Strategická kyberbezpečnosť: ktorým smerom sa vybrať?

Hans Morgenthau v roku 1948 napísal, že národná bezpečnosť záleží od integrity štátnych hraníc a inštitúcií. Rozhodujúce národné infraštruktúry, od volieb až po elektrickú energiu, sú však digitalizované a pripojené na internet. Kybernetické útoky preto už nie sú okrajovou témou diskusií o reálnom svete – hrajú v medzinárodných konfliktoch hlavnú úlohu.

Povaha ohrozenia národnej bezpečnosti sa nezmenila. Internet však poskytuje nový mechanizmus prevedenia, ktorý môže zvýšiť rýchlosť útoku a zväčšiť jeho rozsah a silu. Armádni plánovači preto prechádzajú za technické, taktické aspekty kybernetickej bezpečnosti, ako je napríklad konfigurácia brány firewall či monitorovanie systému pre odhalenie narušenia, k obrane kyberpriestoru národného štátu.

Stratégovia národnej bezpečnosti dnes nestoja pred otázkou ako ochrániť jeden alebo tisíc počítačov, ale ako ochrániť milióny, vrátane okolitého „kyberpriestoru“. Strategické výzvy si vyžadujú strategické riešenia. Tento článok sa zaoberá štyrmi prístupmi národného štátu k zmierneniu kyberútoku: technológiou, doktrínou, odstrašovaním a kontrolou zbraní.

Technológia

Vlády sa najprv pokúsia zmierniť hrozbu kyberútokov pomocou novej a vylepšenej technológie. Taký prístup je logický. Na technický problém je najlepšie technické riešenie. Vint Cerf, jeden z vynálezcov internetu, priznal, že bezpečnosť nebral pri pôvodnom dizajne veľmi do úvahy. Ak by mohol začať odznova: „Zameral by som sa omnoho viac na autenticitu a verifikáciu.“

V roku 2011 bol najsilnejším kandidátom v oblasti strategického dopadu komunikačný protokol IPv6, ktorý ako nový „jazyk“ počítačových sietí nahradil IPv4. IPv6 bol okamžitým riešením pre nedostatok počítačových adries na svete. V armáde môže mať každý projektil a každé maslo vlastné, natrvalo pridelené číslo. Čo sa týka národa, to isté by sa mohlo uplatniť vo vzťahu k ľuďom. Podľa predsedníčky Čínskej internetovej spoločnosti, Hu Qiheng, „existuje teraz pre páchateľov na internete v Číne anonymita… s čínskym internetovým projektom novej generácie dáme každému na internete jedinečnú totožnosť.“

IPv6 má okrem toho lepšie bezpečnostné charakteristiky než IPv4. Hlavnou z nich je povinná podpora služby IPSec, skupiny komunikačných protokolov, ktorá sa používa na verifikáciu a kódovanie internetovej premávky. Z hľadiska presadzovania práva by preto IPv6 mohlo pomôcť vyriešiť problém s anonymnými kyberútokmi. Skupiny zaoberajúce sa ľudskými právami sa však obávajú, že vlády budú tieto nové možnosti používať na potláčanie politickej opozície obmedzením anonymity a súkromia na internete.

Internetové technológie ďalšej generácie, ako napríklad IPv6, môžu skrátka vykompenzovať niektoré zo súčasných nedostatkov internetovej bezpečnosti, avšak v dynamickom a rýchlo sa vyvíjajúcom prostredí IT to nie je zaručený recept.

Doktrína

Kyberútoky a obrana predstavujú v národnej bezpečnosti revolúciu podobnú príchodu delostrelectva, rakiet a lietadiel. Súrnou úlohou pre vlády je preto aktualizácia vojenskej doktríny tak, aby zahŕňala kybernetické stratégie a taktiky. Zriadenie amerického veliteľstva pre kybernetiku (US CYBERCOM) v roku 2010 potvrdilo, že kyberpriestor je spolu s pozemným, námorným, vzdušným a vesmírnym vedením vojny novou vojnovou doménou. Počítače sú dnes rovnako zbraňou, ako aj cieľom útokov.

Pri tvorbe vojenskej doktríny budú isto nápomocné rady z minulosti siahajúce až k Umeniu vojny od Sun C‘, ktorej presvedčivosť a múdrosť prežila myriády revolúcií v technológiách a medziľudských konfliktoch. Mnohé z aspektov kybernetického konfliktu sú však také revolučné, že písanie novej doktríny bude naozaj ťažké. Kyberútoky sú napríklad dostatočne pružné na to, aby boli efektívne v oblasti propagandy, špionáže a ničenia rozhodujúcej infraštruktúry. Závratný rozmach technológií a prostriedkov hackerov má za následok to, že je nemožné ovládať ich všetky.

Blízkosť protivníkov navyše určuje konektivita a šírka pásma, nie zemepis. Ťažkosti so spoľahlivým určovaním autorov útokov znižujú dôveryhodnosť odstrašovania, stíhania a protiopatrení. „Tichá“ povaha kybernetického konfliktu zas znamená, že aj významný boj sa môže odohrávať bez toho, aby o ňom vedel ktokoľvek iný ako priami účastníci.

Kyberútokom okrem toho z morálneho hľadiska bráni máločo, keďže sa v prvom rade vzťahujú na používanie a zneužívanie údajov a počítačového kódu, čo sa zatiaľ nespája s predstavou ľudského utrpenia.

Odstrašovanie

Čo takto spoľahnúť sa na tradičné vojenské odstrašovanie? Teória odstrašovania je najužšie prepojená s jadrovými zbraňami. Hoci sa kyberútoky samy osebe nedajú porovnať s jadrovým výbuchom, červ Stuxner v roku 2010 ukázal, že samotný počítačový kód je schopný zničiť fyzickú infraštruktúru, ako napríklad jadrové odstredivky.

Pentagon preto začal formulovať taktiku odstrašovania voči vznikajúcemu kyberútoku. Ako sa vyjadril jeden z jeho predstaviteľov: „Ak zastavíte prevádzku našich rozvodných sietí, môže sa stať, že vám pošleme raketu dole elektrárenským komínom.“

Národné štáty však majú k dispozícii len dve stratégie odstrašovania: proaktívne odopretie technológie a reaktívny trest za útok. Obe majú závažné nedostatky.

Po prvé, je zložité zabrániť protivníkovi, aby si osvojil efektívne hackerské prostriedky a techniky. Po druhé, hackeri sú často schopní vykonávať kyberútoky a zostať pritom v anonymite, čo podkopáva hrozbu stíhania a odplaty.

Prekvapivé je, že medzi expertízou v oblasti obrany počítačových sietí a útokov na počítačové siete je len málo viditeľných rozdielov. Je to v podstate jedna a tá istá disciplína. Dobrý hacker je jednoducho niekto, kto rozumie vašej počítačovej sieti lepšie než vy, a túto znalosť využíva na nezákonné účely.

Posledné porovnanie so studenou vojnou sa vzťahuje ku konceptu vzájomne zaručeného zničenia. V roku 1968 sa jadrová technológia na strane Sovietskeho zväzu dostala na takú úroveň, že jednostranné jadrové odstrašovanie stratilo význam. Obe supermocnosti boli donútené zaujať pozíciu vzájomného odstrašovania. Ak sú kyberútoky efektívne, a zároveň je nemožné ich vykoreniť, môže sa stať, že budeme žiť vo svete vzájomne zaručeného rozvratu.

Kontrola zbrojenia

Je možné v situácii chabej vyhliadky na odstrašenie kyberútoku a črtajúcich sa pretekov v kybernetickom „zbrojení“ vyjednať pre kyberpriestor zmluvu o kontrole kybernetických zbraní a pakt o neútočení? Najmä ruská vláda už dlho tvrdí, že dohoda podobná tým, ktoré boli podpísané o zbraniach hromadného ničenia, by mohla pomôcť zabezpečiť internet.

Žiadny model z čias pred internetom nie je úplne vhodný pre kyberpriestor či kybernetický konflikt. Dohovor o chemických zbraniach (CWC) z roku 1997, ktorý signatárov zaväzuje zničiť zásoby chemických zbraní a zakazuje im vyrábať ďalšie, má však tri aspekty, ktoré by mohli byť užitočné: univerzálnu pôsobivosť, politickú vôľu a praktickú pomoc.

Po prvé, dnes panuje všeobecné porozumenie, že jediným spôsobom riešenia problému s kyberútokmi je užšia medzinárodná spolupráca. Po druhé, robia sa prvé politické kroky. Útok na Google v roku 2010 rozprúdil v USA debatu o vytvorení funkcie na úrovni vyslanca podľa modelu protiteroristického koordinátora amerického ministerstva zahraničných vecí, ktorý by dozeral na medzinárodné snahy v oblasti kyberbezpečnosti. Po tretie, zmluva o kybernetických zbraniach by mohla vytvoriť inštitúciu vybavenú medzinárodným personálom, ktorá by signatárom pomohla zlepšiť kybernetickú obranu, reagovať na útoky a propagovať mierové využitie počítačovej vedy.

Nanešťastie však existujú dva základné aspekty kontroly zbrojenia, ktorých aplikácia v rámci kyberpriestoru je momentálne zložitá: prohibícia a inšpekcie.

Je zložité zakázať niečo, čo sa ťažko definuje, ako napríklad zlovoľný kód. A ak by organizácia aj mohla byť nejako nepriepustná pre zlovoľný kód, hackeri sú majstri v používaní legitímnych cestičiek prístupu k sieti – ako napríklad uhádnutím hesla – na podkopanie jej bezpečnosti.

Okrem toho je ťažké dozerať na niečo také obrovské ako kyberpriestor. V rámci CWC existuje na celom svete zhruba 5000 priemyselných zariadení, v ktorých môže byť kedykoľvek vykonaná inšpekcia. Toto číslo je veľké, ale zvládnuteľné. Porovnajte to s jediným USB kľúčom, na ktorom sa teraz dá skladovať až 256 GB alebo 2 bilióny bitov dát, či so 439 miliónmi počítačov, napojených na internet v rámci USA. Moderný softvér je vo všeobecnosti natoľko komplexný a má toľko programových riadkov, že je takmer nemožné mu úplne porozumieť.

Dohovor o kybernetických zbraniach by teoreticky mohol vyžadovať inšpekciu na úrovni poskytovateľov internetových služieb (IPS). Také režimy sú však už bežné, ako napríklad čínsky projekt Zlatý štít, európsky Dohovor o počítačovej kriminalite, ruský Systém pre operatívne investigatívne aktivity (SORM) či zákon PATRIOT v USA. Každý z nich je jedinečný v zmysle pravidiel a uplatňovania práva, všetky ale čelia rovnakému problému: zdrvujúcemu množstvu internetovej premávky.

Významným, ale politicky zložitým krokom by bolo medzinárodné prístrojové vybavenie a pozorovanie internetu a toku premávky sietí. Môže sa to zdať ako extrémne riešenie. Mohol by to však byť jediný spôsob spomalenia rýchlo sa premiestňujúcich kybernetických hrozieb ako napríklad botnetov (sietí napadnutých počítačov) a decentralizovaných útokov DoS (Denial of Service), ktorých cieľom je zneprístupniť služby (počítače, siete, atď.).

Investície do technológie a doktríny sú skrátka spoľahlivejšie než pokusy o odstrašovanie a kontrolu zbraní, keďže sú menej závislé od rozmarov politiky a aktuálnych udalostí. Zmluva o kontrole kybernetických zbraní by napriek určitým výzvam mala v porovnaní so samostatne stojacou politikou odstrašovania kľúčovú výhodu v podobe určitého režimu technickej verifikácie. Odstrašovanie samotné je výlučne vojenský/politický prístup, ktorý sám osebe nerieši najvýznamnejšiu výhodu kyberútokov súčasnosti, a to anonymitu.