V kybernetickém světě téměř neexistují národní hranice. Přestože se některé státy snaží aplikovat různé restrikce, téměř vždy existuje poměrně jednoduchý způsob, jak je obejít. Turecko v minulosti několikrát sáhlo k plošnému zákazu přístupu na sociální sítě Twitter a Facebook, například po teroristických útocích v Ankaře v roce 2016 (Worley, 2016). Standardně se tato akce provádí skrze tzv. ISPs (Internet Service Providers – poskytovatele internetových služeb), kteří na příkaz vlády zablokují dané stránky nebo služby. Stačí však jednoduchý nástroj v podobě VPN (Virtual Private Network), který toto opatření bez problémů obejde. Dále finanční transakce a data se pohybují po síti mnohem rychleji a s menšími omezeními než ve fyzické realitě. Stejně tak to platí i pro rozdíl mezi vojenským a civilním sektorem, jelikož stejné „zbraně“ mohou být použity při útoku na obě sféry. To vše dělá z internetu specifický prostor, kde se stírají hranice nejen mezi národy, ale i pojmy, které tak nelze brát příliš rigidně. Toto poselství by ostatně mělo být patrné z předchozích odstavců. Z těchto důvodů se mohou některé následující příklady jevit jako vzdálené zkoumané problematice a je třeba k nim přistupovat spíše jako k myšlenkovému cvičení aplikující prizmata, která se ale pohybují v rámci vytyčené konceptualizace (viz část první).
APTs
Tato tři písmena v sobě skrývají jednu z největších hrozeb dnešního kyberprostoru. Tzv. Advanced Persitent Threats, tedy pokročilé a trvalé hrozby je označení pro hackerské skupiny nebo přímo kybernetické incidenty vykazující podstatné zdroje, nástroje a motivaci při podnikání neutuchajícího kyberútoku proti nějakému subjektu. Dalšími podstatnými rysy jsou utajené jednání (ve smyslu maskování vlastních aktivit v síti) v kombinaci s důmyslnými útočnými metodami (vektory útoku) za účelem kompromitace cíle, který často představuje nějaký vládní systém, instituci nebo podobně významné entity v soukromém sektoru. Odtud „pokročilá“. Pro obránce je velmi těžké takovýto útok detekovat, natož mu aktivně čelit. Další překážkou je přisouzení. Nezřídka takovéto operace trvají delší časové období (v řádu měsíců). Z tohoto titulu adjektivum „trvalá“. Škodlivé dopady hrozby dosahují většinou úrovně národní, někdy i mezinárodní bezpečnosti. Napadená data a systémy totiž často představují prvky kritické informační infrastruktury a významných informačních systémů států (Techopedia, 2018b).
Přední americká kyberbezpečnostní společnost FireEye, Inc. (2018) se APT mj. zabývá, konkrétně těmi, u kterých lze do rozumné míry dokázat (stoprocentní atribuce není nikdy možná), že dostávají podporu a rozkazy od národního státu. Se Severní Koreou je podle nich spjatá skupina APT37. Ta cílí primárně na systémy Jižní Korey a Japonska. Portfolio napadených entit je zaměřené zejména na průmysl v chemickém, elektronickém, letecko-vesmírném, automobilovém odvětví a v neposlední řadě i zdravotnictví. Ve „zbraňovém arzenálu“ těchto hackerů se nachází tzv. zero-day (chyby systému, o kterých neví ani samotný výrobce), wiper (malware, který je určen mj. k mazání dat), sociální inženýrství na velmi vysoké úrovni sofistikovanosti a kompromitace webů typické pro kyberšpionážní operace. FireEye (2018) spojuje tuto skupinu se Severní Koreou na základě logiky cui bono při výběru cílů a artefaktům ve škodlivých kódech (to jsou například časové údaje, lingvistické znaky apod.).
Dalšími státy, které jsou důvodně podezřelé z využívání služeb APT jsou Čína (např. APT30) a Rusko (např. APT29). První zmíněná skupina se zaměřuje na členské státy ASEANU (Association of Southeast Asian Nations). Jejím znakem je trvalá aktivita v napadené síti po dlouhou časovou periodu. Analýza aktivity skupiny naznačuje, že její hackeři pracují na směny ve společném pracovním prostředí a vytváří malware podle koherentního vývojového plánu. Zde se dostáváme k jádru problému, který APT jako příklad privatizace pro tuto práci představuje. Na jednu stranu splňuje indikátory z teoreticko-metodologické části. Avšak na základě výše uvedeného varování, že zde nelze postupovat příliš rigidně, existují APTs, které více „pasují“ do definičního mixu privatizace kybernetické války a ty, které se už do něj zařazují hůře. APT28 spadá právě do druhé kategorie, jelikož existují domněnky, že je tato skupina přímo integrována v rámci čínských ozbrojených složek (FireEye, 2018).
Čistší formu outsourcingu bezpečnostních, v tomto případě lze říci i přímo vojenských, služeb státu na soukromý sektor představuje Rusko a „jeho“ APT29. Tato skupina cílí zejména na oblast Kavkazu, zvláště Gruzii, dále na země východní Evropy, NATO a další evropské bezpečnostní organizace a firmy. Na rozdíl od čínské APT29 nejspíše stojí mimo struktury vlády, a pokud existují dohady, zmiňují se pouze o vztahu s ruskou vojenskou zpravodajskou službou GRU, ne o tom, že by skupina byla její součástí. Tito hackeři se zaměřují na získávání zpravodajsky významných informací ohledně sektoru obrany a také geopolitiky. Takováto data jsou použitelná zejména pro stát, což je zde jeden z přisuzujících atributů (FireEye, 2018).
Kybernetická obrana
Případové studie k APTs se nesla v ofenzivním duchu, nyní je na místě se zaměřit na defenzivu. Modelovým příkladem v této oblasti je vztah veřejného a privátního sektoru na bezpečnostních softwarech. Obecně jsou chyby v softwaru velice častým vektorem útoku, zejména již zmíněné zero-days.
Na černém trhu jsou velice ceněné, jelikož mohou představovat hrozbu až na národní úrovni (např. zero-day v systémech Ministerstva obrany). Čím dál častěji se tak kupujícími stávají vlády a velké bezpečnostní a obranné firmy. Kristen Eischensehr (2017: 483) v této souvislosti mluví také o šedém trhu, kde jak kupující, tak i prodávající mají dobré úmysly (nechtějí zranitelnosti zneužít) a jednají ve veřejném zájmu. Existují soukromé společnosti, které z prodeje zranitelností udělaly svůj byznys model a prodávají je, jak zemím jako jsou USA, tak i státům s nevalnou pověstí co se dodržování lidských práv týče. Ceny se podle analýzy korporace RAND pohybují od tisíce dolarů až po 200–300 tisíc dolarů za zranitelnost podle závažnosti takovéto hrozby, doby, po kterou zůstává skrytá apod. V roce 2015 například zaplatila americká vláda nejméně 1,3 milionu dolarů za způsoby vniknutí do iPhonů střelců ze San Bernardina. Není bez zajímavosti, že Apple a FBI (Federal Bureau of Investigation) spolu vedli spor o to, aby výrobce iPhonů umožnil do inkriminovaných zařízení přístup. Proti tomu se ale Apple postavil a FBI tak musela najít jiný způsob, kterým se k potřebným datům dostala. Americká NSA (National Security Agency), přestože odhalí většinu zero-days sama, platí soukromníkům nemalé částky za jejich nákup. Z pohledu soukromníků je pak důvod spolupráce s vládou na šedém trhu poněkud pragmatičtější. Pokud by se zveřejnilo, že jejich software byl použit pro útok (nebo mu nezabránil) na nějaký vládní systém nebo síť, jejich reputace by tím utrpěla vážnou ránu. V duchu vzájemného překrývání se zkoumaných jevů v této práci, tyto nástroje nemusí sloužit pouze k obraně, ale i ke špionáži a kybernetickým útokům (Eischensehr, 2017: 482-487).
Zajímavou formou privatizace je vypisování výzev za aplikace určitých pravidel pro white-hat hackery. Jedná se o způsob penetračního testování, který je velice efektivní, co se výsledků a nákladů týče. Umožní tak penetrační testování systémů ze stovek směrů a za použití plejády různých metod a na základě následné evaluace pak chyby a zranitelnosti odstranit. Pentagon v minulosti vypsal program „Hack the Pentagon“, kde lidé, kteří prošli základní prověrkou mohli po registraci legálně útočit na různé vládní systémy. Díky tomu bylo objeveno přes 100 zranitelností za vynaložení zhruba 150 tisíc dolarů (Eischensehr, 2017: 488).
Z cirka 85 % vlastní kritickou informační infrastrukturu (KII) ve Spojených státech soukromníci. KII však představuje pro stát a jeho obyvatelstvo vitální systémy, které je nutné odpovídajícím způsobem bránit. V demokratickém zřízení tak ale narážíme na citlivou hranici mezi svobodou a zásahem státu. Většinou jsou soukromé společnosti neochotné, co se týká přenášení pravomoci bránit vlastní systémy na stát. V některých případech tak stát přenechává obranu těchto systémů v soukromých rukou a poskytuje pomoc, kapacity a konzultace v případě potřeby. U některých systémů (např. jaderná zařízení) pak vyžaduje větší míru kontroly (Eischensehr, 2017: 494-495). Jedná se tedy o další typ privatizačního vztahu mezi veřejným a soukromým sektorem.
Právní důsledky v mezinárodním měřítku
Často se vynořujícím tématem ohledně privátních subjektů ve vojenství je jejich odpovědnost vycházející z právních předpisů, zejména mezinárodních. Diskuzí okolo klasických PMCs (Private Military Companies) se zabývá spousta vědeckých prací, a proto se zde zaměříme rovnou na mezinárodněprávní důsledky privatizace kybernetické války.
Mezinárodní právo je, jak je patrné z práce Schmitta a Vihulové (2014), o pár kroků pozadu za kybernetickým vývojem a zejména za privatizací válčení v této oblasti. Částečně je tomu tak i proto, že na mezinárodní scéně je regulace sabotována formulacemi návrhů, které odmítají brát nestátní aktéry v potaz co se kyberválečných operací a konfliktů týče. K tomu je nutné přičíst další překážky v podobě debaty o existenci fenoménu nebo o jeho konceptualizaci (viz výše) (Lixinski, 2013: 270).
Zodpovědnost a související právní nástroje za válečné činy vychází mj. z toho, jaký subjekt vydával dané příkazy. Pokud tedy chceme hnát k zodpovědnosti za činy PMC stát, musíme dokázat, že k nim dal tento stát pokyn. Tím pádem vyvstává poměrně nutná potřeba, aby stát, ve svém zájmu a za použití svého národního práva tyto soukromé společnosti reguloval. V tomto případě je pak PMC při jasném spojení se státní entitou plnohodnotným participantem konfliktu a lze na ni aplikovat mezinárodněprávní závazky, zejména Mezinárodní humanitární právo (Lixinski, 2013: 270-272).
Závěrem
Kybernetika je poměrně novou oblastí a s ní související obory a podobory jako jsou kybernetická bezpečnost nebo kybernetická válka a ošetřující právo nestíhají překotný technologický vývoj, který v jejím rámci probíhá. Ještě mladší je pak její privatizace. S tím je spojena řada problémů a akademických diskuzí, které tato práce alespoň nastínila. Komplexitu reality pak dovršuje promítání všudypřítomné debaty bezpečnost versus svoboda (viz spor FBI a Applu o umožnění přístupu do mobilního telefonu střelce ze San Bernardina).
Co se týká APTs, přijmeme-li úhel pohledu této práce, který je vidí jako soukromé subjekty, pak se jedná o specifický typ privatizace bezpečnosti. Stát zde přenáší část svého monopolu na násilí v kybernetickém světě na soukromé hackerské skupiny, aby konaly činnost v jeho zájmu, ale bez jeho oficiálního posvěcení či přiznání jakékoliv angažovanosti.
Fakt, že zero-days nakupují vlády a zejména pak velké firmy obranného a bezpečnostního průmyslu za velké finanční částky s sebou nese důležitou implikaci. Státní informační systémy jsou, co se týče hardwaru i softwaru, téměř výhradně závislé na soukromých dodavatelích. Těžko hledat oblast vojenství, kde by byla tato dependence až takto markantní.
Bez jakékoliv ambice vytvářet všeobjímající kategorie privatizačních vztahů a modelů v rámci zkoumané oblasti, lze shrnout případové studie v této práci ofenzivy a defenzivy. V první kategorii (případy APTs) se objevuje trend utajení, distancování se od útočných kybernetických operací a popírání jakéhokoliv napojení ze strany státu na hackerské skupiny. V defenzivě se pak objevuje reciproční vztah mezi státem a privátními subjekty (viz interakce obou na šedém trhu). V případě obrany kritické informační infrastruktury je tento vztah za předpokladu ochoty obou stran ke spolupráci symbiotický. Dále lze nalézt klasickou outsourcingovou spolupráci, i když v poněkud nezvyklé podobě, jak ukazuje příklad s vypisováním programů pro white-hat hackery.
Zdroje
Advanced Persistent Threat (APT). Techopedia [online]. 2018b [cit. 2018-05-07]. Dostupné z: https://www.techopedia.com/definition/28118/advanced-persistent-threat-apt
Advanced Persistent Threat Groups: Who’s who of cyber threat actors. FireEye [online]. 2018 [cit. 2018-05-07]. Dostupné z: https://www.fireeye.com/current-threats/apt-groups.html
Andress, Jason; Winterfeld, Steve. 2014. Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners. 2. Waltham: Syngress. ISBN 9780124166721.
Black Hat Hacker. Techopedia [online]. 2018a [cit. 2018-05-05]. Dostupné z: https://www.techopedia.com/definition/26342/black-hat-hacker
Campbell-Kelly, Martin. 2003. From Airline Reservations to Sonic the Hedgehog: A History of the Software Industry. Cambridge, Massachusetts: MIT Press. pp. 140–143, 175–176, 237.
Definition of ‚Privatization‘. The Economic Times [online]. 2018 [cit. 2018-05-06]. Dostupné z: https://economictimes.indiatimes.com/definition/privatization
Eichensehr, Kristen. Public-Private Cybersecurity (28. září 2016). 95 Texas Law Review 467. 2017. UCLA School of Law, Public Law Research Paper No. 16-47.
Holsti, K. Major texts on war, the state, peace, and international order. New York, NY: Springer Berlin Heidelberg, 2016. ISBN 978-3-319-28816-1.
Lievrouw, L. A. 2006. Handbook of New Media: Student Edition. SAGE Journals.
Lixinski, L. 2013. New Technologies and Human Rights: Challenges to Regulation. 255–271. ISBN 9781409442165.
Moore’s law. Encyclopaedia Britannica [online]. 2017 [cit. 2018-05-05]. Dostupné z: https://www.britannica.com/technology/Moores-law
Murmur by Will Eaves review – inside the mind of Alan Turing. The Guardian [online]. 2018 [cit. 2018-05-05]. Dostupné z: https://www.theguardian.com/books/2018/apr/18/murmer-by-will-eaves-review-alan-turing
On War. Carl von Clausewitz [online]. 2016 [cit. 2018-05-05]. Dostupné z: https://www.clausewitz.com/readings/OnWar1873/BK1ch01.html
Rid, Thomas. 2012. Cyber War Will Not Take Place, Journal of Strategic Studies, roč. 35, č. 1, s. 5-32.
Schmitt, Michael N.; Vihul, Liis. 2014. Talinn Paper No. 5: The Nature of International Law Cyber Norms. Talinn: CCDCOE.
Worley, Will. Turkish government ‚blocks Twitter and Facebook‘ as part of alleged media ban following Ankara blast. The Independent[online]. 2016 [cit. 2018-05-06]. Dostupné z: https://www.independent.co.uk/news/world/europe/ankara-explosion-turkey-twitter-facebook-ban-a6929136.html