Současné konflikty se odehrávají i v kyberprostoru. Bezpečnost globálního Západu ohrožují autoritářské revizionistické mocnosti.

Významný kybernetický incident v budoucnu může vést k systémovému selhání napříč obory a náprava škod může trvat týdny i měsíce anebo škody mohou být tak rozsáhlé, že nebude ani v možnostech jednotlivých států je napravit. Jak se mohou státy bránit a jaké k tomu používají nástroje?

Nejen Česká republika čelí rostoucímu počtu kybernetických incidentů a dlouhodobou výzvou zůstává nedostatek finančních prostředků a odborníků na zajišťování kybernetické bezpečnosti v českých institucích. Titulky o útocích „hackerů“ nebo dokonce „kybernetických nájezdníků“ zaplavují zpravodajské portály, až se může zdát, že se jedná o běžný stav a o nic vážného nejde. Většinou se opravdu jedná spíše o až primitivní aktivitu s cílem zahltit webové stránky velkým množstvím požadavků, a tak je učinit nedostupnými.

Kyberbezpečnost na prvním místě

Na službách kyberprostoru je však kromě společnosti stále více závislá také kritická infrastruktura států, včetně jejich ozbrojených sil, a s jeho rostoucím významem rostou také rizika z něho plynoucí. Zároveň lze pozorovat souvislost mezi geopolitikou a kybernetickými operacemi, ve kterých se politické priority státních aktérů promítají, a kdy současnou zhoršující se geopolitickou situaci provází významný nárůst incidentů v kyberprostoru. Státy jsou zároveň aktéři disponující největšími zdroji k provádění sofistikovaných a dlouhotrvajících kybernetických kampaní.

Významný kybernetický incident v budoucnu dokonce může vést k systémovému selhání napříč obory (kaskáda, kdy porucha v jedné službě spustí poruchu ve druhé službě, která spustí poruchu ve třetí…), vzájemná závislost systémů může snadno způsobit přelití (spill-over efekt) poruchy napříč státy anebo tato může způsobit škody ve fyzickém světě. Jejich náprava může trvat týdny i měsíce a škody mohou být i tak rozsáhlé, že nebude ani v možnostech jednotlivých států je napravit.

Význam lze podložit skutečností, kdy EU již diskutovala možnost zřízení nouzových fondů jako v případě rozsáhlých přírodních katastrof nebo zařazení kyberprostoru mezi ostatní operační domény kolektivní obrany NATO (pozemní, vzdušný a námořní prostor a vesmír), kdy kybernetický útok je tak způsobilý vyvolat účinky článku 5 Washingtonské smlouvy o kolektivní obraně.

Jak může státní aktér v kyberprostoru škodit?  

Působit může v několika oblastech, kdy nejvýznamnějšími z hlediska státního aktéra jsou cílení na lidský faktor (sociální inženýrství a různé druhy phishingu za účelem zajistit si přístup k systému oběti), využití technické zranitelnosti (útočník využije slabé místo v zabezpečení systému nebo kompromituje dodavatelský řetězec apod.), útok na kritickou infrastrukturu státu anebo hybridní působení, kdy útočník vhodně kombinuje různé strategie (nejen v kyberprostoru) za účelem dosažení synergického efektu. Uvedený výčet není vyčerpávající, metody působení se do jisté míry prolínají a lze je kombinovat.

Na tomto místě je vhodné představit termín APT (z angl. Advanced Persistent Threat, pokročilá trvalá hrozba); jedná se o uskupení spojovaná zejména se státními aktéry, která mají značné finanční zdroje, vysokou úroveň odborných znalostí a jsou schopná pronikat do systémů protivníka a v těchto dlouhodobě nepozorovaně působit. Na základě zadání bývá jejich cílem ovlivnění kompromitovaných systémů (sabotáž) anebo vytěžení zájmových informací.

Státní aktér bývá dobře vybaven schopností takto získané informace dále využít; kromě další cílené kybernetické kampaně také například k vydírání, diskreditaci osob a systému nebo jako podporu informačních vlivových operací, které se prostřednictvím cíleně zmanipulovaných informací snaží ovlivnit mínění adresátů ve vlastní prospěch a kdy tyto informace jsou kyberprostorem také efektivně šířeny a cíleny na zájmové publikum.

Opravdu státy využívají kyberprostor k útokům?

Ano, jedná se již o zavedenou doménu. Případy z minulosti dokládají, že jsou APT úspěšní při penetraci i tak kritických a zabezpečených cílů, jako jsou vládní instituce. Například v případě útoku prostřednictvím dodavatelského řetězce společnosti SolarWinds útočník získal po dlouhou dobu nepozorovaný přístup k systémům vládních, poradenských, technologických, telekomunikačních a těžebních subjektů v Severní Americe, Evropě, Asii a na Středním východě včetně například ministerstev financí, zahraničí, vnitřní bezpečnosti a obchodu USA). Přestože bývá atribuce kybernetické kampaně konkrétnímu státnímu aktérovi obtížná, obsáhlé signálové zpravodajství v kombinaci s pokročilou analytikou jsou v mnoha případech způsobilé původce hodnověrně přisoudit.

Názornou ukázkou komplexního působení v kyberprostoru, které je připisované státnímu aktérovi (ruským službám FSB, SVR a GRU) a které potvrzuje relevanci výběru uvedených metod, může být konflikt na Ukrajině. Útoky byly připravovány v předstihu a poté byly provedeny za účelem podpory konvenčních operací. Na lidský faktor bylo cíleno při infiltraci do systémů (phishing) a při ovlivňování veřejného mínění (farmy falešných účtů na sociálních sítích, zamezení přístupu k legitimním zdrojům informací) nebo při distribuci mobilních aplikací obsahujících spyware. Technické zranitelnosti bylo využito například při útoku na dodavatelský řetězec (účetní software) nebo na komunikační společnosti (Ukrtelecom či globální satelitní systém společnosti Viasat). Útoky na kritickou infrastrukturu, zejména pak na prvky přenosové soustavy elektrické energie, několikrát způsobily částečný blackout.

Řešení existuje

Zajištění absolutní bezpečnosti před všemi stávajícími a budoucími hrozbami je nemožné a platí to i v případě kyberprostoru. Zranitelnostem se v minulosti neubránily soukromé banky investující do kyberbezpečnosti stovky milionů dolarů, ministerstva (včetně českého MPSV), státní instituce (ŘSD ČR) ani současné armádní zbraňové systémy (obrněné vozidlo Pandur, ale i letoun F-15C Eagle nebo bezpilotní Lockheed Martin RQ-170 Sentinel). Přesto existují možnosti a doporučení, jejichž aplikací lze existující rizika zmírňovat.

Člověk je jedním ze slabších článků řetězu a na principu zranitelnosti lidského faktoru pracují jedny z nejrozšířenějších metod útoků. Zavedením výchovy mediální a kybernetické gramotnosti a proaktivní identifikací a označováním rizikových podvodných a škodlivých zdrojů lze zvyšovat odolnost společnosti vůči dopadům škodlivého kódu (APT, malware aj.) a vlivu informačních operací.

Zavedení bezpečnostních technologií a dodržování doporučených postupů zvyšujících odolnost systémů, případně zavedení systému certifikace dodavatelů technologií a systémů z hlediska kybernetické bezpečnosti je způsobilé snížit míru rizika jejich kompromitace.

Všeobecná politická shoda na přijetí mezinárodních pravidel pro regulaci chování v kyberprostoru by mohla snížit související rizika; pravděpodobnost dosažení takové shody však je s ohledem na antagonismus aktérů velmi malá. Spolupráce západních států mezi sebou a těchto s centry výzkumu a vývoje (západními univerzitami a technologickými společnostmi aj.) však může vést ke vzájemnému posílení kybernetické bezpečnosti takto spolupracujících subjektů.

Nepopiratelnou možností zvýšení bezpečnosti kyberprostoru referenčního objektu je pak budování vlastních ofenzivních kybernetických kapacit, kdy dostačující může být již deklarace těchto schopností a odhodlání jich v případě sebeobrany použít. Není tak pochyb, že Západ taktéž disponuje kapacitami způsobilými podnikat kybernetické útoky samostatně i ve spolupráci se specializovanými soukromými společnostmi, kdy tato schopnost může přinést značnou výhodu také v případě konvenčních ozbrojených konfliktů.

Kolik nás to bude stát?

Fenomén zajišťování bezpečnosti obecně, kybernetickou nevyjímaje, nelze sledovat bez ohledu na ekonomické aspekty. Rostoucí význam kyberprostoru v kombinaci s rizikem enormní výše hypotetických škod v současném období zhoršeného bezpečnostního prostředí však problematiku dříve technologickou přeměnilo na problematiku politickou.

Výdaje na zajišťování kybernetické bezpečnosti se významně liší v jednotlivých členských státech EU, která dále jako celek zaostává za USA. Celosvětový nedostatek kybernetiků zvyšuje jejich cenu na trhu práce a zejména veřejný sektor s omezenými finančními zdroji je v nevýhodné pozici, kdy nejčastěji uváděným důvodem, který vedl k nezískání uchazeče, byly nevýhodné mzdové podmínky. Příklady z nedávné minulosti však dokládají, že zejména bezpečnost kritických služeb státu musí být zajištěna i za cenu vysokých nákladů.

Schopnost referenčního objektu vůbec zajišťovat vlastní kybernetickou bezpečnost v budoucnu může s příchodem přelomových technologií, jako jsou například pokročilá umělá inteligence, deep-fake nebo velký kvantový počítač, zcela záviset na udržení si technologického náskoku před potenciálními státními i nestátními aktéry. Investice do výzkumu a vývoje nových technologií tak jsou a do budoucna patrně nadále budou dalším významným nákladem, avšak s ohledem na hypotetická rizika anebo jejich možné přínosy jsou patrně nezbytné.

Zdroj: www.cevroarena.cz, AN