Žádný kyberútok zatím nebyl válečný

Izrael vyřadil v roce 2007 syrskou leteckou obranu a bombardoval areál v severní Sýrii, kde Asadův režim tajně vyvíjel atomovou bombu. Počítačový virus Stuxnet překonal všechny překážky a dostal se do zařízení u města Natanz nepřipojeného k internetu a poškodil centrifugy na obohacování uranu, čímž zpomalil íránský jaderný program o jeden až dva roky. Estonsko a Gruzie se staly obětí kyberútoků, jež měly ochromit jejich státní úřady a finanční instituce. A poslední prezidentské volby v USA se pokusili ovlivnit ruští hackeři.

Těchto několik příkladů jakoby potvrzovalo obavy z digitálních technologií a z katastrof způsobených kyberútokem nebo kyberválkou. Internetem propojený svět a na digitálních technologiích závisející infrastruktura nabízejí nespočet cílů teroristům, útokům států nebo vyděračům – od jaderných elektráren a čističek vod přes leteckou dopravu a přehrady až po nemocnice a finanční instituce.

Tři kritéria

Moderní infrastruktura je v důsledku své závislosti na počítačích zranitelná a její případné zmanipulování nebo poškození by mělo dalekosáhlé důsledky a způsobilo obrovské ztráty lidských životů. Thomas Rid, německý profesor strategických studií na John Hopkins Universit’s School of Advanced International Studies ve Washingtonu, je však přesvědčen, že kybernetická hrozba nepředstavuje další dimenzi válečných konfliktů, ale naopak míru násilí v nich snižuje.

Rid se ve své knize Cyber War Will Not Take Place (Kyberválka se neděje) snaží ukázat, že pojem kyberválka neodpovídá realitě a je mýtem. Zmíněné příklady totiž nesplňují kritéria válečného konfliktu – lze je označit za útok, špionáž nebo sabotáž, ale nikoliv za válku. Kyberválka nebo kyberútoky, které by bylo možné považovat za válku, se zatím neodehrály a podle Rida není pravděpodobné, že se někdy uskuteční.

Dnes je sice díky moderním technologiím mnohem jednodušší získat informace, ale použít je jako zbraň není stejně snadné. Z technického hlediska je totiž obrovský rozdíl mezi jednorázovým použitím kyberzbraně k sabotáži a dosažením nadřazeného politického cíle. Rid vychází z definice války pruského generála a válečného teoretika Carla von Clausewitze (1780–1831).

Podle Clausewitze musí každá válka, aby za ni mohla být považovaná, splňovat tři kritéria. Za prvé, násilné – válka je násilí za účelem vnutit protivníkovi vůli útočníka, čehož důsledkem jsou mrtví. Za druhé, instrumentální – válka je prostředkem k politickému cíli a o prostředku nikdy nelze uvažovat bez souvislosti s cílem. A za třetí, politické – válka je vždy politická.

Exploze sibiřského ropovodu

Rid se domnívá, že žádný dosavadní kyberútok nesplnil všechna tři Clausewitzova kritéria pro válku a jen několik aspoň jedno, přičemžjako první kyberútok se uvádí exploze sibiřského ropovodu v roce 1982. Na Sovětský svaz bylo za studené války uvaleno embargo na strategické technologie, mezi něž patřil i software k ovládání ropovodů.

Rusové tehdy nemohli tento software legálně v USA koupit, a proto se jej pokusili získat prostřednictvím kanadské firmy, což CIA zjistila a software infikovala virem. Naprogramovaná manipulace softwarem zpočátku fungovala, ale po čase nastala gigantická exploze. Tato událost však má tři slabiny.

Za prvé dodnes není jasné, jakého druhu tato exploze byla. V Sovětském svazu totiž ropovody explodovaly z různých důvodů – například technických nebo klimatických. Dostupné ruské zdroje nezmiňují explozi takového rozsahu v červnu 1982 a dokonce ani CIA, která manipulaci přiznala, netvrdí, že se odehrála.

Za druhé, je otázkou, zda v té době CIA disponovala technologiemi na takové úrovni, aby bylo možné umístit elektronickou bombu, která by byla schopná s časovým odstupem vybuchnout. A za třetí, nejenže není výbuch ropovodu jednoznačně potvrzen, ale ani se neví o případných ztrátách životů.

Estonsko, Gruzie a Rusko

Jiným často uváděným příkladem kyberválky je zhroucení webových stránek estonské vlády, státních úřadů a finančních institucí v dubnu 2007. Už tehdy používaly dvě třetiny Estonců internet a 95 procent bankovních transakcí bylo prováděno elektronicky. Internetem propojené Estonsko nabízelo velkou možnost napadení.

Důvodem pro kyberútok bylo rozhodnutí estonských úřadů přemístit dvoumetrovou bronzovou sochu neznámého sovětského vojína z druhé světové války ze středu Tallinnu na jeho předměstí. Kromě demonstrací rusky hovořících obyvatel se také odehrál kyberútok, jenž vyvrcholil ochromením 58 estonských webových stránek. Největší estonská banka Hansapank, vládní a státní instituce byly elektronicky nedostupné.

V reakci na tento kyberútok založilo NATO v Tallinnu centrum kybernetické ochrany Cooperative Cyber Defence Centre of Excellence, ale kyberútok nebyl Rusku nikdy dokázán. Estonští politici jej srovnávali s blokádou přístavu nebo letiště suverénního státu. Toto srovnání je však podle Rida chybné, protože na rozdíl od zablokování přístavu nedoprovázelo tento kyberútok na estonské webové stránky násilí a dodnes zůstává jeho pachatel neznámý.

Podobné je to i v případě válečného konfliktu v Gruzii o rok později, kde vedle konvenční vojenské operace se odehrál i kyberútok. V následujících reakcích byla zmiňována kyberválka, Gruzie však byla mnohem méně propojená internetem než Estonsko, a kyberútok opět nedoprovázelo násilí, nezničil strategické infrastruktury, ani nevedl ke ztrátám životů. Navíc se stejně jako v Estonsku nepodařilo Rusku dokázat, že kyberútok provedlo, a protože jeho cíl nebyl jednoznačně politický, ztratil mezinárodní rozměr.

Subverze, špionáž nebo sabotáž

Dokonce ani zřejmě nejznámější kyberútok počítačovým virum Stuxnet nelze považovat za válečný, protože nevedl ke ztrátám životů a minimálně zpočátku za něj žádný stát nevzal politickou odpovědnost. Rid vybízí, aby se pojmy kyberútok a kyberválka používaly správně a místo nich se mluvilo o subverzi, špionáži nebo o sabotáži.

Podle něho je třeba rozlišovat mezi kyberzločinem a kyberválkou, přičemž hranice mezi nimi je nejasná. Zločin je nepolitický, válka je vždy politická. Kriminální čin se snaží svou identitu skrýt, stát nebo politické síly ji ukazují označením vlastních vojáků nebo převzetím odpovědnosti. Rid se v podstatě pohoršuje nad neseriózním používáním pojmu kyberválka v politice a médiích, což je slabinou jeho knihy, místo ní mohl napsat delší odborný článek.