Tallinnský manuálPříručku "mezinárodního práva aplikovatelného na kyberválku" sestavil panel dvaceti nezávislých odborníků pro organizaci NATO. Kniha není oficiálním vyjádřením stanoviska Severoatlantické aliance, je ale vypovídající sondou do současného pohledu na tento nový typ války.  Tallinnský manuál, NATO CCD-COE, 2013 |
Je váš počítač zapleten do útoku na cizí stát? Účastníte se DDoS útoku na vojenskou infrastrukturu? Děláte to vědomě, nebo to tak může vypadat? V tom případě přestáváte být nedotknutelným civilistou a stáváte se regulérním vojenským cílem. Zdaleka totiž neplatí, že svět jedniček a nul nemá přesah do světa kulometů a řízených střel. Jak ale zabránit tomu, aby skupinka hackerů rozpoutala mezinárodní konflikt?
Kyberválka, tedy válka vedená prostřednictvím počítačových sítí, už dávno nepatří jen do sci-fi. Spojené státy i NATO se na ni pečlivě připravují, a to jak prakticky, tak i teoreticky. Nejnovějším příspěvkem do kontroverzní debaty o tom, co je v takovém novodobém konfliktu dovoleno, je tzv. Tallinnský manuál. Spolu s názorem zástupce amerického Ministerstva obrany na válku kyberprostoru jde o nejvýznamnější dokument mapující pohled mezinárodního práva na nový typ války.
Kyberválka je nová, ale vztahuje se na ni to, co už známe
Téma počítačové války je relativně nové, a zdaleka ne na všech postupech se experti shodují. Jsou ale zajedno v tom, že kyberprostor rozhodně není nějaká zóna bez pravidel, kde je vše dovoleno. Platí zde principy mezinárodního práva, a v případě válečného konfliktu se dohody a pravidla vztahují i na počítačové útoky.
Ani definice kyberútoku není jednoznačná, často je použita definice na základě způsobené či hrozící škody.
Experti se shodli, že "to, že je útok vedený počítačově, nemá vliv na to, zda je na něj nahlíženo jako na použití síly". S přesnou definicí ovšem byly trochu problémy. Jako "použití síly" ve vojenském slova smyslu je kyberútok považovaný ve chvíli, kdy způsobil ztráty na životech či zdraví, či významné poškození fyzických objektů či infrastruktury. Za "použití síly" by zřejmě nebylo považováno samotné smazání či odcizení dat, pokud by neměly za následek něco z výše uvedeného.
Jak může stát útočit v kyberprostoru?
Za kyberútok lze považovat operaci, která má za následek úmrtí, zranění nebo poškození fyzických objektů. Za útok lze někdy považovat i operaci namířenou proti datům či síti, na kterých záleží provoz fyzických objektů.
Panel expertů využil již existující principy mezinárodního práva týkající se jaderných zbraní k tomu, aby zdůraznil, že i zde platí nezbytnost omezit při útoku "zbytečné utrpení". Dále se odpíchl od více než sto let staré Martensovy klauzule, podle které absence přímo aplikovatelných dohod nevytváří bezprávní zónu - stále je nutné řídit se principem humanity a svědomí.
Stát tedy může v kyberválce útočit na počítačové systémy, které jsou označeny jako vojenské cíle. Pokud jde např. o počítačovou síť, která slouží pro civilní i armádní účely, lze ji podle většiny odborníků považovat za cíl vojenský. Jistou výjimku by v tomto případě mohly podle některých zúčastněných představovat např. sociální sítě - i kdyby je armáda využívala k šíření svých zpráv, neospravedlňuje to útok na jejich servery, protože zde není dodržena podmínka adekvátní reakce.
Jsou civilisté chráněni? Ne, pokud se aktivně zapojili
Ochrana civilistůČervený kříž prosazuje mezinárodní ochranu civilistů ve válečných konfliktech, dohlížel i na jednání o kyberválce Už od roku 1864, kdy čtrnáct zemí podepsalo První Ženevskou úmluvu, se mezinárodní právo snaží o ochranu lidí zavlečených do válečných konfliktů. Na humanitární ochranu civilistů se pak soustředí Čtvrtá Ženevská úmluva z roku 1949.  Moderní červený kříž byl založen v roce 1919 ve Švýcarsku. Ženevské úmluvy vymezují práva civilního obyvatelstva, válečných zajatců, uprchlíků. Staví se například proti náletům a bombardování, které má za cíl zastrašit protivníka a zabíjí kromě příslušníků armády i civilní obyvatelstvo. U jednání o vztahu mezinárodního práva a kyberválky měl Červený kříž svého zástupce-pozorovatele (bez hlasovacího práva). |
Manuál zdůrazňuje ochranu civilistů před kyberútoky. Je ale dobré zdůraznit, že útokem se zde rozumí naplněná podmínka zmíněná výše, a sice "škoda na životě, zdraví či fyzická újma na majetku" v důsledku útoku (ať již počítačového, kybernetického, či klasického, kinetického). Zatímco tedy cizí stát nesmí na dálku napadnout např. auto civilisty a tím jej ohrozit, může zřejmě napíchnout jeho počítač, odposlouchávat či vést psychologickou válku (tzv. PSYOP). Stejně tak nemusí stát zvažovat, zda útokem na vojenské cíle nezpůsobí civilistům nepohodlí či stres.
To vše se ovšem týká civilistů, kteří se nepřidali k armádě, ozbrojenému odporu nebo útočící skupině. Hacker, ač civilista, se vzdává práva na ochranu před vojenským útokem nepřátelské strany, pokud se do bojů aktivně zapojí.
Jako zapojení do útoku se přitom počítá i např. DDoS útok vedený proti klíčovým vojenským sítím. Netýká se to naopak programátora, který vyvine software umožňující napadení nepřátelských sítí - teprve použití takového software dává armádě právo na takového programátora zaútočit.
Zajímavé také může být zdůraznění "probíhajícího aktivního zapojení". Pokud někdo zkonstruuje např. odpalovací zařízení pro bombu, takové zařízení předá další skupině, není nadále považován za vojenský cíl, neboť jeho zapojení do útoku tímto skončilo. To samozřejmě neznamená, že by tím končila jeho trestně-právní odpovědnost.
Proč je důležité řešit takové detaily? Státy a armády evidentně chtějí mít jasno v tom, kdy mohou zaútočit na civilistu, aniž by to bylo považováno za válečný zločin. Představa, že náctiletý hacker napadne za války nepřátelskou síť a do několika minut jeho dům zasáhne řízená střela, může být pro mnohé otřesná. Přísně vzato, pokud jsou dodrženy výše uvedené podmínky o adekvátní reakci, ovšem jde o aplikaci uznávaného mezinárodního práva, dokládá manuál.
Hackeři jsou povoleným cílem kyberútoků.
Civilisté požívají ochrany, pokud se ovšem přímo nepodílejí na útocích.
Civilisté jsou povoleným cílem pouze po dobu, po kterou jsou do operace zapojeni.
Zdroje
|
USA nesmí strašit 11. zářím v kyberprostoru, vede to ke zbrklosti
Zvláště ošemetnou otázkou je tzv. preventivní útok, tedy snaha předejít kyberútoku vlastním útokem. Experti, kteří se podíleli na Tallinnském manuálu, se shodují, že stát se může kyberútokům bránit ve chvíli, kdy je jisté, že cizí stát jej chce napadnout. Případně alespoň že skupina, která jej chce napadnout, je podporovaná jistým státem. USA se rozchází s panelem expertů v tom, zda je povolený zásah proti cílům, které nejsou vojenské, ale pomáhají "udržovat válku", tedy například ropné rafinérie či elektrárny. Menší shoda také panuje o tom, jak je to se skupinou (např. teroristů), která není přímo podporovaná konkrétním státem - lze i tak rozpoutat válku, podobně, jako tomu bylo v případě reakce na 11. září 2001?
Americký pohled na kyberválku a mezinárodní právoShrnutí pohledu amerického ministerstva obrany, jak jej v září 2012 prezentoval Harold Koh.
Nevyřešené nebo sporné otázky se týkají:
|
Právě před unáhlenými definicemi a horlivou rétorikou varuje Martin Libicki, odborník amerického think tanku RAND. Ve svém vyjádření pro americkou kongresovou komisi (PDF) varoval před unáhlenými reakcemi: "Počítače operují v řádu nanosekund. Ale odvetný útok nebude směřovat na počítače, ale na lidi." Varuje před situací, kdy snaha o rychlou reakci - která je v kyberválce ještě podstatnější, než ve válce studené - povede ke zbrklosti a civilním obětem.
V kombinaci s bezpilotními letadly je totiž ozbrojená odezva skutečně velmi rychlá, mohla by být takřka automatizovaná. Je tedy potřeba pečlivě zvážit, jaká pravidla si nastaví USA a další státy chystající se na kyberválku. Jinak si lze představit, že partička nezodpovědných hackerů dokáže šikovně nafingovat útok a rozpoutat mezinárodní konflikt v řádu několika dní.
"Je potřeba umět ukočírovat eskalaci kybernetického konfliktu," uzavřel Libicki svou řeč. "V kyberprostoru se to, co pachatel dělá, co si myslí, že dělá, a jaké škody si myslí, že způsobuje, nemusí shodovat."
"Mojí starostí je, že až nastane příslovečné 11. září v kyberprostoru, nebudeme připraveni na to zvládnout 12. září s rozvahou," doplnil Libicki. "A pokud si nedáme pozor, mohou být následky naší reakce horší, než útok, na který jsme reagovali."
