2. Kyberprostor a úloha státu na zajištění informační bezpečnosti
2.4. Kybernetické operace a mezinárodní odpovědnost státu 1. Nestátní aktéři jako původci kybernetických operací
2.4.6. Odpovědnost státu za mezinárodně protiprávní čin v kyberprostoru
velkými obchodními společnostmi typu Google, které si mohou díky silnému technologickému kapitálu dovolit efektivní zpětný hacking, a středními a menšími obchodníky na trhu, kteří potřebnou technickou (i personální) kapacitu k provedení zpětného hackingu postrádají. Jak upozorňují Bannelier a Christakis, zmíněná nerovnost by mohla vést až k uplatňování elitářské kybernetické obrany, která představuje ve skutečnosti nekalé konkurenční praktiky. 826
Se shora nastíněnými argumenty varujícími před neomezeným uplatňováním zpětného hackingu souhlasím a považuji je za převažující. Mezinárodní právní řád se vztahuje i na kyberprostor a jakákoli kybernetická operace, má-li být v souladu s ním, jej musí respektovat.
Jestliže se stát či nestátní aktér uchýlí ke zpětnému hackingu, měl by být schopen obhájit před mezinárodním společenstvím, že jednal po právu.
změny, jež by odstranily zjištěné zranitelnosti kybernetické infrastruktury a zamezily jejímu zneužití do budoucna. 831
Smyslem povinnosti odčinit způsobené újmy je v co nejvyšší míře odstranit následky protiprávního činu a obnovit situaci, jež by panovala, kdyby k protiprávnímu činu nebylo bývalo došlo. Újma pokrývá jakoukoli materiální (hmotnou) újmu (tj. škodu) i imateriální (nehmotnou) 832 újmu způsobenou mezinárodně protiprávní kybernetickou operací. Způsobený zásah do informačních služeb či ztráta dat obvykle povedou ke vzniku materiální újmy, která může postihnout nejen státní orgány a instituce, nýbrž i soukromou sféru ve státě (občané, obchodní korporace apod.). I takovou újmu je totiž nutno považovat za újmu způsobenou poškozenému státu, jejíhož odčinění se může po odpovědném státu domáhat. Ve vztahu ke státním orgánům uvádí Tallinn Manual 2.0 jako nehmotnou újmu např. ztrátu prestiže či narušení důvěry ve vládní instituce způsobené např. pozměněním informací uvedených na vládních webových stránkách. Dalším 833 příkladem nehmotné újmy by mohla být destabilizace politického prostředí a ztráta důvěry ve státní instituce vlivem manipulace probíhajících voleb skrze kybernetické operace, či znemožnění konání voleb v řádném termínu. Zajištění bezpečnosti, ale i autenticity hlasujících voličů a odevzdaných hlasů ve volbách jsou jedny z mnoha problematických aspektů, jež trápí řadu států při pokusech o plošné zavádění elektronických volebních systémů. 834
Zásadní podmínkou pro odčinění je skutečnost, že újma musí být přímým následkem kybernetického protiprávního činu. Nepředvídatelné či příliš vzdálené následky nelze přičítat odpovědnému státu. To působí problémy zvláště v kyberprostoru, kde se snadno a rychle může šířit nejrůznější malware, přičemž mapování všech negativních dopadů je zpravidla obtížné. Poškozený stát by se měl rovněž pokusit o mírnění rozsahu újmy. Ačkoli mezinárodní právo neukládá žádnou takovou povinnost, rezignace na mírnění škod tam, kde to bylo snadno proveditelné (např.
odpojením napadených systémů ze sítě), může ovlivnit rozsah poskytnutého odčinění, stejně jako nedbalostní či úmyslné jednání, kterým by poškozený stát přispěl ke škodě. 835
Tallinn Manual 2.0, Rule 27 - Cessation, assurances, and guarantees, body 4 - 6.
831
Rozsudek Stálého dvora mezinárodní spravedlnosti v Haagu ze dne 26. 7. 1927, Factory at Chorzów (Germany v.
832
Poland), odst. 47. Dostupný: https://jusmundi.com/en/document/decision/en-factory-at-chorzow-jurisdiction-judgment- tuesday-26th-july-1927 [Cit. 2022-11-16].
Tallinn Manual 2.0, Rule 28 - Reparation (general principle), body 2 - 3.
833
Podrobněji k problémům a možnému řešení díky využití blockchainové technologie srov. SABHARWAL,
834
Alakshendra, SAIFULLAH, Mohammad, GROVER, Priyanka, BATRA, Neha. Comparative Study of Blockchain Techniques in Electronic Voting System [online]. Proceedings of the International Conference on Innovative Computing
& Communication (ICICC) 2021, July 11, 2021. Dostupné: https://ssrn.com/abstract=3884390 [Cit. 2022-11-16].
Tamtéž, str. 6 - 9.
835
Konkrétní podoba odčinění vzniklé újmy závisí na okolnostech, jež mohou vést i k uplatnění více podob odčinění současně (vedle sebe). Primární postavení zaujímá uvedení v předešlý stav. 836 To však nelze automaticky směšovat s pouhým ukončením kybernetického útoku. Je-li k nepřátelské kybernetické operaci namířené vůči jinému státu zneužit škodlivý program, který již provedl v cílových počítačových systémech určité změny, nepostačí pouhé ukončení operace, nýbrž bude nutné zajistit poškozenému státu takové informace o programu, které umožní odstranění jeho následků (např. obnovení potlačených dat, odstranění sledovacích programů, apod.). Jestliže 837 nebude možné škodlivé následky odstranit, například z důvodu fyzického zničení sítě či počítačových systémů, anebo z důvodu výpadku služby v konkrétní čas, kdy bylo její poskytování z hlediska poškozeného státu zásadní, nebude uvedení v předešlý stav fakticky možné. V takovém případě bude na místě odškodnění, lze-li škodu vyjádřit v penězích, a zadostiučinění. 838
Poskytnutí finančních náhrad v rámci odškodnění se vztahuje nejen na státní orgány, ale i na právnické a fyzické osoby nacházející se v jurisdikci poškozeného státu. Tallinn Manual 2.0 uvádí příkladem nejen nahrazení ušlého zisku z reklamy, která by byla zveřejněna na webové stránce, nebýt DDoS útoku, jež ji vyřadil z provozu, ale i kompenzaci trvale snížené hodnoty národních společností vlivem kybernetického útoku, když dovozuje paralelu s právem životního prostředí a přiznáním náhrad za ztracenou hodnotu a nutnou sanaci v místě. Ačkoli může být inspirace 839 mezinárodním právem z oblasti ochrany životního prostředí podnětná, nedomnívám se, že srovnání je zde vhodné. Zhoršení životního prostředí nelze přirovnávat ke zhoršené pověsti či postavení obchodních společností. Zatímco na příznivém životním prostředí je dán veřejný zájem, který stát má chránit, u pověsti obchodních společností jde předně o ochranu soukromých zájmů. Příznivé a zdravé životní prostředí je veřejný statek, z něhož benefitují všichni jednotlivci ve státě, včetně budoucích generací. I kdyby se nejednalo o běžnou soukromou obchodní společnost, nýbrž o veřejný podnik, okruh beneficientů bývá u veřejného podniku stejně mnohem užší. Těžko představitelný je i způsob, jak objektivně vyjádřit ztracenou důvěru v takový podnik v penězích.
Zadostiučinění pak zahrnuje uznání, že byl spáchán mezinárodně protiprávní čin a vyjádření lítosti nad ním, omluvu, jakož i jiné vhodné způsoby jednání státu. V případě, 840 že došlo ke spáchání protiprávního činu překročením pravomoci úředníka, jehož jednání bylo přičteno státu, lze
Čl. 34 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
836
Tallinn Manual 2.0, Rule 29 - Forms of reparation, body 2 - 3.
837
Tamtéž, bod 5.
838
Tamtéž, bod 7.
839
Čl. 37 odst. 2 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
840
nahlížet na následné vyšetřování a potrestání jeho pochybení rovněž jako na určitou formu zadostiučinění. Zadostiučinění bude na místě zejména tehdy, vedl-li kybernetický útok ke vzniku 841 nehmotné újmy, anebo nejeví-li se uvedení do původního stavu ani odškodnění jako dostačující. 842
Tallinn Manual 2.0, Rule 29 - Forms of reparation, bod 10.
841
Tamtéž, bod 9.
842