Při mezinárodních konfliktech se nezřídka stává, že kromě těžkých bojů na daném území probíhá i válka jiného druhu: kybernetická. Výjimkou není ani současné válčení probíhající na Ukrajině. Například celosvětově známá nezávislá hackerská skupina Anonymous od počátku ruské invaze nabourala tisíce ruských a běloruských webů a snaží se tamní propagandu prokládat reálnými záběry vybombardovaných měst. Rusko nezůstává pozadu a odpovídá na útoky kromě kyberútoků i šířením lživých informací.
Ne vždy je na hacking nutné nahlížet jako na něco špatného. Teorie totiž rozlišuje tři úrovně hackingu podle toho, co sleduje. Zatímco černí hackeři útočí na počítačové systémy za účelem krádeže dat či další nelegální činnosti, šedí zpravidla takové zlé úmysly nemají a svou činnost provádějí pouze za účelem zviditelnění sebe sama. Zcela legálním způsobem hackingu je takzvaný bílý, jinými slovy etický hacking. „Za etický hacking se obyčejně považuje white hat (bílý) hacking, pro který je přízračné to, že je prováděn zpravidla se souhlasem organizace, na kterou cílí,“ vysvětluje advokát Josef Bátrla specializující na právo IT a právo duševního vlastnictví. Jako příklad uvádí takzvané penetrační testy, v nichž se dodavatel či zaměstnanec organizace snaží simulovat útok a odhalit tím zranitelnosti systému. Takové testování je některými předpisy dokonce nepřímo vyžadováno například ve vztahu k některým správcům osobních údajů dle GDPR či povinným osobám podle zákona o kybernetické bezpečnosti. Penetrační testy dokonce nabízí i Národní úřad pro kybernetickou bezpečnost. „Nejedná se však o útok na organizaci, která o tom z povahy věci neví, ačkoliv mohou být pohnutky k tomu sebevznosnější,“ zdůrazňuje Bátrla.
Šedí nebo černí
Skupina Anonymous by se tak dala dle výše popsaných definicí podřadit nejspíše pod šedý hacking. To však neznamená, že by jejich jednání jako takové bylo automaticky po právu. „Pro pochopení činnosti Anonymous je nutno uvést, že se nejedná o žádnou organizaci v tradičním slova smyslu. S trochou nadsázky lze uvést, že členem Anonymous se člověk stane okamžikem, co řekne ostatním, že se stal členem Anonymous. Pokud čteme, že Anonymous napadli určitý systém či získali nějaká data, nelze si představovat jedno uskupení, které by na základě vlastní organizační struktury přijalo rozhodnutí provést jakoukoliv akci. S ohledem na výše uvedené je tak velmi těžké dovodit jakoukoliv přičitatelnost organizaci, která vlastně není organizací a fakticky nemá ani jednotné vedení,“ vysvětluje Bátrla. Veškeré právní konsekvence je tak podle něj nutno přičítat konkrétním jednotlivcům či skupinám jednotlivců, kteří jsou do útoku skutečně zapojeni.
Mohou hackeři za úmyslné nabourávání proruských webů nést důsledky v podobě trestní odpovědnosti? „Když se někdo úmyslně nabourá do nějakého systému, tak to z právního pohledu samozřejmě vykazuje formální znaky trestného činu. Pořád však existuje materiální korektiv, a právě u tohoto případu by se dalo za určitých okolností uvažovat o jeho aplikaci,“ konstatuje Radim Polčák z Ústavu práva a technologie Právnické fakulty Masarykovy univerzity. Jiný názor však zastává Bátrla. „Co se týče možné exkulpace, aniž bychom zabíhali do právněteoretických oblastí, v rámci právního státu bychom se jen velmi těžko měli spoléhat na machiavelistické teze, že účel (jakkoli čestný) světí prostředky. Skutečnost, že takové útoky byly vedeny v době války se záměrem uškodit agresorovi, nemají automaticky svoji právní relevanci,“ dodává.
Hackeři často využívají ke svým aktivitám nejen svoje systémy, ale také počítače ostatních. Lidé by se proto měli vyvarovat přílišné důvěře. „Je běžné, že lidé dávají své systémy k dispozici různým online skupinám, které je pak využívají k útokům na údajné ruské servery. V takovém případě je trestní postih spíše teoretický, ale odborníci od tohoto jednání zrazují, protože tento altruismus může být velmi snadno zneužitelný a ani já bych to nedoporučoval,“ varuje před těmito kroky Polčák.
Nezamýšlené cíle
Odvrácenou stranou cíleného hackingu je také riziko, že hackeři omylem vyřadí třeba nemocniční počítačovou síť nebo přeruší komunikační spojení pro krizové situace. Experti připomínají, že kybernetická válka má svá pravidla a stejně jako v běžném offline světě není možné jen tak se chopit zbraně a jít bojovat na cizí území s cílem bránit jinou zemi, nelze takto přeneseně postupovat ani v případě kybernetických útoků. „Zastávám názor, že vedení kybernetických útoků by mělo být v gesci povolaných osob úplně stejně jako vedení klasických válečných útoků. Na druhou stranu nelze být naivní, že každý stát k tomu přistupuje stejně a nevede agresivní kybernetickou válku prostřednictvím jiných než armádních struktur,“ vysvětluje Bátrla. Ačkoliv technicky neexistuje závazný právní rámec, který by určoval pravidla kybernetického boje, existují různé podpůrné dokumenty, jako je Tallinn Manuál, který zapovídá útoky na nemocnice.
Cenzura, nebo podnikatelská svoboda?
Boj proti proruským dezinformačním kanálům má i českou stopu. Podnikatelská skupina CZ.NIC jich v reakci na ruskou agresi zablokovala hned několik, proti čemuž se zvedla obrovská vlna nevole. Současně tento krok, který stojí na pomezí vyjádření podnikatelské svobody a cenzury, mnoho lidí podpořilo. Můžeme se tak zamýšlet, jestli snaha eliminovat potenciální hrozby nepřeroste v nechtěnou cenzuru. Podle Bátrly bude záležet na tom, jaký význam pojmu cenzura přisuzujeme. „Cenzura má dnes jiný význam než původně a často se jí odepírá pestrosti koncepcí, které se omezují na totalitní konotaci. Regulace svobody projevu bezesporu patří do právního řádu demokratické země. To však neznamená, že taková regulace by neměla mít přesně daná pravidla, která i v případě vypnutí proruských dezinformačních webů budou předvídatelná a revidovatelná,“ říká Bátrla. Již v minulosti jsme se setkali s oprávněními různých orgánů veřejné správy, které mají možnost blokovat webové stránky. Činí tak například ministerstvo financí s ohledem na porušování regulace v oblasti hazardních her či nově i Státní ústav pro kontrolu léčiv.
Podle dosavadních dat Národního úřadu pro kybernetickou bezpečnost se kybernetické útoky ze strany Ruska České republice prozatím vyhýbají. „Dosud jsme neevidovali žádný kybernetický incident, který by byl prokazatelně spojený s ruskou invazí na Ukrajinu,“ potvrzuje mluvčí úřadu Alena Minxová.
Zato šíření nenávistných zpráv a dezinformací již patří ke každodennímu jevu, se kterým se běžný uživatel sociálních sítí setkává. „Sama dezinformace, propaganda či brainwashing nemají například v rámci českého právního řádu svoje výslovné zakotvení,“ upozorňuje Bátrla. Ve většině případů však při šíření dezinformací dochází ke spáchání trestných činů, jako je poškození cizích práv, pomluva, křivé obvinění, hanobení národa, rasy, etnické nebo jiné skupiny osob, podněcování k nenávisti vůči skupině osob nebo k omezování jejich práv a svobod, šíření poplašné zprávy, schvalování trestného činu, podněcování k trestnému činu nebo projev sympatií k hnutí směřujícímu k potlačení práv a svobod člověka podle trestního zákoníku.