Hrozí nám kybernetická válka?

Vydáno 05.08.2013
V poslední době jsme svědky celé řady incidentů, kterým lze přiřadit jeden zásadní atribut – kybernetický rozměr.  

Kyberútoky jsou novou bezpečnostní výzvou. | foto: NATO Photos

Ať už se jedná o celou plejádu špionážních odhalení, za kterými stojí "nejspíše" Čína, či nedávná odhalení bývalého agenta americké NSA Edwarda Snowdena o špionážních aktivitách USA, nebo o incidenty, jejichž vojenský rozměr je téměř neoddiskutovatelný, jako byl útok virem Stuxnet na jaderné zařízení na obohacování uranu v Íránu. Útok na Estonsko v roce 2007, kdy po dobu vyřazení řady vládních serverů z provozu došlo k dosti zásadnímu znehybnění chodu státní správy, je z vojenského hlediska naopak velmi diskutovatelný.

Nicméně jisté je, že drtivá většina budoucích mezinárodních incidentů, ať už vojenského, nebo špionážního charakteru, bude mít do nějaké míry kybernetický rozměr. Je proto velmi aktuální zabývat se zhodnocením těchto útoků z hlediska mezinárodního práva.

Tím se již několik let intenzivně zabývá skupina světových expertů v čele s Michaelem N. Schmittem pod hlavičkou estonského kybernetického obranného centra excelence NATO CCD COE. Jejím nedávným výstupem je Tallinnský manuál aplikace mezinárodního práva na kybernetickou válku.

Kyberútoky de facto legální

Mezinárodní zvykové právo nechápe smazání nebo modifikaci dat, natož dočasné vyřazení serveru z provozu, jako fyzickou destrukci. K výkladu podobného incidentu neexistuje zatím ani mezinárodní smlouva ani precedentní rozhodnutí mezinárodního soudního tribunálu. V takovém případě je v podstatě možné například vymazat (modifikovat) kritická data v energetické infrastruktuře státu.

Je nutné zdůraznit, že mezinárodní právo nijak nereguluje špionáž, pouze případné dílčí důsledky vyplývající ze špionážní mise. Z výše uvedených příkladů lze tak z hlediska mezinárodního práva zhodnocovat pouze vir Stuxnet nebo případ Estonska z roku 2007. Jedná se ale opravdu o příklady kybernetické války?

V současné době se objevují vášnivé debaty ohledně možnosti eskalace takovýchto de facto dílčích incidentů v neudržitelný válečný konflikt. Je totiž na místě zhodnotit, zda se jedná o kybernetickou válku, nebo např. jen o zanedbatelný incident s kybernetickým atributem. Velká většina autorů se dnes již zdráhá mluvit o čistě kybernetickém konfliktu nebo kyber válce, a to především díky zkušenostem z posledních let v kontextu současného mezinárodního práva.

Vezmeme-li jako příklad zmiňovaný útok na Estonsko v roce 2007, v reakci na něj nebyli spojenci v NATO ochotni uplatnit článek 5 Severoatlantické smlouvy, ve kterém se stanovuje, že útok na jakéhokoliv člena aliance je útokem na všechny. Z toho by pochopitelně měly plynout odpovídající důsledky. Bohužel řada akademiků následně zhodnotila tento incident spíše jako digitální protest, než jako kybernetický konflikt. Dle všeho měli nejspíše pravdu. Nedošlo k žádnému usmrcení, destrukci, újmě na zdraví nebo škodě na majetku, nejedná se tedy o použití síly, jak bude popsáno dále. Rozhodnutí neuplatnit článek 5 tak bylo tedy v kontextu své doby na místě. Estonsko však tvrdě protestovalo, jejich stát takový čin velmi vážně ohrozil.

Přečtěte si na natoaktual.cz související text:

Jedná se o laxnost mezinárodního společenství nebo o hysterickou reakci šokované estonské vlády jak moc mohou banální DDoS útoky ohrozit chod státu? (DDoS útok přehlcuje kapacitu serveru a tím znemožňuje jeho běžný chod, nástroje na realizaci DDoS nebo DoS útoků – distributed denial of service – lze volně zakoupit na internetu i jen za desítky dolarů.) Jedná se o použití síly a tedy o válečnou operaci?

Dilemat je hned několik. Prvním z nich je fakt, že mezinárodní zvykové právo nechápe smazání nebo modifikaci dat, natož dočasné vyřazení serveru z provozu, jako fyzickou destrukci. K výkladu podobného incidentu neexistuje zatím ani mezinárodní smlouva ani precedentní rozhodnutí mezinárodního soudního tribunálu. V takovém případě je v podstatě možné například vymazat (modifikovat) kritická data v energetické infrastruktuře státu, řekněme, z řídících systémů této energetické sítě, nebo lépe umístit takzvanou logickou bombu, která to udělá až za několik let, a vypnout tak v celé oblasti elektrický proud.

Pokud není prokázán jednoznačný záměr, jen těžko se bude klasifikovat daná situace jako použití síly nebo hrozba silou ve smyslu článku 2(4) Charty OSN i přesto, že důsledky mohou být katastrofální. Použití síly, tak jak je zmiňováno v tomto článku, totiž nemá žádnou autoritativní definici: "Všichni členové se vystříhají ve svých mezinárodních stycích hrozby silou nebo použití síly jak proti územní celistvosti nebo politické nezávislosti kteréhokoli státu, tak jakýmkoli jiným způsobem neslučitelným s cíli Organizace spojených národů."

Příklad s logickou bombou žádné přímé důsledky nezpůsobuje, hrozba logické bomby je latentní a schopnost takto fungovat může mít každé druhé síťové zařízení. Přesto si stát s podobně infikovanou infrastrukturou může nastalou situaci uvědomovat a cítit se vážně ohrožen. Jinak by se ovšem na incident nahlíželo v případě, že by došlo k aktivaci logické bomby s přímými důsledky na fyzickou infrastrukturu v podobě fyzické destrukce (nikoli smazání dat).

Musel by být dokázán původní záměr – fyzická destrukce – a je-li logická bomba součástí existujících elektronických zařízení již při výrobě v důsledku chyby nebo prostě jen díky komplexnosti celého zařízení, což se děje, záměr lze jen těžko dokázat. Smazání a modifikace dat lze za použití síly považovat tehdy, je-li záměr i důsledek zcela jednoznačně v souvislosti. To princip logické bomby pochopitelně komplikuje. Můžeme si tak být jisti, že celý kyberprostor se bude v nejbližší době jen plnit podobnými spícími hrozbami, které mohou do fyzického světa vyústit až v budoucnu, protože je lze za použití síly ve smyslu článku 2(4) Charty OSN považovat jen těžko.

Druhé, velmi často zmiňované dilema, je skoro nulová možnost přisoudit obdobné činy konkrétnímu státu. Lze totiž jen těžko vystopovat konkrétního útočníka bez precizní spolupráce státu, na jehož teritoriu se útočník nachází. Tuto zkušenost má sama Česká republika po útocích na zpravodajské servery a telekomunikační operátory letos v březnu (ruský poskytovatel připojení k Internetu odmítl poskytnout detailní informace). Zároveň je těžké takový útok přisoudit konkrétnímu státu jako aktérovi, aby se dalo říci, že byl zmiňovaný článek Charty OSN porušen. Článek 2(4) se týká států, nikoli nestátních aktérů, jednotlivců.

Použití síly v kyberprostoru, nebo lépe řečeno použití síly za pomoci kybernetických nástrojů, tedy kódu, de facto textu, je velmi komplikované dilema. Experti, kteří napsali zmiňovaný Tallinnský manuál, jej psali co nejkonzervativněji s ohledem na současné vnímání hrozeb vyplývajících z kybernetického prostoru. Došli k několika závěrům. Za prvé je nutné pro takové evidentní zhodnocení mít důkaz o usmrcení, destrukci, újmě na zdraví nebo škodě na majetku nebo konat tak, že je prokazatelná souvislost mezi konáním a takovými důsledky. Tyto důsledky jsou však opět ve fyzickém světě, ačkoliv jim předchází záměrná aplikace škodlivého kódu v kyberprostoru.

Za druhé musí být zřejmá spojitost mezi těmito důsledky a kybernetickým incidentem, tedy zřetelný záměr. Za třetí musí takový incident dosáhnout odpovídajících "rozměrů a efektů," které jsou obdobné v konvenční vojenské operaci. Za čtvrté je nutné, aby takový incident byl přisouditelný konkrétnímu státu. Manuál tedy vůbec neřeší škodu, kterou může incident způsobit na datech, tedy přímo v kyberprostoru. Dokázat, že ztráta dat může mít dopad na fyzický svět a že to útočník udělal právě s tímto záměrem, je velmi komplikované, i když takový dopad obecně manuál připouští.

Svázání kyberprostoru

Je naprosto zásadní, aby bylo mezinárodní právo odpovídajícím způsobem rozvinuto o kyberprostor samotný, neboť aplikace na konflikty s kybernetickým rozměrem jsou nedostačující a současně pro chod státu jsou digitálně uložená data čím dál důležitější.

Je neoddiskutovatelné, že vir Stuxnet fyzicky zlikvidoval na tisíc centrifug na obohacování uranu v jednom konkrétním jaderném zařízení a i přesto experti došli k závěru, že doposud žádný incident nedosáhl takových rozměrů a efektů, aby byl hodnocen jako použití síly dle zmiňovaného článku 2(4) Charty OSN. Odborníci z celého světa se všeobecně shodli, že bez podpory velmi silného státu by se solitér k tak sofistikovanému útoku jen těžko dopracoval. Za útokem tedy skoro jistě stojí stát. Mimo jiné v kódu Stuxnetu je část Starého Zákona, jinými slovy – někdo se pod něj nepřímo podepsal. K použití síly v tomto případě tedy s jistotou došlo a o válečnou operaci se tak jednalo.

Na celé řadě dnes již velmi dobře známých incidentů je zřejmé, že státy používají a budou aktivně používat kybernetické prostředky k získávání výhod jeden proti druhému. Stuxnet tento trend dokládá přímo v kontextu případné války s kybernetickými atributy. Budoucí válka ale bude mít daleko menší dopad na fyzický svět, než jak jsme ji znali z hrůz poloviny 20. století, což nevylučuje, že případná eskalace nemůže např. za pomocí časovaných logických bomb naši civilizaci dovézt k totálnímu armageddonu. Je naprosto zásadní, aby bylo mezinárodní právo odpovídajícím způsobem rozvinuto o kyberprostor samotný, neboť aplikace na konflikty s kybernetickým rozměrem jsou nedostačující a současně pro chod státu jsou digitálně uložená data čím dál důležitější.

Další text Nikoly Schmidta pro natoaktual.cz:

Chceme-li předejít mezinárodním nedorozuměním, což bylo vždycky základním posláním mezinárodního práva, bude potřeba nejen jistá imaginace budoucích událostí, ale i zkušenost z již doložených kybernetických konfliktů a jejich zhodnocení. Delegace jednotlivých států mají nyní velkou šanci s tímto problémem postoupit na zasedání OBSE ve Vídni, kde se volně řečeno buduje základ mezinárodního režimu v kyberprostoru. Je nutné kybernetické válce a její eskalaci do fyzického světa předejít a toho lze dosáhnout tím, že, kromě jiného, státy jasně vydefinují, nebo alespoň částečně popíšou, co je a co není použití síly v kyberprostoru a co je vlastně kyberprostor.

Práce je to sisyfovská, ale je nadmíru důležité udržet bezpečný Internet a jím získané svobodné právo na informace v současné podobě pro veřejnost a zároveň zamezit jeho zneužití, které by mohlo mít nedozírné následky pro světovou stabilitu.

Nikola Schmidt
autor je doktorandem na Institutu politologických studií Fakulty sociálních věd Univerzity Karlovy

natoaktual.cz