Hack-back, aktivní kyberobrana

infrastruktury jinam, byť s vyššími náklady, není možné s odkazem na krajní nouzi zvolit cestu zpětného hackingu (tzv. hack back), jímž bude narušena suverenita jiných států. ⁸⁰⁶

Krajní nouze jako okolnost vylučující protiprávnost v oblasti vztahů mezi suverénními státy však budí kontroverze. Jak poukazuje Čepelka, problematická je situace, kdy se stát „sám cítí být ve stavu krajní nouze, tj. pokládá sám sebe za závažně a bezprostředně ohroženého na svém podstatném zájmu a nemá podle vlastního posouzení absolutně žádný výběr prostředků, jak ochránit tento zájem, než právě k újmě jiného státu. Ten je však takto vzniklou situací zcela nevinen.” ⁸⁰⁷ Autor následně pokládá otázku, zda bude i v tomto případě dané chování zcela zbaveno protiprávnosti, resp. zda bude zbaveno jen odpovědnostního následku v podobě povinnosti nahradit vzniklou škodu? Podotýká, že krajní nouze je obvykle vnímána spíše jako nástroj politický, než právní. I přes zmíněné kontroverze však lze krajní nouzi, s ohledem na obyčejový charakter i ⁸⁰⁸ přijetí mezinárodními soudy, považovat za institut vztahující se také na kybernetické prostředí. ⁸⁰⁹

Příčinou jednání v krajní nouzi může být vedle chování států i přírodní katastrofa či události nezávislé na vůli států. To umožňuje uplatnit institut krajní nouze i na kybernetické útoky a ohrožující kybernetické operace jednotlivců, teroristů, aktivistů a nejrůznějších skupin i neznámých útočníků, neboť jejich aktivity není nutné prve přičíst některému státu. Jednání v krajní nouzi proto může být jedinou přípustnou reakcí státu na kybernetický útok nestátního aktéra, který by nedosáhl hranice ozbrojeného útoku. ⁸¹⁰

systému od dalších útoků. Zpětný hacking se ⁸¹³ řídí pravidlem, podle něhož je nejlepší obranou útok. Lze se tak setkat i s eufemismem „aktivní kybernetická obrana”, který se vyhýbá pejorativním konotacím, jež se pojí s hackingem. Podstatou zpětného hackingu je, ⁸¹⁴ že se poškozený subjekt, který se stal obětí hackingu (či spíše crackingu), uchýlí k hackingu vůči původci prvotního útoku. S určitou nadsázkou tak lze říci, že se z oběti stává rovněž útočník.

Zpětný hacking není vhodné vnímat jako kategorii přípustných kybernetických operací, natož jako další okolnost vylučující protiprávnost v kyberprostoru. Zpětný hacking totiž může být součástí jednání státu v rámci sebeobrany, součástí protiopatření, či za stavu krajní nouze nebo tísně. Reaguje-li tudíž stát na kybernetický útok pomocí zpětného hackingu, musí jím zvolená kybernetická operace vždy respektovat daná ustanovení mezinárodního práva. Bude-li například stát zpětným hackingem odpovídat na porušení mezinárodního závazku jiným státem ve snaze donutit odpovědný stát k plnění závazku, musí respektovat limity institutu protiopatření rozebrané výše.

Nedostatečné kapacity některých států reagovat na kybernetické hrozby a ochránit fyzické i právnické osoby před kybernetickými útoky vedly k využívání zpětného hackingu i v řadách nestátních aktérů. Specializované právnické a fyzické osoby podnikající v oblasti kybernetické bezpečnosti tak nabízí nejen zabezpečení informačních a komunikačních systémů a sítí, tj. služby v rámci pasivní kybernetické obrany, nýbrž i metody atribuce útoků a služby aktivní kybernetické obrany, mezi které patří právě zpětný hacking. ⁸¹⁵

Podle některých umožňuje zpětný hacking vyhnout se zdlouhavým soudním či mimosoudním řízením, problematickému určení pravomoci, nedostatečně technicky vzdělaným soudcům či rozhodcům během sporného řízení, a představuje adekvátní a rychlou odpověď na útok v kyberprostoru, kde obvykle tradiční nápravné mechanismy selhávají. ⁸¹⁶

Častý hlavní argument podporující zpětný hacking popisuje veřejnou moc ve státě jako pomalou, neochotnou jednat v kyberprostoru a poskytnout v něm dostatečné záruky obětem kybernetických útoků. Podle tohoto argumentu státní moc není schopna dostatečně ochránit fyzické a právnické osoby před kybernetickými útoky, čímž je odůvodněn odklon od monopolu státního donucení a převzetí kybernetické (sebe)obrany do vlastních rukou. Lin poukazuje na nedostatečné

ALBERSHEIM, Renee. The Legal Implications of Corporate Reverse Hacking. Preventive Law Reporter, vol. 18,

813

1999.

Podrobněji BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 62.

814

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 59.

815

MESSERSCHMIDT, Jan, E. Hackback: Permitting Retaliatory Hacking by Non-State Actors as Proportionate

816

Countermeasures to Transboundary Cyberharm. Columbia Journal of Transnational Law, Vol. 52, No 1, 2013, str. 293.

působení práva v kyberprostoru, což připomíná primitivní stát. Hack-back podle něj pouze vyplňuje mezery tam, kam právo nedosáhne, a proto jej nepovažuje ani za narušení společenského řádu. S ⁸¹⁷ tímto argumentem, jež připomíná osidlování Divokého západu po (znovu)objevení Severní Ameriky, nelze souhlasit z obdobných důvodů, pro které nelze rezignovat na působení práva v kyberprostoru. Argument se zabývá nedostatky společenské smlouvy, spíše však jde o problém ⁸¹⁸ sebeobrany tam, kde ochrana ze strany státní moci přichází pozdě. Z hlediska přípustnosti zpětného hackingu by bylo možné se spíše ztotožnit s jiným argumentem založeným na právu každého bránit sebe a svůj majetek. ⁸¹⁹

Další argumenty podporující obecné zavedení možnosti zpětného hackingu hovoří zejména o rychlé a efektivní reakci na kybernetické útoky, která neponechává iniciativu pouze na útočnících, nýbrž využívá dostupnou technickou odbornost a sílu. Zpětný hacking také může umožnit zjištění klíčových informací o existenci dalších obětí útočníka a o útoku jako takovém nebo zabránit změnám zdrojových kódů, a tyto následně předat policejním orgánům. ⁸²⁰

Zpětný hacking by měl mít rovněž významný odstrašující účinek pro potenciální útočníky do budoucna. Jestliže potenciální útočníci budou vědět, že se daná obchodní společnost uchyluje k protiútokům, které působí útočníkům vážné škody, útoku vůči ní se zdrží. Uvedený argument by měl být poplatný pro veřejnou i soukromou sféru, ponecháme-li stranou hledisko enumerativnosti veřejnoprávních pretencí a limity uplatňování státní moci. Poněkud úsměvná je však představa, podle níž by se např. Česká správa sociálního zabezpečení, narozdíl od jiných správních orgánů, běžně uchylovala k protiútokům, a tudíž by mezi hackery byla známa jako nebezpečný státní orgán, na jehož informační systémy se nevyplatí útočit. Odstrašující účinek zpětného hackingu však využívá například kybernetická strategie USA, které se potýkají s vysokým množstvím kybernetických útoků ze strany státem sponzorovaných hackerů ze zemí jako Rusko, Čína, Írán a Severní Korea. Americká legislativa dovoluje státním orgánům, nikoli však soukromé sféře, aby se uchýlila k aktivní kybernetické obraně. Současně se objevují názory, podle nichž by shodnou možnost obrany v USA měla mít k dispozici i soukromá sféra. ⁸²¹

LIN, Patrick. Ethics of Hacking Back: Six Arguments from Armed Conflict to Zombies [online]. 26. 9. 2016, str. 9.

817

Dostupné: http://ethics.calpoly.edu/hackingback.pdf [Cit. 2022-11-16].

Srov. shora subkapitolu 1.4. Působení práva v kyberprostoru.

818

LIN, Patrick. Op. cit., str. 10 - 12.

819

Tamtéž, str. 13. Nebo BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 64.

820

BAKER, Benjamin. Considering the Potential Detterence Value of Legislation Allowing Hacking Back [online].

821

May 22, 2018, str. 3 - 4. Dostupné: https://ssrn.com/abstract=3319530 [Cit. 2022-11-16].

Zpětný hacking zároveň umožňuje obchodním společnostem řešit slabiny v zabezpečení uvnitř společnosti a nezveřejňovat zranitelnosti svých systémů v kybernetickém zabezpečení.

Uvedená strategie zaručuje lepší reputaci obchodních společností, jelikož nezveřejňování kybernetických útoků a incidentů na společnost nenaruší pověst obchodní společnosti u jejích klientů. Zvláště nepříznivé důsledky pro reputaci mají kybernetické útoky u bank, burz, společností podnikajících v oblasti kybernetické bezpečnosti a IT služeb, apod. ⁸²²

Objevuje se rovněž argument, že zpětný hacking umožňuje obejít problémy jurisdikce bez nutnosti mezinárodní justiční spolupráce, respektive že řeší obtíže související s uplatněním státní moci mimo státní území. S tímto argumentem však nelze souhlasit, jelikož samotný zpětný ⁸²³ hacking nedostatky pravomoci vně státního území a problémy s narušením suverenity jiného státu neřeší, nýbrž je pouze nezohledňuje. Zpětný hacking, který stát provádí bez splnění podmínek sebeobrany, protiopatření, krajní nouze či tísně, bude porušením mezinárodního práva, přičemž taková kybernetická operace pravděpodobně vždy naruší i suverenitu jiného státu.

Mezi riziky uchylování se ke zpětnému hackingu patří hrozba eskalace konfliktu, který byl zpočátku zanedbatelný, jakož i hrozba destabilizace mezinárodního společenství. Jestliže se ⁸²⁴ nestátní aktéři na území různých států uchýlí opakovaně ke kybernetickým útokům vůči sobě navzájem, může konflikt získat politicky mezinárodní rozměr a narušit vzájemné vztahy obou států.

Tím spíše, pokud budou mít oba státy tendenci nahlížet na zpětný hacking jako na kybernetickou operaci v krajní nouzi, následkem čehož budou považovat zásah do práv druhého státu za zcela oprávněný. S destabilizací mezinárodního společenství souvisí i některá další rizika, která zmiňují Bannelier a Christakis. Patří mezi ně ohrožení autority státu a jeho zahraniční politiky, jakož i ohrožení postihu trestné činnosti ze strany státních orgánů. ⁸²⁵

Zejména posledně zmíněný argument ohrožení stíhání trestné činnosti lze považovat za zásadní pro vládu práva. Zpětný hacking totiž může znemožnit řádné vyšetření kybernetického útoku tím, že zničí klíčové důkazy, jež by mohly vést k odsouzení prvotního útočníka. Zpětný hacking rovněž může být nástrojem k zastření původního motivu útoku za pouhé jednání v aktivní kybernetické (sebe)obraně.

Nelze opomenout ani riziko chybné atribuce útoku a způsobení škod nevinným subjektům, ať již státním nebo soukromým. Nežádoucím dopadem by mohlo být i prohloubení nerovností mezi

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 65.

822

Tamtéž, str. 66.

823

Tamtéž, str. 67.

824

Podrobněji k uvedeným argumentům srov. tamtéž, str. 68.

825

velkými obchodními společnostmi typu Google, které si mohou díky silnému technologickému kapitálu dovolit efektivní zpětný hacking, a středními a menšími obchodníky na trhu, kteří potřebnou technickou (i personální) kapacitu k provedení zpětného hackingu postrádají. Jak upozorňují Bannelier a Christakis, zmíněná nerovnost by mohla vést až k uplatňování elitářské kybernetické obrany, která představuje ve skutečnosti nekalé konkurenční praktiky. ⁸²⁶

Se shora nastíněnými argumenty varujícími před neomezeným uplatňováním zpětného hackingu souhlasím a považuji je za převažující. Mezinárodní právní řád se vztahuje i na kyberprostor a jakákoli kybernetická operace, má-li být v souladu s ním, jej musí respektovat.

Jestliže se stát či nestátní aktér uchýlí ke zpětnému hackingu, měl by být schopen obhájit před mezinárodním společenstvím, že jednal po právu.