středa, května 27, 2015

CyCon - část první

„The place to be“ je v současné době Tallinn. Dnes oficiálně začala konference CyCon 2015 pořádaná CCD CoE. Zprávy z dnešního prvního dne konference přináší Jakub Míšek (dále v textu JM) a Jakub Harašta (JH).


V 9:00 se slova ujal plukovník Artur Suzik, který je ředitelem CCD CoE. Hned zpočátku omluvil neúčast původně ohlášeného estonského prezidenta Toomase Hendrika Ilvese. Účastníci konference tak byli ochuzeni o možnost procvičit si frázi „máte hezkého motýlka“, kterou právě kvůli prezidentovi organizátoři zařadili mezi základní estonské fráze distribuované účastníkům.

Druhý host v programu již ale dorazil a slova se tak ujal admirál Michael S. Rogers, který nastoupil po Keithu Alexandrovi do čela americké NSA. Jeho prezentace na téma „The Importance of Partnership in Cyberspace“ byla poměrně krátká. Admirál Rogers opakovaně zdůraznil, že partnerství je jediná cesta k bezpečnosti. Jen tak je totiž možné ve světě, kde žádná entita ani stát nemá monopol na znalosti, bezpečnost zajistit. Do těchto partnerství je pak nezbytné zapojit vlády, soukromé společnosti a akademickou sféru. Rogers nezapřel svůj původ v americkém námořnictvu, když opakovaně přirovnal kyberprostor k moři v počátcích jeho mezinárodněprávní regulace. Dle jeho slov v současné době hledáme cestu, jak maximalizovat mezinárodní užitečnost. Na závěr zdůraznil, že internet se nesmí rozpadnout do navzájem izolovaných segmentů.

Poměrně velký prostor dal Rogers dotazům z publika. První otázka směřovala k rozporu mezi deklarovanými snahami zabránit vzniku izolovaných segmentů v rámci kyberprostoru a faktickému jednání spojených států. Dotaz z publika doslova konstatoval, že „USA podporuje výhradně aktivity prospívající její imperialistické politice a jiné opomíjí.“ Rogers v odpovědi uvedl, že USA dlouhodobě zastávají pozici, že v rámci kyberprostoru není možné uplatňovat suverenitu a internet je globálním statkem – z toho důvodu může jednání USA vypadat kontroverzně (později v programu označil Michael Schmitt tento argument za „politickou bizarnost bez právní relevance“). Další dotazy směřovaly na integraci kybernetických kapacit do běžných vojenských struktur a základní výzkum v oblasti kybernetické bezpečnosti. Rogersova odpověď se dá shrnout tak, že cílem je ochránit vlastní sítě a integrace ozkoušených i experimentálních postupů je logickým krokem vpřed. Zřejmě největší zájem publika ale vzbudila přímá otázka na používání šifrování. Rogers odmítl, že by šifrování představovalo špatnou věc, zároveň ale uvedl, že je nutné hledat rovnováhu mezi ochranou soukromí a ochranou společnosti. Otevřeně prohlásil, že musí existovat způsob, jak se dostat k datům, pokud si to okolnosti vyžádají. Dle něj se stejným způsobem postupně etablovalo odposlouchávání telefonů a je jenom otázkou času, kdy se něčeho podobného dočkáme i v digitálním prostředí. Další dotaz směřoval na změnu v diskuzi o sledování v posledních dvou letech, kdy Rogers uvedl, že diskuze zatím nebyla založená na faktech a zdůraznil, že veškeré aktivity NSA se řídí právním rámcem USA. Poslední dotaz na zneužívání odcizených certifikátů soukromých společností za účelem kybernetických operací nechal v podstatě bez odpovědi, kdy obecně uvedl, že důvěra v soukromé společnosti i v NSA je jeho cílem.

Dalším hostem byl Sorin Ducaru, který je asistentem generálního tajemníka NATO pro nové bezpečnostní hrozby. Jeho příspěvek se věnoval zejména změně v chápání kolektivní bezpečnosti, kterou můžeme v současné době pozorovat. Zatímco závěry summitu NATO v Praze poprvé přitáhly na vysoké úrovni pozornost ke kybernetickým hrozbám, závěry summitu v Bukurešti již představovaly „policy 1.0“. Nový strategický koncept v roce 2011 představoval „policy 2.0“ a směřoval zejména ke konsolidaci a centralizaci. Závěry loňského summitu ve Walesu pak představují „policy 3.0“ a i když NATO uznává, že není zdrojem mezinárodního práva, považuje extenzivní chápání kolektivní bezpečnosti za důležitý posun správným směrem. NATO totiž, dle jeho slov, nestojí o militarizovaný a neřízený kyberprostor (paradoxně později v programu označil Zhixiong Huang právě Tallinnský manuál za největší krok k militarizaci kyberprostoru v historii). Na závěr pak Ducaru uvedl, že kybernetická složka bude součástí všech cvičení (včetně operačních) v příštích 5 letech. Na závěr ale poznamenal, že hrozby se mění tak rychle, že je jakékoli dlouhodobé plánování velice problematické.

Druhý blok key note přednášek byl bohužel o poznání méně zajímavý (JH, JM). Jako první hovořil viceadmirál Bruce E. Grooms z NATO (Allied Command Transformation). Jeho příspěvek s názvem "Harmonising NATO Cyber Defence" by se dal lapidárně shrnout do sloganu „Harmonizace je důležitá.“ Krom zábavných přirovnání ve stylu „Kybernetická obrana je jako ponorka [Grooms je součástí námořnictva a dlouho sloužil na ponorce. - JM], když vám do ní 200 dní teče, není to v pořádku,“ případně „Můj syn mi říká dinosaure, protože prý nerozumím technologiím, já mu zase říkám ‘Synu, ty zase nevíš nic o světě’,“ jsme se toho bohužel během jeho 30 minutové přednášky příliš nedozvěděli. Druhým řečníkem v pořadí byl Rudolf Roy, šéf Divize bezpečnostní politiky European External Action Service. Ve světle své expertízy hovořil o mezinárodní bezpečnosti v kyberprostoru a o snahách Evropské unie podnikat kroky k jejímu zvýšení. Blok přednášek uzavírala Angela McKay, ředitelka kyberbezpečnosti, politiky a strategie společnosti Microsoft. Ve svém projevu se zaměřila na nezbytnost zvyšování povědomí o kybernetické bezpečnosti a spolupráce mezi veřejným a soukromým sektorem. Připomněla, že se stále zvyšuje zájem o bezpečnostní řešení a že se dotčené subjekty nestarají už jen o první článek cyklu „ochraňuj – odhal – reaguj“, ale i o zbylé dva. Jako sympatické lze vnímat konstatování, že pro Microsoft ve vztahu ke kybernetické bezpečnosti nehraje roli, kdo je jeho uživatel a kdo ne. Bezpečnost je třeba dle McKay zajistit pro všechny.

Po těchto úvodních přednáškách byl čas rozejít se do jednotlivých sekcí. Sekce nazvaná „International Law Development“ začínala v 13:30 a věnovala se vývoji mezinárodních norem a jejich aplikaci na kyberprostor a operace v něm probíhající. Paul Walker (ex-JAG), který byl prvním přednášejícím, povolal ve svém příspěvku „Law of the Horse to Law of the Submarine: The Future of State Behavior in Cyberspace“ na pomoc slavný Easterbrookův článek. Současný přístup mezinárodního práva ke kyberprostoru, který hledá interpretační cesty k aplikaci stávajících norem na kybernetické operace, označil za podobný přístup, jako zastával Easterbrook, když srovnával historickou výměnu koní za automobily. Walker konstatoval, že tento přístup může snadno vést v budoucímu vývoji po vzoru Pearl Harboru, kdy navzdory existujícímu mezinárodnímu právu USA téměř okamžitě vyhlásily neomezenou ponorkovou válku. Cestu ven pak Walker hledá úpravou protiopatření v mezinárodním právu tak, aby reflektovala novou technologickou realitu. Russel Buchan (Sheffield University) se ve svém příspěvku věnoval kybernetické špionáži a jejímu problematickému postavení v mezinárodním právu. Ve své pracovní definici odmítl současnou úzkou definici donucení tak, že nezahrnuje špionáž a navrhl vymezení nové. Dle Buchanovy pracovní definice je dle mého (JH) názoru možné považovat různé sledovací programy za špionáž a zároveň za donucení dle mezinárodního práva. Jakkoli jsou Buchanovy závěry poměrně radikální, jeho poslední kniha získala v roce 2014 Lieberovu cenu za monografii věnovanou právu ozbrojeného konfliktu, a tak je jeho připravovaná kniha o kybernetické špionáži již teď poměrně očekávaným dílem. Posledním v této sekci byl Geoffrey S. DeWeese (US Strategic Command) s příspěvkem „Anticipatory and Preemptive Self-Defense in Cyberspace: The Challenge of Imminence“, ve kterém se věnoval preventivnímu a preemptivnímu použití síly v kyberprostoru. Za velice zajímavé považuji (JH) jeho úvahy věnované použití logických bomb ve vztahu k „last window of opportunity“ Michaela Schmitta. Na praktickou ilustraci svých názorů si pak povolal fiktivní scénář inspirovaný izraelskou operací Ovocný sad.

V rámci sekce "The Future of Internet Governance" (začínající 13:30) vystoupil David Conrad z ICANN, Richard Hill, který sám sebe označuje jako „radikálního občanského aktivistu“, a Isabel Skierka z Global Public Policy Institute. Příspěvek Davida Conrada byl shrnutím toho jak ICANN funguje a jaké funkce plní. Přednáška samotná nepřinesla nic převratně nového (JM), zajímavější byly odpovědi na dotazy z publika, zejména co se týkaly změny ve fungování ICANNU po skončení smlouvy s Department of Commerce, ke kterému dojde 30. září. Conrad ujistil publikum, že k žádným významným změnám ve fungování ICANN nedojde a přidal osobní názor, že do 30. září se určitě transfer na nový způsob fungování společnosti nestihne. Isabel Skierka hovořila o technologické suverenitě a aspektech fyzického geografického umístění dat. Nejvíce prostoru si pro sebe zabral však Richard Hill. Při své přednášce hovořil o nezbytnosti „demilitarizovat“ internet, čímž měl na mysli zastavit masivní sledování lidí po celém světě. Tvrdil, že dáváme zbytku světa špatný příklad, když provádíme takové činnosti, protože by bylo naivní domnívat se, že za nějaký čas „Čína, nebo jiný subjekt, který považujeme za nepřítele číslo 1“ nebude provádět to samé a pravděpodobně i intenzivněji.

Sekce „Tallinn Manual 2.0“ začínala od 15:30. V jejím rámci vystoupil Michael Schmitt (Naval War College), který objasňoval rozsah prací, které momentálně probíhají na Tallinnském manuálu za účelem jeho rozšíření i na operace, které nedosahují prahu použití síly. Představoval jednotlivé otázky, společně s některými (často navzájem neslučitelnými) názory na danou problematiku. Opakovaně zdůrazňoval, že manuál je kolektivní dílo a v současné době autorský tým vstupuje do fáze hledání konsenzu. Po něm následoval Bill Boothby (ex-RAF), který byl v rámci přípravy nové verze manuálu pověřen analýzou 55 publikací věnovaných první verzi manuálu. Hledal v nich kritické poznámky de lege lata ve vztahu k první verzi manuálu, které bude nutné vzít v potaz v rámci dalších prací. Navrhnul tak pro novou verzi zejména opuštění názoru, že se civilní osoba, jejíž počítač byl „zotročen“, stává přímým účastníkem bojových operací a přichází tak o svoji ochranu. Posledním byl v této sekci Zhixiong Huang (Wuhan University), jehož přednáška byla důkazem, že se organizátoři CyConu nebojí kritiky. Jeho příspěvek byl totiž kritikou Tallinnského manuálu. Dle Huanga představuje manuál zbytečnou militarizaci kyberprostoru a používaná tzv. Schmittova kritéria a kritéria rozsahu a efektu (orig. scale and effect - ICJ Nicaragua, 1986) nemusí být pravidly aplikovatelnými na kybernetické operace. Zpochybnil tak základní premisu manuálu, kterou je právě aplikovatelnost existujících pravidel na kyberprostor.
---
Cesta se uskutečnila v rámci projektu Elektronické důkazy (MUNI/A/1296/2014).

Žádné komentáře: