2. Kyberprostor a úloha státu na zajištění informační bezpečnosti
2.4. Kybernetické operace a mezinárodní odpovědnost státu 1. Nestátní aktéři jako původci kybernetických operací
2.4.3. Přičitatelnost (atribuce)
odpovědnost zahrnuje podle okolností případu obsahově různé nové právní vztahy, jež mohou zahrnovat požadavek na zdržení se protiprávní činnosti a zákaz jejího opakování, povinnost k náhradě vzniklé újmy, možnost provedení protiopatření i uložení sankce. Prostředky nápravy, 725 které má poškozený stát k dispozici, upravují právní normy o mezinárodní odpovědnosti států.
Tallinn Manual 2.0 zdůrazňuje, že stejně tomu bude i v případě kritérií přičitatelnosti protiprávního činu konkrétnímu státu v kyberprostoru. 726
Druh reakce poškozeného státu na kybernetický útok namířený vůči jeho státním zájmům, jakož i intenzita takové reakce, bývá často výsledkem rychlého posouzení v důsledku nedostatku času a informací. Obecně však platí, že čím bude kybernetický útok závažnějším porušením mezinárodní normy, tím více by se měl reagující stát opírat o konkrétní důkazy, které by měl být schopen v případě potřeby poskytnout (i veřejně). Intenzita svépomocných reakcí státu, mezi něž se řadí retorze, protiopatření, krajní nouze a sebeobrana, narůstá úměrně se závažností porušení mezinárodního práva. Zároveň platí, 727 že dotčený stát by měl jednat „rozumně”, tj. „takovým způsobem, jak by jednaly za stejných nebo obdobných okolností rozumné státy”. 728
Zásadní otázkou je pak rozlišení činů jednotlivců (soukromých osob) od státních činů, neboť z hlediska mezinárodního práva se chování soukromých osob nacházejících se na státním území, případně majících státní občanství, státu nepřičítá. Uvedené pravidlo je problematické v případě kybernetických útoků, neboť je mohou snadno uskutečnit soukromé osoby.
právech a právních povinnostech jemu bezprostředně nepodřízených právních subjektů.” 730 Jedná se o orgány moci zákonodárné, výkonné a soudní. Jakékoli aktivity v kyberprostoru prováděné například vládou ČR jako vrcholným orgánem moci výkonné, ale i ministerstvy, zpravodajskými službami, či prezidentem republiky, poruší-li tyto aktivity mezinárodněprávní závazek státu, dají vzniknout mezinárodní odpovědnosti ČR.
Pojem státních orgánů je zde nutno vykládat široce: za státní orgán se považují všechny osoby a subjekty, které mají status státního orgánu podle vnitrostátního právního řádu daného státu, a to bez ohledu na svoji funkci či postavení v rámci hierarchického uspořádání. Nevyžaduje se, 731 aby vnitrostátní právo označovalo daný subjekt výslovně za státní orgán. Stát se nemůže zříci odpovědnosti za čin subjektu, který jednal jako státní orgán, tím, že by mu podle vnitrostátního práva takový status odepřel. Stěžejní má být faktická závislost subjektu na státu, jehož je pouhým 732 instrumentem.
Stát odpovídá i za činy státních orgánů, které představují překročení svěřených pravomocí k výkonu státní moci. Bude-li např. příslušník vojenského zpravodajství provádět nezákonné 733 kybernetické operace v rozporu s příkazy nadřízených, bude stát odpovídat za jakékoli porušení mezinárodních závazků, jichž se tento příslušník dopustí. Opačná situace však nastane v případě výlučně soukromých aktivit, např. při zneužití přístupu ke státní kybernetické infrastruktuře a spáchání trestného činu. Takové chování jednotlivce nebude státu přičteno. 734
Stát odpovídá rovněž za přenesený výkon státní moci v případě nepřímých vykonavatelů státní správy, pokud jednají v rámci svěřené pravomoci. Stát přitom zavazuje i jednání 735 ultra vires. Tallinn Manual 2.0 například uvádí exces v podobě aktivní kybernetické obrany ve formě 736 zpětného hackingu (hacking back) ze strany soukromé společnosti zmocněné k pasivní kybernetické obraně státu. Stát by měl patrně odpovídat rovněž za činnost soukromých osob, pokud k ní došlo 737 na základě uzavřené a platné veřejnoprávní smlouvy v rámci zákonem předpokládané působnosti a
VOJTEK, Petr. § 3 [Subjekty, za jejichž činnost stát odpovídá]. In: VOJTEK, Petr, BIČÁK, Vít. Odpovědnost za
730
škodu při výkonu veřejné moci. 4. vydání. Praha: C. H. Beck, 2017, str. 35.
Čl. 4 odst. 2 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
731
Bod 11 komentáře k čl. 4 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní
732
chování.
Čl. 7 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
733
Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, body 6 - 7.
734
Čl. 5 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
735
Čl. 7 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování.
736
Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, bod 12.
737
pravomoci. Výjimečně bude stát odpovídat i za 738 činnost soukromých osob nezmocněných k výkonu dané pravomoci, pokud se samotný stát nachází v takové situaci, která mu znemožňuje výkon pravomoci, ačkoli by byl takový výkon pravomoci nutností, např. v případě vnitřního ozbrojeného konfliktu. 739
Územní hledisko je pro problematiku přičitatelnosti jednání státu nepříliš významné. Jak je patrné z výkladu o kybernetické trestné činnosti, existuje mnoho způsobů, jak poškozený stát zmást a provést kybernetický útok bez vazby na území útočícího státu. Příkladem může být padělání identity a IP adres (spoofing), zneužití botnetu k provedení útoku, ale také provedení kybernetického útoku pomocí soukromé kybernetické infrastruktury z různých státních území. 740
V případě, kdy stát jedná prostřednictvím státního orgánu jiného státu, jenž mu byl dán k dispozici, považuje se výkon pravomoci tohoto orgánu za jednání přijímajícího státu. To za 741 podmínek, že dotčený orgán jedná pod výhradním vedením a kontrolou přijímajícího státu, nikoli státu vysílajícího (byť vysílající stát může i financovat dále jeho činnost), a dále že je daná činnost prováděna výlučně k účelům a jménem přijímajícího státu. Pokud by však např. stát A vyslal státu B svůj CERT tým za účelem potlačení kybernetického útoku, jehož cílem by byly oba státy, zůstane odpovědným za činnost svého CERT týmu stát A. Přijímající stát však odpovídá i za exces cizího státního orgánu, pokud takový orgán kontroluje. 742
Stát reagující na kybernetický útok jiného státu musí mít k dispozici důkazní prostředky, jimiž hodlá prokázat přičitatelnost kybernetického útoku jinému státu. Prokázání přičitatelnosti kybernetických operací konkrétnímu státu bývá spojeno s řadou obtíží, neboť zahrnuje tři roviny dokazování. Nejprve je třeba prokázat umístění počítačových zařízení či serverů, které byly původcem kybernetické operace, poté je třeba ztotožnit osobu, která tato zařízení ovládala, a konečně je třeba prokázat, že jednání takové osoby lze přičíst konkrétnímu státu. Důkazní 743 prostředky přitom nemusejí být předloženy pouze mezinárodním soudům a tribunálům; často je vlády předkládají různým politickým orgánům i široké veřejnosti za účelem získání širší politické
Srov. Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, bod 10, který zmiňuje smluvní
738
přenesení pravomoci provádět digitální forenzní analýzu v rámci činnosti orgánů činných v trestním řízení na soukromou osobu.
Podrobněji tamtéž, bod 17.
739
Tallinn Manual 2.0, Rule 15 - Attribution of cyber operations by State organs, body 14 - 15. Popsán je zde útok na
740
jihokorejská média a bankovní sektor v roce 2013, který byl připsán Severní Koree, byť byl proveden pomocí botnetů skrze kybernetické infrastruktury na území řady států.
Tallinn Manual 2.0, Rule 16 - Attribution of cyber operations by organs of other States.
741
Tamtéž, body 1 - 5.
742
ROSCINI, Marco. Op. cit., str. 239 - 240.
743
podpory pro svůj následný postup. Podrobněji lze k problematice dokazování kybernetických 744 operací odkázat například na článek Marca Rosciniho. 745
2.4.3.2. Přičitatelnost kybernetických operací nestátních aktérů
Jednání soukromých subjektů v zásadě nelze považovat za jednání státu. Mezinárodní právo stanoví specifické podmínky, za kterých však lze jednání jednotlivců (soukromých osob) přičíst konkrétnímu státu a dovodit jeho mezinárodní odpovědnost. Tallinn Manual 2.0 zmiňuje následující podmínky: „Kybernetické operace prováděné nestátními aktéry lze přičíst státu, pokud jsou prováděny podle jeho pokynů či pod jeho vedením nebo kontrolou, anebo jestliže je stát uzná za své.”746 Pro kyberprostor se tak přebírá úprava čl. 8 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování, který se vztahuje na chování jednotlivců i skupin. Úprava dopadá na samostatně jednající hackery, na organizované aktivistické skupiny či 747 hnutí typu Anonymous, na obchodní korporace, i na organizované skupiny páchající trestnou činnost či teroristická uskupení; přítomnost hierarchického uspořádání ani stupeň organizovanosti skupiny není rozhodující. 748
Stát odpovídá za činy nestátních aktérů, existuje-li mezi státem a jednajícím soukromým subjektem faktický vztah, který se demonstruje udílením pokynů, řízením činnosti nebo výkonem kontroly. Nestátní aktér jednající na základě pokynů státu např. může fungovat jako „pomocná 749 síla” v případě nedostatečné kapacity státních orgánů zvládnout masivní kybernetický útok. 750 Dopustí-li se přitom nestátní aktér mezinárodně protiprávního činu, bude odpovědným stát.
Má-li být jednání nestátních aktérů přičitatelné státu proto, že je prováděno pod kontrolou státu, musí ovšem jít o efektivní kontrolu. Stát musí v takovém případě nařizovat provedení kybernetických operací a řídit jejich průběh i jejich ukončení, přičemž musí jít o nedílnou součást
Příkladem je předložení důkazních prostředků Radě bezpečnosti OSN Reaganovou administrativou k ospravedlnění
744
ozbrojeného zákroku v Tripoli v Lybii roku 1986 jakožto opatření v sebeobraně. ROSCINI, Marco. Op. cit., str. 241.
ROSCINI, Marco. Evidentiary Issues in International Disputes Related to State Responsibility for Cyber Operations
745
[online]. Texas International Law Journal, 2015, č. 50. Dostupné: https://ssrn.com/abstract=2611753 [Cit. 2022-11-02].
Tallinn Manual 2.0., Rule 17 - Attribution of cyber operations by non-State actors. Překlad autorka.
746
Čl. 8 Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování zní: „Jednání osoby či
747
skupiny osob bude považováno za akt státu ve smyslu mezinárodního práva, jestliže tato osoba či skupina osob ve skutečnosti jedná podle pokynů tohoto státu, či pod jeho vedením nebo kontrolou.” Překlad autorka.
Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, bod 2.
748
Tamtéž, bod 3.
749
Srov. příklady tamtéž, bod 4.
750
státem plánovaných aktivit. Nejedná se o pouhou spolupráci státu a soukromých subjektů ani o 751 případy poskytnutí vybavení či financování aktivit ze strany státu. Takové podpůrčí aktivity státu by však mohly být považovány za nedovolenou intervenci. 752
Narozdíl od pravidel upravujících přičitatelnost u státních orgánů v zásadě stát neodpovídá za exces v jednání soukromých osob. Tallinn Manual 2.0 příkladem uvádí tři roviny excesu: 1. Dá-li stát A pokyn k destruktivním kybernetickým útokům vůči majetku státu B, odpovídá za jednání nestátního aktéra, který se snažil takový cíl splnit instalací zvláště škodlivého malware. 2. Pokud by se malware nepředpokládaně rozšířil do systémů státu C a způsobil zde škodu, bude jednání soukromé osoby rovněž přičitatelné státu A, neboť škoda vznikla na základě jednání soukromé osoby, k němuž dal stát A pokyn, byť součástí jeho pokynu nebylo způsobit škodu státu C. 3.
Zaměří-li se soukromá osoba v rozporu s pokynem státu A na použití malware vůči státu C, půjde o exces a její jednání nebude státu A přičitatelné. Kybernetické operace soukromé osoby jsou excesem, který nelze státu příčíst, jestliže nesouvisejí s účelem operace kontrolované státem, ledaže by je stát uznal a přijal za své. 753
Uznání a přijetí kybernetického útoku nestátního aktéra za vlastní musí být ze strany státu výslovné, aby mu bylo možné daný útok přičíst. Uznání mlčky, respektive tichý souhlas či schvalování by takové následky nevzbudilo. O výslovné uznání a přijetí kybernetického útoku za vlastní by mohlo jít v případě, kdy by stát cíleně podnikl konkrétní kroky k ochraně útočníků před protiopatřeními či jinou reakcí ze strany poškozeného státu tak, aby mohl útok pokračovat. 754
Jestliže shora nastíněné podmínky k tomu, aby bylo jednání jednotlivce přičteno konkrétnímu státu, naplněny nejsou, může stát popřít svoji odpovědnost. Problém přičitatelnosti však mohou státy zneužívat s cílem získat politickou či vojenskou výhodu. Tím se stává problém přičitatelnosti součástí konceptu lawfare, kdy je právo zneužito k získání vojensky hodnotného cíle, který by jinak byl získán s pomocí tradičních vojenských prostředků. Zejména v hybridních konfliktech, mezi něž se řadí i využití kybernetických operací, jde o čím dál častěji využívanou taktiku. 755
Rozsudek Mezinárodního soudního dvora ze dne 27. 6. 1986, Military and Paramilitary Activities in and against
751
Nicaragua (Nicaragua v. United States of America), odst. 115. Dostupný: https://www.icj-cij.org/en/case/70 [Cit.
2022-11-14], jakož i Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, body 6 - 7.
Podrobněji Tallinn Manual 2.0, Rule 17 - Attribution of cyber operations by non-State actors, body 8 - 9.
752
Tamtéž, body 12 - 13 a 15.
753
Tamtéž, bod 16.
754
BRUNER, Tomáš, FAIX, Martin. Problém přičitatelnosti jako nástroj lawfare [online]. Obrana a strategie. Brno:
755
University of Defence, 2018, 2018(1), str. 79-95. Dostupné: https://www-ceeol-com.ezproxy.is.cuni.cz/search/journal- detail?id=139 [Cit. 2022-11-14].
Lze doplnit, že s pojmem přičitatelnosti, resp. atribuce, se setkáme i na vnitrostátní úrovni.
Národní strategie kybernetické bezpečnosti jej vysvětluje jako „[p]roces přičitatelnosti škodlivých aktivit v kyberprostoru určitému zdroji k aktivitám konkrétního státu nebo aktivitám nezávislým na státních strukturách. Provádí se na technické, netechnické a všezdrojové úrovni. Na politické úrovni poté probíhá schválení atribuce a rozhodnutí o jejím využití.” 756 Podle Akčního plánu je úkolem NÚKIB, MZV, PČR, ÚV ČR a zpravodajských služeb „[v]ytvořit, implementovat a v relevantních případech aktivovat efektivní národní rámec plnohodnotné atribuce závažných kybernetických útoků.” 757
2.4.4. Okolnosti vylučující protiprávnost kybernetických operací