Mohou být kybernetické operace považované dnešní optikou za ozbrojený útok? Aktivace článku 5 byla zvažována už v roce 2007 v souvislosti s rozsáhlými DDoS útoky v Estonsku. V té době ale nebyl DDoS útok velkého rozsahu chápaný jako ozbrojený útok. Mohou ale dnes být kybernetické operace považované za ozbrojený útok?
Severoatlantická smlouva[1] (dále také „Smlouva“) tvoří základ vojensko-politické struktury a organizace NATO. Tato smlouva ze 4. dubna 1949 vznikla za účelem obrany proti Sovětskému svazu. Originální casus foederis materializovaný v článku 5 Smlouvy tedy směřoval proti Sovětskému svazu a v letech 1955 až 1991 proti zemím Varšavské smlouvy, vzniklé na základě Smlouvy o přátelství, spolupráci a vzájemné pomoci. S pádem Sovětského svazu a rozpadem Varšavské smlouvy prošel raison d’être kolektivní obrany dramatickou změnou paradigmatu. Poprvé tak byl tento článek použit až v roce 2001, kdy o pomoc požádaly Spojené státy americké v souvislosti s teroristickými útoky z 11. září 2001. Nedá se říci, že by se jednalo o způsob použití, který měli tvůrci smlouvy původně na mysli, když toto ustanovení připravovali. Aktivace tohoto článku pak byla zvažována i v roce 2007 v souvislosti s rozsáhlými DDoS útoky v Estonsku. V té době ale nebyl DDoS útok velkého rozsahu chápaný jako ozbrojený útok. Mohou být ale kybernetické operace považované dnešní optikou za ozbrojený útok?
Výkladový rámec článku 5[2] Severoatlantické smlouvy[3] se při definici ozbrojeného útoku řídí Chartou OSN. Ve vztahu k ní se totiž Severoatlantická smlouva stojí v subordinaci.[4] K odpovědi na otázku, jestli může být kybernetická operace ozbrojeným útokem aktivujícím článek 5 Severoatlantické smlouvy je tak nutné odpovědět na otázku, zda může být kybernetická operace ozbrojeným útokem ve smyslu článku 51 Charty OSN. Ozbrojený útok představuje, dle rozhodovací praxe Mezinárodního soudního dvora,[5] tu nejzávažnější formu[6] použití násilí.[7] Tallinnský manuál,[8] který má v současné diskuzi na téma aplikace mezinárodního práva na kybernetické operace poměrně výsadní postavení, přistoupil k aplikaci pravidel tak, že kybernetická operace představuje použití násilí nebo hrozbu použitím násilí ve chvíli, kdy je její rozsah a dopad analogicky srovnatelný s dopadem nekybernetické operace,[9] která by představovala použití násilí[10] nebo hrozbu použitím násilí.[11] Tím se dle mého názoru nekonstatuje v zásadě nic jiného, než nutnost aplikovat existující normativní rámec a posuzovat účel provedené operace.
Autoři manuálu se zároveň pokusili zhojit nekonzistentnosti Charty[12] zavedením následujících premis:[13]
- některé kybernetické operace nejsou použitím násilí;[14]
- všechny ozbrojené útoky jsou automaticky použitím násilí;[15]
- použití národních ozbrojených sil není nutnou podmínkou k překročení prahu použití násilí.[16]
První premisa vychází ze specifické povahy kybernetických operací, kdy některé z nich z důvodu technické reality nebudou obsahovat sekundární[17] kinetický efekt. Ty pak budou představovat donucovací akci, která přímo neohrožuje územní celistvost nebo politickou nezávislost. Donucovací akce, která je pouhým ekonomickým nebo politickým donucováním bez ohrožení územní celistvosti nebo politické nezávislosti nemůže nikdy být použitím násilí nebo hrozbou násilím.[18] Manuál tak uvádí příklad nekinetických kybernetických operací spadajících do oblasti psychologické války.[19] O použití násilí by se tak, mohlo jednat ve chvíli, kdy by byla způsobena podstatná škoda státu, který je cílem. Konkrétně se může jednat o ztráty způsobené na straně obyvatelstva, o škody na kritické infrastruktuře bez ohledu na její povahu[20] nebo o zásadní narušení autority vlády.[21] Stále ale musí být naplněno kritérium rozsahu a efektu, resp. obě jeho složky.[22]
Z hlediska širšího posouzení mezinárodního práva je nutné považovat za nešťastné, že se autoři manuálu zaměřili pouze na otázku použití síly. Otázka souladu operací nedosahujících tohoto prahu s mezinárodním právem je totiž minimálně stejně důležitá, např. z hlediska suverenity a principu nevměšování se.[23]
Druhá premisa pak přímo vychází z výše uvedené rozhodovací praxe Mezinárodního soudního dvora, která zakotvila ozbrojený útok jako nejzávažnější formu použití násilí. Rozlišení je zde důležité vzhledem k dikci článku 51 Charty OSN, který je vykládán tak, že právo na sebeobranu[24] svědčí státu ve chvíli, kdy se stane cílem ozbrojeného útoku.
Třetí premisa také vychází z existující rozhodovací praxe Mezinárodního soudního dvora. I za situace, kdy se operace neúčastní ozbrojené složky státu, je možné konstatovat, že se jedná o použití násilí zakázané čl. 2 odst. 4 Charty OSN. Mezinárodní soudní dvůr v minulosti uvedl,[25] že v případě napomáhání paravojenským jednotkám na území cíle ve formě poskytování vybavení, financování, podpory a řízení jejich akcí je možné mluvit o použití násilí.[26] V rámci kybernetických operací tak můžeme mluvit o poskytování sofistikovaného škodlivého kódu, popřípadě o poskytování expertizy potřebné k jeho vytvoření a uvedení do cílového systému. V tuto chvíli nemusí nutně docházet k přímému použití ozbrojených sil útočníka nebo tuto činnost mohou vykonávat civilní pracovníci.
Shora uvedené premisy jsou z hlediska současného výkladu mezinárodního práva zcela validní, ale, bohužel, se ani jimi nepodařilo naplnit základní cíl, a tím je odpověď na otázku, zda může kybernetická operace představovat ozbrojený útok. Tento závěr z nich totiž žádným logicky koherentním způsobem nelze přímo odvodit.
Jestli tuto situaci nějak změní Deklarace z Waleského summitu,[27] nelze říct s jistotou. Posun v chápání této oblasti, který je deklarací představován, může mít vliv symbolický nebo praktický, což je v tuto chvíli složité předvídat. Faktem ale je, že zatímco v minulosti byl postoj členů NATO ke kybernetickým operacím značně nekonzistentní,[28] deklarace z Walesu může představovat jistou synchronizaci přístupu.[29] V tomto duchu bylo o závěrech summitu ve Walesu ostatně i informováno.[30] Je tedy jisté, že registrujeme změnu paradigmatu. To se snad v duchu evoluční interpretace mezinárodních smluv obecně nadaných nízkou dynamikou,[31] mění tak, aby bylo možné zahrnout kybernetické operace pod rozsah článku 51 Charty OSN a článku 5 Severoatlantické smlouvy. V současné době to ale nelze konstatovat s naprostou jistotou.
——————
Zdroje:
[1] Vyhlášeno jako 66/1999 Sb.
[2] Ekvivalentně viz článek 16 Tallinnského manuálu. SCHMITT, Michael N (ed.). Tallinn Manual on the International Law Applicable to Cyber Warfare [online]. Cambridge: Cambridge University Press, 2013 [cit. 1. 12. 2014]. 302 s. Dostupné z: http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381. S. 67-68.
[3] Text: „Strany se dohodly, že ozbrojený útok proti jedné nebo více z nich v Evropě nebo Severní Americe bude považován za útok proti všem, a proto se dohodly, že dojde-li k takovému ozbrojenému útoku, každá z nich uplatní právo na individuální nebo kolektivní sebeobranu uznané článkem 51 Charty Organizace spojených národů a pomůže napadené straně nebo stranám tím, že sama a v součinnosti s ostatními stranami neprodleně podnikne kroky, které bude považovat za nutné, včetně užití ozbrojené síly, s cílem obnovit a udržet bezpečnost v severoatlantické oblasti. O každém takovém ozbrojeném útoku a veškerých opatřeních přijatých v důsledku tohoto útoku bude neprodleně uvědoměna Rada bezpečnosti. Tato opatření budou ukončena, když Rada bezpečnosti přijme opatření nezbytná k obnovení a zachování mezinárodního míru a bezpečnosti.“
[4] Srov. explicitní subordinační klauzule obsažená v článku 7 Severoatlantické smlouvy, dále ustanovení v článku 103 Charty OSN garantující primát Charty. Srov. též obecné výkladové pravidlo mezinárodního práva smluvního obsažené v článku 31, odst. 3, písm. c) Vídeňské úmluvy o smluvním právu, které explicitně stanovuje vzít při interpretaci v potaz relevantní aplikovatelné normy mezinárodního práva.
[5] Mezinárodní soudní dvůr. Case Concerning Military and Paramilitary Activities in and against Nicaragua. Judgment of 27 June 1986 [online]. Mezinárodní soudní dvůr [cit. 5. 12. 2014]. Dostupné z: http://www.icj-cij.org/docket/files/70/6503.pdf. Odstavec 195. Srov. také Mezinárodní soudní dvůr. Case Concerning Oil Platforms. Judgment of 6 November 2003 [online]. Mezinárodní soudní dvůr [cit. 1. 12. 2014]. Dostupné z: http://www.icj-cij.org/docket/files/90/9715.pdf. Odstavec 51.
[6] V angl. originále „the most grave form“
[7] Hrozba použitím násilí nebo použití násilí je explicitně zakázáno Chartou OSN v čl. 2 odst. 4
[8] SCHMITT, Michael N (ed.). Tallinn Manual on the International Law Applicable to Cyber Warfare [online]. Cambridge: Cambridge University Press, 2013 [cit. 1. 12. 2014]. 302 s. Dostupné z: http://issuu.com/nato_ccd_coe/docs/tallinnmanual?e=5903855/1802381
[9] Srov. také HÄUßLER, Ulf. Cyber Security and Defence from the Perspective of Articles 4 and 5 of the NATO Treaty. In International Cyber Security Legal & Policy Proceedings. [online]. Tallinn: Cooperative Cyber Defence Center of Excellence, 2010 [cit. 1. 12. 2014]. 142 s. Dostupné z: https://ccdcoe.org/sites/default/files/multimedia/pdf/LP_Proceedings_2010.pdf. S. 118.
[10] Tallinn Manual 2013, op. cit., pravidlo 11 (s. 45).
[11] Hrozba použitím násilí je konstruována podobně. Tamtéž, pravidlo 12 (s. 52).
[12] LIN, Herbert. Cyber conflict and international humanitarian law. ICRC Review [online]. 2012, roč. 94, č. 886, s. 515-531 [cit. 24. 4. 2014]. DOI: 10.1017/S1816383112000811. Dostupné z: http://www.icrc.org/eng/resources/international-review/review-886-new-technologies-warfare/review-886-all.pdf. S. 524.
[13] Explicitně shrnuto Tallinn Manual 2013, op. cit., pravidlo 11 (s. 47-8), odstavec 8.
[14] Tamtéž, pravidlo 11 (s. 46), odstavec 2 a 3.
[15] Tamtéž, pravidlo 11 (s. 47), odstavec 6.
[16] Tamtéž, pravidlo 11 (s. 46), odstavec 4.
[17] Primárně nekinetická povaha konstatovaná v DUCHEINE, Paul. Non-Kinetic Capabilities: Complementing the Kinetic Prevalence to Targeting [online]. Social science research network [cit. 1. 12. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2474091.
Pro sekundární kinetický efekt srov. APPLEGATE, Scott. The Dawn of Kinetic Cyber. In: PODINS, Karlis; STINISSEN, Jan; MAYBAUM, Markus. 2013 5th International Conference on Cyber Conflict. Tallinn: NATO CCD COE Publications, 2013. S. 163-177. ISBN 9789949921157. S. 165-170.
Srov. Stuxnet. Analýza PORSCHE, Isaac R. III; SOLLINGER, Jerry M.; MCKAY, Shawn. A Cyberworm that knows no Boundaries [online]Santa Monica: RAND Corporation, 2011 [cit. 1. 12. 2014]. Dostupné z: www.rand.org/pubs/occasional_papers/OP342.html.
Srov. útok na německou ocelárnu v roce 2014. Oficiální zpráva Die Lage der IT-Scherheit in Deutschland 2014 [online]. Bundesamt für Sicherheit in der Informationstechnik: Berlín, 2014 [cit. 10. 4. 2015]. Dostupné z: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile. S. 31. Také LEE, Robert, ASSANTE, Michael a Tim CONWAY. ICS CP/PE (Cyber-to-Physical or Process Effects) case study paper – German Steel Mill Cyber Attack [online]. SANS ICS: 2014 [cit. 10. 4. 2015]. Dostupné z: https://ics.sans.org/media/ICS-CPPE-case-Study-2-German-Steelworks_Facility.pdf
[18] Tallinn Manual 2013, op. cit., pravidlo 11 (s. 46), odstavec 3.
[19] Tamtéž. Z toho dovozuji, že útoky bez sekundárního kinetického potenciálu je nutné považovat za nekinetické a z toho hlediska za neschopné stát se použitím násilí dle mezinárodního práva.
[20] Tedy bez ohledu na její zařazení do odvětví podle přílohy k nařízení vlády č. 432/2010 Sb.
[21] CONSTANTINOU, Avra. The Right to Self-Defence under Customary International Law and Article 51 of the United Nations Charter. Athens and Bruxelles: Ant N Sakkoulas/Bruylant, 2000. 225 s. ISBN 9789601502878. S. 63-64.
[22] Tamtéž.
[23] FLECK, Dieter. Searching for International Rules Applicable to Cyber Warfare – A Critical First Assessment of the New Tallinn Manual. Journal of Conflict & Security Law [online]. 2013, roč. 18, č. 2, s. 332-351 [cit. 24. 4. 2014]. DOI: 10.1093/jcsl/krt011. Dostupné z: http://jcsl.oxfordjournals.org. S. 346-347.
[24] A tím i možnost dovolávat se článku 5 Severoatlantické smlouvy
[25] Mezinárodní soudní dvůr 1986, op. cit.
[26] Jak bude nicméně uvedeno dále v textu, na stejném místě Mezinárodní soudní dvůr uvádí, že samotné poskytování finančních prostředků by bylo porušením principu nevměšování, ale nebylo by použitím násilí podle čl. 2 odst. 4 Charty OSN.
Tamtéž, odstavec 228.
[27] Text je dostupný na http://www.nato.int/cps/ic/natohq/official_texts_112964.htm [cit. 10. 4. 2015].
[28] Extenzivně ROSCINI, Marco. Cyber Operations and the Use of Force in International Law [online]. Oxford: Oxford University Press, 2014 [cit. 1. 12. 2014]. Dostupné z: http://site.ebrary.com. S. 93-94.
[29] Viz bod 72 Deklarace.
Srov. zdrženlivěji formulovaný bod 47 Deklarace z Bukurešťského summitu uváděný v kontextu bezpečnostních výzev a nikoli explicitně formulovaný jako apel k mezinárodnímu právu. Dostupné na: http://www.nato.int/cps/en/natolive/official_texts_8443.htm [cit. 10. 4. 2015].
[30] NATO Summit Updates Cyber Defence Policy [online]. CCD COE: 2014 [cit. 10. 4. 2015]. Dostupné z: https://ccdcoe.org/nato-summit-updates-cyber-defence-policy.html
[31] Více HELMERSEN, Sondre Torp. Evolutive Treaty Interpretation: Legality, Semantics and Distinctions. In European Journals of Legal Studies, roč. 6, č. 1, s. 127-148 [online]. 2013 [cit. 10. 4. 2015]. Dostupné z: http://www.ejls.eu/12/150UK.pdf
Zdroj obrázka: www.nato.int