Povezanost Estonije s spletom, ki je s Skypom in podobnimi podjetji obrodila tudi uspehe na poslovnem področju, ni bila naključna. Mala baltska država z 1,3 milijona prebivalcev in redko poseljenostjo je kmalu po osamosvojitvi ugotovila, da bo težko vzpostavila večjim državam primerljiv birokratski aparat. Največje gonilo pri promociji spletnih storitev pa so bile komercialne banke, ki so želele svoj tržni delež razširiti na redko poseljena ruralna območja države.

Spletni somrak Estonije

Ko so bile 26. aprila 2007 okrog sovjetskega spomenika padlim borcem med drugo svetovno vojno v središču Talina postavljene ograde in so se začela dela za selitev bronastega vojaka na obrobje mesta, so bili skoraj vsi vidiki estonske družbe speti s svetovnim spletom, spetost pa je spremljalo tudi zavedanje nevarnosti, ki jih tak način življenja prinaša. Dogodki naslednjih treh tednov so to zavedanje še izostrili.

Selitev sovjetskega spomenika je bila občutljiva tema. Za pripadnike ruske manjšine je poleg spomina na zmago nad nacizmom poosebljal njihovo pravico do enakopravnega državljanstva, medtem ko je domače prebivalstvo spomenik dojemalo kot simbol ruske okupacije. Začetek selitve spomenika so na ulicah pospremile nasilne demonstracije, dan kasneje pa se je začelo več kot tri tedne trajajoče obdobje »spletnih izgredov«. Sprva slabo organizirane spletne napade, ki so bili večinoma čustveno motivirani, so zamenjali bolj koordinirani napadi z botneti oziroma skupinami okuženih računalnikov, nad katerimi prevzame nadzor upravljalec zlonamerne kode. Najbolj pogosti so bili precej nesofisticirani, a učinkoviti napadi, pri katerih so napadalci z množičnim obiskom načrtno preobremenili zmogljivosti spletnih strani oziroma strežnikov, zaradi česar so postale spletne storitve nedostopne za uporabnike. Zabeležili so tudi primere spletnega grafitiranja oziroma vdorov na spletne strani in spremembe njihovih vsebin. Opazili so nekaj uspešnih napadov na DNS-strežnike spletnih ponudnikov, s čimer so začasno motili spletni promet v nekaterih predelih države. Med napadenimi so bili tudi portali spletnih časopisov, motnje delovanja pa so zaznali celo pri treh mobilnih operaterjih.

Estonski kiber napadi so bili po obsegu drugi največji dotlej, širše razsežnosti so imeli le še vdori v sisteme ameriških podjetij, ki so sodelovala z vojsko. A če so pri tej tri leta trajajoči operaciji, poimenovani »Titanski dež« in za katero ZDA krivijo Kitajsko, še bile sledi vohunjenja in kraje intelektualne lastnine, je šlo v estonskem primeru za izrazito politične napade; njihov izključni namen je bil povzročanje škode. Pri zbiranju dokazov za kazenski pregon odgovornih za napade pa so se morale estonske oblasti spopasti z eno največjih ovir, ki jih za kazenske postopke predstavlja kiber kriminal. Ker so napadi prihajali iz kar 178 držav, pri čemer je šlo v številnih primerih zgolj za okužene računalnike, ni bila otežena le preiskava osumljencev iz tujih držav, pač pa v mnogih primerih niti ni bilo mogoče zbrati dovolj dokazov, na podlagi katerih bi lahko napadalce obsodili. Glavni nauk Estonije je bilo spoznanje, da so organi pregona v boju proti kiber kriminalu izrazito odvisni od kvalitete meddržavnih odnosov in mednarodnega sodelovanja. Čeprav je odgovornost za napade prevzelo več ljudi in hektivističnih skupin, je bil doslej obsojen zgolj tedaj 19-letni Estonec ruskega rodu, ki je sprožil napade za motenje delovanja spletne strani estonske Reformne stranke.

Približno v istem obdobju je tudi v Sloveniji prihajalo do povečanega števila uradnih prijav kiber incidentov. Največ obsodb zaradi neupravičenih vstopov v informacijske sisteme in izdelovanja oziroma pridobivanja pripomočkov, namenjenih za kaznivo dejanje, med katere sodijo tudi pripomočki za vdor v računalniške sisteme, je bilo izrečenih leta 2008 takrat je sodišče izreklo šest obsodilnih sodb. V naslednjih letih je število obsodb strmo upadlo, kar pa ne pomeni, da je upadlo tudi število zaznanih sumljivih spletnih incidentov. Lani je bila izrečena zgolj ena obsodba. Z izjemo leta 2010 je upadlo tudi število obtožb. Prav tako zaradi kaznivih dejanj, povezanih s spletom, še nikogar niso izročili tuji državi.

Stuxnet in spletno vohunjenje

Mnoge države so po komercializaciji svetovnega spleta svoje zakonodaje do neke mere že uskladile z izzivi in nevarnostmi, ki jih za uporabnike predstavlja svetovni splet. Prav tako so spletno-informacijska zlonamerna dejanja uvrstile v kazenske zakonike ter opredelile dolžnosti spletnih operaterjev in nadzor nad njimi. Velik problem, tudi pri nas, pa kljub temu ostajata delo inšpekcijskih služb in uspešen pregon zlonamernega spletnega prometa. Z velikimi težavami se soočajo tudi na področju mednarodnega prava, ki je, ko gre za spletni kriminal, skoraj povsem neprilagojeno novi realnosti spletnega sveta. V okoliščinah, ko se odgovornost za napade ne pripisuje več posameznikom ali skupinam, ampak posameznim državam, lahko to postane zelo občutljivo. Tudi v primeru estonskih napadov so nekateri politiki pozivali k temu, naj napade obravnavajo kot teroristične ali celo vojaške napade, kot glavni krivec pa se je omenjala Rusija.

Ostrejša govorica in obtoževanje držav za kiber napade postajata v zadnjem obdobju precej običajna, vendar posledice kiber napadov še niso tolikšne (npr. smrtne žrtve), da bi upravičile uporabo oborožene sile s strani prizadetih držav. V večini primerov se države, ki izrekajo te obtožbe, zadovoljijo z grožnjami z diplomatskimi sankcijami. Ameriški predsednik Barack Obama je po nedavnem poročilu podjetja Mandiant, ki je razkrilo povezavo med večletnim kiber vohunjenjem v ZDA in stolpnico kitajske vojske v Šanghaju, iz katere so vodili vohunske operacije, Kitajski zagrozil s povračilnimi trgovinskimi sankcijami. Na zaslišanju pred senatnim odborom pa je direktor ameriških obveščevalnih služb (DNI) prilil olja na že tako razgreto retoriko in dejal, da so kiber napadi in kiber vohunjenje že prehiteli terorizem in postali največja grožnja ameriški državni varnosti.

Po drugi strani so v kiber napadih aktivni tudi Američani. Enega najodmevnejših kiber napadov doslej – sabotažo iranskega jedrskega programa z virusom Stuxnet leta 2010 – pripisujejo prav ZDA in Izraelu. Istega leta so v ZDA ustanovili tudi posebno vojaško kiber poveljstvo, ki je zadolženo za obrambo in koordinacijo državnih zmogljivosti za kiber vojskovanje. Enota je bila letos občutno razširjena in šteje pet tisoč zaposlenih. Prav tako velja omeniti, da Peking za največjega kiber vohuna na Kitajskem označuje ZDA.

Medsebojno obtoževanje držav za kiber napade tako že dolgo ni nobena redkost, prav tako niso edini igralci na tem področju Kitajska, ZDA, Rusija in Izrael. Vpletenih je mnogo držav, zaradi dvojne uporabnosti kiber orodij pa države z zmogljivostmi za učinkovito obrambo razpolagajo tudi s potencialom za izvedbo napadov. Meja, kdaj se je država na kiber napad upravičena odzvati kot v primeru oboroženega vojaškega napada, medtem ostaja nedorečena. Prevladujoče mnenje je, da bi odgovor lahko našli v primerjavi posledic kiber napada s posledicami oboroženega napada in bi torej kiber napad lahko razumeli kot uporabo sile. Splošnega konsenza, kdaj je meja prekoračena, verjetno še nekaj časa ne bo, bi pa takšno določilo vsekakor dopuščalo zgolj sorazmeren odziv na napad. Pripomnimo, da je kriterij dokazovanja odgovornosti pri državah precej nižji kot v kazenskih postopkih in da je uporaba napadalnih zmogljivosti v kiber prostoru že sama po sebi lahko sporna, tudi v vojnem času – problem je namreč v tem, da resnično dobri kiber napadi zahtevajo predhodno pripravo, recimo z okužbo sistemov, to pa bi lahko razumeli kot kiber napad v času miru.

Mednarodno pravo v kiber prostoru

Strokovnjaki za mednarodno pravo se razhajajo tudi v mnenjih o veljavnosti obstoječih mednarodnih dokumentov v primerih kiber incidentov. Bela hiša je v svoji mednarodni strategiji za kiber prostor leta 2011 zapisala, da razvoj pravil delovanja držav v kiber prostoru ne zahteva prenove obstoječega mednarodnega prava, priznali pa so potrebo po podrobnejši interpretaciji za razumevanje veljavnosti v konkretnih primerih. V tem duhu je 15. marca letos v Londonu izšel Talinski priročnik za tolmačenje ustaljenega mednarodnega prava v primerih kiber vojskovanja (Tallinn Manual on the International Law Applicable to Cyber Warfare). Priročnik je pripravila neodvisna mednarodna skupina pravnih strokovnjakov, projekt pa je potekal pod okriljem Natovega kooperativnega centra odličnosti za kiber obrambo (CCD COE) v Talinu, ki svojo ustanovitev leta 2008 v veliki meri dolguje prav napadom na Estonijo.

Liis Vihul, ki je vodila projektno skupino, je povedala, največja težava pri pripravi besedila ni bila razlaga obstoječega mednarodnega prava v okoliščinah nove realnosti, pač pa ugotavljanje državnih praks v kiber prostoru, ki bi bile predmet ustaljenega mednarodnega prava. »Ustaljeno mednarodno pravo je v bistvu splošno ravnanje držav, ki je sprejeto kot mednarodno pravo,« pojasnjuje. »Ko govorimo o delovanju držav v kiber prostoru, je največji problem, da nismo imeli na voljo večjega števila primerov, sploh ko gre za kiber napade s fizičnimi posledicami. Poudarek je na besedi država – dejanja posameznikov, kot so hektivistične skupine, korporacije ipd., pri tem ne štejejo, saj ti niso subjekt mednarodnega prava. Ker pa kot državno delovanje ne štejejo zgolj fizična, temveč tudi verbalna dejanja – in ta so dejansko tudi bolj običajna – to lahko, čeprav ostaja večina kiber dejanj za splošno javnost nevidna, vpliva na razvoj ustaljenega mednarodnega prava.« Prav tako opozarja, da vprašanje kiber varnosti ni povsem rešeno niti na področju državnih zakonodaj. »Največji problem so slabo premišljeni zakoni, ki se osredotočijo na eno težavo in jo odpravijo, a hkrati odprejo več novih problemov.«