natoaktual.cz

Summit NATO 2023

Speciální příloha
k summitu ve Vilniusu

  • natoaktual.cz
  • Zpravodajství
  • Informační centrum o NATO
  • nato.idnes.cz

  • První kroky ke vzniku mezinárodního kybernetického bezpečnostního režimu

    2. září 2013  12:00
    V posledních letech jsme svědky zvyšujícího se zájmu o kybernetickou bezpečnost v podstatě ve všech odvětvích technologické infrastruktury, na kterých je naše moderní společnost stále více závislá. Ať už se jedná o bezpečnost kritické infrastruktury, což je termín, který vznikl právě v důsledku snahy definovat systémy kritické pro chod státu, nebo zabezpečení domácích počítačů, které mohou být nenápadným nástrojem útoku, jsou-li ovládány na dálku a v množství statisíců počítačů naráz.  

    Kyberútoky jsou novou bezpečnostní výzvou. | foto: NATO Photos

    Není tomu tak dávno, kdy byly běžné stroje, jako je městská tramvaj nebo vlak, řízeny mechanicky primitivními ovládacími prvky. Dnes jsou tyto stroje skoro autonomní a prošpikované výpočetní technikou. Pokud by byly například bezpečnostní systémy řízení rychlosti vlaku infikovány malwarem (malicious software – škodlivý kód), který by strojvedoucím znemožnil vlak ovládat, neexistuje dnes zpravidla jednoduché řešení, jak vlak zastavit. Malware může být tak šikovně napsán, že by si strojvedoucí ani nemuseli všimnout, že vlak neovládají oni, ale právě onen malware, který ve vhodnou chvíli vlak vpustí do zatáčky v příliš velké rychlosti. V té chvíli by nebyla k ničemu ani jednoduchá mechanická brzda protože by ji strojvůdci nestihli použít.

    Připomeňme, že v roce 2010 došlo k útoku na jaderné zařízení v Iránu virem Stuxnet a svět pochopil, že podobné spekulace lze naplnit. Stuxnet zlikvidoval přes tisíc centrifug na obohacování uranu přímo uvnitř precizně bezpečnostně střeženého jaderného zařízení natolik sofistikovanou metodou, že celý svět zůstal stát v šoku. Industriální řídící systémy SCADA (supervisory control and data acquisition) jsou většinou od internetu striktně oddělené, ale ač se to může zdát nepochopitelné, bylo nutné aktualizovat Windows, které SCADA systémy řídily, a díky tomu operátoři přenesli vir na USB klíčence. Stojí za povšimnutí, že během tohoto útoku, ale i během izraelské operace Orchard, tedy náletu izraelského letectva na domnělý syrský jaderný reaktor v roce 2007, neměli operátoři o tom, co se děje, ani potuchy. V případě viru Stuxnet všechny centrifugy vykazovaly běžný provoz, během operace Orchard syrská protiletadlová obrana neviděla jedinou stíhačku. Podoba kybernetické války tedy bude mít do budoucna zcela jistě velmi tichý a nenápadný charakter, ačkoliv bude s chirurgickou přesností cílit na nepřátelské cíle i za doprovodu konvenčních zbraní.

    Výše uvedená spekulace teroristického charakteru i následně uvedené dva příklady čistě vojenského charakteru jsou jedněmi z klíčových momentů, které státy přesvědčily zasednout k jednacímu stolu a dohodnout se, jaká forma mezinárodního režimu z bezpečnostního hlediska by byla pro všechny výhodná. V praxi se však ukazuje, že vybudování kybernetického bezpečnostního režimu bude nadmíru problematický úkol, a to hned kvůli celé řadě sporných bodů.

    Problém přisouzení v kyberprostoru (attribution problem)

    Tím naprosto nejzásadnějším problémem je fakt, že celý internet stojí na protokolu IPv4, jehož první popis se datuje do roku 1981. Cílem tohoto protokolu bylo ve své době primárně co nejvíce zjednodušit komunikaci mezi síťovými prvky. Díky jeho jednoduchosti došlo k masivnímu rozšíření internetu, ale bezpečnost takové formy komunikace byla pochopitelně až poslední otázkou, tvůrci byli motivováni hlavně jeho funkčností. Dnes díky IPv4 neexistuje možnost jasně identifikovat uživatele před obrazovkou, a toho státy pochopitelně využívají. Žádný kybernetický útok nebyl doposud věrohodně přisouzen konkrétnímu státu. Do Stuxnetu někdo trefně vložil část textu Starého zákona, čímž jasně poukázal na spojitost s judaismem a křesťanstvím, které symbolicky spojují Izrael a USA. Takové vodítko však stále nestačí k identifikování útočníka. V případě útoků na bázi DoS (Denial of Service), které zahlcují cílený server masou drobných nevýznamných dotazů, jsou útočnými stroji často jen mobilní telefony v našich kapsách. Těžko pak určit zda je útočníkem stát nebo všechny státy, kde se mobilní telefony právě vyskytovaly.

    Špionáž dle libosti

    Krádež klasifikovaných dat, a příkladů je již nepočitatelně, se považuje za kybernetickou špionáž, a protože žádnou špionáž mezinárodní právo nijak nereguluje, není možné ji postihovat. Pokud však operace s daty má mimo jiné za důsledek jejich smazání, nemělo by se jednat o špionáž, nýbrž o čistou destrukci.

    Jakým způsobem by státy chtěly dosáhnout dohody o neútočení v kyberprostoru nebo za pomocí kybernetizovaných útoků z kyberprostoru, když odmítají mít na "válečné lodi" vlajku? Vstupujeme do doby, kdy mezinárodní právo jednoduše nestačí pouze aplikovat na kybernetickou válku, je nutné vytvořit právo nové, a to formou intenzivní mezinárodní diskuse, jež povede k lepší definici kyberprostoru, kybernetické války nebo kybernetizovaného útoku. Výbornou práci odvedli experti z estonského centra výjimečnosti (Centre of Excellence), když letos na jaře vydali Tallinnský manuál aplikace mezinárodního práva na kyber válku. Tento manuál se snaží interpretovat současné mezinárodní právo ius ad bellum i humanitární právo ius in bello v kontextu kybernetické války, vhodnější by bylo užívat termín kybernetizované války, neboť střet v samotném kyberprostoru de facto žádné současné mezinárodní právo neřeší. A to je ten nejzásadnější problém.

    Krádež klasifikovaných dat, a příkladů je již nepočitatelně, se považuje za kybernetickou špionáž, a protože žádnou špionáž mezinárodní právo nijak nereguluje, není možné ji postihovat. Pokud však operace s daty má mimo jiné za důsledek jejich smazání, nemělo by se jednat o špionáž, nýbrž o čistou destrukci. Státy se však stále zdráhají na aktivity na síti takto nahlížet, možná i proto, že by díky podobnému nahlížení mohlo dojít k eskalaci konfliktu. Tallinnský manuál nabízí jen částečné řešení, a to v případě, že takový útok má jasný přesah do fyzického světa. V takovém případě je možné jej z hlediska současného mezinárodního práva nahlížet.

    Připomeňme, že masivní blackout v roce 2003 na východním pobřeží USA byl dost možná kybernetický útok. V každém případě je zřejmé, že víc jak sto lidí v přímém důsledku tohoto výpadku proudu přišlo o život. Nepotvrdilo se kdo (nebo jaký stát) stál za tvorbou viru, který mohl způsobit kaskádový výpadek proudu. Také se nepotvrdilo, zda tato infekce přímo výpadek způsobila. Jedná se o čisté spekulace. Nicméně taková spekulace by dnes vedla k tomu, jak by se na podobný útok z hlediska mezinárodního práva nejspíše nahlíželo a Stuxnet žádná spekulace není. Tallinnský manuál tuto i jiné proběhnuvší události vyřešil velmi obezřetně. Experti se totiž shodli, že žádný doposud odhalený kybernetický útok nedosáhl takových "rozměrů a efektů", aby jej bylo možné považovat za použití síly dle článku 2(4) Charty OSN.

    Zhodnocení tedy bude na straně budoucích expertů, a aby toho pro těžkost zajištění budoucího mírového užití internetu nebylo málo, Rusko se vyjádřilo k tvorbě Tallinnského manuálu velmi kriticky, a to konstatováním, že manuál neřeší, ale legitimizuje kybernetickou válku. Takové konstatovaní je logicky nesmyslné, neboť manuál pouze interpretuje současné mezinárodní právo tak, aby těžko uchopitelné kybernetické útoky dostaly alespoň částečný rámec jednotné perspektivy, ze které je lze nahlížet. Rusko tím však vysílá jasný signál, že nemá zájem problém kybernetických incidentů uzavírat do právního rámce.

    Různé perspektivy vnímání bezpečnosti

    Státy mají přirozeně různé perspektivy nahlížení celého problému potenciálního kybernetického mezinárodního konfliktu a jeho předcházení. Západní státy obecně prosazují ve svých strategických konceptech tzv. víceúrovňové podílnictví na chodu internetu (např. v EU Cyber Security Strategy nebo v USA International Strategy for Cyberspace), tedy spíše prohloubení současného stavu, kdy existuje celá řada autorit zajišťujících bezproblémový chod internetu, například distribuci doménových jmen, IP adres apod.

    Rusko a Čína vidí v současné podobě internetu jednak hrozbu z nenápadně probíhající intervence západních zemí do jejich systémů, ale i hrozbu vnitřní, tedy ze strany kriminálníků a disidentů, kteří by mohli ohrozit existenci jejich mocenských struktur. Tento strach Ruska je hmatatelný při vyjednávání tzv. CBMs (Confidential Buidling Measures) v OBSE ve Vídni. Státy zde hledají možnosti, jakým způsobem budou na poli kybernetické obrany či bezpečnosti spolupracovat. Rusko nezná termín "cyber security" a urputně se jej snaží nahradit termínem "information security" v kontextu "national information space", ačkoliv i sémantický význam obou termínů je značně rozdílný. Na druhou stranu perfektně poukazuje na propastný rozdíl mezi vnímáním bezpečnosti jako takové.

    V Rusku totiž v minulém roce vešel v platnost zákon, zajišťující vnitřní zpravodajské službě FSB možnost detailně zkoumat tok dat napříč ruskými sítěmi tzv. technologií DPI (Deep Packet Inspection). A tak se může stát, že váš Skype hovor do Německa bude z důvodů přetížení linek přesměrován přes Rusko, které jej rozklíčuje. Budoucnost podobných opatření může vést k teritoriálnímu rozparcelování internetu, což odporuje strategickým zájmům Západu. To vše může nastat jako nezamýšlený důsledek bránění se podobným praktikám států, které vidí internet více jako nástroj udržení si své moci, nežli otevřené médium pro volnou komunikaci. To by měl být alarmující scénář.

    Informační vs. kybernetická bezpečnost

    Nechá-li se reprezentace západních států přesvědčit argumenty Ruské federace o nutnosti kontrolovat informace na internetu za účelem potlačení neustále se zvyšující mezinárodní kriminality a necháme-li Rusko zavádět do diskurzu termíny poukazující na informační namísto kybernetické bezpečnosti, pak si můžeme být jisti, že tak akceptujeme vnímání bezpečnosti nikoli z hlediska možných mezinárodních útoků, ale z hlediska informací, které se na internetu vyskytují. Jedná se o naprosto zásadní precedens, který do mezinárodního diskurzu zavádí termíny, již do problému mezinárodního kybernetického konfliktu vůbec nepatří.

    Tvorba CBMs je naprosto zásadní i přes možné pochyby řady politiků a odborníků. Není důležité, jaký politický dopad bude smlouva z půdy OBSE mít, zásadní je, jak se o daných problémech hovoří. Filosofové Foucault a Derrida byli u zrodu poststrukturalismu, teoretického směru myšlení, které klade důraz na interpretaci slov a jejich význam v kontextu širšího diskurzu, tedy že významy se mění s každým čtenářem nebo širší interpretací.

    Pokud aplikujeme tento teoretický rámec na dění v OBSE, dojdeme ke zjištění, že nechá-li se reprezentace západních států přesvědčit argumenty Ruské federace o nutnosti kontrolovat informace na internetu za účelem potlačení neustále se zvyšující mezinárodní kriminality a necháme-li Rusko zavádět do diskurzu termíny poukazující na informační, namísto kybernetické bezpečnosti, pak akceptujeme vnímání bezpečnosti z hlediska informací, které se na internetu vyskytují. To by znamenalo zásadní precedens, který do mezinárodního diskurzu zavádí termíny, již do problému mezinárodního kybernetického konfliktu vůbec nepatří.

    Související text Nikoly Schmidta pro natoaktual.cz:

    V současné době není stále jasná celá řada definic kybernetické problematiky. První kroky v jejich konceptualizaci a tedy širší interpretaci jsou klíčové pro budoucí vývoj a vznik mezinárodního režimu. Nejedná se pouze o definici kyberprostoru jako takového, což je výzva přinejmenším sisyfovská, ale i o termíny, kterým se podobná konceptualizace utváří. Přistoupení na diskurz o informační bezpečnosti zakládá do budoucna východisko pro větší vliv autoritativních států, namísto toho, aby se řešil podstatný problém přisouzení. Neřeší tak vůbec riziko eskalace mezinárodního konfliktu v kyberprostoru (kritická krádež, smazání nebo modifikace dat) nebo z kyberprostoru (útok obdobný Stuxnetu s jasným dopadem na fyzický svět), zároveň každý rozvinutý stát nyní buduje ofenzivní kybernetické kapacity.

    Neregulování mezinárodního dění je předpokladem k budoucím problémům a ačkoliv si to všichni uvědomují, sklouzává se k řešení kybernetické kriminality nebo se ustupuje autoritativním státům, jejichž cílem je především zachování současných mocenských struktur. Tallinnský manuál je dobrým krokem ke vzniku budoucího kybernetického režimu, ale i jeho samotní autoři se při osobních setkáních netají tím, že bez regulace kyberprostoru mezinárodním právem, které by reflektovalo manipulaci kritických dat jako použití síly dle článku 2(4) Charty OSN, současnou problematickou situaci nevyřešíme.

    Nikola Schmidt
    autor je analytikem kybernetické bezpečnosti na Ministerstvu obrany a doktorandem na Institutu politologických studií Fakulty sociálních věd Univerzity Karlovy

    natoaktual.cz

    Barista i záchranář u kanónu

    Říjen 2019

    Poprvé v historii nechala armáda záložáky pálit z kanónů ostrými

    Dny NATO v Ostravě

    Září 2019

    Dny NATO navštívilo 220 tisíc lidí, ukázaly i nové vrtulníky pro armádu.

    Továrna na instruktory

    Červenec 2019

    Britský poradní tým s pomocí Čechů vyškolil už přes 9 500 vojenských instruktorů.

    Mraky prachu, vedro a léčky

    Červen 2019

    Jak vypadá příprava českých vojáků na misi v africkém Mali.

    Partneři portálu

    NATO PDD iDnes.cz Newton Media