Volání po přísnějších pravidlech

Není proto divu, že se objevují hlasy volající po nových normách, které by kybernetickou špionáž „posuzovaly přísněji než tradiční špionáž,“[18] nebo „reinterpretovaly mezinárodní právo tak, aby kybernetickou špionáž zakázalo“.[19]

Kdyby se tak skutečně stalo, provádění kybernetické špionáže by se mohlo stát dostatečným důvodem pro použití ustanovení Charty OSN, konkrétně článku 2 odst. 4,[20] zakazujícího hrozbu síly nebo použití síly ohrožující územní celistvost nebo politickou nezávislost, a článku 51,[21] který pokrývá již zmíněné právo na sebeobranu. Nemluvě o možnosti aplikovat článek 5[22] Washingtonské smlouvy o kolektivní obraně, podle něhož se ozbrojený útok proti jednomu členu považuje za útok proti všem, pokud by daný stát byl součástí Severoatlantické aliance (NATO).

Tyto debaty se doposud vedly převážně v hypotetické rovině. To by se však v následujících měsících a letech mohlo v důsledku (nejen) dvou událostí změnit.

První je odhalení probíhajícího hackerského útoku na společnost SolarWinds a druhou nedávno zveřejněná kauza soukromé izraelské společnosti NSO, která na zakázku provádí sledování osob. Obě události, byť v podstatě odlišné, ukázaly sílu kybernetické špionáže, která je prováděná dlouhodobě, kvalitně a skrytě.

SolarWinds: případ nevídaných rozměrů

Dne 13. prosince 2020 zveřejnila kalifornská soukromá společnost FireEye, věnující se kybernetické bezpečnosti, informace o probíhajícím kybernetickém útoku, jehož byla obětí. Dnes už víme, že útok trval mnoho měsíců a dotkl se na 18 tisíc klientů napadené společnosti SolarWinds, což z něj dělá největší a nejsofistikovanější známý kybernetický útok v historii.[23]

Použitý malware zaútočil na software Orion sloužící ke správě IT zdrojů. Klientům jej distribuovala sama společnost SolarWinds jako součást aktualizace. Jakmile byl malware v systému klienta, 14 dní čekal, aby se vyhnul detekci, a poté začal provádět ukládané úkony. Když byli útočníci v systému hotovi, malware smazali, aby zahladili stopy.[24]

Jakkoli se může kauza SolarWinds zdát jako ‚jen další kybernetický útok‘, je mnohem závažnější a rozsáhlejší. Mezi napadenými klienty bylo i několik vládních subjektů Spojených států amerických, konkrétně Pentagon, tamní Ministerstvo vnitřní bezpečnosti, Ministerstvo zahraničí, Ministerstvo energetiky, Ministerstvo zemědělství, Národní správa jaderného zabezpečení nebo Ministerstvo financí.[25]

Spojené státy v dubnu operaci oficiálně připsaly zpravodajské službě Ruské federace – Službě vnější rozvědky (SVR).[26] Rusko obvinění sice popřelo, USA přesto reagovaly: ze země bylo vypovězeno deset ruských diplomatů a asi 30 subjektů skončilo na černé listině jako forma sankce.[27]

I tak ale podstata operace, stejně jako množství získaných dat, zůstávají neznámé. Není jisté, zda se jednalo o politickou nebo o ekonomickou kybernetickou špionáž, jak dlouho útočníci v systémech obětí operovali, ani co všechno získali.

Malware v softwaru Orion umožňoval přenášet soubory, spouštět je, profilovat systémy, restartovat zařízení nebo deaktivovat systémové služby.[28] Ukradených dat může být enormní množství. Některá data v napadených systémech mohla být změněna. Navíc to, že obětí byly i Spojené státy, které taktéž měsíce probíhající útok neodhalily, jen podtrhuje, že kybernetické špionáži se lze bránit jen těžko.

NSO Group: špionáž provozovaná izraelskou firmou

První zprávy o masivním sledování, které měla provádět soukromá izraelská společnost NSO Group, se v médiích objevily 18. července 2021.[29] NSO měla svým vojenským spywarem Pegasus[30] na objednávku sledovat novináře, lidskoprávní aktivisty, významné obchodní manažery, ale i hlavy států a představitele světových vlád.

Zatím se podařilo ověřit jen zlomek obětí ze seznamu telefonních čísel, čítajícího na 50 tisíc záznamů. To je potenciálně 50 tisíc sledovaných osob, mezi nimiž nechybí francouzský prezident Emmanuel Macron, jihoafrický prezident Cyril Ramaphosa, předseda Evropské rady Charles Michel, marocký král Mohammed VI., pákistánský předseda vlády Imram Khan, bývalý prezident Mexika Felipe Calderón nebo Robert Malley, hlavní americký vyjednavač jednající s Íránem.[31]

Spyware Pegasus je přitom určen ke sledování teroristů a zločinců. Sledování jiných osob – zvláště osob politicky činných a pro politické účely – je v rozporu s jeho licencí. Přesto se zdá, že společnost NSO dlouhodobě svým klientům – Maďarsku, Maroku, Indii nebo Rwandě – umožňovala přístup do mobilních zařízení kohokoli, kdo se stal osobou jejich zájmu.

Právo na soukromí versus kybernetická špionáž

Ubránit se spywaru Pegasus je prakticky nemožné. Jakmile se objeví v cílovém zařízení, má nad ním plnou kontrolu.[32] Objednatelé vidí veškerou komunikaci, včetně té šifrované (např. přes aplikace Telegram nebo Signal), mohou procházet fotografie, pořizovat opisy ze seznamu kontaktů, zapínat kameru nebo mikrofon, lokalizovat zařízení. Vše, aniž by oběť věděla, že ztratila soukromí.

Budoucnost mezinárodního práva

Zda samy státy začnou (nejen) po těchto dvou zkušenostech tlačit na změnu v mezinárodním právu, aby se kybernetická špionáž stala více regulovanou, ne-li přímo zakázanou, ukáže až čas. Je ale zřejmé, že o kybernetické špionáži, prováděné přímo státy nebo za podpory států, budeme slýchávat stále častěji. A pokud o ní neuslyšíme, neznamená to, že k ní nedochází.

Než se špionáž přesunula do kybernetického prostoru, státy se k její regulaci nevyjadřovaly, protože vytvořením mezinárodních pravidel by nastavily mantinely i samy sobě. A špionáž provádí všichni, což platí i v případě kybernetické špionáže. Kdo nemá kapacity, aby ji prováděl vlastními silami, jako tomu bylo v případě SolarWinds, ten ji outsourcuje,[35] jako je to vidět na příkladu spywaru Pegasus.

Přesto se nabízí otázka, zda kybernetická špionáž nepředstavuje příliš velkou a nevyzpytatelnou hrozbu na to, aby dál existovala v šedé zóně mezinárodního práva bez jasných pravidel a deklarovaných postojů. Zvláště, když tyto aktivity zjevně porušují základní lidskoprávní i mezinárodněprávní principy v takovém rozsahu, kterého se prostřednictvím tradiční špionáže dalo těžko dosáhnout.

Kybernetický prostor slouží v podstatě jako velké úložiště dat a informací všeho druhu. A všechna tato data jsou potenciálně v ohrožení (ilustrační foto). Foto: Piqsels.com, CC

[18] YOO, Christopher S. Cyber Espionage or Cyberwar?: International Law, Domestic Law, and Self-Protective Measures. Penn Law: Legal Scholarship Repository [online]. 2015, s. 15 [cit. 27. 7. 2021]. Dostupné zde.

[19] ZIOLKOWSKI, op. cit., s. 463.

[20] „Všichni členové se vystříhají ve svých mezinárodních stycích hrozby silou nebo použití síly jak proti územní celistvosti nebo politické nezávislosti kteréhokoli státu, tak jakýmkoli jiným způsobem neslučitelným s cíli Organizace spojených národů.“

[21] Již zmíněný článek přiznávající státům právo na sebeobranu. „Žádné ustanovení této Charty neomezuje, v případě ozbrojeného útoku na některého člena Organizace spojených národů, přirozené právo na individuální nebo kolektivní sebeobranu, dokud Rada bezpečnosti neučiní opatření k udržení mezinárodního míru a bezpečnosti. […].“

[22] Článek o kolektivní obraně. „Smluvní strany se dohodly, že ozbrojený útok proti jedné nebo více z nich v Evropě nebo Severní Americe bude považován za útok proti všem […].” Washingtonská smlouva dostupná zde.

[23] BUCHAN, 2021, op. cit.

[24] Bližší popis lze najít v původním zveřejněném příspěvku od FireEye: Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims with SUNBURST Backdoor. Threat Research Blog. Dostupné zde.

[25] Cyber Law Toolkit. SolarWinds (2020). Sesbírala Prucková, Michaela [online]. 2021 [cit. 27. 7. 2021]. Dostupné zde.

[26] Служба Внешней Разведки – Služba Vněšněj Razvedki.

[27] ROTH, Andrew. Biden to unveil Russia sanctions over SolarWinds hack and election meddling. The Guardian [online]. 15. 4. 2021 [cit. 26. 7. 2021]. Dostupné zde.

[28] Cyber Law Toolkit, op. cit.

[29] PRIEST, Dana a TIMBURG, Craig a MEKHENNET, Souad. Private Israeli spyware used to hack cellphones of journalists, activists worldwide. The Pegasus Project. The Washington Post [online]. 18. 7. 2021 [cit. 26. 7. 2021]. Dostupné zde.

[30] Spyware je software umožňující utajeně získat data a přenášet je z cílového počítačového zařízení.

[31] CHRISAFIS Angelique a SABBAGH, Dan a KIRCHGAESSNER, Stephanie a SAFI, Michael. Emmanuel Macron identified in leaked Pegasus project data. The Pegasus Project. The Guardian [online]. 20. 7. 2021 [cit. 26. 7. 2021]. Dostupné zde.

[32] HOLCOVÁ, Pavla. Etický hacker Lupták: Podobnému útoku se skoro nelze bránit. Investigace.cz [online]. 19. 7. 2021 [cit. 26. 7. 2021]. Dostupné zde.

[33] Organizace spojených národů. Všeobecná deklarace lidských práv. Dostupné zde.

[34] BUCHAN, 2021, op. cit.

[35] Outsourcing znamená externí zajištění služeb. Činnost nebo část činnosti (v tomto případě špionáž) je svěřena externímu dodavateli, jenž se na ni specializuje.