středa 18. ledna 2017

Poznámky k přičitatelnosti kyberútoku na volby v USA

Na konci roku americká vláda zveřejnila sadu asi deseti dokumentů, ve kterých z loňského kyberútoku na prezidentskou kampaň obvinila Rusko, přijala protiopatření a doplnila legislativu (Executive Order 13694). Útočnou dvouletou kampaň nazvanou „GRIZZLY STEPPE“ podle USA provedly ruské tajné služby FSB a GRU. „Palec na tepu doby“, chtělo by se říct. Po útoku hackerů na studio SONY v roce 2014, útoku na americký Office of Personnel Management v roce 2015 a dalších aférách vznikají konkrétnější praktické představy o přičitatelnosti mezinárodních kyberútoků.

Jde samozřejmě jen o praxi USA. Nevím o podobných veřejných dokumentech jiných států. Např. Ukrajina v roce 2015 obvinila z masivního kyberútoku na svou rozvodnou síť Rusko, ale bez detailnějšího zdůvodnění. Podobně Německo.

Zaprvé, je pěkné, že se Američané snaží vytvářet normy mezinárodního chování, ale je otázka, jestli to dělají efektivně. Síla jejich reakce je totiž poněkud diskutabilní, i když tedy na druhé straně se jedná o zásah do kampaně, ne o destrukční útok. Ale jak by vlastně reakce na podobný kyberútok měla vypadat? Zveřejnit důkazy? Odradí to ostatní útočníky? Zachová to mezinárodněpolitickou legitimitu reakce? Samé otázky... Jinak USA jsou v celkem nevýhodné pozici. Jsou velmi závislí na kyberprostoru, stejně tak jejich byznys (viz např. Facebook), a to se všemi důsledky např. pro možnost eskalace kyberkonfliktu.

Zadruhé, jak funguje přičitatelnost v mezinárodním právu v případě kyberútoků? Složitě. Relevantní jsou např. Články o odpovědnosti za mezinárodně protiprávní chování a Talinský manuál NATO, který má být mimochodem aktualizován v březnu 2017. Pokud se podaří identifikovat jednotlivé hackery jako agenty tajné služby státu, tak to jde. Pokud se jedná o nezávislé hackery, přichází na scénu test „kontroly“ ze strany státu, což byl vždy problém. Jinak samozřejmě složitost technické přičitatelnosti v kyberprostoru je téma samo o sobě.

V případě útoku na volební kampaň v USA jsou z tohoto pohledu zajímavé analýzy známých soukromých bezpečnostních firem jako CrowdStrike, FireEye nebo Fidelis a ThreatConnect, které také došly k závěru, že za útokem zřejmě stojí ruské tajné služby, a to skupiny hackerů označované jako ATP 28 / Fancy Bear (prý spojená s ruskou vojenskou rozvědkou GRU) a ATP 29 / Cozy Bear (prý civilní tajná služba FSB). Dokládají to více či méně přesvědčivými důkazy jako „used and reused tools, methods, infrastructure, even unique encryption keys“ („X-Tunnel command-and-control IP address, 45.32.129[.]185“, „a reused command-and-control address—176.31.112[.]10“, identifikace phishingových útoků, identifikace německými tajnými službami).

Nejzajímavější je ale příběh z Ukrajiny. Jeden ukrajinský voják prý vytvořil jednoduchou androidí aplikaci pro rychlejší výpočet zaměřovacích údajů pro staré sovětské houfnice D-30, a to přímo během boje, protože jinak se to musí dělat ručně a trvá to. Když se rozhořela válka mezi ukrajinskou armádou a proruskými povstalci, aplikace se rozšířila mezi ukrajinskými vojáky. Následně se ale s aplikací rozšířil malware X-Agent, který dal proruským jednotkám možnost sledovat polohu jednotlivých ukrajinských jednotek. Výsledkem byly rapidní zisky proruských sil v létě 2014, zničení až 80 % ukrajinských houfnic a v zásadě kolaps ukrajinské obrany. No a překvapení. Stejný malware se objevil při útoku na Demokratickou stranu v roce 2016, přičemž prý tento malware používala výhradně jen skupina ATP 28 (viz zpráva CrowdStrike). Samozřejmě, jasné důkazy to nejsou, ale vypadá to celkem přesvědčivě.



Zatřetí, Američané v reakci na kyberútok zařadili volby a jejich zajištění mezi tzv. kritickou infrastrukturu. V ČR (resp. EU) by to taky mohl být dobrý nápad. Nezdá se mi, že by s tímto současná směrnice 2008/114/ES nebo zákon č. 240/2000 Sb. (a nařízení vlády) počítaly. Navíc ČR pořád na nějaký velký kyberútok teprve čeká, tak by byl možná dobrý nápad taky aktualizovat některé koncepční materiály v této oblasti.

Žádné komentáře: