Přičitatelnost (atribuce)

odpovědnost zahrnuje podle okolností případu obsahově různé nové právní vztahy, jež mohou zahrnovat požadavek na zdržení se protiprávní činnosti a zákaz jejího opakování, povinnost k náhradě vzniklé újmy, možnost provedení protiopatření i uložení sankce. Prostředky nápravy, ⁷²⁵ které má poškozený stát k dispozici, upravují právní normy o mezinárodní odpovědnosti států.

Tallinn Manual 2.0 zdůrazňuje, že stejně tomu bude i v případě kritérií přičitatelnosti protiprávního činu konkrétnímu státu v kyberprostoru. ⁷²⁶

Druh reakce poškozeného státu na kybernetický útok namířený vůči jeho státním zájmům, jakož i intenzita takové reakce, bývá často výsledkem rychlého posouzení v důsledku nedostatku času a informací. Obecně však platí, že čím bude kybernetický útok závažnějším porušením mezinárodní normy, tím více by se měl reagující stát opírat o konkrétní důkazy, které by měl být schopen v případě potřeby poskytnout (i veřejně). Intenzita svépomocných reakcí státu, mezi něž se řadí retorze, protiopatření, krajní nouze a sebeobrana, narůstá úměrně se závažností porušení mezinárodního práva. Zároveň platí, ⁷²⁷ že dotčený stát by měl jednat „rozumně”, tj. „takovým způsobem, jak by jednaly za stejných nebo obdobných okolností rozumné státy”. ⁷²⁸

Zásadní otázkou je pak rozlišení činů jednotlivců (soukromých osob) od státních činů, neboť z hlediska mezinárodního práva se chování soukromých osob nacházejících se na státním území, případně majících státní občanství, státu nepřičítá. Uvedené pravidlo je problematické v případě kybernetických útoků, neboť je mohou snadno uskutečnit soukromé osoby.

právech a právních povinnostech jemu bezprostředně nepodřízených právních subjektů.” ⁷³⁰ Jedná se o orgány moci zákonodárné, výkonné a soudní. Jakékoli aktivity v kyberprostoru prováděné například vládou ČR jako vrcholným orgánem moci výkonné, ale i ministerstvy, zpravodajskými službami, či prezidentem republiky, poruší-li tyto aktivity mezinárodněprávní závazek státu, dají vzniknout mezinárodní odpovědnosti ČR.

Pojem státních orgánů je zde nutno vykládat široce: za státní orgán se považují všechny osoby a subjekty, které mají status státního orgánu podle vnitrostátního právního řádu daného státu, a to bez ohledu na svoji funkci či postavení v rámci hierarchického uspořádání. Nevyžaduje se, ⁷³¹ aby vnitrostátní právo označovalo daný subjekt výslovně za státní orgán. Stát se nemůže zříci odpovědnosti za čin subjektu, který jednal jako státní orgán, tím, že by mu podle vnitrostátního práva takový status odepřel. Stěžejní má být faktická závislost subjektu na státu, jehož je pouhým ⁷³² instrumentem.

Stát odpovídá i za činy státních orgánů, které představují překročení svěřených pravomocí k výkonu státní moci. Bude-li např. příslušník vojenského zpravodajství provádět nezákonné ⁷³³ kybernetické operace v rozporu s příkazy nadřízených, bude stát odpovídat za jakékoli porušení mezinárodních závazků, jichž se tento příslušník dopustí. Opačná situace však nastane v případě výlučně soukromých aktivit, např. při zneužití přístupu ke státní kybernetické infrastruktuře a spáchání trestného činu. Takové chování jednotlivce nebude státu přičteno. ⁷³⁴

Stát odpovídá rovněž za přenesený výkon státní moci v případě nepřímých vykonavatelů státní správy, pokud jednají v rámci svěřené pravomoci. Stát přitom zavazuje i jednání ⁷³⁵ ultra vires. Tallinn Manual 2.0 například uvádí exces v podobě aktivní kybernetické obrany ve formě ⁷³⁶ zpětného hackingu (hacking back) ze strany soukromé společnosti zmocněné k pasivní kybernetické obraně státu. Stát by měl patrně odpovídat rovněž za činnost soukromých osob, pokud k ní došlo ⁷³⁷ na základě uzavřené a platné veřejnoprávní smlouvy v rámci zákonem předpokládané působnosti a

VOJTEK, Petr. § 3 [Subjekty, za jejichž činnost stát odpovídá]. In: VOJTEK, Petr, BIČÁK, Vít. Odpovědnost za

730

škodu při výkonu veřejné moci. 4. vydání. Praha: C. H. Beck, 2017, str. 35.

Čl. 4 odst. 2 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.

731

Bod 11 komentáře k čl. 4 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní

732

chování.

Čl. 7 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.

733

Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, body 6 - 7.

734

Čl. 5 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.

735

Čl. 7 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.

736

Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, bod 12.

737

pravomoci. Výjimečně bude stát odpovídat i za ⁷³⁸ činnost soukromých osob nezmocněných k výkonu dané pravomoci, pokud se samotný stát nachází v takové situaci, která mu znemožňuje výkon pravomoci, ačkoli by byl takový výkon pravomoci nutností, např. v případě vnitřního ozbrojeného konfliktu. ⁷³⁹

Územní hledisko je pro problematiku přičitatelnosti jednání státu nepříliš významné. Jak je patrné z výkladu o kybernetické trestné činnosti, existuje mnoho způsobů, jak poškozený stát zmást a provést kybernetický útok bez vazby na území útočícího státu. Příkladem může být padělání identity a IP adres (spoofing), zneužití botnetu k provedení útoku, ale také provedení kybernetického útoku pomocí soukromé kybernetické infrastruktury z různých státních území. ⁷⁴⁰

V případě, kdy stát jedná prostřednictvím státního orgánu jiného státu, jenž mu byl dán k dispozici, považuje se výkon pravomoci tohoto orgánu za jednání přijímajícího státu. To za ⁷⁴¹ podmínek, že dotčený orgán jedná pod výhradním vedením a kontrolou přijímajícího státu, nikoli státu vysílajícího (byť vysílající stát může i financovat dále jeho činnost), a dále že je daná činnost prováděna výlučně k účelům a jménem přijímajícího státu. Pokud by však např. stát A vyslal státu B svůj CERT tým za účelem potlačení kybernetického útoku, jehož cílem by byly oba státy, zůstane odpovědným za činnost svého CERT týmu stát A. Přijímající stát však odpovídá i za exces cizího státního orgánu, pokud takový orgán kontroluje. ⁷⁴²

Stát reagující na kybernetický útok jiného státu musí mít k dispozici důkazní prostředky, jimiž hodlá prokázat přičitatelnost kybernetického útoku jinému státu. Prokázání přičitatelnosti kybernetických operací konkrétnímu státu bývá spojeno s řadou obtíží, neboť zahrnuje tři roviny dokazování. Nejprve je třeba prokázat umístění počítačových zařízení či serverů, které byly původcem kybernetické operace, poté je třeba ztotožnit osobu, která tato zařízení ovládala, a konečně je třeba prokázat, že jednání takové osoby lze přičíst konkrétnímu státu. Důkazní ⁷⁴³ prostředky přitom nemusejí být předloženy pouze mezinárodním soudům a tribunálům; často je vlády předkládají různým politickým orgánům i široké veřejnosti za účelem získání širší politické

Srov. Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, bod 10, který zmiňuje smluvní

738

přenesení pravomoci provádět digitální forenzní analýzu v rámci činnosti orgánů činných v trestním řízení na soukromou osobu.

Podrobněji tamtéž, bod 17.

739

Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, body 14 - 15. Popsán je zde útok na

740

jihokorejská média a bankovní sektor v roce 2013, který byl připsán Severní Koree, byť byl proveden pomocí botnetů skrze kybernetické infrastruktury na území řady států.

Tallinn Manual 2.0, Rule 16 - Attribution of cyber operations by organs of other States.

741

Tamtéž, body 1 - 5.

742

ROSCINI, Marco. Op. cit., str. 239 - 240.

743

podpory pro svůj následný postup. Podrobněji lze k problematice dokazování kybernetických ⁷⁴⁴ operací odkázat například na článek Marca Rosciniho. ⁷⁴⁵

2.4.3.2. Přičitatelnost kybernetických operací nestátních aktérů

Jednání soukromých subjektů v zásadě nelze považovat za jednání státu. Mezinárodní právo stanoví specifické podmínky, za kterých však lze jednání jednotlivců (soukromých osob) přičíst konkrétnímu státu a dovodit jeho mezinárodní odpovědnost. Tallinn Manual 2.0 zmiňuje následující podmínky: „Kybernetické operace prováděné nestátními aktéry lze přičíst státu, pokud jsou prováděny podle jeho pokynů či pod jeho vedením nebo kontrolou, anebo jestliže je stát uzná za své.”⁷⁴⁶ Pro kyberprostor se tak přebírá úprava čl. 8 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování, který se vztahuje na chování jednotlivců i skupin. Úprava dopadá na samostatně jednající hackery, na organizované aktivistické skupiny či ⁷⁴⁷ hnutí typu Anonymous, na obchodní korporace, i na organizované skupiny páchající trestnou činnost či teroristická uskupení; přítomnost hierarchického uspořádání ani stupeň organizovanosti skupiny není rozhodující. ⁷⁴⁸

Stát odpovídá za činy nestátních aktérů, existuje-li mezi státem a jednajícím soukromým subjektem faktický vztah, který se demonstruje udílením pokynů, řízením činnosti nebo výkonem kontroly. Nestátní aktér jednající na základě pokynů státu např. může fungovat jako „pomocná ⁷⁴⁹ síla” v případě nedostatečné kapacity státních orgánů zvládnout masivní kybernetický útok. ⁷⁵⁰ Dopustí-li se přitom nestátní aktér mezinárodně protiprávního činu, bude odpovědným stát.

Má-li být jednání nestátních aktérů přičitatelné státu proto, že je prováděno pod kontrolou státu, musí ovšem jít o efektivní kontrolu. Stát musí v takovém případě nařizovat provedení kybernetických operací a řídit jejich průběh i jejich ukončení, přičemž musí jít o nedílnou součást

Příkladem je předložení důkazních prostředků Radě bezpečnosti OSN Reaganovou administrativou k ospravedlnění

744

ozbrojeného zákroku v Tripoli v Lybii roku 1986 jakožto opatření v sebeobraně. ROSCINI, Marco. Op. cit., str. 241.

ROSCINI, Marco. Evidentiary Issues in International Disputes Related to State Responsibility for Cyber Operations

745

[online]. Texas International Law Journal, 2015, č. 50. Dostupné: https://ssrn.com/abstract=2611753 [Cit. 2022-11-02].

Tallinn Manual 2.0., Rule 17 - Attribution of cyber operations by non-State actors. Překlad autorka.

746

Čl. 8 Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování zní: „Jednání osoby či

747

skupiny osob bude považováno za akt státu ve smyslu mezinárodního práva, jestliže tato osoba či skupina osob ve skutečnosti jedná podle pokynů tohoto státu, či pod jeho vedením nebo kontrolou.” Překlad autorka.

Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, bod 2.

748

Tamtéž, bod 3.

749

Srov. příklady tamtéž, bod 4.

750

státem plánovaných aktivit. Nejedná se o pouhou spolupráci státu a soukromých subjektů ani o ⁷⁵¹ případy poskytnutí vybavení či financování aktivit ze strany státu. Takové podpůrčí aktivity státu by však mohly být považovány za nedovolenou intervenci. ⁷⁵²

Narozdíl od pravidel upravujících přičitatelnost u státních orgánů v zásadě stát neodpovídá za exces v jednání soukromých osob. Tallinn Manual 2.0 příkladem uvádí tři roviny excesu: 1. Dá-li stát A pokyn k destruktivním kybernetickým útokům vůči majetku státu B, odpovídá za jednání nestátního aktéra, který se snažil takový cíl splnit instalací zvláště škodlivého malware. 2. Pokud by se malware nepředpokládaně rozšířil do systémů státu C a způsobil zde škodu, bude jednání soukromé osoby rovněž přičitatelné státu A, neboť škoda vznikla na základě jednání soukromé osoby, k němuž dal stát A pokyn, byť součástí jeho pokynu nebylo způsobit škodu státu C. 3.

Zaměří-li se soukromá osoba v rozporu s pokynem státu A na použití malware vůči státu C, půjde o exces a její jednání nebude státu A přičitatelné. Kybernetické operace soukromé osoby jsou excesem, který nelze státu příčíst, jestliže nesouvisejí s účelem operace kontrolované státem, ledaže by je stát uznal a přijal za své. ⁷⁵³

Uznání a přijetí kybernetického útoku nestátního aktéra za vlastní musí být ze strany státu výslovné, aby mu bylo možné daný útok přičíst. Uznání mlčky, respektive tichý souhlas či schvalování by takové následky nevzbudilo. O výslovné uznání a přijetí kybernetického útoku za vlastní by mohlo jít v případě, kdy by stát cíleně podnikl konkrétní kroky k ochraně útočníků před protiopatřeními či jinou reakcí ze strany poškozeného státu tak, aby mohl útok pokračovat. ⁷⁵⁴

Jestliže shora nastíněné podmínky k tomu, aby bylo jednání jednotlivce přičteno konkrétnímu státu, naplněny nejsou, může stát popřít svoji odpovědnost. Problém přičitatelnosti však mohou státy zneužívat s cílem získat politickou či vojenskou výhodu. Tím se stává problém přičitatelnosti součástí konceptu lawfare, kdy je právo zneužito k získání vojensky hodnotného cíle, který by jinak byl získán s pomocí tradičních vojenských prostředků. Zejména v hybridních konfliktech, mezi něž se řadí i využití kybernetických operací, jde o čím dál častěji využívanou taktiku. ⁷⁵⁵

Rozsudek Mezinárodního soudního dvora ze dne 27. 6. 1986, Military and Paramilitary Activities in and against

751

Nicaragua (Nicaragua v. United States of America), odst. 115. Dostupný: https://www.icj-cij.org/en/case/70 [Cit.

2022-11-14], jakož i Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, body 6 - 7.

Podrobněji Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, body 8 - 9.

752

Tamtéž, body 12 - 13 a 15.

753

Tamtéž, bod 16.

754

BRUNER, Tomáš, FAIX, Martin. Problém přičitatelnosti jako nástroj lawfare [online]. Obrana a strategie. Brno:

755

University of Defence, 2018, 2018(1), str. 79-95. Dostupné: https://www-ceeol-com.ezproxy.is.cuni.cz/search/journal- detail?id=139 [Cit. 2022-11-14].

Lze doplnit, že s pojmem přičitatelnosti, resp. atribuce, se setkáme i na vnitrostátní úrovni.

Národní strategie kybernetické bezpečnosti jej vysvětluje jako „[p]roces přičitatelnosti škodlivých aktivit v kyberprostoru určitému zdroji k aktivitám konkrétního státu nebo aktivitám nezávislým na státních strukturách. Provádí se na technické, netechnické a všezdrojové úrovni. Na politické úrovni poté probíhá schválení atribuce a rozhodnutí o jejím využití.” ⁷⁵⁶ Podle Akčního plánu je úkolem NÚKIB, MZV, PČR, ÚV ČR a zpravodajských služeb „[v]ytvořit, implementovat a v relevantních případech aktivovat efektivní národní rámec plnohodnotné atribuce závažných kybernetických útoků.” ⁷⁵⁷

2.4.4. Okolnosti vylučující protiprávnost kybernetických operací