Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Když vypukne kyberválka, bude se střílet i do civilistů

aktualizováno 
Civilní kyberútočník se může stát vojenským cílem. Pokud ohrozil majetek či životy, nevztahuje se na něj ochrana civilistů. Shodli se na tom po třech letech experti na mezinárodní právo NATO. Příručka "Tallinnský manuál" radí, jak právně řešit válku v kyberprostoru. Do značné míry vychází z otázek, které se řešily už kvůli atomové bombě.

Hacker může být za určitých okolností vojenským cílem | foto: Profimedia.cz

Tallinnský manuál

Příručku "mezinárodního práva aplikovatelného na kyberválku" sestavil panel dvaceti nezávislých odborníků pro organizaci NATO. Kniha není oficiálním vyjádřením stanoviska Severoatlantické aliance, je ale vypovídající sondou do současného pohledu na tento nový typ války.

Talinský manuál, NATO CCD-COE, 2013

Tallinnský manuál, NATO CCD-COE, 2013

Je váš počítač zapleten do útoku na cizí stát? Účastníte se DDoS útoku na vojenskou infrastrukturu? Děláte to vědomě, nebo to tak může vypadat? V tom případě přestáváte být nedotknutelným civilistou a stáváte se regulérním vojenským cílem. Zdaleka totiž neplatí, že svět jedniček a nul nemá přesah do světa kulometů a řízených střel. Jak ale zabránit tomu, aby skupinka hackerů rozpoutala mezinárodní konflikt?

Kyberválka, tedy válka vedená prostřednictvím počítačových sítí, už dávno nepatří jen do sci-fi. Spojené státy i NATO se na ni pečlivě připravují, a to jak prakticky, tak i teoreticky. Nejnovějším příspěvkem do kontroverzní debaty o tom, co je v takovém novodobém konfliktu dovoleno, je tzv. Tallinnský manuál. Spolu s názorem zástupce amerického Ministerstva obrany na válku kyberprostoru jde o nejvýznamnější dokument mapující pohled mezinárodního práva na nový typ války.

Kyberválka je nová, ale vztahuje se na ni to, co už známe

Téma počítačové války je relativně nové, a zdaleka ne na všech postupech se experti shodují. Jsou ale zajedno v tom, že kyberprostor rozhodně není nějaká zóna bez pravidel, kde je vše dovoleno. Platí zde principy mezinárodního práva, a v případě válečného konfliktu se dohody a pravidla vztahují i na počítačové útoky.

Ani definice kyberútoku není jednoznačná, často je použita definice na základě

Ani definice kyberútoku není jednoznačná, často je použita definice na základě způsobené či hrozící škody.

Experti se shodli, že "to, že je útok vedený počítačově, nemá vliv na to, zda je na něj nahlíženo jako na použití síly". S přesnou definicí ovšem byly trochu problémy. Jako "použití síly" ve vojenském slova smyslu je kyberútok považovaný ve chvíli, kdy způsobil ztráty na životech či zdraví, či významné poškození fyzických objektů či infrastruktury. Za "použití síly" by zřejmě nebylo považováno samotné smazání či odcizení dat, pokud by neměly za následek něco z výše uvedeného.

Jak může stát útočit v kyberprostoru?

Za kyberútok lze považovat operaci, která má za následek úmrtí, zranění nebo...

Za kyberútok lze považovat operaci, která má za následek úmrtí, zranění nebo poškození fyzických objektů. Za útok lze někdy považovat i operaci namířenou proti datům či síti, na kterých záleží provoz fyzických objektů.

Panel expertů využil již existující principy mezinárodního práva týkající se jaderných zbraní k tomu, aby zdůraznil, že i zde platí nezbytnost omezit při útoku "zbytečné utrpení". Dále se odpíchl od více než sto let staré Martensovy klauzule, podle které absence přímo aplikovatelných dohod nevytváří bezprávní zónu - stále je nutné řídit se principem humanity a svědomí.

Stát tedy může v kyberválce útočit na počítačové systémy, které jsou označeny jako vojenské cíle. Pokud jde např. o počítačovou síť, která slouží pro civilní i armádní účely, lze ji podle většiny odborníků považovat za cíl vojenský. Jistou výjimku by v tomto případě mohly podle některých zúčastněných představovat např. sociální sítě - i kdyby je armáda využívala k šíření svých zpráv, neospravedlňuje to útok na jejich servery, protože zde není dodržena podmínka adekvátní reakce.

Jsou civilisté chráněni? Ne, pokud se aktivně zapojili

Ochrana civilistů

Červený kříž prosazuje mezinárodní ochranu civilistů ve válečných konfliktech, dohlížel i na jednání o kyberválce

Už od roku 1864, kdy čtrnáct zemí podepsalo První Ženevskou úmluvu, se mezinárodní právo snaží o ochranu lidí zavlečených do válečných konfliktů. Na humanitární ochranu civilistů se pak soustředí Čtvrtá Ženevská úmluva z roku 1949.

Moderní červený kříž byl založen v roce 1919 ve Švýcarsku.

Moderní červený kříž byl založen v roce 1919 ve Švýcarsku.

Ženevské úmluvy vymezují práva civilního obyvatelstva, válečných zajatců, uprchlíků. Staví se například proti náletům a bombardování, které má za cíl zastrašit protivníka a zabíjí kromě příslušníků armády i civilní obyvatelstvo. U jednání o vztahu mezinárodního práva a kyberválky měl Červený kříž svého zástupce-pozorovatele (bez hlasovacího práva).

Manuál zdůrazňuje ochranu civilistů před kyberútoky. Je ale dobré zdůraznit, že útokem se zde rozumí naplněná podmínka zmíněná výše, a sice "škoda na životě, zdraví či fyzická újma na majetku" v důsledku útoku (ať již počítačového, kybernetického, či klasického, kinetického). Zatímco tedy cizí stát nesmí na dálku napadnout např. auto civilisty a tím jej ohrozit, může zřejmě napíchnout jeho počítač, odposlouchávat či vést psychologickou válku (tzv. PSYOP). Stejně tak nemusí stát zvažovat, zda útokem na vojenské cíle nezpůsobí civilistům nepohodlí či stres.

To vše se ovšem týká civilistů, kteří se nepřidali k armádě, ozbrojenému odporu nebo útočící skupině. Hacker, ač civilista, se vzdává práva na ochranu před vojenským útokem nepřátelské strany, pokud se do bojů aktivně zapojí.

Jako zapojení do útoku se přitom počítá i např. DDoS útok vedený proti klíčovým vojenským sítím. Netýká se to naopak programátora, který vyvine software umožňující napadení nepřátelských sítí - teprve použití takového software dává armádě právo na takového programátora zaútočit.

Zajímavé také může být zdůraznění "probíhajícího aktivního zapojení". Pokud někdo zkonstruuje např. odpalovací zařízení pro bombu, takové zařízení předá další skupině, není nadále považován za vojenský cíl, neboť jeho zapojení do útoku tímto skončilo. To samozřejmě neznamená, že by tím končila jeho trestně-právní odpovědnost.

Proč je důležité řešit takové detaily? Státy a armády evidentně chtějí mít jasno v tom, kdy mohou zaútočit na civilistu, aniž by to bylo považováno za válečný zločin. Představa, že náctiletý hacker napadne za války nepřátelskou síť a do několika minut jeho dům zasáhne řízená střela, může být pro mnohé otřesná. Přísně vzato, pokud jsou dodrženy výše uvedené podmínky o adekvátní reakci, ovšem jde o aplikaci uznávaného mezinárodního práva, dokládá manuál.

Hackeři jsou povoleným cílem kyberútoků.

Hackeři jsou povoleným cílem kyberútoků.

Civilisté požívají ochrany, pokud se ovšem přímo nepodílejí na útocích.

Civilisté požívají ochrany, pokud se ovšem přímo nepodílejí na útocích.

Civilisté jsou povoleným cílem pouze po dobu, po kterou jsou do operace...

Civilisté jsou povoleným cílem pouze po dobu, po kterou jsou do operace zapojeni.

Zdroje

USA nesmí strašit 11. zářím v kyberprostoru, vede to ke zbrklosti

Zvláště ošemetnou otázkou je tzv. preventivní útok, tedy snaha předejít kyberútoku vlastním útokem. Experti, kteří se podíleli na Tallinnském manuálu, se shodují, že stát se může kyberútokům bránit ve chvíli, kdy je jisté, že cizí stát jej chce napadnout. Případně alespoň že skupina, která jej chce napadnout, je podporovaná jistým státem. USA se rozchází s panelem expertů v tom, zda je povolený zásah proti cílům, které nejsou vojenské, ale pomáhají "udržovat válku", tedy například ropné rafinérie či elektrárny. Menší shoda také panuje o tom, jak je to se skupinou (např. teroristů), která není přímo podporovaná konkrétním státem - lze i tak rozpoutat válku, podobně, jako tomu bylo v případě reakce na 11. září 2001?

Americký pohled na kyberválku a mezinárodní právo

Shrnutí pohledu amerického ministerstva obrany, jak jej v září 2012 prezentoval Harold Koh.

  1. Je současné mezinárodní právo aplikovatelné v kyberprostoru? Ano.
  2. Je kyberprostor místem, kde je vše dovoleno? Rozhodně ne.
  3. Mohou aktivity v kyberprostoru ospravedlnit ozbrojenou odvetu? Ano, za jistých podmínek je ozbrojená obrana v souladu s článkem 2(4) Charty OSN.
  4. Může stát reagovat na kybernetické napadení tím, že využije práva na obranu státu? Ano, právo státu na obranu, zakotvené v článku 51 Charty OSN, může být vztaženo i na závařný útok. Bílý dům to potvrdil již v roce 2011 v Mezinárodní strategii pro kyberprostor.
  5. Vztahuje se válečné právo (jus in bello) na útok na počítačové sítě? Ano, a také zde platí principy nezbytnosti a proporcionality užití síly.
  6. Musí útoky rozlišovat mezi vojenskými a nevojenskými cíli? Ano, ve válečném právu musí být cílem útoku poškodit vojenský cíl a odlišit tyto od civilních, které jsou před útokem chráněny.
  7. Musí útok odpovídat principu proporcionality? Ano, v kyberválce nesmí útok způsobit ztráty na životech civilistů nebo poškodit civilní majetek způsobem, který neodpovídá dosaženému vojenskému cíli. Stát musí zvážit dopady na civilní obyvatelstvo před provedením útoku.
  8. Jak mají Státy ohodnotit své kybernetické zbraně? Státy by měly provést prověrku svých zbraní a ohodnotit, zda odpovídají mezinárodnímu právu a za jakých okolností.

Nevyřešené nebo sporné otázky se týkají:

  • Jak vzít v potaz všechny nové technologie, které umožňují rychlý útok stisknutím jediného tlačítka a neumožňují tedy rozumnou obranu?
  • Jak se postavit k duálním, tedy vojensko-civilním, cílům?
  • Jak v kyberprostoru jednoznačně určit, kdo za útokem stojí?

Právě před unáhlenými definicemi a horlivou rétorikou varuje Martin Libicki, odborník amerického think tanku RAND. Ve svém vyjádření pro americkou kongresovou komisi (PDF) varoval před unáhlenými reakcemi: "Počítače operují v řádu nanosekund. Ale odvetný útok nebude směřovat na počítače, ale na lidi." Varuje před situací, kdy snaha o rychlou reakci - která je v kyberválce ještě podstatnější, než ve válce studené - povede ke zbrklosti a civilním obětem.

V kombinaci s bezpilotními letadly je totiž ozbrojená odezva skutečně velmi rychlá, mohla by být takřka automatizovaná.  Je tedy potřeba pečlivě zvážit, jaká pravidla si nastaví USA a další státy chystající se na kyberválku. Jinak si lze představit, že partička nezodpovědných hackerů dokáže šikovně nafingovat útok a rozpoutat mezinárodní konflikt v řádu několika dní.

Fotogalerie

"Je potřeba umět ukočírovat eskalaci kybernetického konfliktu," uzavřel Libicki svou řeč. "V kyberprostoru se to, co pachatel dělá, co si myslí, že dělá, a jaké škody si myslí, že způsobuje, nemusí shodovat."

"Mojí starostí je, že až nastane příslovečné 11. září v kyberprostoru, nebudeme připraveni na to zvládnout 12. září s rozvahou," doplnil Libicki. "A pokud si nedáme pozor, mohou být následky naší reakce horší, než útok, na který jsme reagovali."

Autor:




Hlavní zprávy

Další z rubriky

Smajlíky mohou komunikaci zrychlit, ale také způsobit nedorozumění.
Internetový smajlík slaví 35 let. Podívejte se, které kandidáty porazil

Původně měl usměvavý smajlík :-) označovat každou zprávu, která není myšlena vážně, zatímco zamračeným emotikonem :-( měly být označeny ostatní zprávy....  celý článek

Ilustrační foto
Velký únik. Údaje poloviny Američanů jsou zřejmě na prodej

Tento měsíc došlo v USA po napadení společnosti Equifax k úniku soukromých dat až 143 milionů lidí. Není to sice největší únik v dějinách, ale dost možná je...  celý článek

Severní Korea odpálila další mezikontinentální balistickou raketu a uvedla, že...
YouTube zastavil propagandistický kanál Severní Koreje. Analytikům chybí

YouTube se rozhodl zablokovat kanály „Stimmekoreas“ a „Uriminzokkiri”, které sloužily Severní Koreji k šíření propagandy,  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.