Budúcnosť kybernetickej obrany na Slovensku: medzi aktivitou a pasivitou

FOTO: flickr.com/U.S. Army Cyber Command/Staff Sgt. George Davis

Na Slovensku v súčasnosti prebieha Audit informačnej bezpečnosti, ktorý má za cieľ podporiť prípravu akčného plánu v boji proti hybridným hrozbám a tiež nových strategických dokumentov SR. Jeho hlavnou slabinou je však, že sa obmedzuje len na informačné (vplyvové) operácie, teda šírenie dezinformácií, propagandy a ovplyvňovanie verejnej mienky. Hoci ide o dôležitú a aktuálnu tému, takáto iniciatíva musí už len z podstaty jej názvu reflektovať nielen kognitívnu (ak už teda preberá ruský a čínsky koncept informačnej bezpečnosti), ale aj tú kybernetickú stránku.

Týmto textom chcem preto vyplniť vzniknutú „dieru na trhu“ a zamyslieť sa nad tým, kam by mala smerovať kybernetická stratégia, resp. obrana Slovenska v budúcich rokoch. Čím ďalej, tým viac štátov sa totiž uchyľuje k „zbrojeniu“ v kybernetickom priestore, zatiaľ čo zhoda na výklade medzinárodného práva stále v tomto ohľade absentuje a metafora „divokého západu“ sa tak stáva reálnou praxou.

Aktívna kybernetická obrana

Štáty majú dnes v otázke kybernetickej obrany na výber z dvoch možností – aktívne vyhľadávať a eliminovať hrozby alebo pasívne navyšovať svoju obranyschopnosť a odolnosť.

Zástupcom prvej skupiny sú Spojené štáty, ktoré pod taktovkou Donalda Trumpa otočili dovtedajší prístup Obamovej administratívy o 180 stupňov a v roku 2018 predstavili strategickú víziu „pretrvávajúcej angažovanosti“. Tá ráta s de facto autonómnym postavením amerického Kybernetického velenia armádnych síl (CYBERCOM), ktoré má viesť preemptívne kybernetické útoky a protiútoky voči zdrojom hrozieb. Američania si od tohto prístupu sľubujú najmä akýsi odstrašujúci efekt, ktorý by mal Číne, Rusku, Iránu a Severnej Kórei dať jasne najavo, že za svoje kybernetické útoky proti USA zaplatia.

CYBERCOM po novom demonštroval svoju silu po prvýkrát v jeseni 2018, kedy zaútočil na ruskú Internetovú výskumnú agentúru. Jej zamestnancov, prezývaných trollovia, odpojil od internetu, aby im zabránil v snahe ovplyvniť voličov pred voľbami do amerického kongresu. Následne rozmiestnil bližšie nešpecifikovaný malvér v ruskej rozvodnej sieti, ktorý bol zrejme odpoveďou na dlhoročnú kampaň Ruska voči kritickej infraštruktúre USA. V poslednom známom útoku sa americká armáda rozhodla zaútočiť na rozsiahly ruský botnet menom Trickbot, ktorý mohol byť zneužitý na narušenie volebných systémov počas tohtoročných prezidentských volieb.

Rovnakú ofenzívnu politiku odstrašovania praktizujú alebo k nej smerujú aj zvyšné štáty spravodajského zoskupenia Five Eyes. Do ich spoločnej Iniciatívy kybernetického odstrašovania (CDI) sa okrem CYBERCOM zapájajú aj britské a austrálske spravodajské služby GCHQ a ASD. Tieto štáty samozrejme rešpektujú nezáväzné medzinárodné normy a princípy zodpovedného sa správania štátov v kyberpriestore. Sami si však vyhradzujú právo na unilaterálne, resp. v rámci CDI multilaterálne opatrenia, ktoré reflektujú realitu a riešia hrozby lepšie než mierové riešenia.

Tento postoj následne presadzujú aj pri prebiehajúcich debatách o zodpovednom správaní a aplikácií medzinárodného práva v kybernetickom priestore. Na rozdiel od Francúzska, Holandska, Rakúska alebo Česka, Veľká Británia odmieta taký výklad, ktorý by pripúšťal, že by kybernetické útoky narúšali suverenitu štátov. Podľa Londýna totiž v súčasnosti neexistuje pravidlo, ktoré by tieto aktivity zakazovalo a nemožno ani extrapolovať z princípu suverenity, aby sa takéto nové pravidlo vôbec odvodilo. Washington zdieľa podobný názor, pretože nejednoznačnosť výkladu hrá v prospech ich oboch na rozdiel od nejakej záväznej formulky, ktorá by ich aktívnu kyberobranu postavila mimo zákon.

Pasívna kybernetická obrana

Do druhej skupiny spadajú štáty a zoskupenia, ktoré sa primárne zameriavajú na ochranu kritickej infraštruktúry a celkovú odolnosť subjektov voči kybernetickým útokom. Ich aktivity smerujú k zvyšovaniu bezpečnostného povedomia a vzdelávania, zdieľaniu informácií, prevencii, účasti na cvičeniach a podobne. Kybernetická obrana tak v tomto prípade do značnej mieri splýva s kybernetickou bezpečnosťou a spolu fungujú ako základ pre nadstavbu aktívnych opatrení.

Príkladom pasívnej kybernetickej obrany je prístup EÚ vyjadrený v politickom rámci pre kybernetickú obranu z roku 2018. Ten napriek tomu, že nabáda členské štáty, aby „rozvíjali svoju schopnosť reagovať na škodlivé kybernetické činnosti“, vo svojich šiestich prioritách následne upresňuje, že ide najmä o schopnosť zaistiť dostupnosť, integritu a dôvernosť komunikačných a informačných sietí pomocou civilno-vojenskej a medzinárodnej spolupráce, cvičení, zdieľania informácií či mechanizmov včasného varovania.

EÚ v tomto dokumente ďalej normatívne vylučuje možnosť kybernetických útokov ako nástrojov kybernetickej obrany, a teda odmieta prax zoskupenia Five Eyes:

„Štáty by nemali vykonávať alebo vedome podporovať činnosti v oblasti informačných a komunikačných technológií, ktoré sú v rozpore s ich povinnosťami podľa medzinárodného práva, a ani by nemali vedome umožňovať, aby sa ich územie využívalo na páchanie medzinárodných protiprávnych činov prostredníctvom informačných a komunikačných technológií.“

EÚ zopakovala potrebu zodpovedného správania sa v kybernetickom priestore podľa dohodnutých noriem vo svojej správe pre OSN. Namiesto ofenzívnych operácií vyzvala ku koordinovanej odpovedi obdobnej tej, ktorú uplatňuje v rámci svojho súboru nástrojov kybernetickej diplomacie. Tento „Cyber diplomacy toolbox“ po prvýkrát využila v júli tohto roka, keď uvalila sankcie na šesť osôb a tri inštitúcie z Ruska, Číny a Severnej Kórey.

Kybernetická obrana SR dnes

Slovensko v súčasnosti nemá rozpracovanú samostatnú „kyberstratégiu“, ktorá by sa detailnejšie venovala kybernetickej obrane. Ostatné strategické dokumenty pojem kybernetická obrana buďto nepoznajú, alebo ho nijak bližšie nešpecifikujú. Táto skutočnosť nasvedčuje doterajšiemu pasívnemu prístupu k obrane (v kontraste k aktívnej kyberobrane), ktorý splýva so širším poňatím kybernetickej bezpečnosti a ktorej ciele rozpracováva Koncepcia kybernetickej bezpečnosti SR. Napriek tomu, že tak obrana funguje v praxi na pasívnej báze, niektoré dokumenty a legislatíva predsa len predpokladajú aj možnosť (re)aktívnejšej formy riešenia kyberútokov v budúcnosti.

Podľa zákona o kybernetickej bezpečnosti zodpovedá za kybernetickú bezpečnosť SR v prvom rade Národný bezpečnostný úrad (NBÚ), ktorý vykonáva audity, kontroly, vzdelávanie, výmenu informácií, medzinárodnú spoluprácu a pod. NBÚ rieši kyberútoky len pokiaľ nejde o závažný incident namierený proti kritickej infraštruktúre, ktorý si vyžaduje neodkladnú a naliehavú odpoveď. V takom prípade postúpi potrebné informácie Vojenskému spravodajstvu (VS), ktoré je zodpovedné za kybernetickú obranu kyberpriestoru SR a ktoré môže prijať primerané bezpečnostné opatrenia. Tie by mali podľa Akčného plánu dnes zahŕňať už aj spôsobilosti aktívnej kybernetickej obrany.

S ohľadom na výročnú správu NBÚ za minulý rok môžeme predpokladať, že VS riešilo celkovo sedem závažných incidentov III. kategórie. Výročná správa VS za minulý rok ale hovorí len o systematickom zbere a analýze dát z týchto incidentov a nie o prijatých protiopatreniach. Otázkou teda zostáva, ako a či vôbec VS zareagovalo na kyberútoky inak než forenznou analýzou.

Kybernetická obrana SR zajtra

Slovenská vláda si bude musieť pri formulácií nových strategických dokumentov, a to najmä kyberstratégie, najprv dobre rozmyslieť, či bude kopírovať aktuálny trend „zbrojenia“ alebo nie.

Pokiaľ by sa rozhodla, že chce kopať vyššiu ligu a vydala by sa cestou aktívnej obrany á la Five Eyes, vyšlo by ju to nesmierne draho. Táto možnosť totiž vyžaduje kvalitný základ pasívnej obrany a finančné a personálne zdroje, s ktorými by sa nad ním mohlo stavať. Aj keby sa nám tento stav podarilo niekedy dosiahnuť, otázkou stále zostáva efektívnosť takéhoto prístupu.

Nová kyberstratégia by preto mala radšej stavať na budovaní odolnosti a vynucovaní medzinárodných noriem a práva.

Slovensko by malo pokračovať v šírení bezpečnostného povedomia a vzdelávania, ktoré aj napriek dlhoročnému ukotveniu v plánoch rozvoja kybernetickej a informačnej bezpečnosti stále zaostáva. Nedávne vyjadrenia odborníkov z praxe opäť zopakovali kritický stav v súkromnej sfére, ktorý je zapríčinený nedostatkom profesionálov pre kybernetickú bezpečnosť, takmer neexistujúcim vzdelávaním či nízkym povedomím o kyberhrozbách. Príkladom sú priemyselné podniky, ktoré naďalej nevenujú kybernetickej bezpečnosti dostatočnú pozornosť a nie sú pripravené čeliť kybernetickým útokom ani technicky, ani organizačne.

Inak to nie je ani v štátnej správe. Stačí si spomenúť na tohtoročnú kauzu GOVNET, kedy niekto potajme nainštaloval špeciálne odpočúvacie zariadenia do vládnej siete. Následný audit odhalil, že v sieti došlo k ďalším 120 porušeniam bezpečnosti, z ktorých mnohé pretrvávali a dovtedy neboli riešené. Podobne na tom bolo Národné centrum zdravotníckych informácií, ktorému z webstránky unikali údaje o testovaných ľuďoch na COVID-19. Štátny tajomník MIRRI Marek Antal v tejto súvislosti uviedol, že si vie predstaviť, že „takých otvorených dverí tu máme dosť,“ pretože rezorty neinvestujú do kybernetickej bezpečnosti a vzdelávania úradníkov.

Slovensko sa preto musí najprv popasovať s týmito pretrvávajúcimi problémami, ktoré jednak nechávajú útočníkom otvorené dvere dokorán, a jednak neponúkajú žiadne riešenia pre kybernetickú bezpečnosť SR do budúcnosti. Ak neskvalitníme vzdelávanie a nebudeme šíriť osvetu, nebudeme mať ani odborníkov, ktorí nám tú odolnosť vybudujú.

Druhým strategickým záujmom by malo byť dodržiavanie medzinárodného práva a zodpovedného sa správania v kyberpriestore, ktoré rozoberá Budapeštiansky dohovor a záverečné správy Skupiny vládnych expertov OSN z rokov 2013, 2015 (a ďalšia, ktorá sa chystá v roku 2021). Tieto dokumenty vyzývajú k zdieľaniu informácií o hrozbách a zraniteľnostiach, k prevencii kyberútokov a ich zámernej podpore, k vzájomnej pomoci pri vyšetrovaní a zmierňovaní dopadov kyberútokov, k zaisteniu integrity dodávateľských reťazcov alebo k rešpektovaniu súkromia a slobody slova.

V tomto smere musí Slovensko presadzovať prísnejšie dodržiavanie týchto noriem, princípov a pravidiel, aby sa z kyberpriestoru nestal naozaj „divoký západ“. Ako sa uvádza v Koncepcii kybernetickej bezpečnosti, kybernetické útoky ohrozujú bezpečnostné záujmy SR v zahraničnej a obrannej politike, ochranu ústavného zriadenia, verejného poriadku, bezpečnosť občana a štátu, sociálnu a ekonomickú stabilitu či ochranu životného prostredia. Pokračujúca „militarizácia“ kyberpriestoru a nezodpovedné správanie tak len značne navyšuje tieto bezpečnostné riziká a Slovensko by preto v tomto ohľade malo trvať minimálne aj na transparentnosti tohto zbrojenia.

Tretím, skôr hypotetickým záujmom, by mohlo byť zaistenie ochrany kybernetického priestoru SR reaktívnou obranou. Keď už máme slabé základy a pretrvávajúca angažovanosť je v nedohľadne, Slovensko by sa v prípade pokračujúceho nerešpektovania medzinárodných noriem a práva mohlo odhodlať aspoň k sebaobrane a odvetnému útoku, aby odvrátilo kyberútok na kritickú infraštruktúru (ako to predpokladá vyššie zmienený Akčný plán a legislatíva). V tomto ohľade si však bude treba stanoviť, za akých podmienok a v akom rozsahu sa odhodláme k tomuto kroku. Zaútočíme len na použitú infraštruktúru (servery, boty) útočníka? Alebo zaútočíme priamo na jeho prvky kritickej infraštruktúry (oko za oko, zub za zub)? Ak zaútočíme len na riadiace servery útočníka, bude to automaticky? Alebo sa najprv pokúsime skontaktovať s prevádzkovateľom a presvedčiť ho, aby servery vypol? Ak zaútočíme priamo na jeho kritickú infraštruktúru, ako si zaistíme okamžitý prístup? Vytvoríme si zadné dvierka predom alebo sa budeme pár mesiacov pripravovať na útok?

Nemôžeme totiž len tak odignorovať časový horizont. Z pohľadu medzinárodného práva sa útok v rámci sebaobrany berie ako odvetný, len pokiaľ pretrváva stav ohrozenia. Akonáhle teda niekto zaútočí na našu kritickú infraštruktúru, Vojenské spravodajstvo musí byť schopné zareagovať v priebehu niekoľkých minút, pretože odveta po tom, čo útok skončí, sa už môže chápať ako agresia.

Pokiaľ sa Slovensko predsa len vydá týmto smerom, musí si najprv zodpovedať na tieto otázky a prísť s presvedčujúcim vysvetlením, ktorým by si dokázalo obhájiť takúto politiku v rámci medzinárodných noriem a práva. Lepšiu a jednoduchšiu alternatívu ponúka zmienený súbor nástrojov kybernetickej diplomacie EÚ.

Článok bol pôvodne uverejnený na blogu SME.sk.