Matt Inaki (uprostřed) z SPAWAR Systems Center ze San Diega ukazuje příslušníkům letectva jak monitorovat aktivitu na síti; Foto MC3 Michael A. Lantron, U.S. Navy

V říjnu 2008 byl odhalen jeden z největších bezpečnostních incidentů v utajované síti amerických ozbrojených sil. Podezření, že se děje něco zvláštního existovalo dlouho – jakoby se někdo z utajované sítě snažil poslat kódované signály mimo. Jelikož však byla oddělená od internetu, samozřejmě se to nedařilo. Toho, kdo špionážní prográmek stvořil a toho, kdo jej přenesl do utajené sítě, se odhalit nepodařilo. Hlavním podezřelým je ovšem Rusko.

Tento příběh nyní poprvé v celé šíři popsal list The Washington Post. Špionážní program, který dostal název „Agent.btz“ se do utajované sítě dostal pravděpodobně od nějakého vojáka, civilisty, či kontraktora působícího v Iráku, nebo v Afghánistánu, který porušil bezpečnostní pravidla. Zřejmě použil stejný flashdisk na internetu a v utajované síti. Na internetu se disk „nakazil“ programem, který se přenesl do utajované sítě, pokusil se spojit se svým strůjcem a pak, podobně jako skutečný špion, posílal informace mimo utajovanou síť ve chvíli. Jak? Nakazil další flashdisky a čekal, až někdo poruší bezpečnostní pravidla a některý z disků použije na počítači s internetem.

As the NSA worked to neutralize Agent.btz on its government computers, Strategic Command, which oversees deterrence strategy for nuclear weapons, space and cyberspace, raised the military’s information security threat level. A few weeks later, in November, an order went out banning the use of thumb drives across the Defense Department worldwide. It was the most controversial order of the operation.
Agent.btz had spread widely among military computers around the world, especially in Iraq and Afghanistan, creating the potential for major losses of intelligence. Yet the ban generated backlash among officers in the field, many of whom relied on the drives to download combat imagery or share after-action reports.

Tento útok samozřejmě není první, ani poslední, ale z hlediska Spojených států patří k těm nejnebezpečnějších. Především kvůli svému rozsahu a dlouhodobosti. Těžko jednotlivé útoky ovšem srovnávat, protože podobně jako se nepodařilo skutečně odhalit autora (vždy existují podezření, která není jednoduché prokázat), nemusí se vždy podařit popsat jejich rozsah a tedy, v určitém ohledu, i závažnost (nemusí se projevit okamžitě).

Jeden z útoků na stát jako takový proběhl před několika lety. Estonsko se náhle ocitlo před útokem, na který nebylo připraveno. Pravděpodobně ruští hackeři dokázali ochromit internetové stránky deníků, vyřadit bankomaty a podobně. Tento útok vedl k diskusi, která se částečně odrazila i ve strategické koncepci NATO. Hlavní část této debaty však nebyla nikdy otevřeně dořešena – je i kybernetický útok na spojence důvodem k aktivaci článku pět?

Pamatuji si, jak mi před mnoha lety vysvětloval jeden právník zabývající se internetem (tvrdil, že pracuje mj. pro Al Gorea, ale neověřoval jsem to) ve washingtonské restauraci The Front Page, jak se vypořádat s globální počítačovou kriminalitou. Nemyslím si, že bych chápal všechna zákoutí nápadu, ale podstata byla jednoduchá – chovejme se k těm, kteří páchají nepravosti na internetu jako k pirátům na moři.

Hugo Grotius dobře argumentoval, že moře patří všem a nemůže si je usurpovat jenom jeden stát – podobně jako kyberprostor. Tento argument je ovšem poměrně výhodný pro slabší námořní mocnosti, které nemají možnost přímo ohrozit svého rivala, ale mohou jej poškozovat útoky na jeho ekonomické zájmy prostřednictvím napadání a potápění lodí na námořních cestách (například na tom byla obvykle postavena francouzská námořní strategie, podobnou zbraň po určitou dobu využívali proti Španělům i Britové atd.)  V následujících stoletích se ovšem dospělo k tomu, že pirátství je netolerovatelné, jak jasně popisuje Úmluva OSN o mořském právu. Článek 100 praví:

Všechny státy v co největší míře spolupracují při potírání pirátství na volném moři nebo na jakémkoli jiném místě, které nepodléhá jurisdikci žádného státu.

A právě v tom byl ten nápad – počítačové pirátství je stejné jako to námořní a byt se může odehrávat někde „mezi“, tedy ve volném kyberprostoru, všechny země jej musejí potírat bez ohledu na to, zda se onen čin odehrál v jejich jurisdikci či nikoli. Tento rozhovor se odehrál před více než deseti lety, tedy z počítačového hlediska v jiné době a týkal se především kriminality. Nyní se už dají prostředky používané v kyberprostoru (stále ještě) s jistou nadsázkou přirovnat ke zbraním hromadného ničení.

Pokud někdo dokáže ochromit zemi, její energetiku, či bankovnictví, pokud někdo dokáže umlčovat politické kritiky, pokud někdo dokáže zasahovat do řízení satelitů (tak, jak se o to pokusili pravděpodobně Číňané u dvou amerických satelitů v letech 2007 a 2008), či pokud by byl někdo schopen kontrolovat bezpilotní prostředky, pak máme velký problém. Už to není pár hackerů, kteří si vlastně jen tak hrají jako třeba ve WarGames, ale cosi, co může způsobit hmatatelné škody velkého rozsahu. Špatné je i to, že o tom často mluvíme, ale tak nějak pořád nevěříme, že může dojít k tomu nejhoršímu.

Zůstanu u příměru ke zbraním hromadného ničení. Zrod jaderných zbraní a jejich rozšíření v prostředí dvou bloků vedlo k iluzi o zajištění míru díky tomu, že tyto zbraně nebudou nikdy použity, protože by to také nemusel nikdo přežít (viz Mutual assured destruction). Rozpad bipolárního systému jasně ukázal, že to v regionálním ohledu platit nemusí, takže teď s obavami čekáme, zda se tato úvaha nenaplní v praxi.

Výhodou bylo a je to, že je jasné, odkud může přijít hrozba, respektive kdo je pachatel. To v případě kybernetického prostoru – jak ukazují výše zmíněné kauzy – neplatí. Obvykle je známý napadený, ale s útočníkem to je obvykle složitější. Přitom škody mohou být nedozírné, podobně jako při omezeném použití zbraní hromadného ničení. Takže co s tím? Zpátky k článku ve Washington Postu o útoku, který byl zlikvidován v roce 2008. Autorka na jednom místě popisuje tehdejší debaty o tom, zda nepoužít ofenzivní schopnosti k likvidaci špionážního programu na civilních počítačích i v jiných zemích. K takovému pokynu tehdy nedošlo, ale kdykoli v budoucnu může.

By the summer of 2009, Pentagon officials had begun work on a set of rules of engagement, part of a broader cyberdefense effort called Operation Gladiator Phoenix. They drafted an “execute order” under which the Strategic and Cyber commands could direct the operations and defense of military networks anywhere in the world. Initially, the directive applied to critical privately owned computer systems in the United States.
Several conditions had to be met, according to a military official familiar with the draft order. The provocation had to be hostile and directed at the United States, its critical infrastructure or citizens. It had to present the imminent likelihood of death, serious injury or damage that threatened national or economic security. The response had to be coordinated with affected government agencies and combatant commanders. And it had to be limited to actions necessary to stop the attack, while minimizing impacts on non-military computers.
“Say someone launched an attack on the U.S. from a known Chinese army computer — a known hostile computer,” the official said. “You could maybe disable the computer, but you’re not talking about making it explode and killing somebody.”

Pamatuji si na diskuse, které se vedly o této otázce v době, když se připravovala Bílá kniha o obraně. Zatímco všichni se bez problémů shodli na významu kybernetické bezpečnosti, respektive na hodnocení současnosti jako vysoce rizikové, už horší to bylo a je s debatou právě o ofenzivních opatřeních. Nakonec se proto zvolil poměrně opatrný slovník. Pokud hackeři zaútočí na vaše systémy a vy víte, z jaké země je útok veden, máte zahájit odvetnou operaci a ochromit například bankovní sektor? Co když tamní vláda s tím nemá nic společného? Odvetný útok odnese velké množství nevinných lidí… A tak by se dalo pokračovat.

Co nám to říká? Jsme zase zpátky u debaty o spravedlivé a nespravedlivé válce, o věčných otázkách spojených s regulací války – s rozpoznáním toho, kdo je v právu a kdo nikoli, s proporcionalitou použitých prostředků a podobně.  Nesmíme ovšem zapomínat, že kyberprostor je pouze dalším (pátým po zemi, moři, vzduchu a vesmíru) prostorem pro vedení válečných operací a podle toho se s ním musí zacházet – nemůžeme spoléhat pouze na defenzivní opatření.