Dvě dekády snah OSN o stabilizaci kybernetického prostoru

Rostoucí počet kybernetických útoků ze strany státních aktérů podrývá vzájemnou důvěru a zvyšuje možnost eskalace, která by mohla vyústit až v kybernetickou válku. Snaha o stabilizaci kybernetického prostoru se tak rychle dostává do popředí jednání na půdě OSN. Za tímto účelem ustavilo Valné shromáždění OSN dvě pracovní skupiny, jejichž cílem je obnovit vzájemnou důvěru formulací a implementací norem zodpovědného chování států v kyberprostoru. Jednání se nyní nacházejí v klíčové fázi, přičemž vývoj příštích měsíců bude pro úspěch těchto snah kritický.

kybernetická bezpečnost     OSN      mezinárodní právo      IS2     lidská práva online

Problematika kybernetické bezpečnosti prochází dynamickým vývojem, který má stále větší dopady na mezinárodní vztahy. S tím, jak přibývá kybernetických operací, za kterými stojí státní aktér, nabývá na intenzitě i diskuse o tom, zda je možné kybernetický prostor nějakým způsobem stabilizovat. Klíčovým a zároveň značně komplikovaným prvkem v této diskusi je hledání dohody o zásadách zodpovědného chování států v kyberprostoru, které by bylo nějakým způsobem kontrolovatelné, nebo dokonce vynutitelné.

Zvyšující se počet kybernetických hrozeb nutí Českou republiku spolupracovat se stejně smýšlejícími zeměmi, v prvé řadě v rámci EU a NATO. Kybernetická bezpečnost je však především globální problém a jako takový vyžaduje globální řešení. V tomto ohledu se zájem ČR upírá na jednání OSN, která v oblasti kybernetické bezpečnosti gradují v posledních letech. V prosinci 2018 byly ustaveny dvě pracovní skupiny OSN, které zkoumají možnosti stabilizace kybernetického prostoru a které v současnosti intenzivně jednají. Ve dnech 10.–14. února 2020 se v New Yorku uskutečnilo druhé substantivní jednání Otevřené pracovní skupiny OSN za účasti zástupců všech členských zemí OSN. Ve dnech 24.–28. února 2020 se uskutečnilo druhé substantivní jednání Skupiny vládních expertů OSN za účasti zástupců 25 zemí. ČR se aktivně účastní práce prvně jmenované skupiny.

Od obav z ICT technologií k zodpovědnému chování států v kyberprostoru

Diskuse o hrozbách vyplývajících z ICT technologií probíhá v OSN již dlouho. V roce 1998 Valné shromáždění OSN jednomyslně přijalo vůbec první rezoluci k ICTs v kontextu mezinárodní bezpečnosti.¹ V ní vyjádřilo mezinárodní společenství „obavu ze zneužití těchto technologií k účelům neslučitelným s udržováním mezinárodního míru a bezpečnosti a z negativních dopadů ICTs na bezpečnost států“. OSN tak začala poprvé uvažovat o rozvoji specifických principů a norem, které by přispěly ke snížení rizika kyberválky mezi státy a zefektivnily boj s kyberkriminalitou a kyberterorismem. Zajímavé ve světle současného vývoje je, že iniciátorem této diskuse bylo především Rusko. Následně začaly být přijímány rezoluce k ICT v kontextu mezinárodní bezpečnosti každoročně.

V roce 2004 mezinárodní společenství usoudilo, že konsekutivní rezoluce vyjadřující pokračující obavy nad zneužitím ICT systémů jsou nedostatečné. Z rozhodnutí 1. výboru Valného shromáždění proto vznikla Skupina vládních expertů (tzv. GGE)² se členstvím omezeným na stálé členy Rady bezpečnosti a cca 15–20 dalších států vybraných Generálním tajemníkem OSN na základě principu rovnoměrného regionálního zastoupení. Skupina dostala za úkol studovat mezinárodní hrozby plynoucí z rozvoje a používání ICTs a identifikovat vhodná opatření k řešení současných a budoucích kybernetických hrozeb. Od roku 2004 proběhlo celkem pět jednacích kol skupiny GGE, přičemž tři kola vyústila v přijetí závěrečných zpráv GGE, které následně jednomyslně schválilo i Valné shromáždění OSN. Stojí za zmínku, že v letech 2004–2005 nepřijala skupina závěrečnou zprávu v důsledku rozcházejících se názorů členů na oprávněnost vojenského využití ICT systémů. Členské státy GGE se rovněž nedokázaly shodnout, zda by se další diskuze měly zaměřit pouze na bezpečnost ICT infrastruktury (názor západních států) či zahrnout i otázku regulace obsahu internetu (postup prosazovaný Ruskem a Čínou).

GGE nicméně dosáhla konsenzu v letech 2010, 2013 a 2015 a publikovala tři klíčové zprávy, které dodnes udávají směr mezinárodních diskuzí o stabilizaci kybernetického prostoru. V roce 2010 definovala GGE strategický rámec pro další snahy mezinárodního společenství o stabilizaci kybernetického prostoru. Konkrétně zpráva GGE navrhla vytvoření norem zodpovědného chování států v kyberprostoru, které by měly být doplněny o budování kyberodolnosti rozvojových států a opatření na budování důvěry (tzv. Confidence-Building Measures, CBMs). V roce 2013 přijala GGE zprávu, která s definitivní platností potvrdila, že mezinárodní právo, Charta OSN (potažmo i zákaz útočné války) stejně jako princip státní svrchovanosti se uplatní i v kybernetickém prostoru. Zpráva tak odmítla do té doby často opakovanou, byť fakticky mylnou definici internetu jakožto „volného statku-dědictví“ všeho lidstva (tzv. Global Commons). Zpráva fakticky potvrdila, že i internet má státní hranice, neboť závisí na fyzické infrastruktuře pod svrchovanou kontrolou států.

Normy zodpovědného chování států

Významným dopadem uznání státní suverenity v kyberprostoru bylo nasměrování diskuzí OSN o bezpečnosti ICT k právům a povinnostem států v kyberprostoru. Výsledky těchto diskuzí jsou zohledněné ve zprávě GGE z roku 2015, která se často skloňuje jakožto nejvýznamnější dosavadní výstup z práce skupiny GGE. Konkrétně zpráva definuje 11 norem zodpovědného chování států v kyberprostoru, které určují nejen, co mají státy v kyberprostoru činit, nýbrž i jakých aktivit se mají v kyberprostoru vystříhat. Valné shromáždění OSN jednomyslně přivítalo zprávu GGE v roce 2016 a vyzvalo státy, aby se ve svém používání ICTs řídily jejími závěry.³

Shrnutí doporučení Skupiny vládních expertů (GGE) k normám zodpovědného chování států v kyberprostoru (zpráva UN GGE A/70/174):

Státy by neměly:

• vědomě připustit používání svého území k provádění mezinárodně protiprávních činů skrze ICTs,
• provádět či vědomě podporovat ICT aktivity cíleně poškozující kritickou infrastrukturu,
• provádět či vědomě podporovat aktivity poškozující informační systémy skupin pro reakci na počítačové hrozby (CERT/ CSIRTS) ostatních států a neměly by využívat vlastní skupiny plnící tuto funkci k nepřátelským přeshraničním aktivitám.

Státy by měly:

• podniknout kroky k zajištění bezpečnosti dodavatelských řetězců a předcházet šíření škodlivých ICTs včetně jejich škodlivých skrytých funkcí,
• garantovat plné dodržování lidských práv online včetně práva na svobodu projevu,
• spolupracovat v zajištění stability a bezpečnosti ICTs a zabránit škodlivým praktikám,
• vzít v potaz veškeré relevantní informace v případě ICT incidentů,
• zvážit vhodné formy spolupráce v oblastech výměny informací, vzájemné pomoci a v potírání kriminálních a teroristických kybernetických aktivit,
• podniknout patřičné kroky k ochraně vlastní kritické infrastruktury,
• reagovat na opodstatněné žádosti o pomoc ostatních států, jejichž kritická infrastruktura je poškozována aktivitami ICT,
• podpořit zodpovědné ohlašování zranitelností v oblasti ICT a sdílet ověřené nápravné postupy.

Konkrétně normy GGE státům např. ukládají povinnost nedopustit vědomě zneužití vlastního území ke zneužívání ICT či provádět nebo podporovat aktivity na svém území, které by měly za cíl poškodit kritickou infrastrukturu ostatních států. V kontextu pokračujících mezinárodních diskuzí o bezpečnosti sítí 5G je relevantní i norma GGE, která státům ukládá povinnost podniknout konkrétní kroky k zajištění bezpečnosti dodavatelských řetězců ICT a zamezit šíření škodlivých skrytých funkcí těchto systémů. Zpráva GGE volá i po větší mezinárodní spolupráci v oblasti vzájemné výměny informací a pomoci při boji s kyberkriminalitou a kyberterorismem. Neméně důležitá je i norma GGE, která státy nabádá k dodržování základních práv a svobod na internetu včetně práva na soukromí a práva na svobodu projevu.

Tříštění mezinárodního konsensu o ICT – konec jedné éry

Další iterace skupiny GGE proběhla v letech 2016–2017 a podruhé v historii skončila nedohodou na podobě závěrečné zprávy. Vůbec nejožehavější otázku diskuzí GGE představovala aplikace mezinárodního práva v kyberprostoru, především pak uplatnění mezinárodního humanitárního práva (MHP) či práva válečného. Uplatnění MHP v kyberprostoru ze zásady podporovaly USA, Francie, Velká Británie a další západní státy. Některé státy se však diskuzí o aplikaci MHP odmítly zabývat. Nejvýrazněji se proti uplatnění MHP v kyberprostoru postavila Čína, která argumentovala tím, že uznání aplikovatelnosti MHP by prakticky legitimizovalo militarizaci ICT, a tím zvýšilo riziko války v kyberprostoru. Státy se nicméně rozcházely i v názoru na to, zda vytvořit novou mezinárodní smlouvu, která by regulovala technologie ICT i obsah internetu (Rusko a Čína) či zda jít cestou ujasnění aplikace stávajícího mezinárodního práva na specifika kyberprostoru (západní státy).

Neshody hlavních hráčů GGE o dalším směřování skupiny se následně promítly i do jednání 1. výboru Valného shromáždění na podzim 2018, kdy Ruská federace neočekávaně předložila návrh rezoluce k bezpečnosti ICT, která namísto prodloužení mandátu expertní skupiny GGE předpokládala vytvoření nové Otevřené pracovní skupiny OSN pro ICT (tzv. OEWG). Oproti GGE je OEWG přístupná všem členským státům OSN a jedním z jejich cílů je podle potřeby formulovat nová závazná pravidla chování v kyberprostoru. Ruský návrh podpořený Čínou byl však pro západní státy nepřijatelný, neboť zahrnoval snahu schválit skrze rezoluci 1. výboru OSN Šanghajská pravidla chování pro informační bezpečnost, která na rozdíl od norem GGE kladou nepřiměřený důraz na prosazování státní suverenity v kyberprostoru na úkor dodržování lidských práv online.

¨USA kontrovaly vlastní rezolucí, která počítala se znovuustavením tradiční skupiny GGE. Zatímco státy EU a další podobně smýšlející země podpořily americký návrh, většina zemí světa podpořila ve snaze vyhnout se střetům při hlasování oba návrhy. Výsledkem tření na půdě Valného shromáždění bylo tedy přijetí obou rezolucí a ustavení dvou pracovních skupin k problematice informační bezpečnosti s překrývajícími se mandáty.

Cesta vpřed: dosažení komplementarity mezi GGE a OEWG

I přes komplikovaná jednání na půdě OSN představují ustavení GGE a OEWG pro státy OSN příležitost překlenout stávající patovou situaci. Faktem totiž zůstává, že přes původní skepsi západních států k ustavení OEWG nabízí její otevřený charakter v několika ohledech oproti GGE nespornou výhodu. Na rozdíl od GGE, jejíž omezený expertní formát nahrává možnosti dalšího rozpracování již přijatých norem zodpovědného chování ve zprávě GGE z roku 2015, je OEWG ideální platformou pro šíření povědomí o kyberbezpečnosti, zintenzivnění širší mezinárodní spolupráce v této oblasti a budování důvěry mezi státy. Pro mnohé státy je participace v OEWG zároveň jedinou příležitostí k výměně informací o osvědčených postupech při implementaci norem GGE a budování kapacit v oblasti kyberodolnosti.

Univerzalizace norem GGE by dozajista zásadně přispěla ke stabilizaci kybernetického prostoru. Implementace těchto norem si však vyžádá přijetí konkrétních politických, právních a technických opatření k jejich provádění. Otevřený formát OEWG je v tomto ohledu ideálním nástrojem ke sdílení praktických zkušeností s implementací na národní úrovni. Tímto směrem se ostatně ubírala i překvapivě věcná diskuze během prvního a druhého substantivního zasedání OEWG ze září 2019 a února 2020.

Česká republika v kontextu jednání OSN

Česká republika v tuto chvíli považuje jednání OEWG za příležitost a vystupuje velmi aktivně. Společně se západními partnery jasně podpořila vizi otevřeného, stabilního, bezpečného a mírového kybernetického prostoru založeného na dodržování multilaterálních pravidel a lidských práv. V této souvislosti vyjádřila i obavu ze zneužití technologií ICT autoritativními režimy k potlačování základních práv a svobod včetně práva na soukromí a svobodu projevu v digitálním prostoru. ČR připomněla důležitost zajištění bezpečnosti dodavatelských řetězců technologií ICT a deklarovala připravenost pomoci partnerům s budováním odolnosti vůči kybernetickým hrozbám. O tom, že ČR chce do budoucna hrát aktivní a konstruktivní roli v diskuzi o zajištění bezpečnosti dodavatelských řetězců ICT technologií, svědčí i intenzivní úsilí Národního úřadu pro kybernetickou a informační bezpečnost k zajištění bezpečnosti 5G mobilních sítí.

Zároveň je zjevné, že efektivní zajištění kybernetické bezpečnosti vyžaduje nejen součinnost států, ale rovněž soukromého sektoru a občanské společnosti. Ministr zahraničních věcí proto v rámci snahy diskutovat tuto problematiku co nejšířeji opakovaně udělil záštitu prestižní konferenci Information Security Summit (IS2). Na jejím okraji uspořádá Ministerstvo zahraničních věcí seminář k mezinárodně-politickým aspektům kybernetické bezpečnosti a konkrétně se zaměří vedle problematiky lidských práv a umělé inteligence právě jednání o stabilizaci kybernetického prostoru v rámci OSN.

Poznámky pod čarou:

1. A/RES/53/70 z roku 1991.
2. Group of Governmental Experts (pozn. autora).
3. A/RES/70/237