O americkej politike kyberodstrašovania a útokoch na Rusko

Správy o malvéri v ruskej energetickej rozvodnej sieti vyvolali v kyberbezpečnostnej komunite rušnú debatu o správnosti tohto kroku. Niektorí kritizujú, že za cieľ si Američania vybrali civilnú infraštruktúru, iní, že verejnosť stráca kontrolu nad vojenskými operáciami v kyberpriestore.

New York Times tvrdí, že americké Kybernetické velenie armádnych síl (CYBERCOM) umiestnilo malvéry do ruskej rozvodnej siete. Ide vraj o súčasť opatrení, ktorými chce americká vláda reagovať na dlhoročné problémy s Moskvou v kyberpriestore. Alebo ako povedal prezidentov poradca John Bolton, ide o spôsob ako „povedať Rusku alebo komukoľvek inému, kto je zapletený do kybernetických operácií proti nám, že za to zaplatia“.

Tento prechod do ofenzívy nie je vzhľadom na americké skúsenosti a svojskú politiku prezidenta Trumpa až taký prekvapivý. Jeho predchodca Barack Obama zvolil defenzívnejší postoj zameraný na obranu kritickej infraštruktúry, medzinárodnú spoluprácu a posilňovanie obranyschopnosti súkromného sektora. Nič z toho však nedokázalo odstrašiť útočníkov od toho, aby nenapádali rôzne vládne úrady, banky a súkromné spoločnosti, nenarušili priebeh volieb alebo nevynášali utajované informácie.

Za zmienku stojí čínsky útok na Úrad personálneho manažmentu, iránske útoky na Bank of America a Capital One, severokórejský útok na Sony alebo ruské zasahovanie do prezidentských volieb. Naopak, toľko zdôrazňovaná kritická infraštruktúra nebola terčom žiadneho rozsiahlejšieho útoku.

V novej vláde sa preto Obamova politika nestretla s pochopením.

„Predošlá administratíva príliš často volila ticho a nečinnosť pred silou a akciou… Tým dňom je koniec,“ vyhlásil minulé leto viceprezident Mike Pence. „Americký ľud vyžaduje a zaslúži si najsilnejšiu možnú obranu a my mu ju dáme.“

Vláda svoj sľub splnila o pár mesiacov, keď Donald Trump v lete 2018 podpísal nariadenie National Security Presidential Memorandum 13 (NSPM 13), ktoré zrušilo niektoré pravidlá využívania „digitálnych zbraní“. Po vydaní tohto Trumpovho bezpečnostného memoranda môžu americká armáda a ďalšie úrady vykonávať kybernetické operácie bez potreby zdĺhavého schvaľovacieho procesu ako súčasť agresívnejšej politiky odstrašovania.

„Naše ruky už nie sú také zviazané ako počas Obamovej administratívy,“ vyhlásil vtedy poradca prezidenta pre národnú bezpečnosť John Bolton. Tento krok podľa neho „vytvára štruktúry odstrašovania, ktoré demonštrujú protivníkom, že náklady na angažovanie sa v operáciách proti nám budú vyššie, než budú schopní zvládnuť“.

Prezidentov poradca John Bolton pred novinármi.

O novom nariadení a odstrašovaní

Typickým príkladom politiky odstrašovania sú doktríny z čias studenej vojny, v ktorých mocnosti deklarovali vôľu použiť svoje jadrové zbrane, no neupresnili, za akých konkrétnych podmienok by to urobili. Cieľ všetkých bol však jednoduchý – vyvolať v protivníkovi neistotu a strach z následkov možnej odplaty a odradiť ho tak od útoku.

Ako odstrašovanie trestom možno chápať aj dokument NSPM 13, ktorého detaily zostávajú stále utajené. Okrem informácií, ktoré poskytol Bolton, nie je veľmi jasné, kto a za akých podmienok bude schvaľovať kybernetické operácie, v akom rozsahu a ako dlho budú trvať a ani to, či o nich bude verejnosť informovaná.

Robert Chesney, odborník na medzinárodnú bezpečnosť a právo z Texaskej univerzity, sa ale domnieva, že nariadenie by mohlo vychádzať z Národného zákona o autorizácii obrany (NDAA), ktorý schválili v júli 2018 (k dispozícii tu). Paragraf 1642 totiž vymedzuje podmienky, za ktorých môže Národný veliteľský orgán (NCA) tvorený prezidentom a ministrom obrany schváliť kybernetickú operáciu proti štyrom konkrétnym krajinám – Rusku, Číne, Iránu a KĽDR.

Tými podmienkami je, že „musí prebiehať aktívna, systematická a pretrvávajúca kampaň útokov proti vláde alebo občanom Spojených štátov v kyberpriestore, vrátane pokusov o ovplyvňovanie amerických volieb a demokratických politických procesov“, za ktoré je zodpovedná jedna z týchto krajín.

Ak sú obe podmienky splnené, NCA môže obratom oprávniť CYBERCOM k „primeranej a úmernej akcii v cudzom kyberpriestore na narušenie, porazenie alebo odstrašenie takýchto útokov“.

V medziach NSPM 13 však tento odvetný kyberútok môže podľa informácií Washington Post prebiehať len pod hranicou „použitia sily“, a teda nemôže spôsobiť smrť, deštrukciu alebo mať závažné ekonomické následky. Chesney ďalej upozorňuje, že NDAA ani NSPM 13 zrejme nevyžadujú povolenie od prezidenta a rozhodnutie tak môže byť len v rukách ministra obrany.

O jednom konkrétnom prípade pred časom informovali aj médiá. Podľa uniknutých informácií mal CYBERCOM v novembri minulého roka uskutočniť útok na ruskú Internetovú výskumnú agentúru (IRA). Američania vtedy odpojili jej zamestnancov, prezývaných trollovia, od internetu v snahe zabrániť im ovplyvňovať voličov pred voľbami do amerického kongresu.

Išlo však skôr o výnimočný prípad, keď sa svet dozvedel o takomto útoku, pretože podľa NDAA sú o útočných operáciách CYBERCOM informovaní výhradne len členovia obranných výborov kongresu. Okrem toho nie je známe, do akej miery mal tento útok odstrašujúci účinok.

Celú problematiku kyberodstrašovania preto lepšie demonštruje práve medializovaný prípad rozmiestnenia malvérov do ruskej rozvodnej siete, ktorý je zrejme odpoveďou na dlhoročnú ruskú kampaň voči kritickej infraštruktúre USA.

Thomas Rid, odborník na kybernetickú bezpečnosť z Johns Hopkins University, v súvislosti s týmito malvérmi načrtol tri možnosti, prečo ako forma odstrašenia mohli zlyhať.

V prvom rade malo mať odstrašujúci efekt už len samotné vlastníctvo nasadených nástrojov. Pokiaľ sú však informácie o malvéri pravdivé, pre medializáciu zrejme CYBERCOM prišiel o svoju výhodu, pretože to podnietilo Rusko v hľadaní zraniteľností a ďalšom zabezpečovaní svojich systémov.

Druhou slabinou je efekt, ktorý mala vyvolať schopnosť spôsobiť škodu. Vzhľadom na to, že Rusko má štvrtú najväčšiu elektrizačnú sústavu na svete, narušenie akejkoľvek časti rozvodnej siete by podľa Rida vyžadovalo „neobyčajne komplexnú operáciu“ aj v prípade jedného väčšieho mesta.

Tretí sporný bod nesúvisí ani tak s odstrašovaním ako skôr s následkami kyberútoku na americkú domácu aj zahraničnú politiku. Rid varuje, že „stlačenie spúšte“ odštartuje jednak vážnu debatu o civilnej kontrole armády, a jednak zhoršenie vzťahov a možnú eskaláciu ďalších (kyber)útokov.

Americkí vojaci v Cyber Battle Lab v americkom Fort Gordon.

K vlastníctvu

Hoci vlastníctvo takýchto nástrojov by mohlo byť považované za prvok kyberodstrašovacej politiky, len ťažko môže vyvolať u protivníka strach, pokiaľ sa o ňom ani nevie. Bez medializácie by preto odstrašovanie zrejme nemalo patričný efekt. Ak Washington naozaj mieni viesť kybernetické operácie len ako odvetný krok v prípade zlyhania odstrašovania, musel by svoje schopnosti najprv vhodným spôsobom demonštrovať – nemožno predsa zastrašovať niečím, čo možno ani neexistuje.

V čase studenej vojny to bolo ľahšie. Stačilo odpáliť jadrovú nálož, aby si jedna strana uvedomila, že tá druhá bude do pár rokov disponovať jadrovými zbraňami. V kyberpriestore si je však len ťažko možné predstaviť, aby niekto vyskúšal na svojom území proti svojím obyvateľom „digitálne zbrane“, iba aby demonštroval svoje schopnosti. Na druhej strane, zaútočiť kvôli tomu na cudzie subjekty by sa už len ťažko dalo obhájiť ako súčasť odstrašovania odvetným trestom.

Aby sa tak Moskva mala čoho obávať, musela byť už skôr informovaná o malvéroch v rozvodnej sieti. Ruské ministerstvo energetiky to však poprelo s tým, že „spoločnosti nenahlásili ministerstvu žiadne informácie o útokoch na energetické zariadenia“.

Princíp odstrašovania je tak, zdá sa, v tomto prípade len zámienkou vytvoriť si tajné zadné vrátka ako výhodu do budúcna, pokiaľ by sa medzi Spojenými štátmi a Ruskom rozpútal väčší konflikt. Paradoxne, zavádzanie zadných vrátok do kritickej infraštruktúry je hlavným dôvodom, prečo sa práve Američania obávajú čínskych technológií v novobudovaných 5G sieťach.

K potencionálnym škodám

Rusi dobre vedia, že panika nie je na mieste. Dôkazom komplikovanosti a zároveň obmedzenosti podobných útokov na priemyselné systémy sú ruské útoky na rozvodnú sieť v oblasti Ivano-Frankivska na Ukrajine v roku 2015. Útočníci museli napadnúť zhruba 30 elektrických staníc, ktoré prevádzkovali tri distribučné spoločnosti, a vyradiť zákaznícke centrá aby odpojili 230-tisíc obyvateľov od elektriny len na pár hodín.

Americký výskumný inštitút SANS, ktorý sa ako prvý podieľal na vyšetrovaní, preto vo svojej správe píše: „Tieto incidenty by s ohľadom na vplyv na energetický systém mali byť na makro úrovni považované za slabé, pretože výpadok postihol len malú časť odberateľov energií na Ukrajine a jeho dĺžka bola obmedzená.“

Hoci sa o rozsahu nasadených malvérov do ruskej rozvodnej siete veľa nevie, je málo pravdepodobné, že by dokázali vážne narušiť národnú bezpečnosť čo i len na pár hodín. Hlavne keď vezmeme do úvahy, že kybernetické operácie CYBERCOM majú byť primeranou odplatou, ktorá nemôže prekročiť spomínanú hranicu „použitia sily“.

K spätnej väzbe

V súvislosti s kontrolou armády napísali minulý rok Benjamin Jensen a J. D. Work zaujímavý článok, v ktorom upozorňujú, že nahradenie Obamovho nariadenia Presidential Policy Directive 20 (PPD 20) novým Trumpovým nariadením NSPM 13 predstavuje zásadný posun. Kým Obama vyžadoval v prípade útočných kybernetických operácií medzirezortnú debatu a súhlas exekutívy, pod Trumpom bude „profesionálna vojenská kyberjednotka schopná autonómne ochraňovať spoločnosť bez stáleho civilného dohľadu“.

Kyberbezpečnostný expert Lukasz Olejnik naopak varuje, že útočné kyberoperácie Američanov budú hrať v zahraničnej politike do karát práve Rusom. Washington bude mať totiž podľa neho problém obhájiť svoje rozhodnutie v rámci medzinárodného práva, vďaka čomu by sa Moskva vedela vyprofilovať ako obeť a nie ako útočník. Ďalšie odvetné útoky by tak mohli mať už závažnejšie dôsledky pre národnú bezpečnosť a medzinárodný obchod.

„Hypotetickú možnosť“ kybervojny potvrdil v reakcii na informácie o malvéri aj hovorca Kremľa Dimitri Peskov.

K času

Štvrtý bod, ktorý už Thomas Rid nezohľadnil, je faktor času. Nie je jasné, kedy presne Američania nasadili malvér do ruskej rozvodnej siete. No za predpokladu, že k tomu došlo medzi schválením NSPM 13 a uverejnením článku v New York Times, znamenalo by to, že Američanom trvalo zhruba dva až tri roky, kým boli schopní odpovedať na ruské zasahovanie do kritickej infraštruktúry USA, ktoré malo začať niekedy v polovici roka 2016.

Ako upozorňuje Aaron Brantly – so stúpajúcim časovým horizontom medzi útokom a odpoveďou klesá jej relevancia. Štát preto musí včas identifikovať správneho páchateľa, určiť vhodné ciele odvety a zabezpečiť nástroje, aby mohol podniknúť odvetu čo najskôr. V opačnom prípade sa po uplynutí „premlčacej doby“ už útok len ťažko môže považovať za odvetný.

Zdĺhavá odpoveď, ktorá trvá niekoľko rokov, preto zároveň výrazne podkopáva aj americkú schopnosť kyberodstrašovania, ktorá môže byť v budúcnosti ešte viac oslabená, pokiaľ nenájde podporu po budúcoročných prezidentských voľbách.

Autori Národnej kybernetickej stratégie si uvedomili, že samotné kybernetické schopnosti nie sú tak spoľahlivé a nebudú stačiť na odstrašenie kyberútokov. Američanom preto zaručujú aj iné prostriedky na odstrašovanie v kyberútokov v prípade potreby.

„Všetky nástroje národnej moci sú k dispozícii na prevenciu, odpoveď a odstrašovanie záškodníckych kyberaktivít proti Spojeným štátom. To zahŕňa diplomatické, informačné, vojenské (kinetické aj kybernetické), finančné, spravodajské a donucovacie kapacity a schopnosti a tiež verejné prisúdenie útokov.”

Prostriedky „soft power” však za Obamu nepriniesli žiadaný výsledok. Ani s kybernetickými zbraňami” to nevyzerá veľmi nádejne. Odváži sa tak Donald Trump v budúcnosti odpovedať na kybernetické útoky vojenskou silou a bude nasledovať Izrael, ktorý sa k takémuto kroku odhodlal ako prvý v histórii?