Americký bezpečnostní systém a jeho nedílná součást – zpravodajské služby – prožívají v několika posledních letech nebývalé přeskupení sil. Kybernetické útoky na počítačové sítě strategických segmentů USA (vojenství, energetiku, bankovnictví, ústavní činitele aj.) vedené ze všech koutů světa přiměly tamní instituce jednat.
Vláda náboruje tisíce specialistů IT, do jejich výcviku investuje miliony dolarů. Vznikl nový útvar – United States Cyber Command, který je součástí amerického strategického velení (U.S. Strategic Command). Je řízen přímo vládní bezpečnostní agenturou NSA, jejímž úkolem je koordinace ostatních bezpečnostních sil, včetně kontrarozvědných a výzvědných služeb. Ředitel NSA předkládá opatření v oblasti kybernetické bezpečnosti přímo prezidentovi USA. Ten má právo rozhodnout o kybernetickém útoku proti počítačovým systémům jiných zemí a je dokonce vybaven pravomocí zavelet k útoku jako první a nečekat na úder protivníka.
Pomyslné tlačítko k takovému útoku nosí stále s sebou a jeho režim je podobný režimu tzv. atomovému kufříku. Aniž si veřejnost možná všimla, posunula tato opatření postoje ke kybernetickému terorismu na kvalitativně novou úroveň. Jaké vyhlídky čelit takovým hrozbám má EU, resp. Česká republika, a evropské zpravodajské služby?
V minulém roce například ruští hackeři nahradili stránky gruzínského parlamentu svou vlastní obsahovou verzí. Někteří komentátoři se domnívají, že útoky na gruzínské weby zinscenovala ruská vláda. Rusko samozřejmě popřelo, že by do akce bylo oficiálně zapojeno.
Jsou zpravodajské služby za kyberprostor vůbec odpovědné?
Globální rozměr kybernetického konfliktu a charakter protiopatření, která přesahují informační území vlastního státu, bývá možná nadsazeně přirovnáván ke třetí světové, tentokrát „kybernetické“ válce. Faktem však je, že napadání důležitých počítačových systémů (např. jaderných elektráren) může ochromit chod země a bezpečnost jejích občanů.
V legislativě většiny zemí světa bývá takový stav nazýván jako útok na suverenitu a bezpečnost dané země. A to jsou oblasti, za které jsou zpravodajské, chcete-li tajné služby, všude na světě odpovědny. Ty demokratické dokonce ze zákona. Je otázkou času, kdy se právní pojem „kybernetická suverenita“ objeví v legislativě některých zemí.
Zdá se ale, že Američané si to přesně v tomhle smyslu vyložili již teď a bez většího váhání učinili zpravodajské služby za kybernetickou oblast odpovědné. Jestli z toho vedení těchto služeb má radost nebo ne, je jiná věc.
Možnosti koordinace zpravodajských služeb EU
Jestliže strategie kybernetické bezpečnosti v USA jde cestou soustřeďování sil a podřizuje jednotnému velení bezpečnostní, armádní a zpravodajské složky, je v rámci EU situace poněkud jiná. Partnerem americké NSA v oblasti kybernetické obrany by měla být evropská agentura ENISA, která vznikla z Nařízení Evropského parlamentu a Rady ES č. 460/2004 (PDF, 486 kB) ze dne 10. března 2004 o zřízení Evropské agentury pro bezpečnost sítí a informací.
Její zaměření, odpovědnost a pravomoci jsou bohužel v jejích zakládacích listinách deklarovány spíše poradenským a konzultantským směrem; její činnost je zaměřena především na spolupráci s průmyslovými odvětvími v oblasti bezpečnosti hardwarových a softwarových produktů, s opakovaným důrazem na propojování a koordinaci nejednotného hospodářského trhu a informačních infrastruktur.
Napojení agentury na bezpečnostní složky EU je přitom nezřetelné. Sami představitelé této evropské agentury přiznávají, že se v této fázi stále ještě spíše potýkají především s nejednotnou legislativou v jednotlivých členských zemích EU, a to nejen v oblasti kybernetické bezpečnosti.
Jen velmi zřídka se objeví informace o tom, že se evropské zpravodajské služby snaží tento trend zvrátit a jsou na čele ve snahách stav napravit, či dokonce v této věci koordinovat svou činnost. Jestliže se po roce 1990 zpravodajské služby v Evropě postupně domluvily na spolupráci v oblasti boje proti terorismu a organizovanému zločinu, můžeme jen doufat, že se potkávají a spolupracují i nyní na poli boje proti kybernetickým hrozbám.
I kdyby to tak bylo, existuje reálný předpoklad, že nedostatečně pevná pozice a pravomoci evropské agentury ENISA nebudou stačit na účinnou koordinaci evropských zpravodajských služeb. Zdaleka nemůže dosáhnout efektivity pevně legislativně „zakotveného“ Cyberkomanda a podobných institucí ve struktuře bezpečnostní agentury NSA, která současně koordinuje americké zpravodajské služby.
Postavení českých zpravodajských služeb
České zpravodajské služby odpovědnost za obranu kyberprostoru ze zákona přímo nemají. S trochou fantazie ji lze vidět pod obecným úkolem zabezpečování informací ohrožujících bezpečnost (BIS, ÚZSI) a zabezpečení obrany (Vojenské zpravodajství). Dobrou zprávou je, že se podle výročních zpráv a oficiálních internetových stránek naše zpravodajské služby problému kybernetické bezpečnosti nevyhýbají a berou ho vážně. Faktem ale zůstává, že jim zákon přímou odpovědnost za tuto oblast neukládá. Spolupráci s partnerskými službami EU tím pádem také ne.
Pro ilustrativní dokreslení dopadů současného stavu uvnitř EU jsou příznačné okolnosti nedávného významného úspěchu české vědy na poli kybernetické bezpečnosti. Experti ČVUT spolupracují od roku 1999 s Američany na několika důležitých projektech, mimo jiné na kybernetické bezpečnosti letecké a námořní dopravy. USA společný projekt po celou dobu financují. Výsledky výzkumu budou využity k zabezpečení amerického letového i námořního provozu. Na tyto úspěchy může být Česká republika právem hrdá, informace o nich obletěly celý IT svět. Evropští úředníci asi méně, není to totiž český úspěch pod „modrou“ vlajkou.
Troufnu si předpokládat, že to není vina české ani americké strany. Podíl evropské agentury ENISA na tomto projektu není známý. Útěchou doufejme je, že se aplikované poznatky českých vědců oklikou do EU alespoň zčásti v tichosti vrátí, v podobě těch vojensky využitelných prostřednictvím NATO. Ty nevojenské potom v podobě drahých komerčních produktů. Možná je ENISA teprve potom dostane na stůl k vyzkoušení, posouzení a distribuci do členských zemí.
Zdá se, že systém obrany EU proti kybernetickým útokům a koordinace bezpečnostních složek a zpravodajských služeb pokulhává za ráznými kroky odpovědných institucí USA. Nejednotná bezpečnostní a informační struktura jednotlivých členských zemí EU stejně tak jako jednostranná orientace evropské agentury ENISA na ochranu komerčního trhu by mohly znamenat již v blízké budoucnosti vážný bezpečnostní, ale i ekonomický problém spojené Evropy.