackeři schovají za jurisdikci státu, který odmítne spolupracovat. Je tak na Alianci, aby svým návrhům nalezla dostatečnou mezinárodní podporu.

Manuál mezinárodního práva uplatnitelného v kyber-válce

Na rok 2012 plánuje CCD COE vydat Manuál mezinárodního práva uplatnitelného v kyber-válce (MILCW), který má být zásadním příspěvkem do diskuze ohledně právních norem a kyber-konfliktu. Předchozích Deset pravidel pro kyber-bezpečnost lze proto vnímat jako jeho předlohu a je pravděpodobné, že se tato pravidla objeví v pozměněné formě i v chystaném dokumentu. Cílem Manuálu však není naleznutí právních norem pro státy v kyber-prostoru, ale poukázání na všechny legální aspekty práva vést v kyber-prostoru válku. MILCW se tak dotkne otázek jako je státní suverenita, odpovědnost, užití síly v reakci na kyber-útok či sebeobrana.

Je těžké podrobit Manuál jakékoliv analýze, když ještě nebyl vydán, avšak již z dostupných dat lze vykreslit alespoň rámcový obraz, jak může finální dokument vypadat. Manuál bude do jisté míry navazovat na Deset pravidel pro kyber-bezpečnost, lze proto očekávat důraz na mezinárodní spolupráci či odpovědnost států při potírání kyber-hrozeb. MILCW však s největší pravděpodobností bude jak manuálem práva v kyber-konfliktu, tak i vojenskou doktrínou NATO pro kyber-prostor. Aliance do dokumentu promítne své pojetí sebeobrany v kyber-prostoru, které se opírá i o možnost provádění ofenzivních operací a reakci silou. Použití síly jako možné reakce na ozbrojený kyber-útok bude jistě vnímáno značně kontroverzně a nutno podotknout, že oprávněně. Díky anonymitě internetu je totiž nemožné s jistotou rozpoznat útočníka a vojenský zákrok je tak legálně i politicky velice těžko obhajitelný.

Pohled do budoucna

NATO se v boji proti kyber-hrozbám nevěnuje pouze vylepšení svých technických schopností ale díky tallinnskému centru kyberobrany se soustředí i na otázku mezinárodní spolupráce a práva. Před NATO však stále leží dva důležité úkoly, jimiž je nalezení konsensu mezi spojenci a ujasnění alianční role v kyber-prostoru.

Členské státy si musí být vědomy efektivity spolupráce na poli kyber-bezpečnosti a měly by k tomuto přistupovat ze strany svých spojeneckých závazků. Je s podivem, že na činnosti CCD COE se nyní podílí pouze 10 členských států NATO. Konsenzus je však třeba prosazovat i formou sjednocení a vyjasnění terminologie. Na mezinárodním poli neexistuje jednotná terminologie kyber-bezpečnosti, avšak zásadní rozdíly panují i mezi spojenci - jako příklad nejednoty terminologie poslouží rozdílné názvosloví mezi Spojenými státy (termín kyber-bezpečnost), Severoatlantickou aliancí (kyber-obrana) a Evropskou unií (síťová a informační bezpečnost). Velitel CCD COE v rozhovoru pro natoaktual.cz uvedl, že debata stále probíhá i nad definicí "kyber-útoku".

Dalším důležitým úkolem je ujasnění cílů NATO na poli kyber-bezpečnosti obecně i při hledání právních norem konkrétně. Přestože NATO na summitu v Bukurešti vyjádřilo svoji vůli pomoci členským státům v případě napadení rozsáhlým kyber-útokem, v letošní Politice kyber-obrany již větší část odpovědnosti přeneslo na členy. To lze jednoznačně vnímat jako správný postup, neboť Aliance se může plně soustředit na ochranu vlastních systémů i systémů nasazovaných v boji. V oblasti práva by se NATO mělo soustředit na nalezení právních norem pro chování států v kyber-prostoru a při kyber-útocích. Aliance samozřejmě potřebuje právní rámec i pro incidenty, které se nachází pod hranicí kyber-konfliktu, výzkum v této oblasti by však měl být delegován na jiné organizace, jako je například agentura OSN pro informační a komunikační technologie ITU či Evropská unie.

NATO se v určení kyber-bezpečnosti jako své priority vydalo tím správným směrem. Pokud mluvíme o asymetrických hrozbách současnosti, žádná z nich nesnese přízvisko "hrozba budoucnosti" více než nebezpečí číhající v kyber-prostoru. I přes všechna možná opatření však stoprocentní bezpečnost v kyber-prostoru není možná. Je proto nutné jít stále dál a hledat nové způsoby jak se na hrozbu kyber-útoku co nejlépe a nejúčinněji připravit. Aliance tak činí hledáním technických řešení, ale i snahou spolupracovat a dát kyber-prostoru nějaký řád, svázat ho do pevného rámce práva.

Martin Doležel
Autor studuje na FSV UK a je stážistou v Informačním centru o NATO