Následující článek se věnuje problematice soukromoprávní odpovědnosti v typických případech úmyslně zaviněných kybernetických bezpečnostních incidentů, tedy ransomware a DDoS. Na příkladech zahraniční judikatury se dotýká vysoce aktuální otázky, zda závažné ransomwarové útoky nelze klasifikovat jako užití síly či válečný akt ve smyslu užívaném v humanitárním právu. Vzhledem k obtížnosti prokázání jak identity útočníka, tak zavinění uživatele pak autor v další části článku rozebírá především otázku svépomoci při aktivním odvracení kybernetického útoku a jejích hranic.

Kybernetický bezpečnostní incident jako právní skutečnost

Podstatou kybernetiky je zkoumání organizačních procesů v živých organismech a jejich napodobování, takže přívlastek „kyber“ si bez ohledu na dobu, kdy vznikla, zaslouží všechna možná uměle vytvořená zařízení, jejichž účelem je, stručně řečeno, informace.[1] Přestože se tedy počátky kybernetiky jako identické disciplíny datují do padesátých let minulého století, je známá historie kyberútoků, tedy pokusů o narušení činnosti takových zařízení, daleko starší. Jedním z prvních zaznamenaných kyberútoků se stal již v roce 1834 případ narušení důvěrnosti přenosu dat ve francouzské telegrafní službě, kvůli kterému se útočníkům podařilo získávat důvěrné informace týkající se finančních trhů.[2]

Přenos dat tehdy samozřejmě neprobíhal prostřednictvím služeb elektronických komunikací nebo služeb informační společnosti. Šlo o komunikaci za pomoci vizuálních signálů předávaných na velké vzdálenosti geograficky vhodně rozmístěnými stanicemi (semafory), jejichž původ sahá až do konce 18. století. Zatímco se ale od té doby zásadním způsobem změnila technologie, zůstává motivace k narušení komunikační sítě stále stejná.

I další zaznamenané historické případy kyberútoků provedených dávno předtím, než došlo k jejich pojmenování, nám dobře ilustrují různé účely, které dodnes motivují lidi vybavené technickými kompetencemi (dnes označované jako „hackeři[3]“) k tomu, aby se pokoušeli hledat slabiny v zabezpečení informačních systémů k narušení důvěrnosti, celistvosti (integrity) nebo dostupnosti zpracovávaných údajů. Vedle zištného prospěchu (materiálního, politického, milostného apod.) to byla ještě zvědavost, touha po pomstě, slávě nebo uznání.[4]

Narušení důvěrnosti, integrity nebo dostupnosti dat[5] samozřejmě nemusí být jen důsledkem úmyslného jednání, tj. útoku. Důvodem situace, kterou v jazyce našeho zákona o kybernetické bezpečnosti označujeme jako kybernetický bezpečnostní incident,[6] může být i nedbalost, vyšší moc nebo i nešťastná shoda náhod.

Naše právo se v tomto směru dá rozdělit na dvě relativně oddělené části právě podle toho, zda je otázka důvodu kybernetického bezpečnostního incidentu, resp. přítomnosti a typu zavinění, z hlediska právních následků relevantní právní skutečností. Specifická a relativně nová oblast práva kybernetické bezpečnosti je koncipována k ochraně prostředí a, podobna regulatorní agendě protipožární ochrany nebo bezpečnosti práce, zaměřuje se na prevenci výskytu kybernetických bezpečnostních incidentů a na jejich následné zvládání – to bez hledání či postihu viníka. Pro ostatní a z podstaty funkčně i institucionálně relativně oddělené součásti našeho právního řádu, nespecificky dopadající na příčiny a důsledky kybernetických bezpečnostních incidentů, tj. zejm. trestní a soukromé právo, jsou naopak otázky existence a typu zavinění zásadně důležité.[7]

Zabýváme-li se tedy otázkou odpovědnosti za kybernetický bezpečnostní incident, nejde, na první pohled možná paradoxně, o věc, kterou bychom řešili za užití institutů práva kybernetické bezpečnosti. Ty totiž upravují především povinnosti týkající se technických a organizačních opatření zvyšujících bezpečnost důležitých informačních systémů a sítí, a dále pak povinnosti související s eliminací negativních dopadů kybernetických bezpečnostních incidentů. Otázka identifikace viníka (pokud existuje) a jeho postihu, včetně povinnosti nahradit škodu nebo odčinit jinou újmu, spadá do věcné působnosti trestního a civilního práva.

Druhý prvoplánový paradox postihu kybernetických útoků se týká formulace předmětných právních otázek v konkrétních případech. Ty totiž obvykle nesměřují k obtížné interpretaci platného práva. V této oblasti tak, na rozdíl od jiných situací, kdy se naše zákonné právo nepříliš úspěšně potýká s různými fenomény informační společnosti, nemusí nám vadit, pokud se věk institutů nebo termínů užitých v příslušných částech naší zákonné úpravy počítá ve vyšších desítkách, nebo dokonce stovkách let. Řešíme-li totiž otázku, zda, za co a v jaké míře někdo odpovídá, vystačíme si se základními odpovědnostními instituty, jejichž použití není otázkou interpretační ekvilibristiky, proporcionality nebo prozařování kautelami ústavního práva, ale prostého subsumpčního sylogismu. Ptáme se totiž zpravidla jen na to, zda se protiprávního jednání opravdu dopustil ten, kdo stojí před soudem, zda je škodlivý následek v příčinné souvislosti s takovým jednáním, nebo zda lze protiprávní jednání označit za zaviněné.

Z výše uvedeného by mohlo vyplynout, že základní problém postihu kyberútoků není ve své podstatě právní, ale skutkový. Částečně je to pravda, protože otázka ztotožnění rušitele (pachatele) má primárně skutkový charakter, a s jejím řešením tedy může v typických případech významně pomoci znalec.[8] Posouzení ostatních kategorií, tj. faktorů kauzálního nexu nebo zavinění, však není čistě skutkové, ale zčásti subsumpční. Je tedy na soudu, aby si o tom, do jaké míry došlo k naplnění hypotéz příslušných právních norem, udělal obrázek sám.[9]

Typické rysy útoků ransomware a DDoS

Společným rysem kyberútoků je intruze, tj. vniknutí útočníka do cílového systému nebo sítě. Metody, které se k různým formám průniku používají, se různí stejně, jako jsou různé i typy zařízení, na něž útoky směřují. Vedle čistě technických metod používají útočníci i různé kombinované technické a manipulativní techniky, a to obvykle ve snaze obejít technická zabezpečení zneužitím lidské důvěřivosti nebo nepozornosti. Cílovými zařízeními, na něž útočníci zaměřují svoji pozornost, nemusí zdaleka být jen počítače nebo mobilní telefony. Může se jednat prakticky o jakékoli zařízení připojené k informačnímu systému nebo síti, od síťových prvků přes tiskárny, řídící systémy a technologie budov (např. i klimatizace nebo zařízení na automatické otevírání dveří) až po zařízení typu internet-of-things (např. termostaty, meteostanice apod.) nebo různé chytré spotřebiče (např. pračky, domovarnická zařízení apod.).[10]

Výběr zařízení, na něž útočník zaměří svoji pozornost, je dán motivem a vektorem útoku. Pokud má útočník zájem získat[11] nebo poškodit data, pokusí se najít nejslabší zařízení připojené k systému, který tato data zpracovává, a následně k nim přes něj získat přístup. Je-li naproti tomu úmyslem útočníka poškodit nebo vyřadit z provozu nějaký systém, snaží se proniknout, přímo nebo zprostředkovaně, k takovým jeho funkcionalitám, jejichž ovládnutí mu umožní narušit nebo změnit procesy zpracování dat.

Velmi populární metodou destruktivních kyberútoků cílených na omezení funkčnosti nebo vyřazení z provozu systémů veřejně dostupných na internetu (např. zpravodajských stránek, e-shopů apod.) je prostřednictvím nepozorovatelného ovládnutí velkého počtu zařízení, často v řádech desítek či stovek tisíc, připojených k internetu a jejich následné nasměrování na příslušné cílové místo. Takto koordinovaný zájem různých zařízení o připojení k cílovému místu způsobí přetížení jeho kapacity a následný kolaps.[12] Uživatelé zařízení tímto způsobem zneužitých útočníkem se o tom, že se jejich mobilní telefon nebo osobní počítač účastní koordinovaného zahlcení oběti, obvykle nikdy nedozví. Účast zařízení na takovém útoku totiž zpravidla nepůsobí žádné jeho viditelné zpomalení nebo jiné omezení funkčnosti.

Jiným aktuálně velmi typickým způsobem útoku je průnik do cílového systému za účelem instalace škodlivého kódu a následného zašifrování zpracovávaných dat (tzv. ransomware). Útočník v takovém případě kontaktuje oběť a požaduje po ní zaplacení určité částky (ransom), obvykle ve formě některé z kryptoměn, výměnou za klíč k jejich rozšifrování.

Zcela zvláštní kategorii představují útoky na různá zařízení a technické prostředky, které samy o sobě nejsou součástí informačních systémů nebo sítí, ale mají pro jejich fungování zásadní význam. Typickým příkladem mohou být různé autentizační nebo autorizační nástroje, a to fyzické (např. přístupové karty, RFID čipy apod.) nebo logické (např. podepisovací certifikáty, hesla apod.).

Vzhledem k velké perverzní kreativitě útočníků a ohromné rozmanitosti cílového substrátu není shora uvedený výčet typických forem kyberútoků ani zdaleka úplný. K šíři škály útoků na různá zařízení, sítě nebo služby přispívá i velká míra rozmanitosti v osobách útočníků. Od jednotlivých amatérů (včetně dětí) využívajících rudimentární nástroje a postupy, přes hobbisty a poloprofesionály až po vysoce specializované profesionální týmy organizované soukromými, nebo dokonce veřejnými institucemi.

Odpovědnost u útoků ransomware a zavinění uživatele

Typologická mnohost kyberútoků a jejich proměnlivost v čase neznamená, že nemá smysl bavit se v souvislosti s nimi o aplikaci relativně rigidních odpovědnostních institutů soukromého nebo veřejného práva. První, kdo připadá v úvahu pro aplikaci těchto institutů, je samozřejmě sám útočník. Jeho postavení a možnosti postihu nepředstavují v důkazně solidních situacích z právního hlediska nikterak přehnaně složitou materii. Specifické skutkové podstaty tzv. počítačových trestných činů, generické civilní instituty zakládající povinnost nahradit škodu a další nástroje jsou v případech, kdy se podaří útočníka najít a shromáždit dostatečné důkazy o jeho jednání, zavinění, újmě apod., vcelku jednoduše použitelné.

Problém reálné praxe spočívá především v tom, že samotného útočníka nelze nalézt buďto technicky (bylo by to ne­úměrně technicky složité), nebo pragmaticky (bylo by to neúměrně drahé a zdlouhavé). Úspěšný postih, civilní nebo trestní, tedy bývá buďto důsledkem amatérismu útočníka, nebo podstatné investice – to typicky v případě, kdy se útočník dotkne vitálních zájmů státu nebo způsobí značné škody. Každopádně ale ve vztahu k právnímu postihu útočníka, civilnímu, správnímu nebo trestnímu, nelze hovořit o typické situaci.

V řadě případů se kromě samotného útočníka nabízí možnost uplatnění postihu i proti dalším subjektům, které útočník využil, resp. zneužil. Ze shora uvedeného plyne, že standardní součástí útoků různých typů je průnik do určitého systému – tím může být podniková síť, mobilní telefon nebo třeba kávovar připojený k wifi. K průniku může útočník vy­užít technické slabiny příslušného systému. Další velmi častou možností je zneužití důvěřivosti nebo nepozornosti uživatele.

Typický scénář ransomwarového útoku se vyvíjí od infekce jednoho zařízení přes napadení celého systému nebo sítě, aktivaci škodlivého kódu a zašifrování dat až po konečné řešení, které může mít podobu platby útočníkovi, odpisu dat jako nepoužitelných, nebo obojího současně (typicky v případě, kdy se data jeví jako zašifrovaná, ale ve skutečnosti jsou nenávratně zničena). Škoda v takových případech závisí na mnoha faktorech – od rozsahu napadení přes hodnotu dat a s nimi svázaných procesů až po typ organizace a její činnosti. Pro subjekty závislé na zpracování dat v reálném čase může totiž skutečná škoda narůstat doslova každou sekundou, po kterou je příslušný systém nefunkční.[13]

Pomineme-li nepříliš pravděpodobnou možnost přímého postihu útočníka (viz výše), nabízí se otázka, nikoli ovšem skutková, zda k infekci příslušného zařízení, která spustila následnou lavinu dalších událostí, došlo „zaviněným porušením povinností při plnění pracovních úkolů“.[14] Odpověď na ni v obecné rovině hledal mezi lety 2014-2016 projekt Grantové agentury Masarykovy univerzity,[15] kde se za účasti expertů z oborů právní vědy, informatiky a psychologie extrapolovaly závěry z pracovněprávní judikatury Nejvyššího soudu. Konkrétní předlohou pro projekt se stalo rozhodnutí, v němž Nejvyšší soud hodnotil míru zavinění zaměstnance, který v důsledku nenásledování pokynu nadřízeného utrpěl pracovní úraz na stavbě.[16] Právní kvalifikace „zaviněného porušení povinností při plnění pracovních úkolů“ totiž v tomto případě, podobně jako u typického ransomwarového nebo jiného útoku popsaného výše, záleží na tom, do jaké míry zaměstnavatel prokáže, že zaměstnanec otevřením přílohy podezřelého e-mailu nebo jinou neprozřetelností dělal něco, o čem věděl, nebo přinejmenším vědět měl a mohl, že v práci dělat nemá.

Projekt zahrnoval testy nejrůznějších forem vzdělávání a školení a obsáhl různé cílové skupiny. Jeho záměrem bylo odpovědět na otázku, jak napodobit předáka na stavbě z rozhodnutí Nejvyššího soudu a jasně a srozumitelně sdělit zaměstnancům různé požadavky na bezpečnost používání informačních technologií.[17]

Výsledky projektu byly ale poměrně pesimistické. Ukázalo se totiž, že žádná z dostupných metod informování zaměstnanců o bezpečnostních rizicích a odpovídajících nástrojích k jejich minimalizaci nedosahuje sdělnosti srovnatelné s výše zmíněnou instrukcí předáka stavební čety.[18]

Vedle mnohosti bezpečnostních rizik a související relativní složitosti pokynů ve vztahu k použití různých zařízení, služeb a aplikací, spočívá problém reálné nepoučitelnosti uživatelů informačních technologií i v tom, že v práci s těmito technologiemi netkví těžiště jejich profesního působení. Referent i vedoucí pracovník mají totiž v práci obvykle zcela jiné starosti než být neustále ve střehu ohledně možného kyberútoku. Stejně tak si člověk v pozici uživatele IT nemůže dovolit věnovat podstatnou část pracovní doby třeba opakovanému vymýšlení netriviálních hesel a jejich následnému učení se nazpaměť.

Situace samozřejmě z pohledu zaměstnavatele není zcela beznadějná. Vhodně koncipovaná školení, podobně jako v případě BOZP nebo protipožární ochrany, zvyšují pravděpodobnost prokázání nedbalosti.[19] Ta rovněž průběžně roste i v čase, neboť obecné povědomí o základních bezpečnostních návycích se postupně, byť nikoli závratnou rychlostí, zvyšuje.

Útok ransomware a závazek k pojistnému plnění

V běžné civilní praxi se naštěstí nestává často, aby do posuzování otázek souvisejících s odpovědností vstupovaly instituty humanitárního práva. Jednou z takových výjimek je mezinárodněprávní kvalifikace kyberútoků, která se následně může projevit do závazků z pojistných smluv. Již dostatečně zajímavou situaci ještě dále ozvláštňuje to, že samo humanitární právo doposud nezná případy judikatorního řešení kyberútoků. Doposud byly totiž otázky po tom, zda je nějaký kyberútok možné považovat za užití síly, nebo dokonce za válečný akt, řešeny pouze v jednostranných vojenských doktrínách nebo v odborné literatuře.[20] Soukromoprávní spory se tak stávají prvním místem, kde se, poněkud nečekaně, rozhoduje o mezinárodněprávní kvalifikaci závažných kyberútoků v rámci soudního procesu.

K této kuriozitě vedla běžná praxe obchodních korporací sjednávat si pojištění všech možných rizik, která v současné době zahrnují i kybernetické bezpečnostní incidenty. Pojistné plnění v takovém případě sice kryje i škody z útoků ransomware, ale smlouvy obsahují tradiční omezení závazku k pojistnému plnění týkající se užití síly, resp. válečných aktů (act of war). V případech, kdy útoky ransomware působí na jednotlivých subjektech multimilionové škody,[21] dochází ke sporům o to, zda za ransomwarovým útokem není důvod hledat subjekt mezinárodního práva veřejného (typicky stát), a zda nemůže tím pádem jít o užití síly či válečný akt ve smyslu užívaném v humanitárním právu.[22]

Vzhledem k tomu, že jsou státy na poli kyberbezpečnosti v posledních dvou dekádách velmi aktivní, rozvinula se docela solidně i doktrína humanitárního práva v otázkách kvalifikace kyberútoku. Jak uvedeno shora, jsou ale pramenem práva v této oblasti prakticky výhradně právnické publikace ve smyslu čl. 38 odst. 1 písm. d) statutu Mezinárodního soudního dvora. Některé vysoce sofistikované a značně ničivé ransomwarové útoky byly odbornou literaturou s vysokou mírou jistoty označeny za příklad užití síly, byť nelze spolehlivě určit jejich původce.[23] A právě této kvalifikace se nyní chytají pojišťovny snažící se vymanit ze závazku k pojistnému plnění.[24]

V prvních případech známých ze zahraničí soudy zatím odmítají ransomwarové útoky uznat pro účely interpretace závazků z pojistných smluv za užití síly.[25] V doposud největší rozhodnuté (byť nepravomocně) věci Merck se soud postavil na stranu pojistníka a označil za pochybení na straně pojišťovny skutečnost, že v adhezní smlouvě ponechala tradičně formulovaná ujednání týkající se válečných aktů přesto, že je již dobře znám problém státem organizovaných kyberútoků odehrávajících se zcela mimo válečný stav nebo jiný zvláštní režim, na které tato ujednání tradičně mířila. Takto formulované ujednání dle názoru soudu nemohlo pojistníka dostatečně informovat o tom, že má pojistitel v úmyslu omezit svůj závazek k pojistnému plnění v případě, kdy za klasickým ransomwarovým útokem může s vysokou pravděpodobností stát subjekt mezinárodního práva veřejného a sledovat tím nějaký mocenský nebo politický cíl. Naopak pojistník mohl i při takto formulovaném ujednání nabýt v dobré víře dojmu, že pojistka kryje za mírového stavu jakýkoli ransomwarový útok bez ohledu na to, zda se jej dopustí stát, organizovaná zločinecká skupina nebo nějaký amatér.[26]

Hlavní argument absencí vůle zde má nesporně pragmatickou váhu. Dal by se rozvést i v tom směru, že pokud by pojistník věděl o tom, že by pojistné plnění bylo omezeno, jak zde tvrdí pojišťovna, těžko by si takovou pojistku pořídil – šlo mu totiž zřejmě o krytí rizika kyberútoku bez ohledu na to, kdo jej uskuteční a zda tím bude sledovat komerční, politický nebo jiný cíl. K formulaci solidnějších a obecnějších závěrů ale bude třeba počkat si kromě odvolací instance u citovaného případu i na další podobné případy probíhající v jiných jurisdikcích, především ve Švýcarsku.[27]

Odpovědnost u aktivní obrany před útoky DDoS

Z pohledu původního bezpečnostního incidentu, tj. průniku do určitého systému nebo zařízení, je podobná situace též u útoků typu DDoS. Zatímco ale ransomware napadá destruktivním způsobem data v systému, do nějž se útočníkovi podaří proniknout, je u útoku typu DDoS zájmem útočníka donutit napadený systém k tomu, aby se v koordinaci s ostatními podobně postiženými systémy hromadně připojil k určitému cílovému místu (typicky k nějaké webové stránce) a to mnohostí současných požadavků na komunikaci vyřadil z provozu.[28]

Z hlediska možné kvalifikace uživatelského jednání, resp. opomenutí, jako zaviněného je v tomto případě situace ještě o něco složitější než u ransomwarových útoků. Škodlivý kód se totiž do uživatelského zařízení, tj. mobilního telefonu, osobního počítače apod., může dostat z technického hlediska mnohem snadněji. Napaden může být v návaznosti na použitou metodu i obezřetný uživatel, který si tento typ infekce může do svého zařízení zanést např. i jen prohlížením webových stránek, instalací normálně vypadající aplikace nebo konzumací jiné, bezelstně vyhlížející služby informační společnosti.

Relativní snadnosti nákazy odpovídá i frekvence útoků tohoto typu, která je v porovnání s ransomware útoky ještě násobně vyšší. Botnety, tj. soubory takto na dálku bez vědomí uživatele ovládaných zařízení, čítající běžně stovky tisíc jednotek, lze vcelku snadno „pronajmout“, a to docela levně na černém trhu. Tyto „služby“, obvykle hrazené kryptoměnami, dokonce nabízejí slevy pro stálé zákazníky, nebo dokonce i cosi jako „uživatelskou podporu“.[29]

Zvláštním případem může být průnik škodlivého kódu v důsledku opomenutí uživatele nainstalovat bezpečnostní aktualizaci. K této situaci dochází v případech, kdy je zranitelnost určitého systému známa a výrobce poskytne uživatelům bezpečnostní záplatu. Za projev nedbalosti uživatele pak lze považovat případ, kdy systém (jak tomu obvykle bývá) uživatele k instalaci aktualizace vyzve, ale uživatel to odmítne.[30]

V typických případech DDoS útoků, kdy uživatelé bez zavinění nebo z nedbalosti umožňují útočníkům využití svých zařízení, nemá pragmaticky smysl uvažovat o jejich individuálním postihu. K výše popsanému kvalifikačnímu problému týkajícímu se zavinění a generickému problému s identifikací uživatele ještě přistupuje bagatelní podíl každého jednotlivého uživatele na škodlivém následku. V podmínkách českého práva totiž ve vztahu mezi útočníkem a tím, kdo mu bez vlastního přičinění (nebo přinejhorším z nedbalosti) poskytl své zařízení, zřejmě půjde o „důvody zvláštního zřetele hodné“, které by soud donutily k úvaze o oddělení náhrady škody. Za situace, kdy je vlastník nebo držitel zneužitého zařízení jen jedním z milionů, zřejmě není, to navíc při shora popsané značné nejistotě ohledně spolehlivého prokázání totožnosti žalovaného i jeho nedbalosti, příliš rozumné uvažovat o jeho postihu.[31]

Naopak pragmaticky relevantní je otázka práva na svépomocnou obranu před DDoS útokem a jemu odpovídající povinnosti strpět její důsledky. Obranné techniky mohou být jednak pasivní a spočívat v blokování přístupu určitého zařízení k cílovému místu nebo do určitého adresního prostoru.[32] Uživatel, jehož počítač je v důsledku nákazy součástí botnetu a útočí na nějaké cílové místo, může při aplikaci této obranné techniky typicky pozorovat různé problémy s internetovým připojením, od jeho zpomalení až po úplné výpadky. Z hlediska zákonných mezí svépomoci je blokování útočících zařízení zřejmě v obecné rovině adekvátní, neboť kromě kritéria bezprostřednosti je v takovém případě omezení konektivity přijatelným omezením vyvažujícím újmu, kterou zařízení svojí účastí v botnetu způsobuje příslušnému cílovému místu.[33]

Složitější z právního i technického hlediska jsou aktivní obranné techniky, které u DDoS útoku mohou mít i formu reverzního útoku stejného typu. Obránce se v takovém případě pokouší vyřadit útočící botnet tak, že na jeho součásti sám zaútočí vlastním botnetem. Disponuje-li obránce dostatečnou kapacitou, může být tato technika velmi účinná.

S definičním znakem bezprostřednosti zde zřejmě nebude argumentační problém, ale poněkud horší bude v obvyklých případech otázka přiměřenosti. Reverzní DDoS útok totiž může znamenat i úplné vyřazení z provozu zařízení, jejichž vlastníci zpravidla vůbec netuší, že jsou součástí botnetu. Nemusí přitom jít jen o počítače, ale může se jednat o řídící systémy budov, zdravotnickou techniku apod. Aktivní obránce tedy tímto postupem může způsobit značné škody, jejichž přiměřenost může být jen těžko obhajitelná.[34]

Velmi kreativní, byť v našem právním prostředí nepoužitelnou[35] kombinaci právního nástroje a sofistikovaného aktivního opatření aplikovala v jednom případě rozsáhlého botnetu společnost Microsoft.[36] Součástí právního řešení byla civilní žaloba na konkrétního, ale neidentifikovaného útočníka, přičemž vedlejšími účastníky řízení byli rovněž konkrétní, ale neidentifikovaní uživatelé softwaru této společnosti, kteří si nenainstalovali doporučenou servisní záplatu. Společnost Microsoft se rozhodnutím v tomto případu, kde z pochopitelného důvodu žalovaný ani žádný z vedlejších účastníků aktivně nevystoupil, domohla rozhodnutí, jímž soud mimo jiné nařídil vedlejším účastníkům strpět zásah do jejich systémů a přesměrování jejich provozu ovládaného útočníkem na forenzní servery žalobce.

Vedle zajímavé kombinace právní konstrukce, procesního nástroje a inovativní forenzní technologie můžeme na tomto případu pozorovat i proporcionální úvahu soudu ohledně kongruence zaviněného jednání nedbalého uživatele, který si nenainstaloval na svůj systém bezpečnostní záplatu, a svépomocného zásahu do jeho vlastnického práva spočívajícího v tom, že žalobce bez jeho vědomí přistoupí k předmětnému zařízení a provede na něm technickou úpravu. Ta jde v tomto případě za rámec nezbytně nutného k zamezení zneužití příslušného zařízení v rámci botnetu, neboť žalobce může díky úpravě nejen zamezit útoku, ale může i navíc analyzovat jednání útočníka, což k bezprostřední ochraně před útokem není nezbytně nutné. Zásah do práv vlastníka je ale přesto zřejmě přiměřený, vezmeme-li v úvahu nebezpečí, které napadené zařízení může představovat, a skutečnost, že jeho vlastník není v možnosti jej užívat nijak výrazně omezen.

Závěr

V tomto textu jsme se věnovali problematice soukromoprávní odpovědnosti v typických případech úmyslně zaviněných kybernetických bezpečnostních incidentů, tj. kyberútoků. Zaměřili jsme se na aktuálně typické formy těchto útoků, tj. ransomware a DDoS. Ve vztahu k ransomware útokům jsme rozebrali možnosti postihu uživatele, v důsledku jehož nedbalosti se nákaza dostane do cílového systému nebo sítě. Rovněž jsme se na podkladu probíhajících sporů z těchto útoků věnovali aktuální interpretační otázce významu ujednání v pojistných smlouvách, omezujících závazek k pojistnému plnění v případech užití síly ve smyslu humanitárního práva.

Zavinění uživatele, jehož zařízení se bez jeho vědomí účastní DDoS útoku, je podobně jako identita útočníka v obvyklých případech prakticky neprokazatelné. Proto jsme vzhledem k DDoS útokům rozebírali především otázky svépomoci.

Problematická prokazatelnost identity útočníka a v řadě případů i nedbalosti nepozorného uživatele představují v obecné rovině největší překážky adekvátního uplatnění civilních odpovědnostních institutů. Neznamená to však naléhavou poptávku po hmotněprávním nebo procesním řešení. Požadavku na hmotněprávní a procesní nástroje zlepšující identifikaci člověka na internetu (resp. snížení míry anonymity) ostatně úspěšně odolaly nejprve americká, pak česká a následně i evropská úprava kybernetické bezpečnosti,[37] jejichž architektury jsou shodně založeny na ochraně prostředí, a nikoli na postihu jednotlivce.

Individuální postih je tedy stále předmětem věcné působnosti nespecifických hmotněprávních i procesních předpisů civilního, správního a trestního práva. Jejich relativní neefektivita však nemá v současnosti důvody právní, ale pragmatické. Ke zlepšení reálné praxe na poli identifikace útočníků tak není třeba legislativních úprav, ale spíše technologických investic a účinné mezinárodní spolupráce. Postupné posilování všeobecné osvěty, která posune úroveň povědomí o bezpečnostních hrozbách, a díky tomu i rozumně očekávatelné uživatelské ostražitosti, také umožní lepší prokazování vědomé nebo nevědomé nedbalosti v prostoru, kde řada expertů vidí nejslabší článek zabezpečení informačních systémů a sítí, tj. mezi monitorem a klávesnicí.[38]

Příspěvek byl přednesen dne 18. 6. 2022 na XXIX. Karlovarských právnických dnech.

 

Prof. JUDr. Radim Polčák, Ph.D.,je vedoucím Ústavu práva a technologií PF MU v Brně, rozhodcem Tribunálu pro doménová jména .eu a .cz a zakládajícím členem European Academy of Law and ICT, European Law Institute.

---

[1] Kybernetika pracuje s předpokladem, že informace je opakem entropie. Unikátní vlastností živých organismů je schopnost tvořit informaci, a tím čelit entropii. Podrobněji viz N. Wiener: Cybernetics: Or the Control and Communication in the Animal and the Machine, MIT Press, Cambridge 1961, str. 11.

[2] Viz A. Shinde: Introduction to Cyber Security: Guide to the World of Cyber Security, Notion Press, 2021, str. 87. K vývoji pojmu v našem právním prostředí viz např. J. Andraško: Bezpečnosť informačných systémov verejnej správy vo svetle zákona o kybernetickej bezpečnosti a zákona o informačných technológiách vo verejnej správe, Revue pro právo a technologie č. 10/2019, str. 12.

[3] Negativní konotace tohoto výrazu jsou výsledkem nemístného populárního zkreslení. Hacker je totiž obecně člověk, který je díky svým znalostem techniky schopen proniknout („hack“) k podstatě fungování nějakého systému a přizpůsobit ho dle vlastních představ. „Hacknout“ tedy jde nejen počítač nebo mobilní telefon, ale klidně i budík nebo mlýnek na maso. K pojmu hacker a kulturním souvislostem jeho vzniku a vývoje viz např. V. Soukup: Kyberantropologie a kyberkultura, Anthropologia Integra č. 2/2010, str. 17, k dispozici též online na journals.muni.cz/anthropologia_integra.

[4] Stručný přehled viz v článku S. Chng, H. Yu Lu, A. Kumar, D. Yau: Hacker types, motivations and strategies: A comprehensive framework, Computers in Human Behavior Reports, 2022, čl. 5, k dispozici online prostř. portálu Elsevier na sciencedirect.com.

[5] Pojem kyberbezpečnost, resp. jeho česká legislativní obdoba, tj. „kybernetická bezpečnost“, je nejčastěji dáván do souvislosti právě s pojmy důvěrnost, integrita a dostupnost dat – srov. N. Craigen, N. Diakun-Thibault, R. Purse: Defining Cybersecurity, Technology Innovation Management Review, 2014, str. 13, k dispozici též online na timreview.ca.

[6] Viz § 7 odst. 2 zák. č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).

[7] Podrobněji viz R. Polčák, J. Harašta, V. Stupka: Právní problémy kybernetické bezpečnosti, Právnická fakulta Masarykovy univerzity, Brno 2016, str. 12.

[8] Srov. např. M. Karyda, L. Mitrou: Internet Forensics: Legal and Technical Issues, Second International Workshop on Digital Forensics and Incident Analysis (WDFIA 2007), IEEE, 2007, str. 3.

[9] U příčinné souvislosti má právní charakter typicky otázka výběru souvisejících právních skutečností – k tomu z české judikatury srov. např. rozhodnutí Nejvyššího soudu sp. zn. 25 Cdo 164/2018, kde se uvádí, že „posouzení příčinné souvislosti po právní stránce předpokládá stanovit, mezi jakými skutkovými okolnostmi má být její existence zjišťována, což u odlišných nároků bývá různé“.

[10] Srov. F. Kasl: Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí, Právní rozhledy č. 3/2020, str. 429.

[11] Útokům, jejichž motivem je nepozorované získání dat, se v tomto textu specificky nevěnujeme. Podrobněji k nim a jejich důsledkům v korporátní praxi viz např. T. Abelovský: Kyberútok ako vnútorná informácia alebo kedy s pravdou von, Revue pro právo a technologie č. 15/2017, str. 33, revue.law.muni.cz.

[12] Tento útok se označuje jako DDoS (distributed denial of service).

[13] Typickým příkladem jsou systémy používané při distribuci paliv nebo energií – viz např. D. M. Nicol: The Ransomware Threat to Energy-Delivery Systems, IEEE Security & Privacy č. 3/2021, str. 24.

[14] Srov. § 250 odst. 1 zákoníku práce.

[15] Viz projekt MUNI/M/1052/2013, Experimentální výzkum chování uživatelů ICT v oblasti bezpečnosti perspektivou sociálních věd, práva a informatiky.

[16] Soud v rozhodnutí uvedl: „Právní relevanci proto má jakýkoli výslovný pokyn, ať je již učiněn písemně, nebo ústně, bez ohledu na svoji expresivnost, anebo na to, do jaké míry odpovídá jeho obsah pravidlům společenských konvencí. Korektním pokynem k zajištění bezpečnosti a ochrany zdraví při práci proto mohl být (byl-li učiněn) i pokyn předáka P. (doslovně – ‚kurva, nelezte tam na ty světlíky, můžete sletět‘), neboť tím stanoví pro podřízené závazný způsob chování a vysvětluje důvod svého pokynu“ – viz rozhodnutí Nejvyššího soudu sp. zn. 21 Cdo 2141/2011.

[17] Viz dvoudílný článek R. Polčák, Z. Říha, K. Malinka: Právní aspekty interních směrnic – část I, Data Security Management č. 2/2015, str. 36, a R. Polčák, Z. Říha, K. Malinka: Právní aspekty interních směrnic – část II, Data Security Management č. 3/2015, str. 37.

[18] Viz V. Šťavová, L. Dědková, M. Ukrop, V. Matyáš: A large-scale comparative study of beta testers and regular users, Communications of the ACM č. 2/2018, str. 64.

[19] Podrobněji viz P. Loutocký, K. Malinka: Bezpečnost ICT ve vnitřních předpisech a školení zaměstnanců, Revue pro právo a technologie č. 14/2016, str. 45.

[20] Základním pramenem je v tomto smyslu Talinský manuál, aktuálně ve druhé verzi – viz M. N. Schmidt, a kol.: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, Cabridge 2017. Problematika kyberútoků v humanitárním právu je tak rozmanitá a atraktivní, že se dokonce stala výlučným předmětem úspěšného specializovaného právnického časopisu vycházejícího od roku 2007 – viz Journal of Law & Cyberwarfare, jlcw.org (časopis distribuuje mj. i jstor.org).

[21] Počet veřejně oznámených útoků ransomware narostl v roce 2021 meziročně o 105 %, přičemž útoky na zdravotnická zařízení vzrostly o 755 %, a na veřejnou informační infrastrukturu dokonce o těžko uvěřitelných 1 885 %. Výše způsobených škod se odhaduje na úrovni 25-30 mld. USD – viz studie Cyber Threat Report spol. SonicWall – www.sonicwall.com. Na obdobných východiscích stojí i varování americké Cybersecurity & Infrastructure Security Agency č. AA22-040A, dostupné na cisa.gov.

[22] Podrobněji k problému kvalifikace tohoto typu útoků jako užití síly viz I. Kudláčková: Kybernetická zbraň: Přístupy k její definici, Revue pro právo a technologie č. 21/2020, str. 47.

[23] Viz např. K. Geers: Cyber War in Perspective: Russian Aggression against Ukraine, NATO CCD COE Publications, Talin 2015.

[24] Podrobněji viz A. Balasubramanian: Insurance against Ransomware, 2021, manuskript, dostupný na ssrn.com jako abstrakt č. 3846111.

[25] Jednu z prvních komplexních analýz případů tohoto typu založenou na doposud nerozhodnutém případu Mondelez viz v článku K. Wan: NotPetya, Not Warfare: Rethinking the Insurance War Exclusion in the Context of International Cyberattacks, Washington Law Review č. 95/2020, str. 1 595.

[26] Podrobněji k textu rozhodnutí včetně citací viz M. Bahar, C. Ives, B. Rigby: Merck and International Indemnity v ACE (et al.): War exclusion clauses in an age of cyber warfare, Legal Alert Everheds Sutherland, 15. 3. 2022, us.eversheds-sutherland.com.

[27] Viz např. případ Mondelez, o kterém podrobně referuje např. blog B. Corcoran: What Mondelez v. Zurich May Reveal About Cyber Insurance in the Age of Digital Conflict, lawfare.com, 8. 3. 2019.

[28] Podrobněji k technice útoku viz E. Cambiaso, G. Papaleo, M. Aiello: Taxonomy of Slow DoS Attacks to Web Applications, in S. M. Thampi, A. Y. Zomaya, T. Strufe, J. M. Alcaraz Calero, T. Thomas (eds.): Recent Trends in Computer Networks and Distributed Systems Security, Communications in Computer and Information Science, 2012, svazek 335, str. 195, k dispozici online prostřednictvím link.springer.com.

[29] K ekonomické logice botnetů viz např. Z. Li, Q. Liao, A. Striegel: Botnet Economics: Uncertainty Matters, in E. Johnson: Managing Information Risk and the Economics of Security, Springer, 2009, str. 245.

[30] Zvláštním případem, kterému se v tomto textu dále nevěnujeme, je vznik prevenční povinnosti v důsledku varování ve smyslu § 12 zákona o kybernetické bezpečnosti. K němu podrobně viz J. Klodwig: Varování NÚKIB v systematice zákona o kybernetické bezpečnosti a možnosti jeho zohlednění v zadávacím řízení, Revue pro právo a technologie č. 23/2021, str. 49.

[31] Argumentaci možného postupu pro postih vůči vlastníku nebo provozovateli nakaženého zařízení nabízí společná zpráva ENISA a NATO CCD CoE. Autoři ale sami přiznávají, že reálné uplatnění tohoto postupu by připadalo v úvahu pouze proti vlastníkovi většího množství současně infikovaných zařízení (nikoli proti jednomu uživateli). Viz L. Vihul, C. Czosseck, K. Ziolkowski, L. Aasmann, I. Ivanov, S. Brüggemann: Legal Implications of Countering Botnets, publikováno online na ccdcoe.org.

[32] K obranným technikám proti útokům typu DDoS viz např. B. B. Gupta, R. C. Joshi, M. Misra: Defending against Distributed Denial of Service Attacks: Issues and Challenges, Information Security Journal č. 5/2009, str. 224.

[33] K hodnocení zákonnosti svépomoci viz např. P. Motyčka: Svépomoc a svémoc – kde je hranice (ne)dovoleného? Právní rozhledy č. 15-16/2015, str. 515.

[34] Podrobněji, včetně základní taxonomie aktivních obranných technik, viz zpráva F. C. Freiling, G. Hornung, R. Polčák: Forensic Computing, report from Dagstuhl Seminar 13482, Leibniz-Zentrum für Informatik, Dagstuhl Publishing č. 11/2013, str. 193.

[35] Hlavním důvodem je rozdíl v nutnosti konkrétní identifikace žalovaného. Zatímco naše právo vyžaduje precizní osobní identifikaci, postačuje pro perfektní civilní žalobu v angloamerickém prostředí taková identifikace, která konkrétně označí žalovaného i bez toho, aby byla známa jeho osobní identita, tj. např. jako autora škodlivého kódu nebo vlastníka určitého zařízení.

[36] Viz rozhodnutí U.S. District Court for the Western District of North Carolina, Charlotte Division (W.D.N.C) ze dne 21. 11. 2013, sp. zn. 3:13-CV-00319-GCM ve věci Microsoft Corp. v. Does.

[37] Srov. op. cit. sub 7, str. 9.

[38] Tento příspěvek je založen na výsledcích výzkumu financovaných v rámci Centra excelence pro kyberkriminalitu, kyberbezpečnost a ochranu kritických informačních infrastruktur, projekt č. CZ02.1.01/0.0/0.0/16_019/0000822.