Útoky zahraničních hackerů na armádní či vládní síť, systém spravující vodovodní rozvody nebo řízení chodu jaderné elektrárny budou v USA v nejbližších letech považovány za válečný akt a jako na takový na něj bude reagováno. Vyplývá to z výňatků z nové strategie kybernetické obrany, jíž chtějí zaměstnanci Pentagonu představit za několik týdnů. V praxi tak budou americké jednotky moci zaútočit na stát, který poskytne krytí či pomoc hackerovi, jenž příslušný čin spáchá.

Některé z výňatků zveřejnilo samotné Ministerstvo obrany USA v minulých dnech. K jiným se dostali novináři z Wall Street Journal, BBC a dalších médií pomocí kontaktů na ministerstvu.

Různí vojenští experti, jež v této souvislosti média oslovila, přirovnávají novou potenciální situaci k útoku USA na Afghánistán v roce 2001. Také ten byl z oficiálních míst hájen jako odpověď na skutečnosti, že tehdejší (tálibánská) vláda podporuje a ukrývá teroristy z Al-Káidy, kteří naplánovali útok z 11. září.

„Reakce na příslušný kyber-incident či útok na USA nebude nutně jen kyber-reakcí. Bude možné využít všech adekvátních prostředků,“ uvedl po agentury mluvčí Pentagonu Dave Lapan.

„Pokud nám vyhodíte elektrickou síť, možná vám hodíme do komína nějakou tu raketu,“ ozřejmil situaci názorně vysoký důstojník, jehož vyjádření získal Wall Street Journal.

Důsledky a podrobnosti

Podle reportérů Wall Street Journalu se teď na americkém ministerstvu obrany debatuje o konkrétní formulaci podmínek, jež musí příslušný útok splňovat, aby si vyžádal tu kterou odpověď. Většina generálů se zatím údajně kloní k principu ekvivalence. Ten říká, že na útok musí být odpovězeno adekvátně rozsahu poškození, které způsobí. Za plnohodnotný válečný akt by tak například byl považován takový útok, který by způsobil americkému trhu podobné škody, jako námořní blokáda.

Kritikové nové strategie přitom upozorňují na možné riziko nedůsledně rozkryté provokace ze strany třetí země, nebo na obtížnost přesného určení místa, z něhož byl příslušný útok veden. Někteří také namítají, že stát, z jehož území byl útok veden, nemusí mít s příslušným hackerem nic společného.

Autoři strategie nicméně zastávají názor, že opravdu ničivý kyberútok nelze v současné době spáchat bez asistence či alespoň vědomí některé z vlád.

Wallstreetský Journal dále upozorňuje, že dle svých autorů má příslušná klauzule sehrát především deterenční roli — měla by potenciální útočníky varovat před závažnými důsledky, a tím je od činu odradit. Britský Guardian ovšem v této souvislosti připomíná, že klauzule může být v budoucnu zneužita s děsivými důsledky.

Proč to vzniká?

Vypracováním strategie bylo v minulém roce pověřeno nově zřízené Kybernetické velitelství americké armády při Národní bezpečnostní agentuře, která funguje v rámci Pentagonu již od roku 1952. Oficiálním důvodem se stala „potřeba konceptu adekvátní odpovědi na nové bezpečnostní hroby“. Neoficiálně jde však o reakci na vzrůstající počet i sofistikovanost hackerských útoků na celém světě.

Americká vojenská síť byla — dle známých informací — naposledy vážně napadena v listopadu 2008. Jednalo se o stejný typm útoku, jaký postihl několik měsíců před tím vládní síť v Gruzii a v roce 2007 v Estonsku. Rusko jako logický pachatel ale jakékoliv zapojení vyloučilo.

Za dosud nejvážnější kyberútok ve světě je obecně považována infiltrace počítačových sítí v Íránu virem Stuxnet, který nejspíše pronikl i do systému řízení jaderné elektrárny v Búšehru. Podle dnes nejrozšířenějšího výkladu stál za tímto útokem Izrael. Mnozí experti na danou problematiku se přitom domnívají, že virus vyvinul právě s pomocí USA. Také Pentagon ale příslušná obvinění odmítl.

Agentury pak ještě připomínají, že během minulého víkendu se podařilo neznámým hackerům proniknout do sítě korporace Lockheed Martin. Ta patří k hlavním dodavatelům výzbroje všem ozbrojeným složkám USA.

Otázka NATO

Vedle vymezení hrozeb a adekvátních reakcí by měla kyberstrategie také stanovit další důsledky pro celou bezpečnostní doktrínu USA, principy spolupráce se soukromými společnostmi i způsob, jakým bude stát slaďovat vlastní přístupy se spojenci. Právě tato otázka poutá mimořádnou pozornost. V rámci NATO totiž není kyberútok jako válečný akt dosud definován.

Aliance se minulý rok pouze dohodla, že se v případě příslušného napadení sejde konzultační skupina, která projedná společný postup. Článek 5 Washingtonské smlouvy, jež tvoří základ kolektivně-obranného mechanismu organizace, se tedy na kyberútok nevztahuje.

Žádný stát NATO také doposud nepřijal dokument, jež by se kyberstrategii důsledně podobal. Je tak pravděpodobné, že bude Washington vyvíjet diplomatickou aktivitu i tímto směrem.

Podobný orgán jako americké Kyberveliteství má navíc minimálně od roku 2009 i Čína, což dává záležitosti další rozměr.

Další informace:

The Wall Street Journal Cyber Combat: Act of War

The Guardian Washington moves to classify cyber-attacks as acts of war

The Daily Telegraph US could respond to cyber-attack with conventional weapons

BBC News US Pentagon to treat cyber-attacks as 'acts of war'

BBC News US defence firm Lockheed Martin hit by cyber-attack