Problém zneužití zranitelností nultého dne a možnosti jeho řešení nástroji mezinárodního práva veřejného

Úvod

Dnešní dobu si bez vymožeností současné informatiky prakticky nelze představit. Spo­lečnost je globálně propojená a závislá na softwaru, který se stal téměř její existenční otáz­kou. Moderní technologie ovládané tímto softwarem přinášejí soukromému i veřejnému sektoru příjmy, mezinárodní prestiž, konkurenční výhody, ale bohužel také závažná bez­pečnostní rizika. V této souvislosti se často hovoří o kybernetických bezpečnostních hroz­bách, kybernetické kriminalitě a strategiích jednotlivých států či mezinárodního společen­ství odrážejících snahy tyto problémy řešit pomocí nástrojů kybernetické bezpečnosti.[1] Avšak překvapivě jen málokdy se zaměřuje pozornost na nejdůležitější problém, jímž je definování kybernetické exploatace v rámci mezinárodního práva a řešení zneužití zra­nitelností tzv. nultého dne, pod kterým si mnozí lidé nedokážou nic konkrétního, natož právního představit. Přitom právě tento problém byl pravděpodobně příčinou největší loupeže v historii kryptoměn, ke které došlo 21. února 2025, kdy severokorejští hackeři, zřejmě ze skupiny Lazarus,[2] obešli zlatý standard kryptografického zabezpečení, tzv. cold peněženku,[3] a z dubajské kryptoměnové burzy Bybit odcizili 1,5 miliard dolarů.[4] Jelikož i tato skutečnost podtrhuje potřebu mezinárodně právně řešit otázky kybernetické bez­pečnosti, tento článek si klade za cíl objasnit podstatu zneužití zranitelností nultého dne, které představují významnou hrozbu pro současnou kybernetickou bezpečnost. Hrozbu velmi silně přítomnou. Cílem je analyzovat, jak státy řeší tento problém na mezinárodní úrovni a zda mezinárodní právo veřejné nabízí vhodné nástroje k jeho potírání. Zaměříme se proto na definování hlavních otázek současné mezinárodní spolupráce, ale i na možné budoucí přístupy, kterými by se mohla mezinárodní scéna ubírat při hledání efektiv­ního řešení tohoto problému a naplnění jeho cíle, jímž je posílení veřejného dobra v me­zinárodním kyberprostoru, spočívající v náležitém objasnění kybernetických incidentů a spravedlivém potrestání viníků. Za tím účelem budou v článku reflektovány historické i dosavadní postoje OSN, jakož i některých států, pokud jde o formování mezinárodní spo­lupráce v této oblasti a názory na kybernetickou exploataci. Dále bude zohledněna histo­ricky první Zpráva o stavu kybernetické bezpečnosti v Unii (EU),[5] kterou v roce 2024 při­jala agentura ENISA[6] ve spolupráci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací a Evropskou komisí v souladu s článkem 18 směrnice (EU) 2022/2555[7] (dále též „NIS 2“), vybraná evropská legislativa a příležitostně i text nedávno přijaté Úmluvy OSN proti kyberkriminalitě.[8]

 1.   Kybernetická exploatace jako kybernetický problém číslo jedna

Pro pořádek je třeba poukázat na to, že v současném mezinárodním slovníku se setkáme s řadou kybernetických pojmů, jako je „kybernetický prostor“ (cyber space), „kybernetic­ká bezpečnost“ (cyber security), „kybernetická hrozba“ (cyber threat), ale také „kyberne­tický útok“ (cyber attack), jenž je právě někdy nesprávně, či dokonce účelově zaměňován s „kybernetickým průzkumem“ (cyber reconnaissance). Bohužel v právních předpisech jednotlivých států není výjimkou, že jeden a týž pojem, který je stejně vnímán i ostatními státy (což je ten lepší případ), je jinak označen.[9] Tato okolnost pochopitelně nepřispívá k právní jistotě ani bezchybné mezinárodní spolupráci v oblasti kybernetické bezpečnos­ti. Horší však je, pokud není určitý problém vůbec definován. To je pro právníky doslova noční můra, protože předvídání účinnosti jednotlivých nástrojů mezinárodního práva je v takovém případě velmi obtížné. Proto je záhodno čtenáře nejprve uvést do kontextu a vysvětlit mu, co se rozumí kyberprostorem, kybernetickou bezpečností a kybernetic­kou exploatací, než přistoupíme k definování zneužívání zranitelností nultého dne.

Kyberprostorem standardně rozumíme „globálně propojený prostor, který se skládá z Internetu a dalších počítačových sítí, digitálních zařízení, systémů, služeb a procesů na nich“.[10] Tedy jedná se o prostor, pro který jsou, např. podle Doucka, charakteristické mini­málně tyto znaky:

a)   anonymita jeho uživatelů (ta pochopitelně ztěžuje jakékoliv vyšetřování; navíc po­díl na kybernetických incidentech lze poměrně snadno popřít);

 b)   asymetričnost jednotlivých procesů, které se v něm uskutečňují nezávisle na důvě­ryhodnosti výchozího zdroje;

c)   virtuální teritorialita, tj. problém delokalizace (tím, že se kriminální činy mohou projevit na území jakéhokoliv státu, jenž je zrovna on-line, může být obtížné iden­tifikovat místo, odkud přesně kybernetický útok pochází; jedná-­li se o kybernetic­ký útok ať už v podobě poškození webových stránek, odepření určité služby, nebo zničení konkrétní infrastruktury);

d)   okamžitost akcí s mezinárodními dopady a volný vstup do něj i výstup a schopnost maximálně ovlivňovat ostatní.[11]

Kybernetickou bezpečnost, kterou je třeba odlišovat od informační bezpečnosti[12] (v rámci informační bezpečnosti totiž neřešíme kybernetické bezpečnostní incidenty[13]), definuje např. akt o kybernetické bezpečnosti následujícím způsobem. Podle jeho čl. 2 bodu 1) se jí rozumí „činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a dalších osob dotčených kybernetickými hrozbami“. Naproti tomu z pohledu českého vnitrostátního práva je kybernetická bezpečnost neurčitým právním pojmem spadajícím pod tzv. nedistributivní práva k informacím.[14] Sice zde existuje český zákon o kyberne­tické bezpečnosti, ten však zmíněný pojem (oproti kyberprostoru) nijak nevysvětluje.[15] Český zákon upravuje „pouze práva a povinnosti osob, působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti, zpracovává příslušné právní předpisy EU a upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů“ (§ 1 odst. 1 a 2 cit. zákona). Co je však dále podstatné, je skutečnost, že zákon v této sou­vislosti v § 7 rozlišuje mezi kybernetickou bezpečnostní událostí (odst. 1) a kybernetickým bezpečnostním incidentem (odst. 2). Zatímco kybernetickou bezpečnostní událostí rozumí „událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací“ (v tomto případě jde tedy o událost využívající zranitelnosti informačního sys­tému, aniž by ještě došlo ke škodnému následku[16]), kybernetickým bezpečnostním incidentem rozumí již faktický negativní následek v podobě narušení bezpečnosti informací, respektive informačního systému.[17] V zásadě se shodným členěním se lze setkat i na poli mezinárodním. Ostatně jak uvádí např. komentář k zákonu o kybernetické bezpečnosti:

„Cizojazyčný pojem ‚incident‘ byl použit z důvodu zachování souladu zákonného pojmového aparátu s mezinárodní technickou terminologií.“[18]

Nyní se dostáváme k hrozbě mezinárodní špionáže uskutečňované státními i nestát­ními aktéry v kyberprostoru, která je, jak potvrzuje např. Zpráva o stavu kybernetické bezpečnosti v Unii, jevem nepřetržitým a navzdory omezenému informování veřejnosti zůstává trvalou a vážnou hrozbou.[19] Do výčtu kybernetických útoků se v obecném slova smyslu totiž někdy řadí i tzv. „kybernetická exploatace“ (cyber exploitations), zahrnující „kybernetické vykořisťování“ nebo „kybernetickou (počítačovou) špionáž“ (cyber espionage), pro kterou se užívá zkratka „APT“ (Advanced Persistent Threat – pokročilá a trvalá hrozba).[20] Podle převažujícího mínění odborníků, např. dle Lina,[21] je však toto tvrzení nepřesné, neboť na rozdíl od kybernetických útoků tyto kybernetické operace zpravidla nepředstavují žádné narušení počítačové sítě, ale omezují se pouze na dlouhodobé mo­nitorování, kopírování dat a špionáž pomocí počítačového systému.[22] Tento názor potvr­zují i mezinárodní normy, které uvedené vnímají jako kybernetickou hrozbu (událost) a jakkoliv za ní obvykle stojí nějaký státní aktér (APT totiž vyžaduje vysokou úroveň zna­lostí a dostatek kapitálu), nedefinují ji jako formu kybernetického útoku, respektive ky­bernetický incident. Proto je i doktrína obecně názoru, že nejde o destruktivní užití síly (use of force), respektive o „ozbrojený útok“ na cizím území, o kterém hovoří čl. 51 Charty OSN, který jinak umožňuje aktivovat právo na individuální nebo kolektivní sebeobranu.[23] Ostatně i Tallinnský manuál o mezinárodním právu použitelném na kybernetickou válku nechápe kybernetickou špionáž jako ozbrojený konflikt, ale jako „jakýkoli čin, provedený tajně nebo pod falešnou záminkou, který využívá kybernetické schopnosti ke shromažďování (nebo pokusu o shromažďování) informací s úmyslem sdělit je protistraně konfliktu“.[24]

To ovšem neznamená, že jde o činnost, která by nebyla protiprávní, potažmo že by nemohla zakládat odpovědnost za veřejnoprávní, mezinárodněprávní delikt. Vzhledem k tomu, že špión (threat agent) využívá veřejnosti dosud neznámého zranitelného místa v operačním systému k vlastnímu prospěchu (typicky krade data, nejčastěji duševní vlast­nictví, v horším případě citlivé vojenské informace, což každý stát samozřejmě popře; podle toho také můžeme někdy rozlišovat mezi průmyslovou, vojenskou či politickou špionáží), dopouští se kybernetického zločinu, přičemž není vyloučeno, že předmětné zranitelnosti nevyužije i k uskutečnění rozsáhlého kybernetického útoku majícího znaky kybernetického bezpečnostního incidentu. Pokud by tedy kybernetická špionáž zahrnovala i jiné než výše uvedené činnosti (monitoring, shromažďování údajů[25]), o formu kyber­netického útoku (incidentu) by se jednat mohlo.[26]

Máme zde tedy co do činění s řadou zločineckých uskupení mnohdy podporovaných státy, která se obvykle formují za účelem zneužití zranitelností nultého dne a která často vystupují pod velmi originálními názvy. Zmiňme alespoň některé. Např. The Shadow Brokers označuje hackerskou skupinu, která se poprvé objevila v létě roku 2016. Tato sku­pina zveřejnila několik zero-day exploitů, které údajně pocházely od „Equation Group“, jež je považována za součást Národní bezpečnostní agentury USA (National Security Agency[27]). Naproti tomu Dark Caracal je hrozivá skupina připisována libanonskému Generálnímu ředitelství pro všeobecnou bezpečnost a působí nejméně od roku 2012. Skupina je známá útoky, které zahrnují sledování obětí prostřednictvím sociálních médií, jako jsou Facebook a WhatsApp, pořizování snímků obrazovky pomocí malwaru pro Windows a další špionáž­ní aktivity. Indigo Zebra je čínská kyberšpionážní skupina, která se zaměřuje na středoasij­ské vlády nejméně od roku 2014. Skupina využívá různé techniky sociálního inženýrství a malwaru k získání přístupu k citlivým informacím. Bronze Butler, také známá jako Tick, je kyberšpionážní skupina s pravděpodobným čínským původem, která je aktivní nejméně od roku 2008. Skupina se primárně zaměřuje na japonské organizace, zejména ve státní správě, biotechnologii, výrobě elektroniky a průmyslové chemii. Bronze Butler využívá různé zranitelnosti v softwaru, včetně těch v produktech Microsoft Office, k provádění svých útoků. Skupina Andariel je severokorejská státem sponzorovaná skupina, která je aktivní nejméně od roku 2009. Skupina se zaměřuje na různé cíle, včetně finančních in­stitucí a obranných průmyslových odvětví, a je známá využíváním různých zranitelností k provádění svých útoků. Sandworm Team je destruktivní skupina, která je připisována vojenské jednotce Hlavního střediska pro speciální technologie (GTsST) Hlavního ředitel­ství generálního štábu ozbrojených sil Ruské federace (GRU). Skupina je aktivní nejméně od roku 2009 a je spojována s několika významnými kybernetickými útoky, včetně útoků na ukrajinskou energetickou infrastrukturu a šíření malwaru NotPetya.

S mnoha dalšími skupinami se lze podrobněji seznámit na internetu – např. na webo­vých stránkách GitHub;[28] anebo na adrese společnosti Kaspersky Lab,[29] kde najdeme ne­ jen jejich přehledný výčet, ale i specifikaci oblastí zájmů, na které tyto „syndikáty“ cílí. Z vůbec nejslavnějších je pak možno zmínit čínskou skupinu APT1 (Comment Panda) nebo ruskou špiónážní skupinu APT28 (Fancy Bear), která, opomeneme­-li skutečnost, že údaj­ ně v roce 2016 zkompromitovala volební kampaň Hillary Clintonové, stála v uplynulých deseti letech také za většinou útoků na české státní instituce.[30]

2.  Zneužití zranitelností tzv. nultého dne aneb nejlépe slouží ten, kdo neví, že slouží

Chceme-­li pochopit mechanismus kybernetických hrozeb a těmto účinně čelit, zvláště v tomto století se v právu neobejdeme bez znalostí výpočetní techniky. Následující při­blížení problému bude proto poněkud technicistního rázu.

Zero-Day nebo­li nultý den označuje časovou periodu, během níž je uživatel softwaru ohrožen pro chyby, které se v softwaru skrývají a o kterých neví ani jeho výrobce či pro­gramátor. Tyto chyby – zpravidla označované identifikátorem „CVE“[31] – mohou být způ­sobeny vadným nastavením softwaru anebo třeba jeho včasnou neaktualizací, a protože představují v operačním systému zranitelná místa, která mohou vést k neautorizovanému přístupu ke zdrojovým systémům,[32] mohou být zneužity prostřednictvím jednoduchého kódu, kterému říkáme exploit, např. k již zmiňované průmyslové, vojenské či politické špionáži. Společným znakem mezinárodní špionáže totiž je, že vždy těží ze zranitelnosti systému (vulnerabillity), kterou může představovat i nedostatečné povědomí člověka o riziku, kterého hacker, přesněji cracker, využije. Způsob, jakým je systém zneužit, pak nazýváme vektorem útoku. V této souvislosti hovoříme o problému zneužití nultého dne, tedy o problému využití dlouho neviděného slabého místa uvnitř operačního systému ke sběru informací o nějakém subjektu.[33] Tento proces zpravidla zahrnuje tyto fáze:[34]

1.  fázi, kdy je systém zranitelný pro existenci skryté chyby v něm;
2.  fázi, kdy je předmětná zranitelnost využita útočníkem a systém je prolomen – tato fáze tedy zahrnuje přípravu útoku a průnik do systému za pomocí exploitu využívajícího konkrétní zranitelnosti (předmětný exploit je nebezpečný do doby, dokud není zra­nitelné místo v softwaru odstraněno bezpečnostní záplatou, které říkáme patch);
3.  konečně útočnou fázi, během níž dojde ke kompromitaci systému škodlivým kódem, jímž může být např. Adware, Worm, Ransomware, Spyware či jiné známé signatury malweru, a nechtěné činnosti vyvinuté útočníkem, který z ní má nějaký užitek; popř. tato fáze zahrnuje i tzv. clean-up, jehož účelem je vymazat důkazy o útoku.

Lze přitom dodat, že se zapojením nástrojů umělé inteligence do on­line procesů na­bývá celý problém na mnohem větší intenzitě nebezpečnosti a tím pádem i globálním významu. Umělá inteligence totiž nerozumí morálce. Nejenže umožňuje nalézat slabiny v informačních systémech dříve, než je bezpečnostní týmy stihnou opravit, ale také při­způsobuje techniky útoku na základě živých bezpečnostních reakcí a umožňuje tak jejich autonomní provádění včetně úprav, aby je nebylo možné odhalit.[35]

---

[1] Třebaže podle některých teoretiků „kybernetická bezpečnost“, tím spíše „mezinárodní kybernetická bezpečnost“ v podstatě neexistuje, respektive je jen zbožným přáním. S tímto názorem, že něco jako kybernetická bezpečnost vlastně neexistuje, se lze setkat např. v právní monografii Právo informačních technologií, která se stala velmi cenným průvodcem při koncepci tohoto příspěvku, a která „provokuje“ i tím, uvádí-li se v ní, že problémem zdaleka nemusí být vymezení kybernetické bezpečnosti jako již toho, co všechno si máme představit pod pojmem „bezpečnost“ (viz POLČÁK, Radim a kol. Právo informačních technologií. Praha: Wolters Kluwer ČR, 2018, s. 587).

[2] Viz Lazarus Group. MITRE ATT&CK and ATT&CK [online] 2015–2024 [cit. 2025-03-15]. Dostupné z: https://attack.mitre.org/groups/G0032/.

[3] Cold peněženka (nebo cold wallet) je typ kryptoměnové peněženky, která není připojena k internetu. Slouží k bezpečnému uložení kryptoměn mimo dosah online útoků, což ji činí odolnější vůči hackům. Tyto peněženky jsou většinou hardwarové zařízení (např. USB disk) nebo papírové peněženky, kde se private key (privátní klíč) uchovává offline. Cold wallet může být zároveň Multisig či Multi-Signature wallet, pokud je navržena tak, že k podepsání transakce je potřeba více klíčů, přičemž tyto klíče jsou uložené offline. Podrobněji např. viz Multi-Signature Wallets: Definition and Use Cases. Investopedia [online]. [cit. 2025-03-15]. Dostupné z: https://www.investopedia.com/multi-signature-wallets-definition-5271193.

[4] SIGALOS, MacKenzie. Hackers steal $1.5 billion from exchange Bybit in biggest-ever crypto heist. CNBC [online]. 2025 [cit. 2025-03-15]. Dostupné z: https://www.cnbc.com/2025/02/21/hackers-steal-1point5-billion-from-exchange-bybit-biggest-crypto-heist.html.

[5] Publikovaná dne 3. 12. 2024 a dostupná v pdf verzi z webových stránek ENISA. 2024 Report On The State of The Cyber- security In The Union [online]. [cit. 2025-03-15]. Dostupné z: https://www.enisa.europa.eu/publications/2024-report-on-the-state-of-the-cybersecurity-in-the-union#contentList.

[6] Agentura Evropské unie pro kybernetickou bezpečnost – European Union Agency For Network and Information Security.

[7] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).

[8] Tu schválilo Valné shromáždění OSN konsenzem dne 24. 12. 2024 v podobě, v jaké byla schválena ad hoc mezivládním výborem expertů k tomu ustavenému usnesením Valného shromáždění OSN 74/247 ze dne 27. 12. 2019, s jedinou výjimkou – návrhem Vietnamu, že úmluva bude otevřena k podpisu v Hanoji v roce 2025. Poté bude úmluva otevřena k podpisu též v sídle OSN v New Yorku a to do 31. 12. 2026. Text úmluvy dostupný z: https://documents.un.org/doc/undoc/gen/ n24/426/74/pdf/n2442674.pdf.

[9] Tak např. Francie dává na místo pojmu „kritická infrastruktura“ přednost pojmu „provozovatelé kritického významu“ (Opérateur d’importance vitale). Naproti tomu české právo používá pro identickou záležitost pojem „kritická infrastruktura“ – tou zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, rozumí prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Co je však zajímavé, tak to je, že zatímco již zmiňovaná kritická infrastruktura je (i přes její rozdílné pojmenování) z velké části jednotně definována Francií, Rakouskem, Estonskem, Německem či třeba Tureckem, to samé se již nedá říci o „kritické informační infrastruktuře“, kde naopak definice ve vnitrostátním právu (s výjimkou České republiky, Lotyšska či např. Itálie) spíše chybí (KASKA, Kadri – TRINBERG, Lorena. Regulating Cross-Border Dependen- cies of Critical Information Infrastructure. Tallinn: CCDCOE, 2015, s. 10. [online]. [cit. 2025-03-15]. Dostupné z: https:// ccdcoe.org/uploads/2018/10/CII_dependencies_2015.pdf), [v České republice jde o § 2 písm. b) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, v platném znění].

[10] Definice kyberprostoru dle mezinárodně uznaného technického standardu, normy ISO/IEC 27100, byla zvolena záměrně, protože, jak potvrzuje čl. 2 bodu 19 aktu o kybernetické bezpečnosti (k tomuto nařízení viz dále), je uznávaná i předpisy komunitárního práva, jež mají supranacionální charakter (normy ISO tedy hrají významnou roli také v jednotlivých státech EU). Aktem o kybernetické bezpečnosti zde rozumíme nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. 4. 2019 o agentuře ENISA, o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013, které nabylo účinnosti dne 27. 6. 2019. Předmětný článek 2 bodu 19 „normou“ rozumí normu ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 o evropské normalizaci, a tou se podle právě zmíněného nařízení rozumí technická specifikace přijatá uznávaným normalizačním orgánem (mj. ISO – International Organization for Standardization, nebo IEC – International Electrotechnical Commission) k opakovanému nebo trvalému použití, jejíž dodržování není povinné a která patří do jedné z kategorií stanovených tímto nařízením (právě do kategorie mezinárodních norem). Obdobně viz čl. 16 odst. 1 písm. e) dnes již zrušené směrnice Evropského parlametu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. „směrnice NIS 1“), podle něhož: „Členské státy zajistí, aby poskytovatelé digitálních služeb určili a přijali vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž jsou vystaveny sítě a informační systémy, které využívají v souvislosti s nabízením služeb uvedených v příloze III v rámci Unie. S ohledem na nejnovější technický vývoj tato opatření musí zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika, přičemž (mj.) zohledňují soulad s mezinárodními normami.“ Aktuálně podle čl. 21 odst. 1 směrnice NIS 2: „Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a případně na příslušné evropské a mezinárodní normy a na náklady na provádění musí opatření uvedená v prvním pododstavci zajišÉovat úroveň bezpečnosti sítí a informač- ních systémů odpovídající existující míře rizika. Při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad.“ (Poznámka – v době sepisování tohoto příspěvku, tj. v letech 2021 až polovina března 2025, probíhaly legislativní práce na zcela novém zákoně o kybernetické bezpečnosti s ohledem na NIS 2).

[11] Klasifikace použita dle DOUCEK, Petr – KONEČNÝ, Martin – NOVÁK, Luděk. Řízení kybernetické bezpečnosti a bezpečnosti informací. Praha: Professional Publishing s.r.o., 2019, s. 18–19.

[12] Tu má standardně u instituce na starosti manažer informační bezpečnosti (Chief Information Security Officer neboli zkráceně CISO).

[13] DOUCEK, Petr – KONEČNÝ, Martin – NOVÁK, Luděk. Řízení kybernetické bezpečnosti a bezpečnosti informací, s. 27.

[14] O distributivních a nedistributivních právech k informacím a faktické důležitosti nedistributivních práv k informacím, kam náleží i kybernetická bezpečnost, a problému jejich upozaďování hovoří např. prof. Polčák: POLČÁK, Radim. Internet a proměny práva. Praha: Auditorium, 2012, s. 343.

[15] Tak je tomu mnohdy i v případě národních zákonů jiných států (např. v Německu či Belgii), které kybernetickou bezpečnost (značně fragmentarizovanou na konkrétní oblasti; např. oblast financí, telekomunikací či ochrany osobních údajů) často také nesoustředí jen do jednoho zákona, ale do několika zákonů. V tomto směru proto zdůrazněme, že směrnice NIS 2 apeluje na horizontální přístup ke kybernetické bezpečnosti.

[16] Lze zmínit např. někdejší skandály čínských firem Huawei nebo Zhenhua Data Technology ze Šenčenu, k nimž Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) před několika lety, konkrétně dne 17. 12. 2018 vydal tzv. varování. Dostupné v pdf verzi z úřední desky NÚKIB: Úřední deska. NÚKIB [online]. [cit. 2025-03-15]. Dostupné z: https://nukib.cz/cs/uredni-deska/.

[17] Za připomenutí stojí např. událost, která se odehrála v září roku 2020 v Německu. Tehdy totiž došlo zřejmě k historicky prvnímu oficiálně zaznamenanému kybernetickému útoku, jehož důsledkem byla smrt člověka. Šlo o pacientku Fakultní nemocnice v Düsseldorfu, která musela být z důvodu napadení nemocnice ransomwarem (hackeři zneužili chybu zabezpečení ve verzi softwaru Citrix VPN) a selhání nemocničních IT systémů převezena do jiné nemocnice, přičemž při převozu zemřela. K tomu lze odkázat na článek German hospital hacked, patient taken to another city dies. AP News. [online]. 17. 9. 2020 [cit. 2025-03-15]. Dostupné z: https://apnews.com/article/technology-hacking-europe-cf8f8eee1adcec69bcc864f2c4308c94.

[18] Viz MAISNER, Martin – VLACHOVÁ, Barbora. Zákon o kybernetické bezpečnosti: Komentář. Praha: Wolters Kluwer, stav k 1. 2. 2020, pramen ASPI KO181_2014CZ.

[19] Viz str. 14 Zprávy o stavu kybernetické bezpečnosti v Unii / 2024 Report On The State of The Cybersecurity In The Union [online]. ENISA [cit. 2025-03-15]. Dostupné z: https://www.enisa.europa.eu/sites/default/files/2024-11/2024%20 Report%20on%20the%20State%20of%20the%20Cybersecurity%20in%20the%20Union.pdf.

[20] O APT jako o dlouhodobé formě systematického kybernetického útoku hovoří např. Kolouch: KOLOUCH, Jan. Cyber Crime. Praha: nakladatelství Milan Hodek, 2016, s. 320–322. Viz dále např. v médiích „probírána“ jedna z nejnebezpečnějších hackerských skupin na světě ruská APT28, známá jako Forest Blizzard, Fancy Bear či Sofacy Group; k tomu dále viz např. Upozornění na kompromitaci routerů Ubiquity Edge OS aktérem sponzorovaným ruským státem. NÚKIB [online]. [cit. 2025-03-15]. Dostupné z: https://nukib.gov.cz/cs/infoservis/hrozby/2083-upozorneni-na-kompromitaci-routeru-ubiquity-edge-os-akterem-sponzorovanym-ruskym-statem/.

[21] “ ‘Cyberexploitation’ refers to the use of actions and operations – perhaps over an extended period of time – to obtain information that would otherwise be kept confidential and is resident on or transiting through an adversary’s computer systems or networks.” In: LIN, Herbert. Offensive Cyber Operations and the Use of Force. Journal of National Security Law & Policy [online]. 2010, Vol. 4, No. 63, s. 63 [cit. 2025-03-15]. Dostupné z: https://jnslp.com/wp-content/uploads/ 2010/08/06_Lin.pdf.

[22] MRÁZEK, Josef. Mezinárodní právo v kybernetickém prostoru. Právník. 2014, roč. 153, č. 7, s. 542–543.

[23] Podle čl. 51 Charty OSN: „Žádné ustanovení této Charty neomezuje, v případě ozbrojeného útoku na některého člena Organizace spojených národů, přirozené právo na individuální nebo kolektivní sebeobranu, dokud Rada bezpečnosti neučiní opatření k udržení mezinárodního míru a bezpečnosti. Opatření učiněná členy při výkonu tohoto práva sebeobrany oznámí se ihned Radě bezpečnosti; nedotýkají se nikterak pravomoci a odpovědnosti Rady bezpečnosti, pokud jde o to, aby kdykoli podle této Charty podnikla takovou akci, jakou považuje za nutnou k udržení nebo obnovení mezinárodního míru a bezpečnosti.“

[24] Viz SCHMITT, Michael N. Tallinn Manual on the International Law Applicable to Cyber Warfare. Cambridge University Press, 2013, s. 193.

[25] Vzpomeňme v této souvislosti např. špionážní software izraelské společnosti NSO Group, známý jako Pegasus. Tento spyware, údajně vyvinutý pro vlády a bezpečnostní složky za účelem odhalování terorismu a boje proti organizovanému zločinu, byl totiž zneužit i ke sledování novinářů a politických oponentů po celém světě, od Mexika přes Saúdskou Arábii až po Indii, přičemž spočíval v tom, že nepozorovaně infikoval mobilní telefony (iPhone i Android) skrze zranitelná místa v jejich operačních systémech a umožňoval sledovat stisky kláves, odposlouchávání telefonních hovorů, sledování polohy v reálném čase či skryté používání mikrofonu a fotoaparátu mobilního telefonu bez vědomí jeho uživatele.

[26] V obecné rovině mohou kybernetické útoky nabývat různé podoby, např. i takové, jakou jsme mohli v případě České republiky zaznamenat na konci roku 2019 či počátku roku 2020; ať už je řeč o vyděračském viru, který napadl nemocnici v Benešově, o napadení OKD, které muselo kvůli útoku hackerů pozastavit provoz v dolech na Karvinsku anebo o napadení psychiatrické nemocnice v Kosmonosech. Ze zahraniční kazuistiky je pak možno zmínit např. kybernetický útok ze dne 19. 3. 2019 na servery a počítače norské společnosti NORSK HYDRO, zabývající se výrobou hliníkových produktů. Malware, který útočníci použili, byl ransomware s názvem „LockerGoga“. Důsledkem napadení bylo, že část tavících pecí, které nebyly izolovány a byly tak zasaženy, musely být dočasně odpojeny od výrobních systémů. Z důvodu omezení výroby byla škoda vyčíslena na x millionů eur. Za pomocí KUBOŠ, Petr. Kybernetická bezpečnost v kritických infrastrukturách společností [přednáška]. Praha: IT Security Workshop, 26. 3. 2019.

[27] Zatímco NSA spadá pod americké Ministerstvo obrany a zaměřuje se mj. na kyberšpionáž, signální zpravodajství a vo- jenskou kybernetickou bezpečnost, tzv. CISA (Cybersecurity and Infrastructure Security Agency) spadá pod americké Ministerstvo vnitra a zaměřuje se na ochranu kritické infrastruktury a kybernetickou bezpečnost v civilním sektoru. CISA však nemá pravomoc provádět kybernetické útoky nebo špionáž.

[28] Dostupné z: https://github.com/cybershujin/Threat-Actors-use-of-Artifical-Intelligence.

[29] Dostupné z: https://apt.securelist.com.

[30] Viz ČTK. Hackerům APT28 se připisují útoky na politiky, instituce či NATO. ITBIZ.CZ. [online]. 6. 5. 2024 [cit. 2025-03-15]. Dostupné z: https://www.itbiz.cz/zpravicky/hackerum-apt28-se-pripisuji-utoky-na-politiky-instituce-ci-nato/.

[31] Dle organizace The National Vulnerability Database (NVD). NVD [online], [cit. 2025-03-15]. Dostupné z: https://nvd.nist.gov.

[32] DOUCEK, Petr – KONEČNÝ, Martin – NOVÁK, Luděk. Řízení kybernetické bezpečnosti a bezpečnosti informací, s. 25. Jednu z nejméně prozkoumaných oblastí zranitelnosti představuje závislost na přeshraniční kritické informační infrastruktuře (např. v oblasti bankovnictví nebo telekomunikací), jak potvrzuje i např. velmi hezky zpracovaná studie Kooperativního centra kybernetické obrany NATO (CCDCOE – Cooperative Cyber Defence Centre of Excellence (Kooperativní centrum NATO kybernetické obrany se sídlem v Tallinnu) z roku 2015. Dostupné z: https://ccdcoe.org/uploads/ 2018/10/CII_dependencies_2015.pdf.

[33] Viz např. zneužití nultého dne v aplikaci Adobe Flash díky chybě v zabezpečení CVE-2015-3043 či CVE-2015-1701. In Threat Research FIREEYE LABS. Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack. FireEye [online]. 2020 [cit. 2025-03-15]. Dostupné z: https://www.fireeye. com/blog/threat-research/2015/04/probable_apt28_useo.html.

[34] Obdobně např. CHOWDHURY, Tamal Dutta. Using Artificial Intelligence To Counter Zero-Day Cyber Attacks: A Security Imperative During The COVID-19 Global Crisis. LinkedIn Corporation [online]. 2020 [cit. 2025-03-15]. Dostupné z: https://www.linkedin.com/pulse/using-artificial-intelligence-counter-zero-day-cyber-dutta-chowdhury/?articleId=664 6779218049011712.

[35] Obdobně DAVIS, Steve. Sweden’s AI Governance & Cybersecurity: Safeguarding Data, Digital, Energy, and AI Systems. LinkedIn Corporation [online]. 6. 2. 2025 [cit. 2025-03-15]. Dostupné z: https://www.linkedin.com/pulse/swedens-ai -governance-cybersecurity-safeguarding-data-steve-davis-maiwf/?trackingId=XgVlJ8Tm67KaKTWry2PAWg%3D%3D.