V tomto ohledu analyzují detaily daného kybernetického incidentu za účelem identifikace konstitučních prvků kybernetické zbraně a možnosti následné subsumpce a aplikace daného pojmu v českém právním prostředí. V rámci právní analýzy, ve které se pokoušejí vyrovnat se situací, kdy český právní systém daný pojem nejen nezná, ale ani s ním nepočítá a ve velké části případů neumožňuje aplikaci ani prostřednictvím extenzivního výkladu, se nakonec zaměřují na problematiku trestního práva jakožto nejrelevantnějšího odvětví pro danou problematiku. V tomto prostředí pak hodnotí, zda je trestněprávní zohlednění pokročilých malwarů žádoucí, a nabízejí několik směrů, ve kterých je možné o dané subsumpci a aplikaci uvažovat, přičemž se především zaměřují na problematiku kvalifikačního rozšíření a regulatorního dotvoření kvalifikované skutkové podstaty neoprávněného přístupu k počítačovému systému a na možnosti, které nabízí právní úprava přitěžujících okolností. Celé pojednání uzavírají vyhodnocením a doporučením pro další vývoj.
Úvod
Na konci roku 2019 došlo ke kybernetickému útoku, který tvrdě zasáhl systémy Nemocnice Rudolfa a Stefanie v Benešově (dále též jako "nemocnice Benešov" nebo "benešovská nemocnice"), přičemž danou nemocnici vyřadil na bezmála tři týdny z normálního provozu a škody byly vyčísleny na více než 50 milionů korun.[1] Když se tehdejší premiér Andrej Babiš setkal v únoru 2020 se svým estonským protějškem Jürim Ratasem, prohlásil mimo jiné následující:
"Kybernetická bezpečnost je pro nás velké téma. Kybernetické zbraně jsou dnes mnohem nebezpečnější než zbraně konvenční. Například to, co se stalo v benešovské nemocnici. Nemůže se nám stát, aby byla nemocnice mimo provoz. Je to pro nás velké ponaučení."[2]
Toto konkrétní prohlášení potvrdilo důležitost způsobu používání termínů politickými představiteli ve veřejném prostoru, a to zvláště pokud mají dané pojmy určité právní konotace. Problém pak přichází především ve chvíli, kdy se pojmosloví nedodržuje a poj my se objevují ve veřejném prostoru bez uvážení či ohledu na fakt, že doposud nebyl vyjasněn jejich význam, s čímž se bohužel často lze setkat u pojmů souvisejících s kyberprostorem a IT tematikou obecně. Takový přístup pak do jednání, aplikace práva, mediálních reportů i diplomatických vztahů vnáší nejistotu ohledně významu daného termínu a toho, co jeho použitím autor zamýšlel a jaké implikace z toho plynou.
V současném rapidně se proměňujícím světě čelí společnost širokému spektru dopadů moderních technologií, které ve svém souhrnu společnost nejenom rozvíjí, ale představují pro ni i možné hrozby. Své specifické dopady to má i v oblasti právní regulace. S ohledem na vývoj na poli technologického pokroku a s tím související proměny bezpečnostních hrozeb je z důvodu zachování vysokého standardu ochrany společnosti nezbytné rozšířit a přizpůsobit stávající výklad právních norem tak, aby právě dopady těchto změn byly dostatečně reflektovány právním řádem. Pokud není jasné, co daný pojem (tedy kybernetická zbraň) znamená a ve kterých oblastech se uplatní, zásadně to ztěžuje nejen regulaci daného fenoménu, ale také aplikaci potenciálně relevantních právních norem, jejich vymáhání a zajišťování efektivního naplňování politiky, která se dané tematiky týká. Pokud daný pojem nemá jasné ukotvení a společnost tak pouze podvědomě tuší, co daný pojem znamená, právo oslabuje svoji regulatorní roli. Filipec a Plášil v této souvislosti upozorňují na tzv. efekt černé labutě.[3]
Nabízí se tak nepříliš překvapivé otázky. Pokud při kybernetickém útoku na benešovskou nemocnici došlo k použití kybernetické zbraně, co to přesně znamená? Jaké následky s použitím kybernetických zbraní právo spojuje a zná vůbec právo pojem kybernetická zbraň?
Cílem tohoto příspěvku je analyzovat pojem kybernetická zbraň v kontextu kybernetického útoku na benešovskou nemocnici a zasadit tento pojem do systému již existující právní regulace. Autoři představí možné konstituční znaky kybernetické zbraně a s nimi spojené právní dopady. Vzhledem k tomu, že pojem kybernetická zbraň již byl podroben analýze z pohledu mezinárodního práva,[4] bude následující příspěvek věnován české právní úpravě.
Benešovský kybernetický incident
Abychom mohli odpovědět na výše položené otázky, představíme nejdříve relevantní fakta benešovského kybernetického incidentu.[5] Benešovská nemocnice je spádovou nemocnicí pro přibližně 120 000 lidí, v letních měsících se ovšem toto číslo může vyšplhat až na 400 000, neboť se jedná o vyhledávanou rekreační oblast.[6] Jedná se tak o nemocnici, jejíž dopad na poskytování zdravotnických služeb je bez pochyb nezanedbatelný, nejednalo se ovšem o povinný subjekt ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen "zákon o kybernetické bezpečnosti"). I tato nemocnice pak byla z pohledu kybernetické bezpečnosti sužována obdobnými problémy jako většina českého zdravotnictví, zejména tedy nedostatkem odborníků a podfinancováním.[7] Filipec a Plášil ovšem upozorňují, že ani tak nebylo zabezpečení nemocnice v katastrofálním stavu a navzdory některým mediálním reportům byla nemocnice v ohledu investic do IT bezpečnosti a IT infrastruktury na srovnatelné úrovni s dalšími českými nemocnicemi.[8]
Incident začal v říjnu 2019, kdy se nemocnice stala cílem phishingové kampaně, která provázela zvýšenou aktivitu botnetu Emotet.[9] Rozesílané emaily byly obecně na vysoké úrovni[10] a obsahovaly infikované přílohy (pravděpodobně se jednalo o falešnou fakturu), po jejichž otevření a spuštění maker byl počítač infikován malwarem Emotet.[11] Ten byl původně vytvořen a používán jako bankovní trojský kůň, nyní však slouží primárně jako vstupní brána pro navazující infekci.[12] Emotet posléze překonal dva aktualizované antivirové systémy (Windows Defender a ESET) a firewall, pronikl do sítě a všechny systémy včetně zálohového serveru zmapoval.[13] Prostřednictvím cloudu pak navázal kontakt s útočníkem a stáhnul do sítě spyware TrickBot,[14] který mapoval citlivé (např. přihlašovací) údaje uživatelů, s preferencí přihlašovacích údajů správců sítě, které mohou útočníkovi poskytnout nejvyšší oprávnění.[15] Jak upozorňuje NÚKIB v již citované analýze, "pro běžného uživatele je v případě nákazy Trickbotem obtížné vypozorovat nezvyklé chování počítače [...]"[16] a anomální chování bude zaznamenáno až správcem sítě v momentě, kdy virus kontaktuje C&C server při exfiltrování dat, k čemuž může dojít i několik měsíců po infekci.[17]
Poté, co TrickBot hesla objevil, zlomil a získal administrátorská oprávnění, inicioval poslední krok řetězce útoku - ransomware Ryuk.[18] Ten může často sloužit nejen jako prostředek pro získání peněz, ale logicky také pro zametení stop, které mohl útočník ponechat v síti. Dne 11. prosince 2019 ve 2:50 tento ransomware zašifroval data na "serverech, nemocničních přístrojích a pracovních stanicích",[19] přičemž prolomení zašifrování nebylo reálné.[20]
Fakticky tak ransomware vyřadil nemocnici z provozu, nebylo možné provádět ani standardní ošetření, nebylo možné přijímat nové pacienty a stávající museli být převezeni, a to navzdory tomu, že odpojení zařízení, přizvání analytiků i incident response týmů a další reakce přišly poměrně rychle.[21] Právě díky této rychlé a kompetentní reakci nedošlo ke ztrátám na životech a následky byly "toliko" majetkové povahy. I tak se ovšem vyčíslení škod vyšplhalo přes 59 milionů korun.[22]
Dle našich vědomostí byl kybernetický útok v Benešově jediným, který byl takto veřejně označen za použití kybernetické zbraně. V českém mediálním prostoru ovšem rezonovaly i kybernetické útoky uskutečněné vůči Fakultní nemocnici Brno, kde též došlo k zašifrování systémů ransomwarem, obdobně byla ochromena i psychiatrická nemocnice v Kosmonosech.[23] Tyto další útoky ovšem nebyly veřejně pojmenovány jako případy použití kybernetické zbraně. Přestože jeden takový incident nemůže být bez dalšího vnímán jako reprezentativní vzorek pro navazující právní analýzu, jedná se v tomto případě o odrazový můstek, který napomůže k rozklíčování pojmu kybernetická zbraň v českém právním řádu.
Základní normativní východiska použití zbraní
V tomto příspěvku přistupujeme k pojmu kybernetická zbraň jako k podmnožině obecného termínu zbraň, a to primárně z důvodu relativní novosti tohoto pojmu, kdy na tento pojem právo doposud ve všech relevantních odvětvích nereagovalo. V rozboru se zaměřujeme na takové možnosti výkladu pojmu zbraň, které by byly aplikovatelné na benešovský kybernetický incident.
Pokud nahlížíme na oblast zbraní a jejich případného použití či nasazení optikou právní regulace, je nezbytné oddělit právní úpravu národní (zde je tím myšlena specifická právní úprava jednotlivých států) a právní úpravu mezinárodní (zde se jedná především o právní normy mezinárodního práva veřejného). Oba tyto přístupy totiž sledují jiný účel.
V případě mezinárodního práva veřejného, respektive konkrétněji mezinárodního humanitárního práva, je použití zbraní zasazeno do kontextu vedení ozbrojeného konfliktu a dodržování jeho základních principů,[24] neboť se vždy musí jednat o použití zbraní legitimní a legální. Jedním z příkladů pravidel dopadajících na tuto problematiku je článek 36[25] Dodatkového protokolu I k Ženevským úmluvám z 12. srpna 1949 o ochraně obětí mezinárodních ozbrojených konfliktů a konfliktů nemajících mezinárodní charakter, přijatého v Ženevě dne 8. června 1977.[26] Tato mezinárodní úprava by dopadala i na kybernetické zbraně.[27]
Mezinárodní právo veřejné by zároveň hrálo nezastupitelnou roli v případě, kdy by došlo k použití zbraně vůči České republice v situaci, která by byla klasifikována jako ozbrojený konflikt mezinárodní povahy či jako konflikt takovou povahu nenaplňující. Břemeno závazku vyplývajícího z mezinárodního práva veřejného by v tomto případě bylo na všech stranách případného konfliktu. Česká republika by tak byla povinna při nasazení zbraní dbát dodržování odpovídajících pravidel, zároveň by mohla zcela legitimně požadovat dodržování téhož od ostatních stran zapojených do konfliktu.
Článek byl publikován v časopisu Právník č. 5/2024. Pokračování je dostupné zde.
[1] NÚKIB. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019. 2020. Dostupné z: https://www.nukib.cz/ cs/infoservis/dokumenty-a-publikace/zpravy-o-stavu-kb/.
[2] Vláda ČR. Premiér Babiš jednal v Estonsku o spolupráci v oblasti kyberbezpečnosti či digitalizace. In: Vláda České republiky [online]. 18. 2. 2020 [cit. 2023-02-04]. Dostupné z: https://www.vlada.cz/cz/media-centrum/aktualne/premier -babis-jednal-v-estonsku-o-spolupraci-v-oblasti-kyberbezpecnosti-ci-digitalizace-179679/tmplid-47/.
[3] FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk. Obrana a strategie (Defence and Strategy). 2021, č. 1, s. 32.
[4] Např. KUDLÁČKOVÁ, I. - WALLACE, D. - HARAŠTA, J. Cyber Weapons Review in Situations Below the Threshold of Armed Conflict. Estonia, Tallinn: NATO CCDCOE Publications, 2020. Dostupné z: https://ieeexplore.ieee.org/document/ 9131728/.
[5] Pro detailnější pojednání o daném útoku viz FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk.
[6] Ibidem, s. 37; NÚKIB. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019, s. 18.
[7] NÚKIB. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019, s. 18.
[8] FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk, s. 37-39.
[9] Mitre. Emotet. In: Mitre Attack [online]. 2023 [cit. 2023-04-25]. Dostupné z: https://attack.mitre.org/software/S0367/; NÚKIB. Analýza hrozby: Vyděračské útoky ransomwarem jsou cílenější: Míří na velké firmy, státní a veřejné instituce. 2020. Dostupné z: https://www.nukib.cz/download/publikace/analyzy/Analyza_hrozby_ransomware.pdf.
[10] KUČÍNSKÝ, A. - SIKORA, V. Malware Emotet - Trickbot - Ryuk v benešovské nemocnici. Data Security Management. 2020, č. 1, s. 39-41.
[11] NÚKIB. Analýza hrozby: Vyděračské útoky ransomwarem jsou cílenější: Míří na velké firmy, státní a veřejné instituce.
[12] Ibidem.
[13] FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk, s. 39.
[14] Mitre. TrickBot. In: Mitre Attack [online]. 2023 [cit. 2023-04-25]. Dostupné z: https://attack.mitre.org/software/S0266/.
[15] SHABU, M. Ukliknutí 'stálo' nemocnici v Benešově 40 milionů. Kyberútok začal otevřením přílohy. In: Lidovky.cz [online]. 2020 [cit. 2023-04-25]. Dostupné z: https://www.lidovky.cz/domov/ukliknuti-stalo-nemocnici-v-benesove-40-milionu-kyberutok-zacal-kliknutim-na-prilohu.A200115_201359_ln_domov_vlh.
[16] NÚKIB. Analýza hrozby: Vyděračské útoky ransomwarem jsou cílenější: Míří na velké firmy, státní a veřejné instituce.
[17] Ibidem.
[18] Mitre. Ryuk. In: Mitre Attack [online]. 2023 [cit. 2023-04-25]. Dostupné z: https://attack.mitre.org/software/S0446/; SHABU, M. Ukliknutí 'stálo' nemocnici v Benešově 40 milionů. Kyberútok začal otevřením přílohy.
[19] NÚKIB. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019, s. 18.
[20] FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk, s. 41; NÚKIB. Analýza hrozby: Vyděračské útoky ransomwarem jsou cílenější: Míří na velké firmy, státní a veřejné instituce.
[21] SHABU, M. Ukliknutí 'stálo' nemocnici v Benešově 40 milionů. Kyberútok začal otevřením přílohy; FILIPEC, O. - PLÁŠIL, D. Poučení z případu benešovské nemocnice napadené ransomwarem Ryuk, s. 40-41.
[22] Policie České republiky. Středočeští kriminalisté ukončili vyšetřování Ransomware útoku na benešovskou nemocnici. In: Policie České republiky - KŘP Středočeského kraje [online]. 18. 8. 2020 [cit. 2023-03-10]. Dostupné z: https://www. policie.cz/clanek/stredocesti-kriminaliste-ukoncili-vysetrovani-ransomware-utoku-na-benesovskou-nemocnici.aspx.
[23] NÚKIB. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2020. 2021. Dostupné z: https://nukib.cz/ download/publikace/zpravy_o_stavu/Zprava_o_stavu_KB_2020.pdf.
[24] SAUL, B. - AKANDE, D. (eds). The Oxford Guide to International Humanitarian Law. Oxford, United Kingdom: Oxford University Press, 2020, s. 261-276.
[25] Článek 36 - Nové druhy zbraní. "Při studiu, vývoji, získávání nebo zavádění nových druhů zbraní, prostředků nebo způsobů vedení války je Vysoká smluvní strana povinna určit, zda jejich použití není za některých nebo za všech okolností zakázáno tímto Protokolem nebo jinou normou mezinárodního práva aplikovatelnou na tuto Vysokou smluvní stranu." Sdělení č. 168/1991 Sb., sdělení federálního ministerstva zahraničních věcí o vázanosti České a Slovenské Federativní Republiky Dodatkovými protokoly I a II k Ženevským úmluvám z 12. srpna 1949 o ochraně obětí mezinárodních ozbrojených konfliktů a konfliktů nemajících mezinárodní charakter, přijatých v Ženevě dne 8. června 1977.
[26] International Committee of the Red Cross. A Guide to the Legal Review of New Weapons, Means and Methods of Warfare: Measures to Implement Article 36 of Additional Protocol I of 1977. International Review of the Red Cross. 2006, č. 864.
[27] KUDLÁČKOVÁ, I. - WALLACE, D. - HARAŠTA, J. Cyber Weapons Review in Situations Below the Threshold of Armed Conflict.
Diskuze k článku ()