Mají státní orgány vstupovat do soukromých interních systémů?

Státní bezpečností orgány některých zemí vstupují do interních softwarových systémů soukromých firem a organizací. Snaží se tak z hackery napadnutých informačních systémů odstranit potenciálně škodlivé programové kódy. To vše provádí nejen ze svých serverů, ale i navzdory tomu, že to organizace neví, nebo si to možná nepřejí. Tímto chováním otevírají Pandořinu skříňku. Je to v pořádku? Kam až může státní orgán zajít vůči soukromému subjektu? Neposouvají se hranice až příliš daleko?

Rozsáhlé kampaně závažných kybernetických útoků v uplynulých dnech jen potvrdily, že je zapotřebí jednat. Hlavně rychle. Proto v dobré víře vlády zemí přistupují k poměrně zajímavému způsobu řešení již odhalených infikovaných systémů, kdy jejich odborníci odstraňují backdoory a další škodlivé kódy. Z poslední doby jsou známé příklady, kdy se tak stalo i bez souhlasu od správce systému. „Není to tak dlouho, co malware Emotet napáchal v Německu v různých subjektech
a firmách obrovské škody. Díky zásahu Spolkové policie bylo toto nebezpečí zničeno. Odborníci policie ovládli řídící servery a připravili pro ně program, který infikovaným systémům poslal instrukce, aby škodlivý software deaktivoval a odstranil. Efektivně se tak zbavili celého problému,“ podotýká Martin Lohnert, bezpečnostní odborník společnosti Soitron.

Druhý případ souvisí s tématem žhavým v posledním době, a to sice napadáním Microsoft Exchange serverů. Jejich zranitelnosti (na které správce neaplikoval záplaty) jsou hackery zneužívány po celém světě. Připomeňme, že Microsoft zabezpečení k dispozici má. Celá věc měla zajímavou dohru v USA. „Instituce sice vyzvaly firmy ať problém vyřeší samy, avšak i po měsíci od tohoto oznámení stále existovaly desetitisíce serverů bez aktualizace,“ popisuje Martin Lohnert a dodává: „Na základě toho vydal okresní soud jižního obvodu Texasu svolení k možnosti zasáhnout v soukromých serverech bez souhlasu jejich vlastníků. FBI se tak postarala o to, aby učinila přítrž dalším útokům“. Soud americkému Federálnímu úřadu pro vyšetřování dovolil vyhledat a analyzovat servery. Zajímalo jej, zda obsahují uvedenou zranitelnost.  Umožnil archivovat a analyzovat veškerý kód související s napadením serverů a dále aktualizaci serverů, opravující chyby, které souvisí s popsanou zranitelností. „Také v České republice bylo stejnou zranitelností napadeno mnoho serverů, ale jak už je u nás zvykem, nikdo se tím moc nechlubí. Což není úplně dobře, protože to nejhorší, co může kyberbezpečnost oslabovat, je tutlání,“ podotýká prezident Českého institutu manažerů informační bezpečnosti (ČIMIB) Aleš Špidla.

Martin Lohnert podotýká, že se nedá upřít, že v obou případech se orgány snaží provést dobrou věc. „Státní bezpečnostní instituce chtěly firmám odstranit škodlivý software. Roli zde ale hraje i otázka morálnosti takového kroku,“ uvádí. Svět se změnil. Celá řada věcí, které se na první pohled jeví jako nemožné a v rozporu s právem, je naprosto v pořádku. Pohyb v kyberprostoru, který není světem absolutní svobody a už vůbec ne světem absolutního dobra, je tak dynamický, že jakákoliv časová prodleva reakce může vést k fatálním následkům.

„Když už to přirovnám k policejní akci ve fyzickém světě, tak je to obdoba zásahu na základě soudního povolení. Je tady ale obrovský rozdíl v rozsahu akce
a v optimální rychlosti reakce,“ popisuje Aleš Špidla a dodává, že podle Tallinského manuálu (analýza použitelnosti mezinárodního válečného práva v kyberprostoru) je kyberútočník povoleným cílem kinetického útoku.

Otázka morálnosti je určitě na místě, ale je tu jedno velké „ale“ stejně jako u práva na přiměřenou obranu. Množství napadených serverů generuje oprávněnou obavu z jejich možného zneužití k útoku na jakýkoliv cíl, a to takového, který by nešel zastavit. A co obránci zbývá? ČIMIB popisuje, že je to jako když se k mostu přes řeku valí nepřátelské tanky a obráncům nezbude než ten most vyhodit do povětří a tanky zastavit. Škody se počítají až potom a před stisknutím tlačítka není čas se ptát, komu ten most patří. „Při kyberútocích se to zásadní odehraje v prvních 20 až 100 milisekundách. Tam čas na diskuse s právníky opravdu není,“ popisuje Aleš Špidla.

Otázkou také je, zda je v pořádku, že orgány takové zásahy na území svého státu povolí provést. Nebo dokonce mohla by něco podobného udělat německá policie
i na územní České republiky? Prezident ČIMIB uvádí, že je to reálné, protože mezi státy probíhá velmi intenzivní spolupráce v rámci Europolu, pokud se týká škodlivých aktivit v oblasti kyberkriminality v Evropě. Stejně tak existuje intenzivní spolupráce institucí zodpovídajících za kybernetickou bezpečnost – u nás Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), v rámci EUROCERTu (orgán pro certifikaci systémů managementu), a těch, kteří zodpovídají za kybernetickou obranu – u nás Vojenské zpravodajství (VZ) a ostatními zpravodajskými službami.

„Spolupráce a synchronizace zásahů probíhá na mezinárodní úrovni nejen v rámci EU ale i se spojenci v rámci NATO. Takže takovýto zásah by byl určitě výsledkem kooperace všech relevantních institucí napříč,“ vysvětluje Aleš Špidla. Je na místě zdůraznit rozdíl mezi NÚKIB a VZ. Zjednodušeně NÚKIB má ve své gesci prevenci a VZ má kompetenci obrany a mimo jiné i oprávnění kybernetického protiútoku proti identifikovanému útočníkovi.

Prezident ČIMIB připomíná, že jsme demokratická země, která se řídí právem
a takovýto zákrok podléhá regulaci jako každý jiný. „V tom se lišíme od zemí, které demokratickým zřízením nedisponují. Případný zákrok se odvíjí od analýzy rizik, což znamená zjednodušeně odpovědi na otázky, co hrozí, když nezasáhneme, a co hrozí, když zasáhneme,“ uvádí Aleš Špidla. Ta musí proběhnout rychle a je k ní zapotřebí mít množství spolehlivých a včasných informací, což se v podobném případě bez intenzivní vnitrostátní a mezinárodní spolupráce nedá zajistit.
A nejenom té. Identifikace útočníka je vždy výsledkem práce kyberbezpečnostních expertů a analytiků ze všech zpravodajských služeb, ať už své informace získávají jakýmkoli způsobem.