AMBIS vysoká škola, a.s.
Katedra bezpečnosti a práva
Kybernetické útoky proti Estonsku v roce 2007 a jejich dopady na kybernetickou bezpečnost v EU
Bakalářská práce
Autor: Pavla Hešíková
Bezpečnostní management v regionech Vedoucí práce: Ing. Vladimír Šulc, Ph.D.
Praha 2021
Prohlášení
Prohlašuji, že jsem bakalářskou práci zpracovala zcela samostatně a v seznamu literatury uvedla veškeré využité zdroje.
Stvrzuji svým podpisem, že odevzdaná elektronická podoba práce je shodná s její vytištěnou verzí, a jsem obeznámena se skutečností, že bude práce archivována v knihovně VŠ AMBIS, kde bude zpřístupněna třetím osobám prostřednictvím vnitřní databáze elektronických vysokoškolských prací.
V Chrustenicích dne jméno a příjmení autora
vlastnoruční podpis
Poděkování
Mé poděkovaní patří Ing. Vladimíru Šulcovi, Ph.D., za odborné vedení, jeho trpělivost a ochotu při konzultacích, a v neposlední řadě za bohaté rady v průběhu zpracování bakalářské práce.
Anotace
Bakalářská práce se zabývá problematikou kybernetických útoků. Cílem práce bylo vymezit základní pojmy v oblasti kyberprostoru a pomocí konkrétní případové studie zjistit, zda a jaký vliv měl tento útok na vnímání a aplikaci kybernetické bezpečnosti v rámci Evropské unie.
V teoretické části bakalářské práce je rozebrána problematika kyberprostoru, nejčastější typy kybernetických útoků a pravidla vedení kybernetických bojů. Praktická část popisuje případovou studii kybernetických útoků na Estonsko v roce 2007 a poukazuje na změny ve vnímání kybernetické bezpečnosti, které po tomto útoku nastaly.
Klíčová slova
Kyberprostor, kybernetické útoky, kybernetická bezpečnost, Estonsko, Talinský manuál Annotation
This bachelor thesis deals with the issue of cyber attacks. The goal of the thesis is to define the basic concepts in the field of cyberspace while using a specific case study to determine what effect this attack had on both the perception and application of cyber security in the European Union, if any. The theoretical part of the bachelor thesis deals with the issue of cyberspace, the most common types of cyber attacks and the rules of cyber fighting. The practical part describes a case study of cyber attacks in Estonia in 2007 and points out the changes in the perception of cyber security following that attack.
Key words
Cyberspace, cyber attacks, cyber security, Estonia, Tallin manual
6
Obsah
Úvod ... 7
Cíle a metodika ... 9
1 Kyberprostor, vznik a vývoj ... 10
2 Kybernetická bezpečnost ... 12
2.1 Bezpečnost dat a informací ... 13
3 Kybernetický útok ... 17
3.1 Typy kybernetických útoků ... 18
4 Kybernetická (informační) válka ... 26
5 Pravidla vedení kybernetických bojů ... 28
5.1 Mezinárodní a vnitrostátní ozbrojený konflikt ... 28
5.2 Zakázané prostředky a pojem útoku ... 29
5.3 Zakázané cíle útoku a zvažování taktiky v kybernetických operacích ... 30
6 Kazuistika ... 31
6.1 Kybernetické útoky na Estonsko v roce 2007 ... 31
6.2 Průběh útoků ... 32
6.3 Reakce na útoky ... 33
7 Shrnutí dosažených poznatků ... 39
Závěr ... 41
Seznam použité literatury ... 43
Seznam obrázků:... 47
Seznam grafů: ... 47
7
Úvod
Bakalářská práce se zabývá problematikou kybernetických útoků. Vzhledem k modernizaci a tím spojené digitalizaci společnosti, se tato problematika stala jednou z nejaktuálnějších.
Dnešní společnost prošla tak velkou změnou ve vnímání informačních a komunikačních technologií, že si již život bez nich nedokáže ani představit. Používání těchto technologií se stalo každodenní rutinou, a to jak v osobním životě, tak v pracovním prostředí. Informační technologie nás zkrátka obklopují úplně všude. Ať jsou to orgány státní správy, bankovní domy, zdravotnická zařízení, odvětví letectví... Výčet by byl téměř nekonečný. Je potřeba si uvědomit, že využívání těchto technologií nám sice přináší mnoho ulehčení, nicméně aby to tak mohlo být, musíme těmto technologiím poskytnout dostatečné množství informací a citlivých osobních dat. V souvislosti s tím je ale také potřeba se zamyslet, kdo s těmito informacemi pracuje, jakým způsobem k nim máme zajištěn přístup my, jako uživatelé a jakým způsobem jsou tyto informace a data chráněny.
V současné době si již i široká veřejnost v naší republice uvědomuje, jak závažné mohou být kybernetické útoky. Důvodem jsou nejen v médiích hojně zmiňované informace o kybernetických útocích ve světě, ale také stále častější kybernetické útoky v domácím prostředí, například na české nemocnice v nedávné době. I přes to je však kybernetická bezpečnost často podceňována a k mnoha kybernetickým útokům dochází na základě chyb uživatelů i bez cíleného útoku hackerů. Těm, kromě relativní anonymity internetového prostředí a slabého povědomí o zásadách kybernetické bezpečnosti uživatelů, nahrává v posledních měsících také pandemie coronaviru a fakt, že lidé pracují mnohem více z domova. Veškerá komunikace tak probíhá přes různé platformy a služby. Nezabezpečené internetové připojení tak dává prostor pro útok na počítačové sítě společností.
Kybernetické útoky nabývají na síle i významu a již dávno se nezaměřují jen náhodně na jedince či soukromé společnosti, ale jsou zaměřeny i na kritickou infrastrukturu států s cílem ohrozit celkovou bezpečnost dané země. Stále častěji bývají také tyto útoky politicky motivované.
Jednou z prvních zemí, kde k takovému útoku došlo, bylo Estonsko. Ač se jedná o malý Pobaltský stát, měl již v době, kdy k útokům došlo, vysoce rozvinutou digitalizaci státní správy a velkou závislost na internetu. Kromě toho, že se jednalo o politicky motivovaný útok, byla právě míra elektronizace jedním z důvodů, proč k tak rozsáhlým kybernetickým útokům došlo
8 právě zde. V zemích s méně rozvinutou elektronizací státní správy by totiž stejný útok vyvolal mnohem menší škody.
Tyto útoky na několik týdnů ochromily a vyřadily z provozu několik desítek důležitých webových stránek a výrazně ohrozily celkovou bezpečnost země. Bývají dokonce označovány za vůbec první případ kybernetické války. Mnoho odborníků však s tímto názorem nesouhlasí.
Ať již budeme tento akt nazývat jakkoli, pravdou je, že měl významný vliv na změnu ve vnímání kybernetické bezpečnosti nejen v Estonsku, ale i uvnitř Evropské unie. Z tohoto důvodu si také autorka tento případ vybrala do své práce.
Chceme-li se však věnovat problematice kybernetických útoků, je nezbytné vymezit si nejprve i pár pojmů, které s nimi úzce souvisí.
Bakalářská práce je proto členěna na dvě hlavní části. V první, teoretické části, se bude autorka věnovat vymezení a popisu základních pojmů v oblasti kyberprostoru, jeho vzniku a vývoji.
Dále se zaměří na jeho počátky, vývoj a na v současnosti nejčastější způsoby kybernetických útoků. Šířeji se pak bude zabývat DoS a DDoS útoky, které byly použity právě při útoku na Estonsko v roce 2007. Stejně tak budou nastíněna i pravidla vedení válek v kybernetickém prostoru. Postupně bude navázáno na část druhou – praktickou. V té, pomocí individuální deskriptivní případové studie, analyzuje konkrétní kybernetický útok a jeho dopady na vnímání kybernetických hrozeb na mezinárodní úrovni.
Cílem bakalářské práce je vyhodnocení, zda a jakým způsobem ovlivnil konkrétní kybernetický útok vnímání kybernetické bezpečnosti v rámci Evropské unie.
9
Cíle a metodika
Útoky na Estonsko bývají velmi často označovány jako první případ kybernetické války.
Zejména proto, že se jednalo o první případ politicky motivovaných útoků. Ačkoliv se Rusko k útokům nikdy oficiálně nedoznalo, některé důkazy hovořily o tomto zapojení velmi jasně.
Estonsko má navíc s Ruskem dlouhodobě napjaté vztahy, které k útokům nemalou měrou přispěly. Bývají nicméně mnohými autory publikací této problematiky vnímány různě, stejně tak jako vzájemné vztahy těchto zemí s Evropskou unií. Označení Ruska, jako viníka kybernetických útoků ze strany Evropské unie, by mohlo mít nedozírné následky. Ačkoliv mezinárodní vztahy nejsou hlavním tématem této práce, jistě měli na reakce po útocích významný vliv a budou tedy v práci alespoň okrajově zmíněny.
Cílem bakalářské práce je vymezit základní pojmy v oblasti kyberprostoru, analyzovat nejznámější a v současné době útočníky nejvíce využívané druhy kybernetických útoků, definovat pravidla vedení kybernetických bojů a pomocí případové studie vyhodnotit, jak konkrétní kybernetický útok ovlivnil vnímání kybernetické bezpečnosti v rámci EU.
Práce se skládá ze dvou částí. Teoretické a praktické. Teoretická část je vymezena v kapitolách jedna až pět. Hlavní vědeckou metodou využitou v této části je studium a analýza dokumentů.
Práce čerpá jak z publikované odborné literatury, tak z odborných médií, využívá dokumenty a statistiky národních i mezinárodních organizací a jiné veřejně dostupné zdroje.
V praktické části byla použita metoda individuální deskriptivní případové studie. Jejím cílem je co nejkomplexnější popis kybernetických útoků na Estonsko v roce 2007. Z tohoto důvodu je nejvhodnější metodou zkoumání kvalitativní výzkum process tracing. Tato metoda vyniká svým vysvětlujícím charakterem, který tak umožňuje detailní zkoumání důsledků této události, tedy jak útoky v Estonsku ovlivnily vnímání kybernetické bezpečnosti a legislativní rámec této oblasti.
10
1 Kyberprostor, vznik a vývoj
Kyberprostor je ono pomyslné hrací pole, ve kterém dochází ke kybernetické kriminalitě, potažmo kybernetickým útokům. Definovat přesně pojem kyberprostor však není vůbec jednoduché. Důvodem je jeho expanzivní, globální povaha, ale také skutečnost, že současný kyberprostor je neporovnatelný se stavem v jeho skromných počátcích.
Aby bylo možné definovat kyberprostor, je nezbytně nutné vymezit i pojem Internet, který právě s kyberprostorem bezprostředně souvisí (Kolouch, 2016, s.42).
Historie Internetu sahá do 60. let 20. století, kdy byla založena americká společnost ARPA.
Jejím hlavním úkolem bylo vytvoření decentralizované sítě. V roce 1969 pak byla zprovozněna síť ARPANET. Ta propojovala především univerzity a vládní subjekty. Síť byla celou dobu provozována americkou vládou a byla určena převážně pro vědeckovýzkumné a vojenské účely. ARPANET byl jednou z nejznámějších, nicméně ne jedinou počítačovou sítí v té době.
Nejen v USA, ale i jinde ve světě vznikaly v rámci jiných projektů další počítačové sítě, které většinou využívaly TCP/IP protokoly. Tyto sítě se samozřejmě různě propojovaly, převážně s právě známějším ARPANETEM. Jednou z takových sítí byl i NSFNET, který nakonec převzal i úlohu páteřní sítě.
Ačkoli byl Internet vybudován na základech sítí ARPANET a NSFNET, v současné době není nikdo vlastníkem Internetu a neexistuje ani centrální autorita či instituce, která by jej řídila.
„Materiální (hmotnou) podstatou Internetu je jeho páteřní síť, která vede signál (data) vzduchem, kabely, či jinými přenosovými médii. Technicky se jedná o celosvětovou distribuovanou počítačovou síť složenou z jednotlivých menších sítí, které jsou navzájem spojeny pomocí protokolu IP a tím je umožněna komunikace, přenos dat, informací a poskytování služeb mezi subjekty navzájem.“ (Kolouch, 2016, s. 42)
Kyberprostor je tedy jakási virtuální realita závislá na materiální podstatě. Vyniká hlavně svou globálností, otevřeností a bohatostí informací.
„Správou internetu se na světové úrovni zabývá Fórum pro správu internetu (IGF) a Vládní poradní výbor (GAC), který poskytuje rady a doporučení Internetové korporaci pro přidělená jména a čísla (ICANN). Na evropské úrovni se této problematice věnuje Skupina na vysoké úrovni pro správu internetu (HLIG).“ (MPO ČR, © 2021)
„IGF představuje svobodné fórum všech zainteresovaných subjektů z řad veřejného a soukromého sektoru, které vzniklo v souladu se závěry Světového summitu o informační
11 společnosti (World Summit on Information Society, WSIS) z listopadu 2005 a bylo svoláno generálním tajemníkem OSN Kofi Annanem. IGF je součástí globálního úsilí o vytvoření obecně přijatelných pravidel pro provoz a fungování internetu ve světě.“ (MPO ČR, © 2021)
„GAC je vládní poradní orgán sdružující v současné době 123 států z celého světa. Jeho hlavním úkolem je poskytovat rady a doporučení Internetové korporaci pro přidělená jména a čísla (ICANN), organizaci, která je zodpovědná za správu systému doménových jmen (Domain Name System, DNS).“ (MPO ČR, © 2021)
ICANN je globální organizace, která vznikla na základě smlouvy s USA a která spravuje systém doménových jmen. Přidělování adres by mělo probíhat vždy nestranně, bez ohledu např.
na politiku dané země.
„HLIG je skupina zřízená Evropskou komisí, která však není formálně ustavena a není zakotvena v oficiální struktuře Evropské unie. Jednání se účastní zástupci vlád jednotlivých členských států EU, Norska a Švýcarska. Celé skupině předsedá právě Evropská komise.
Skupina HLIG se zabývá kritickými faktory správy internetu, zejména těmi, které patří do oblasti veřejného zájmu.“ (MPO ČR, © 2021)
Z hlediska české legislativy je pak možné použít definici ze Zákona o kybernetické bezpečnosti, která kyberprostor popisuje jako „digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací“
(Zákony pro lidi, Z. č.181/2014 Sb., © 2020).
„Běžně se pak za kyberprostor považuje celosvětová síť Internet, představující prostředí, které žádná organizace nemá zcela pod kontrolou.“ (Šulc, 2018, s. 9)
Z výše uvedených definic tedy vyplývá, že kyberprostor je prostředí, ve kterém fungují vzájemně propojená zařízení, která pracují s určitými informacemi. Kyberprostor je značně specifické prostředí, na které však lze v obecné rovině aplikovat standardní kritéria reálného světa.
12
2 Kybernetická bezpečnost
Právě díky již zmiňované modernizaci společnosti a masivnímu využití ICT získala otázka kybernetické bezpečnosti na významu.
Uživatelé nechtějí a zpravidla ani nemají snahu zjišťovat, kudy a jakým způsobem dochází k přenosu dat jimi vložených. Nezajímá je ani, kde se nachází adresát přenášených dat, či kde jsou data uchovávaná. Rychlost a zejména dostupnost přenášených dat se stává klíčových elementem dnešní doby (Kolouch, 2016, s. 46).
Z důvodu celosvětového rozvoje ICT a taktéž díky stále častějším a významnějším incidentům, se kybernetická bezpečnost stala i jednou z hlavních priorit v mnoha národních politikách.
Přesto, že se kybernetická bezpečnost dostala takto do popředí, existuje celá řada definic tohoto pojmu, z nichž některé si dokonce protiřečí.
Ve výkladovém slovníku kybernetické bezpečnosti je definována jako „souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru“. (Jirásek, Novák, Požár, 2015, s. 69)
Na tuto definici v praktickém zaměření navazuje definice uvedená v Národní strategii kybernetické bezpečnosti na období let 2015 až 2020, kde je definována jako soubor prostředků a opatření zahrnující různá odvětví, který slouží k zabezpečení kyberprostoru v České republice pro všechny subjekty státní i soukromé sféry.
Další z definic vysvětluje tento pojem jako soubor nástrojů, zásad, koncepcí zabezpečení, bezpečnostních opatření, pokynů, přístupů k řízení rizik, akcí, školení, osvědčených postupů, záruk a technologií, které lze použít k ochraně kybernetického prostředí, organizace a aktiv uživatelů. (Warren, 2013, s. 7)
Událost, náhodnou či úmyslně vyvolanou, která může mít nežádoucí vliv na hlavní atributy bezpečnosti, tedy na důvěrnost, integritu a dostupnost, nazýváme kybernetickou hrozbou.
(Šulc, 2018, s. 90)
„Kybernetickou hrozbu lze definovat také jako akt směřující ke změně informace, aplikací či systému samotného“ (Kolouch, Bašta a kol., 2018, s. 75)
Pojem hrozba lze obecně definovat jako něco, co může negativním způsobem ovlivnit běžný chod věcí, poškodit systém nebo organizaci. Hrozba využívá zranitelnosti a způsobuje rizika (škody).
13 Dle dikce Ministerstva vnitra ČR je takto označen jakýkoli fenomén, který má potenciální schopnost poškodit zájmy a hodnoty chráněné státem. Míra hrozby je dána velikostí možné škody a časovou vzdáleností (vyjádřenou obvykle pravděpodobností čili rizikem) možného uplatnění této hrozby. (© 2021)
„Kybernetickou hrozbu lze definovat také jako akt směřující ke změně informace, aplikací či systému samotného.“ (Kolouch, Bašta a kol., 2018, s. 75)
Vlastních klasifikací hrozeb existuje celá řada. Nejčastěji jsou děleny podle zdroje hrozby, zdroje působení, cíle, motivace a v neposlední řadě typů hrozeb.
Další pojem, který úzce souvisí se základními atributy bezpečnosti, je kybernetický incident.
Zákon o kybernetické bezpečnosti definuje v §7 odst.2 kybernetický bezpečnostní incident jako narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. (Zákony pro lidi, Z.č. 181/2014 Sb., © 2020)
Abychom tuto definici pochopili, je potřeba vysvětlit si i pojem bezpečnostní událost. Tu definuje opět Zákon o kybernetické bezpečnosti, taktéž v §7, odst.1.
„Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.“ (Zákony pro lidi, Z.č. 181/2014 Sb., © 2020) Z definice zákona tedy vyplývá, že kybernetický incident může být způsoben jak úmyslně, tak neúmyslně, ale není vyloučeno ani působení vyšší moci. Příčinou kybernetického incidentu mohou být i chyby hardwaru, softwaru, chyby uživatelů systému a jiné. Podstatné je, že dojde k narušení bezpečnosti informací, nebo služeb a informačních a komunikačních systémů s tím spojených (Kolouch, Bašta, 2018, s. 81).
2.1 Bezpečnost dat a informací
Jak bylo již zmíněno výše, cílem kybernetické bezpečnosti je zajistit dostupnost počítačů a jejich sítí, zajistit důvěrnost a integritu uložených, zpracovávaných a přenášených dat. Tyto tři atributy bezpečnosti, tedy důvěrnost (Confidentiality), integrita (Integrity) a dostupnost (Availability), můžeme označit za standarty kybernetické bezpečnosti, nazývané též jako triáda CIA.
14 Obrázek 1: Triáda CIA (Cleverandsmart, © 2021)
Pojem důvěrnost lze definovat jako zajištění toho, že data (informace) jsou přístupná pouze oprávněným osobám. V případě, že dojde k zpřístupnění dat (informací) osobám nepovolaným, hovoříme o narušení jejich důvěrnosti.
Proto je pro společnosti zcela zásadní zavést schémata pro klasifikaci informací. Definice jednotlivých stupňů klasifikace musí být natolik pochopitelná, aby s takovým stupněm informací uměli uživatelé nejen náležitě zacházet, ale též informacím odpovídající klasifikační stupeň přidělit. V současnosti se používají různá klasifikační schémata pro státní sféru a komerční odvětví. Jako příklad klasifikačního schématu užívaného ve veřejné sféře se nejčastěji uvádí toto rozdělení:
„Top secret (přísně tajné) – nejvyšší stupeň, nežádoucí zpřístupnění těchto informací může mít zcela zničující dopad na národní bezpečnost. Secret (tajné) – nežádoucí zpřístupnění těchto informací může mít značný dopad na národní bezpečnost. Confidential (důvěrné) – nežádoucí zpřístupnění těchto informací může mít významný dopad na národní bezpečnost. Sensitive but unclassified (citlivé, ale neklasifikované) – nežádoucí zpřístupnění těchto informací by nemělo mít významný dopad na národní bezpečnost. Unclassified (neklasifikované) – nejnižší stupeň, nežádoucí zpřístupnění těchto informací by nemělo mít žádný dopad na národní bezpečnost.“
(Šulc, 2018, s. 19)
V komerční sféře se nejčastěji používají tyto čtyři klasifikační stupně:
„Confidential (důvěrné) – nejvyšší stupeň, nežádoucí zpřístupnění těchto informací může mít až zničující dopad na společnost (strategické plány, zdrojové kódy). Private (soukromé) – nežádoucí zpřístupnění těchto informací může mít negativní dopad na společnost (osobní údaje o zaměstnancích a klientech). Sensitive (citlivé) – nežádoucí zpřístupnění těchto informací může
15 mít negativní dopad na společnost (informace o projektech, plánovaných změnách, vývoji cen).
Public (veřejné) – nejnižší stupeň, veřejně známé informace, nežádoucí zpřístupnění těchto informací by nemělo nikoho poškodit, a nemělo by mít žádný dopad na společnost (e-mailové adresy, telefonní čísla, jména zaměstnanců).“ (Šulc, 2018, str. 20)
Nad klasifikačním schématem pro komerční sektor by se jistě dalo diskutovat. Obzvlášť mezi klasifikačním stupněm Private a Sensitive je rozdíl opravdu nepatrný a závislý spíše na individuálním výkladu. Podstatné však je, že každá informace, kterou bude společnost vytvářet, uchovávat nebo s ní nějak nakládat, musí mít přiřazený příslušný kvalifikační stupeň. Ten se v průběhu životního cyklu informace může samozřejmě měnit. To se však týká nejen komerčního, ale i veřejného sektoru. V takovém případě je nutné nezapomenout i na změnu ochrany této informace a možnou změnu zacházení s touto informací.
Druhým prvkem triády je pojem Integrita, která bývá také definována jako stav, kdy přečtená data jsou totožná s daty uloženými. Data tedy nebyla nijak pozměněna a je zachována jejich kompletnost.
„V případě integrity je potřeba si uvědomit, že pokud dojde k nežádoucí změně dat (a to ať už úmyslně, náhodou, či technickým selháním v důsledku působení vyšší moci), nemusí být tato nežádoucí změna vůbec odhalena a může uplynout dlouhá doba, než si někdo něčeho všimne.
Čím později se na tento bezpečnostní incident přijde, tím vážnější bude jeho dopad. Problém spočívá v tom, že je velice obtížné dohledat, jaká byla ona původní hodnota, protože nebudeme vědět, kdy přesně ke změně došlo.“ (Šulc, 2018, s. 22)
Z tohoto důvodu nám bohužel nepomohou ani standartní opatření určená pro zajištění dostupnosti, jakou jsou archivace a zálohování.
Hodnocení úrovně integrity upravuje ve své příloze č.1 Vyhláška o kybernetické bezpečnosti.
Rozděluje jí na čtyři úrovně podle požadavků na ochranu aktiv, a to na nízkou, střední, vysokou a kritickou. (Zákony pro lidi, Vyhláška č.82/2018 Sb., © 2021)
Pojem dostupnost lze pak popsat jako zajištění toho, že informace a s nimi spojená aktiva jsou uživatelům dostupná v době, kdy je požadují. Dle výkladového slovníku kybernetické bezpečnosti je „dostupnost definována jako vlastnost přístupnosti a použitelnosti na žádost oprávněné entity.“ (Jirásek, Novák, Požár, 2015 s. 43)
Hodnocení dostupnosti můžeme opět nalézt ve vyhlášce o kybernetické bezpečnosti, která jí dle úrovně rozděluje na nízkou, střední, vysokou a kritickou. Za narušení dostupnosti pak můžeme označit zničení určitých informací.
16 V současné době je však využívání této triády k udržení adekvátní úrovně kybernetické bezpečnosti nedostačující. „V odborné literatuře se poukazuje na uplatňování Parkerian hexad, což je de facto triáda CIA, která je doplněná o tři prvky: P/C – Possession/Control (držení či kontrola), A – Authenticity (autentičnost) a U – Utility (užitečnost). Smyslem kybernetické bezpečnosti je zajistit jak bezpečnost ICT jako takových, tak i zejména dat a informací, které jsou těmito prvky přenášeny, zpracovávány a uchovávány.“ (Kolouch, Bašta, 2019, s. 45)
Obrázek 2: Parkerian Hexad (Cleverandsmart, © 2021)
17
3 Kybernetický útok
Ruku v ruce s digitalizací společnosti a rostoucím množstvím ICT roste i počet kybernetických útoků. Již dávno nejsou vnímány jen jako počin hackerů na obchodní společnosti, či např.
bankovní domy. I široká veřejnost si začíná ve světle nedávných událostí (v ČR např.
kybernetické útoky na nemocnice) uvědomovat jejich rozsah a závažnost.
Jednoznačná definice kybernetického útoku nicméně neexistuje. Jedná se o očividně úmyslné jednání směřující proti zájmům jiné osoby v kyberprostoru. Výkladový slovník kybernetické bezpečnosti definuje kybernetický útok jako „útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či strategické informace. Používá se nejčastěji v kontextu politicky či vojensky motivovaných útoků.“ (Jirásek, Novák a Požár, 2015, s. 71)
Tato definice však zdaleka nezahrnuje všechna možná negativní jednání. Cílem útoku může být kromě zmiňovaného poškození nebo získání citlivých informací také získání kontroly nad systémem, s cílem jeho ovládnutí nebo zneužití, například k získání finančních prostředků či k použití k jinému útoku.
Kybernetický útok lze také definovat jako „jakékoli úmyslné jednání útočníka v kyberprostoru, které směřuje proti zájmům jiné osoby.“ (Kolouch, Bašta a kol., 2019, s. 82)
Toto jednání však nemusí vždy naplňovat skutkovou podstatu trestného činu. Může být v rovině občanskoprávního deliktu, nebo může jít jen o jednání, které je tzv. nemorální.
Ať už budeme kybernetický útok definovat jakkoli, pravdou je, že jejich počet neustále narůstá.
Je to způsobené hlavně tím, že roste počet zařízení, připojených k internetu. A všechna tato zařízení se mohou stát potencionálním terčem útočníků. Náš svět se mění, modernizace a digitalizace se týkají všech oblastí a některé státy tyto procesy dokonce označují za jednu ze svých priorit.
Kybernetickým útokům však nenahrává jen vysoký podíl připojených zařízení. Neméně významnou roli hrají samotní uživatelé, kteří stále podceňují možné hrozby a jejichž bezpečnostní podvědomí nemá narůstající tendenci. Díky tomu dochází k narušení kybernetické bezpečnosti i bez konkrétního cíleného útoku.
18
„Většina útoků není cílených, ale je vedena plošně a tím nejjednodušším možným způsobem.
Útočník jde po tzv. low hanging fruit, neboli ovoci, které roste nízko a lze snadno utrhnout. To jinými slovy znamená, že hledá ten nejjednodušší, nejrychlejší a nejlacinější způsob, jak do daného systému proniknout, kompromitovat ho a poté využít. Pokud útočník hned napoprvé neuspěje, jde dál a nezdržuje se, chová se totiž naprosto racionálně, neboť ví, že brzy jistě narazí na jinou firmu, která bezpečnost absolutně neřeší a do které bude snadné proniknout.“
(Šulc, 2018, s. 32)
Tyto útoky jsou sice častější, nicméně nejsou zdaleka tak sofistikované a dá se proti nim poměrně lehce bránit. Stačí zavést alespoň základní bezpečnostní opatření.
V případě cílených útoků je to složitější. Útočník hledá na konkrétní organizaci, či osobě, zranitelnost v sytému. Tuto zranitelnost pak využije k proniknutí do systému, například za účelem sběru citlivých dat či získání přístupu k finančním zdrojům subjektu.
Velmi diskutovaným problémem se stala otázka zveřejňování informací o zranitelnostech. Ani odborná veřejnost není v názorech jednotná. Část odborníků vidí v takové informaci především návod pro útočníky. Svá tvrzení opírají o konkrétní informace o zvýšeném počtu útoků v době bezprostředně po zveřejnění nové zranitelnosti. Druhá část odborníků pak naopak zastává názor zcela opačný a to ten, že zranitelnosti by se měli zveřejňovat neprodleně po jejich odhalení.
(Šulc, 2018, s. 29)
3.1 Typy kybernetických útoků
Kybernetických útoků je tak velké množství, že uvádět je všechny by bylo nad rámec této práce.
Některé typy jsou navíc již zastaralé, neefektivní, a proto téměř nevyužívané. Tato kapitola se tedy zaměří na popis technik, které se v současné době skrývají za těmi nejčastějšími kybernetickými útoky. Pořadí, v jakém jsou uváděny, je zcela náhodné a není závislé na stupni závažnosti.
Hacking
Pojem hacking a hacker pochází z USA zhruba z poloviny 50. let 20. století. Označoval programátora a jeho činnost, která spočívala v pronikání do systémů, nicméně za účelem nalezení jeho nedostatků a chyb, jejich odstranění a vylepšení novým netradičním způsobem.
19 V současné době je hacker, a to převážně díky médiím, vnímán jako někdo, kdo se svou činností snaží dostat k nelegálnímu přístupu k cizímu systému či zařízení.
„Sami hackeři však užívají označení hacker pro osoby, které mají vynikající znalosti fungování informačních a komunikačních systémů, počítačových systémů, jejich operačních systémů a dalších programů, jejich síťových principů a mechanismů, přičemž jsou zároveň i vynikajícími programátory schopnými tvořit vlastní software, a to ve velmi krátkém čase.“
(Kolouch, 2016, s. 272).
To však ještě nemusí nutně znamenat škodu či jinou újmu pro uživatele. Motivace hackerů nebývá vždy finanční, jde také o určitou formu reputace, výzvy a neposlední řadě zábavy.
Nicméně v obecné rovině lze za hacking označit jakýkoliv neoprávněný průnik do počítačového systému z vnějšku, nejčastěji v rámci sítě Internet.
Malware
Slovo malware vzniklo spojením anglických slov malicious a software, tedy škodlivý software.
Je to tedy jakýkoliv druh škodlivého softwaru, jehož cílem je poškodit nebo zneužít nějaké zařízení či síť. Většina malware pracuje na zařízení skrytě a pokud je alespoň trošku sofistikovanější, je pro běžného uživatele problematické ho odhalit. Mezi nejčastějšími příznaky přítomnosti malwaru na zařízení je uváděno neobvyklé chování, pády různých programů a zpomalení přístupu na internet.
„Cílem malware může být v podstatě cokoliv a na napadeném zařízení se může různě projevovat. Většina malware má společné to, že se na napadeném zařízení skrývá a snaží se o nějakou persistenci (tj., aby přežil restart počítače)“. (Shoemaker, Conklin, 2011, dle Šulce, 2018, s. 40)
„Malware může mít celou řadu podob, přičemž mnohé druhy malware jsou pojmenovány podle toho, jakou činnost provádějí. Jeden malware je schopen plnit několik funkcí naráz. Může se například sám dále šířit prostřednictvím emailů (v rámci přílohy) nebo jako data v P2P sítích a zároveň může získávat například emailové adresy z napadeného počítačového sytému.“
(Kolouch, 2016, s. 204)
Podle projevů můžeme malware ještě dále rozdělit. Zde jsou uvedeny některé typy projevů.
Spyware – označován též jako špionážní software. Slouží k získávání statistických dat o provozu počítačového systému. Nejčastěji se malware infikuje do počítače uživatele přes jinou aplikaci, která pak plní úlohu trojského koně. Poměrně časté jsou i případy, kdy je
20 nakládání s citlivými informacemi o uživateli zmíněno v licenčním ujednání, ale to při instalaci aplikace většinou nikdo nečte, a přesto ho odsouhlasí. (Šulc, 2018, s. 42)
Scareware – jedná se o falešný antivir. Většinou návrh na jeho instalaci objeví při prohlížení různých webových stránek, které jsou však infikovány.
Ransomware – tzv. vyděračský malware, který brání uživateli řádné užívání systémů do doby, než dostane útočník zaplaceno tzv. výkupné.
Adware – jedná se o software, který vkládá nežádoucí reklamu. Velmi často je však takový software legitimním způsobem, jak může vývojář určité aplikace získat finanční prostředky, které by pokryly náklady na vytvoření aplikace. (Šulc, 2018, s. 42)
Phishing
„Pojmem phishing se nejčastěji označuje podvodné či klamavé jednání, jehož cílem je získat informace o uživateli, jako jsou např. uživatelské jméno, heslo, číslo kreditní karty, PIN aj.“
(Kolouch, 2016, s. 246).
Phishing můžeme přeložit jako rybaření. Označuje se takto proto, že stejně jako rybář nahodí pro svou kořist návnadu, snaží se útočník prostřednictvím emailu s odkazem či přílohou nalákat uživatele k otevření takového odkazu. Takový odkaz proto musí být natolik atraktivní, aby uživatele vážně zaujal.
Nejčastější způsob phishingového útoku je zaslání podvodného emailu, který však na první pohled nebudí žádné podezření. Naopak se tváří jako zpráva od důvěryhodných organizací, jakými jsou bankovní společnosti, platební brány či jiné organizace. Součástí tohoto podvodného emailu je pak odkaz, na který je nutné kliknout. Pokud tak uživatel učiní, dostane se na podvodnou stránku, na které je většinou požadováno zadání citlivých informací uživatele.
Tímto způsobem může dojít k jejich zneužití, a proto je vždy na místě velká obezřetnost.
„Phishingové útoky se však nezaměřují pouze na emaily. Je možné nalézt phishing v rámci instant messages (Skype, ICQ, Jabber aj.), sociálních sítí, SMS a MMS zpráv, chatovacích místností, scamu (podvodné nabídky práce, zboží, aj.), falešných aplikací do prohlížeče aj.“
(Kolouch, 2016, s. 247)
Příkladem phishingových útoků z posledních měsíců jsou např. emaily, které útočníci rozesílali klientům českých bank s výzvou o zabezpečení jejich účtů. Na sociálních sítích byli zaznamenány časté útoky v podobě zprávy s upozorněním, že uživatel porušil pravidla skupiny a je potřeba smazat příspěvky, které tyto pravidla porušují. A v neposlední řadě došlo i na
21 využití současné koronakrize, kdy byly zaznamenány phishingové emaily nabízející ochranné zdravotnické pomůcky.
Poslední dobou jsou tyto podvodné emaily již na takové úrovni, že mnohdy i bezpečnostní experti mají problém s jejich rozpoznáním od legitimních emailů. Dávno již neplatí, že stačí pouze neotevírat emaily od neznámých či nějak podezřelých odesílatelů. Současné phishingové kampaně se vyznačují emaily s bezchybnou češtinou, od známého odesílatele a mnohdy byli uživatelem dokonce očekávány. Takto sofistikované kampaně se označují jako spear phishing.
„Zatímco pro tradiční phishing je typické rozeslání obrovského množství e-mailů, často i na špatné adresy, tak v případě spear phishingu je tomu přesně naopak. Útočník v tomto případě zašle e-mail přímo konkrétní osobě, zpravidla zaměstnanci na určité pozici či vysoce postavenému manažerovi dané společnosti. Takový e-mail adresovaný konkrétní osobě může být těžko zachycen nějakým antiphishingovým filtrem především proto, že se nevyskytuje ve větším množství a nevykazuje žádné znaky typické pro phishing mail.“ (Šulc, 2018, s. 69) Botnet
Mnohdy stačí ke kybernetickému útoku pouhé začlenění napadeného a kompromitovaného zařízení do tzv. botnetu. Botnet lze jednoduše definovat jako síť softwarově propojených botů (bot – zkrácenina slova robot), které provádí činnost na základě příkazu „vlastníka“ (resp.
správce) této sítě. Takto postavená síť může být použita k legální činnosti (např. distribuované výpočty) nebo k činnosti nelegální. (Kolouch, 2016, s. 193)
Typické pro botnet je připojit infikovaný cílový počítačový systém k centrálnímu řídícímu serveru. Útočník tímto získává kontrolu nad celým tímto systémem.
Zařízení, které je součástí botnetu, může být zneužito např. DDoS útokem nebo z něj může být rozesílána nevyžádaná pošta. Odhalit takto napadený počítač navíc není vůbec snadné. „Takový botnet může čítat jak několik stovek, tak i několik miliónů kompromitovaných zařízení, na kterých se nachází program umožňující jeho vzdálenou správu a zneužití prakticky k jakýmkoliv útokům.“ (Šulc, 2018, s. 46)
Velmi vlivný botnet posledních let představoval botnet Emotet. Ten velmi citlivě zasáhl významné firmy po celém světě a v České republice stál za útoky na české univerzity, úřady a nemocnice. Byl natolik sofistikovaný, že se mu dařilo šířit po sítích více než sedm let.
Na začátku letošního roku se však podařilo Europolu, společně s FBI a policejními složkami z několika evropských zemí přebrat nad tímto botnetem kontrolu.
22 Sociální inženýrství
Jak již bylo zmíněno, pokud jde o bezpečnost, platí, že nejranitelnějším a nejslabším prvkem jsou uživatelé. Jejich nízké povědomí o bezpečnosti je jako stvořené pro zneužití např.
tzv. sociotechnikem. Tedy osobou, která ovládá techniky sociálního inženýrství jako jsou ovlivňování, přesvědčování a manipulace s lidmi.
„Sociotechnik se snaží vzbudit dojem důvěry, vhodně užívá informace, které už někde získal, zaštiťuje se autoritou, vydává se za výše postaveného v hierarchii, takže se oslovená osoba snaží vyhovět. Snahou sociotechnika je přesvědčit oběť, aby provedla to, co chce, nebo aby poskytla informace, které sociotechnik potřebuje, aniž by si uvědomila, že byla zneužita.“
(Šulc, 2018, s. 30)
Mezi nejčastější techniky, které jsou útočníky oblíbené, můžeme zařadit již zmiňovaný phishing, případně lépe cílený spear phishing, či whaling – což je ve své podstatě spear phishing, ale cíleně zaměřený na vrcholový management společnosti. Zajímavým faktem je, že organizace, na kterou je cílen plošný phishing, podlehne ze zhruba 35 %, přičemž pro útočníka je důležitý první přístup a dále pak privilegovaný přístup. Mezi bezkontaktní techniky sociálního inženýrství řadíme vishing (útočník se snaží získat citlivé informace pomocí telefonického horovoru) a smishing (nežádoucí obsah je zaslán uživateli na mobilní telefon formou SMS, MMS, či přes různé komunikační aplikace), ale můžeme sem zařadit také Scam (jedná se o nevyžádanou obchodní nabídku, po jejímž objednání nikdy neobdržíte to, co jste si objednali), Spam (nevyžádaná obchodní nabídka nebo sdělení odkazující na nákup služby nebo zboží) a další. (Hejda, © 2020)
Techniky sociálního inženýrství jsou velmi důmyslné a často nevyžadují žádnou IT znalost, a přitom jejich účinnost je dnes stále značná. Proti technikám sociálního inženýrství a kombinaci výše uvedených metod se nelze bránit technickými opatřeními, respektive spoléhat pouze na technická opatření. Musíme stále trénovat a školit zaměstnance, povídat si s nimi a demonstrovat sílu a dopady těchto útoků. Pamatujme na to, že člověk je a bude vždy tím nejslabším článkem mezi opatřeními organizace a musíme mu pomoci předřazením bezpečnostních prvků a pak následným školením. (Hejda, © 2020)
23 SQL Injection
Jak už sám název napovídá, při tomto typu útoku jde v podstatě o injekci, která přes neošetřený vstup aplikuju škodlivý kód a útočník tak provede vlastní pozměňující SQL příkaz. Tento typ útoku je založen na zneužití zranitelnosti v databázové či aplikační vrstvě. Přitom právě SQL databáze jsou jádrem mnoha aplikací.
Úspěšný útok může takto získat citlivé osobní informace, poškodit samotnou databázi např.
smazáním dat, nebo ji upravit ve vlastní prospěch. Typickým příkladem SQL Injection útoku je získání rozličných hesel z databáze nebo obcházení přihlašovacích formulářů (tedy neoprávněný přístup). Útočníci takto například modifikují ceny v internetových obchodech (či jakékoliv záznamy v databázi) nebo vytvářejí červa schopného následně se aktivovat (na počítači patřícímu uživateli, který si nechal zobrazit výsledek SQL dotazu).
Man-in-the-Middle attack
Jak již sám název napovídá, tento typ útoku využívá tzv. člověka uprostřed. Tzn. že se mezi dva systémy/uživatele (vás a adresáta vašich zpráv) dostane bez jejich vědomí útočník, který monitoruje komunikaci mezi uživateli a může jí nejen zneužít nebo pozměnit, ale i odcizit údaje ze zařízení.
Nejběžnějším typem MITM útoku je vytvoření pasti v podobě veřejné Wi-Fi sítě. Útočník ji pojmenuje důvěryhodným názvem, a jakmile se důvěřiví uživatelé připojí, útočník je začne sledovat. Útočníci rovněž využívají webových stránek bez bezpečnostních certifikátů (TLS/HTTPS). Pokud na těchto stránkách vyplníte jakékoli údaje (např. přihlašovací jméno, heslo, PIN), útočník je snadno zachytí pomocí speciálního softwaru (Digitální pevnost).
Nejlepší obranou proti tomuto typu útoku je opět prevence, jejíž součástí je například používání Wi-fi sítě, kterou uživatel zná, nebo které důvěřuje, a používání aktualizovaných webových prohlížečů.
DoS a DDoS útoky
Pojem DoS je zkratkou z anglického spojení slov „denial of service“, což lze přeložit jako
„popření či odepření služby“. Jedná se o jednu z forem útoků na (internetovou) službu, jehož cílem je vyřazení z činnosti nebo snížení výkonu napadeného technického zařízení. (Kolouch, 2016, s. 295) Tento útok probíhá tak, že napadený systém doslova zahltí požadavky.
Rozdíl mezi DoS a DDoS útoky je ve vedení útoku. V případě DoS je zdroj útoku jeden a tomuto útoku je tedy relativně snadnější se bránit.
24 U DDoS je zdrojů útoku více a bývají různě geograficky umístěny, což značně stěžuje identifikaci útočníka a samozřejmě obranu.
DDoS útok je od samého začátku velice přesně cílený. V zásadě jde o to, že si útočník nebo zájemce tento útok zaplatí a následně jsou z botnetu (což jsou kompromitované počítače, tzv.
zombie, které jsou za úplatu pronajímány) otevírány spojení/realizovány dotazy na server či web. Pod obrovským množstvím požadavků se pak cílový systém zpomalí nebo úplně zhroutí.
(Šulc, 2018, s. 53).
Realizace takového útoku je poměrně snadná, neboť cena, za kterou si můžete botnet pronajmout je v takové výši, že si ho může dovolit v podstatě každý. Je však potřeba zmínit, že za zhroucením systému a následnému odepření nějaké služby, může pomocí DDoS útoků dojít i zcela neúmyslně. Jedná se prostě o případy přetížení systémů nečekaným provozem. Proto ne každý DDoS útok lze označit jako protiprávní.
V současnosti již nejsou DDoS útoky využívány v takové míře jako dříve. Nicméně se stále jedná o velmi účinný prostředek používaný útočníky (Kolouch, 2016, s. 304). Po období významného poklesu opět dochází k nárůstu útoku, což dokazují i různé monitoringy.
Obrázek 3: Intenzita DDoS útoků od 2.1.2015 do 9.1.2021 (Digitalattackmap, © 2021)
„Ještě větší problém než samotná kvantita útoků, je jejich intenzita a délka. Zatímco na začátku roku 2018 zabral jeden DDoS útok průměrně 95 minut, na konci roku to už bylo 218 minut.
Celkem pětina útoků pak trvala přes 12 hodin, než weby definitivně zkolabovaly nebo útok ustal.
Výjimkou však nebyly ani několikadenní útoky. Ze zprávy Kaspersky Lab z prvního čtvrtletí 2019 navíc vyplývá, že tento trend nejen pokračuje, ale dokonce i zesiluje. Oproti konci roku 2018 se délka útoků zvýšila dokonce o 421 %. Zaznamenáno však bylo i velké množství krátkých útoků, které často trvaly jen několik málo sekund. Podle expertů hackeři takto testují svůj cíl a zjišťují, zda se jim vůbec vyplatí vyslat plnohodnotný útok.“ (SecurityWorld, © 2021)
25 O zvýšené intenzitě útoků hovoří i fakt, že zatímco v roce 2016 měl nejsilnější útok oficiálně uváděnou intenzitu 1Tbps (útok byl veden na servery DYN, které vedly k výpadkům desítek milionů IP adres a služeb jako jsou Airbnb, Netflix, PayPal, Visa, Amazon), v roce 2020 měl útok na Amazon intenzitu až 2,3 Tbps. Zatím nejsilnější útok byl však zaznamenán v roce 2017.
Jednalo se o útok na servery Googlu o intenzitě 2,54 Tbps. (cn.130.com, © 2021)
Graf 1: Intenzita DDoS útoků od roku 2003 do roku 2018 (NSFOCUS, © 2021)
„Útočníků, kteří využívají DDoS útoky k zajištění svých cílů je celá řada. DDos útoky mohou být vedeny například ze stran konkurence. Motiv útočníka je jasný, když zákazník nenakoupí u konkurence, nakoupí u mě. Pak jsou však i útočníci, kteří ani zaútočit nechtějí, byť jsou toho schopni a požadují zaplatit za to, že útok neprovedou. DDos útoky mohou být vedeny na organizace/subjekty podnikající v různém odvětví a každý z nich může mít různý dopad. DDoS útoky můžeme také zaznamenat ze strany nejrůznějších aktivistů a státem sponzorovaných skupin na nadnárodní korporace a vládní organizace, resp. webové stránky těchto organizací a síťovou infrastrukturu, kdy útočníci chtějí tyto systémy či infrastrukturu shodit a demonstrovat tak svoji sílu. Ještě horší jsou pak DDoS útoky na síťovou infrastrukturu dané země, neboť v takovém případě hrozí omezení funkčnosti nebo úplně zastavení poskytovaných služeb i ze soukromého sektoru.“ (Šulc, 2018, s. 53-54)
26
4 Kybernetická (informační) válka
Samotné slovo válka vyvolává ve většině lidí představy ozbrojeného konfliktu, zbraní a násilí.
Stejně jako se však lidská společnost mění a vyvíjí, mění se i válka, způsoby jejího vedení, její nástroje a v neposlední řadě i prostředí, ve kterém je válka vedena. (Řehka, 2017, s. 17) Tak jako měla informační revoluce vliv na společnost a různá odvětví, měla vliv i na válčení.
V minulém století byla za bezpečnostní hrozbu považována konvenční válka, nicméně s nástupem 21. století a vlivem nárůstu informačních technologií se zásadně proměnilo i bezpečnostní prostředí, charakteristické nástupem nových bezpečnostních hrozeb. (Euroskop, © 2020)
Klasické pojetí války, kdy jeden stát vyhlásil válku druhému a toto období bylo přesně vymezené do vyhlášení příměří, nebývá vždy skutečností. V současnosti je drtivá většina konfliktů vedena na území jednoho státu. Dochází k tomu díky eskalaci vnitřního napětí, které v dlouhodobém horizontu přeroste v ozbrojený konflikt, mnohdy nakonec i na mezinárodní úrovni. Moderní způsoby války mnohem víc využívají nevojenské nástroje, mezi které patří právě využívání informačního prostředí, a to i v době, kdy válečný konflikt není oficiálně deklarován. (Řehka, 2017, s. 16)
„Rozhodujícím faktorem úspěchu ve válce se stala informační převaha. Informační převaha je taková dominance v informačním prostředí, která nám umožňuje provádět v tomto prostředí vlastní operace bez efektivního odporu protivníka a na druhou stranu upírá obdobné možnosti protivníkovi. K tomu je využíván i kyberprostor, elektromagnetické působení a další dostupné prostředky.“ (Řehka, 2017, s. 43)
Je otázkou, zda kyberprostor vnímat jako samostatnou doménu, či pouze jako součást domény informační. Názorů na tuto problematiku a argumentů pro i proti je celá řada.
Ještě donedávna se za válečné prostředí považovali čtyři domény: souše, voda, vzduch a vesmír.
Od roku 2016 však přibyla doména nová. Na schůzi ministrů obrany zemí NATO, konané v Bruselu 14.června 2016, byl kyberprostoru přidělen status svébytné složky operačního prostředí a stal se tak formálně pátou válečnou doménou.
Kybernetickou válkou bychom zjednodušeně mohli pojmenovat válku v kybernetickém prostoru. Důležitou podmínkou této definice je však angažovanost státních aktérů. Pokud by tomu tak nebylo, mohli bychom podobné útoky chápat spíše jako kyberterorismus, ve kterém se angažují nestátní skupiny a jednotlivci, nebo teroristické skupiny.
27 Kybernetická válka bývá také často zaměňována s pojmem hybridní válka. Ta by se dala označit jako souhrn konvenčních a nekonvenčních způsobů boje, vojenských i nevojenských prostředků, mezi které patří právě i kybernetické útoky, k dosažení politického cíle. Nicméně kombinace vojenských i nevojenských prostředků není ve válčení nic nového. Hybridní válka se tedy než samotnými kybernetickými útoky vyznačuje spíše variabilitou metod a neohraničeností působení.
Ještě složitější než definování samotného pojmu kyberválka, je definování času, po který trvá.
Války v kyberprostoru nemají většinou jasný začátek a ani vyjednaný konec, jak to bývá v případech klasického pojetí válčení.
Kybernetická válka však není izolována od širšího konfliktu. Nepředstavujme si pod ní jen útoky zákeřných programů, které způsobují nedostupnost počítačových sítí, programů či systémů. Kybernetické boje budou mít zcela jistě i reálný fyzický dopad a není tedy důležité, že se útok odehrál za použití kybernetických prostředků. Stejně jako se mění i použité metody a prostředky války, mění se i cíle, na které se útočníci zaměřují. Informační infrastruktury se staly natolik důležité, že je mnoho zemí považuje za ekvivalent strategického útoku.
„Možnosti útoků na kritickou infrastrukturu států vyvolávají oprávněné obavy. Bezpečnost států však v kybernetickém prostoru stejně tak ohrožuje například i špionáž, kriminalita a aktivismus, mnohdy spojený s cílenými úniky utajených či citlivých informací. V neposlední řadě se aktivity v kybernetickém prostoru stávají stále důležitější pro informační působení jako nástroj podporující strategickou komunikaci a informační operace. Za příklad tohoto působení na strategické úrovni lze považovat kybernetické útoky na Estonsko v roce 2007.“
(Řehka, 2017, s. 175)
28
5 Pravidla vedení kybernetických bojů
Ruku v ruce s historií válčení jdou i pravidla vedení ozbrojených konfliktů. Hlavní myšlenkou těchto pravidel byla snaha ochránit ty, kteří neválčí anebo již bojovat nemohou. Pokroky v metodách válčení však ukázali, že je nutné tyto pravidla přizpůsobit. Mezinárodní humanitární právo má za cíl zajistit důstojné podmínky nejen v době válčení, ale též po jeho skončení. Základními dokumenty mezinárodního humanitárního práva jsou Ženevské úmluvy a jejich dodatkové protokoly. Právě kybernetické útoky na Estonsko v roce 2007 a následný Gruzínsko-Ruský konflikt však ukázali, že mezinárodní právo není dostatečné pro řešení problémů v kyberprostoru. Na základě těchto událostí pak skupina mezinárodních expertů vyhotovila Talinský manuál. Jedná se o právní nástroj určený k analýze kybernetických operací, který prozkoumává existující zásady a pravidla mezinárodního práva.
5.1 Mezinárodní a vnitrostátní ozbrojený konflikt
Důležitým bodem při určování dodržení pravidel kybernetických bojů je odlišení mezinárodního a vnitrostátního ozbrojeného útoku. Za mezinárodní konflikt můžeme označit takový, který se odehrává mezi státy nebo skupinami států, jež mohou být případně sdruženy do určité mezinárodní organizace. Ženevská úmluva obecné zakotvení mezinárodního konfliktu definuje v čl. 2 odst.1 slovy, že „se tato úmluva (bude) vztahovati na všechny případy vyhlášené války nebo jakéhokoli jiného ozbrojeného konfliktu vzniklého mezi dvěma nebo více Vysokými smluvními stranami“. (Vyhláška č.65/1954 Sb.). Talinský manuál charakterizuje existenci mezinárodního ozbrojeného konfliktu, pokud mezi subjekty probíhají nepřátelské akce, které mohou zahrnovat kybernetické operace, nebo jsou samostatně kybernetickým útokem, mezi dvěma nebo více státy. Problémem, který však musela skupinu expertů řešit, byla situace, kdy organizovaná skupina uvnitř státu podnikne nepřátelské kybernetické operace vůči jinému. V takovém případě můžeme jednání označit za mezinárodní konflikt, pokud je organizovaná skupina pod celkovou kontrolou státu. To znamená, že zajišťuje nejen vybavení nebo financování této skupiny, ale také provádí její koordinaci a podílí se na plánování jejich vojenských aktivit. Tak je charakterizována v případu Tadić odvolacím senátem mezinárodního trestního tribunálu pro bývalou Jugoslávii. (Králíček, 2019, s. 34-40)
Vnitrostátní ozbrojený konflikt je též zakotven v Ženevských úmluvách, konkrétně v článku 3, který uvádí, že „v případě ozbrojeného konfliktu, který nemá mezinárodní ráz a který vznikne
29 na území některé z Vysokých smluvních stran, bude každá ze stran v konfliktu zavázána říditi se při nejmenším těmito ustanoveními“. (Zákony pro lidi, Vyhláška č.65/1954 Sb., © 2021) Absenci takového mezinárodního rázu poté specifikuje Tallinnský manuál ve své charakteristice, kdy upřesňuje, že „dochází k déle trvajícímu ozbrojenému násilí, které může být nebo se omezuje na kybernetické operace mezi vládními ozbrojenými silami a rganizovanými ozbrojenými skupinami nebo mezi těmito skupinami. Konfrontace musí dosáhnout určité úrovně intenzity a strany zapojené do konfliktu musí mít minimální stupeň organizace“ (Schmitt, 2017, s. 35)
5.2 Zakázané prostředky a pojem útoku
Aby byla kybernetická operace správně kvalifikována, je nutné se zabývat i samotným pojmem kybernetické zbraně. Zbraň se obecně chápe jako cokoli, co slouží k poškození nebo zničení předmětu, zranění nebo případně smrti osob. Zbraně v oblasti kyberprostoru můžeme definovat jako jakákoli kybernetická zařízení, nástroje, mechanismy, vybavení nebo software, které byly navržené, používané nebo určené k použití k provedení kybernetického útoku.
Definici kybernetické zbraně nalezneme ve druhém odstavci pravidla 103 Tallinnského manuálu 2.0. Pro účely manuálu se kybernetickou zbraní rozumí „kybernetické způsoby bojů, které jsou používány, navrženy nebo zamýšleny pro způsobení zranění či smrti osob, k poškození nebo zničení objektů tak, že při hodnocení následků můžeme kvalifikovat kybernetické operace jako útok“. (Schmitt, 2017, s. 452-453)
Nicméně i využití zbraní ve válce má svá pravidla a regule, které by měli být dodržovány.
Mezinárodní humanitární právo formuluje mimořádně důležitou zásadu, že právo bojujících stran, zvolit způsoby a prostředky vedení boje, není neomezené. Již z obyčejných pravidel vedení války vyplývalo, že „válčící strany nemohou užívat jakékoliv prostředky a způsoby k poškozování nepřítele, i když tyto určité způsoby a prostředky mohly být daleko účinnější k dosažení válečného cíle“. (Potočný, 2011, s. 465)
Užití kybernetických zbraní se posuzuje dle toho, jak jsou v konfliktu skutečně používány.
Tallinský manuál zakotvuje pravidlo ohledně legálního posouzení zbraní ve svém pravidle 110.
Toto pravidlo udává povinnost všem státům ujistit se, že užité kybernetické prostředky jsou v souladu se způsoby vedení války. Dále státy, které jsou stranami dodatkového protokolu i k Ženevským úmluvám, musí při vývoji kybernetických zbraní určit, zda by jejich užití nebylo
30 v rozporu se závazky pro ně vyplývajícími jak z protokolu, tak obecně z pravidel Mezinárodního práva.
5.3 Zakázané cíle útoku a zvažování taktiky v kybernetických operacích
„Mezinárodní humanitární právo též zakazuje svým subjektům útočit na jím určené cíle.
Bojující strany jsou povinny vždy rozlišovat mezi civilním obyvatelstvem (civilními objekty) a příslušníky ozbrojených sil (vojenskými objekty) s tím, že bojová činnost je přípustná pouze proti vojenským osobám (objektům). Pouze taková ochrana civilního obyvatelstva by však nebyla dostačující. Platí tedy také zákaz útoku, který není zaměřen na konkrétní vojenský objekt nebo je prováděn takovými prostředky, které nelze omezit na konkrétní vojenský objekt (tzv. nerozlišující útok) a současně platí povinnost všemi prostředky ověřit, zda je cíl útoku opravdu objektem vojenského charakteru a prostředky i způsob útoku zvolit tak, aby se vyloučily (minimalizovaly) náhodné ztráty na civilních osobách a objektech. Zjistí-li se, že útok tyto zásady porušuje, musí být okamžitě zrušen.“ (Ondřej, 2010 cit dle Králíčka, 2019, s. 39) Tallinský manuál upravuje tematiku útoků proti objektům v pravidlech 99 až 102. Vojenskými objekty se tedy stanou ty, které armáda začne používat ve svých bojích, i pokud se předtím jednalo o objekty civilní. „Legálním cílem kybernetického útoku by tedy mohla být i elektrárna, či jiný elektrický zdroj, pokud by její eliminace poskytla vojenskou výhodu nehledě na to, že by to zjevně ovlivnilo i civilní obyvatelstvo (pokud by to jiná pravidla nezakazovala v konkrétním případě). Další neshoda v tematice vojenských cílů nastává v otázce, zda se dají data definovat jako objekt a tedy, zda se na ně vztahují pravidla ochrany civilních objektů. Většina expertů usoudila, že data nespadají do klasické definice objektu dle komentáře Červeného kříže k Ženevským úmluvám, tedy že objekt musí být hmotný a viditelný. Jako útok by se dala kybernetická operace kvalifikovat pouze poté, co by operace ovlivnila funkcionalitu kybernetické infrastruktury. Názor, který zastávala opoziční menšina, spočíval v tom, že by se jako útok poté nedala kvalifikovat operace útočící na nezbytné civilní databáze a servery uchovávající, či spravující daňové informace, zdravotní záznamy, či osobní účty u bank, což je poté v rozporu s obecnou zásadou neútočení na civilisty“. (Králíček, 2019, s. 39)
31
6 Kazuistika
Následující praktická část práce se bude zabývat analýzou konkrétního kybernetického útoku.
Zvolená metoda deskriptivní případové studie má za cíl podat co nejpřehlednější popis daného jevu. Jako nejvhodnější technika sběru dat se jevila metoda analýzy dokumentů. Vzhledem k velkému objemu dat z různých zdrojů kladla autorka velký důraz na jejich důvěryhodnost a ucelenost informací.
Problematice kybernetických útoků se v obecné rovině věnovala teoretická část práce.
Vysvětlení těchto základních pojmů bylo zcela nezbytné k pochopení problematiky kybernetického prostředí.
6.1 Kybernetické útoky na Estonsko v roce 2007
Na jaře v roce 2007 se stalo Estonsko obětí rozsáhlých kybernetických útoků, které zasáhly a znepřístupnily uživatelům na několik týdnů důležité webové stránky. Týkalo se to například vládních stránek, webů politických stran, médií nebo i obchodní komunity, jako např. stránek estonských bank.
„Kybernetické útoky proti Estonsku byly skutečnými akty kybernetického boje a kybernetického terorismu, jež nemají na svědomí amatérské skupiny disponující omezenými zdroji, nýbrž velmi schopní specialisté na kybernetické útoky, s velmi účinnými prostředky k boji. Úvodní citace byla vyslovena estonským ministrem obrany z roku 2007 Jaakem Aaviksooem, kterou prezentoval v rámci 24. mezinárodního workshopu Global Security v Paříži v panelu nazvaném Kybernetické útoky – třetí světová válka.“
(Pavlíková, Global Politics © 2021)
Po útocích se celému incidentu dostalo mnoho označení, od výše psaného kybernetického terorismu, přes informační, potažmo kybernetickou válku. Takové označení však může být poněkud zavádějící a museli bychom provést řadu dalších analýz k utřídění termínů. Pro tuto práci však není tato problematika stěžejní.
V době celostátních kybernetických útoků v roce 2007 bylo Estonsko jedním z nejrozvinutějších evropských států, pokud jde o všudypřítomné využívání informačních a komunikačních technologií ve všech aspektech společnosti. Již v době útoků bylo téměř 99%
území Estonska pokryto Internetem a více než 95% bankovních operací prováděno
32 elektronicky. V roce 2005 Estonsko jako první na světě použilo závazné internetové hlasování v komunálních volbách a v roce 2007 získalo i světové prvenství v použití internetového hlasování v parlamentních volbách. Právě díky takto vysoké míře digitalizace a elektronizace na úrovni státní správy měli kybernetické útoky tak drtivý dopad. Sofistikovanost útoků dokládá i fakt, že Estonsko na podobné útoky nebylo zcela nepřipravené. Mnoho IT odborníků v zemi se na možnost útoků na webové stránky připravilo právě již díky zmiňovaným elektronickým volbám. Existovali určité pracovní skupiny, které na zajištění bezpečnosti v kyberprostoru pracovali a reagovali na upozornění o možných útocích.
6.2 Průběh útoků
Spouštěčem událostí bylo rozhodnutí estonské vlády přemístit sovětský válečný pomník neznámého vojáka z centra Tallinnu na nedaleký vojenský hřbitov. Tuto sochu vnímala většina Estonců spíše než symbol vítězství, jako připomínku ruské okupace z minulých let. Oproti tomu, pro místní ruskou menšinu, Rusy a některé představitele bývalých sovětských států, symbolizovala právě sovětské osvobození Estonska v druhé světové válce. Přemístění pomníku tak u této skupiny vyvolalo značné rozhořčení. Bylo považováno za urážku vojáků, kteří padli v bojích o osvobození Estonska. Ruská vláda proti tomuto kroku dokonce oficiálně protestovala. Jednou z prvních reakcí, které po tomto kroku nastaly,byla blokace estonské ambasády v Moskvě a začalo se hovořit také o ekonomických sankcích vůči Estonsku.
K přemístění pomníku došlo 26. dubna 2007. Tuto událost provázely od počátku protestní akce.
Hned druhý den po přemístění sochy se zahájily masivní, tři týdny trvající, kybernetické útoky.
Tyto útoky proběhly ve dvou vlnách. V první vlně, v období od 27. do 29. dubna, byly použity jednoduché kybernetické nástroje, kdy např. ruské webové stránky nabádaly lidi k účasti na kybernetických útocích, poskytovaly jim ke stažení software s jednoduchým návodem k použití a informace o cílech. Mezi cíle útoků patřily jednací místnost estonské vlády, estonské ministerstvo obrany a další vládní zařízení (Řehka, 2017, s. 194). Dle CCDCOE je tato fáze označována jako „emocionální odezva“. Z profesionálního hlediska nebyly tyto útoky na příliš vysoké úrovni, odpovídali spíše amatérskému charakteru.
Druhá vlna byla oproti té první daleko více koordinovanější a sofistikovanější. Označuje se za hlavní útok a dělí se na několik etap. V první etapě (4. května) došlo k DDoS útokům proti webovým stránkám estonského parlamentu a DNS serverům. Útoky byly maskovány několika způsoby – využitím globálních botnetů, vedením přes zahraniční proxy servery a IP adresy.
