Polska dołączyła do paktu przeciwko narzędziom spyware. Przewodzący mu Amerykanie chcą ograniczyć wpływ rozwiązań kupionych od komercyjnych firm takich jak NSO Group – twórcy Pegasusa.

Polska, Finlandia, Niemcy, Japonia i Korea Południowa – to kraje, które w Seulu podpisały zobowiązanie do wspólnej pracy na rzecz przeciwdziałania rozprzestrzenianiu się i niewłaściwemu wykorzystywaniu komercyjnego oprogramowania szpiegującego. Deklaracja to pomysł amerykańskich władz.

Sygnatariusze zobowiązują się: sami korzystać z komercyjnych rozwiązań spyware z poszanowaniem praw człowieka, wymieniać informacjami dotyczącymi tych narzędzi i walczyć z eksportem do krajów, które mogą używać spyware przeciwko nim. Chodzi o oprogramowanie szpiegujące o możliwościach podobnych do Pegasusa. W koalicji znalazły się też Kanada, Kostaryka, Dania, Francja, Nowa Zelandia, Norwegia, Irlandia, Szwecja, Szwajcaria i Wielka Brytania.

Wróg w komórce

Przyjęcie deklaracji to efekt skandalu w USA. W marcu 2023 r. rząd ujawnił, że co najmniej 50 urzędników administracji w 10 krajach było podsłuchiwanych przy użyciu oprogramowania szpiegującego. W efekcie Biały Dom ogłosił dekret wykonawczy zakazujący używania przez rząd USA komercyjnego oprogramowania spyware, które stanowi zagrożenie dla bezpieczeństwa narodowego i praw człowieka. W lutym tego roku Departament Stanu pozwolił natomiast USA nakładać ograniczenia wizowe na osoby zaangażowane w niewłaściwe wykorzystanie takich programów. Oznacza to, że pracownicy NSO Group mogą dostać zakazy.

Spółka już w 2021 r. trafiła na czarną listę administracji Bidena, co z kolei doprowadziło do napięć z Izraelem. Ten kraj jest wiodącym eksporterem cyfrowych narzędzi kryminalistycznych udokumentowanych w wykazie Global Inventory of Commercial Spyware & Digital Forensics. 56 z 74 rządów zamówiło komercyjne oprogramowanie szpiegujące i cyfrowe technologie kryminalistyczne od firm, które mają siedzibę w Izraelu lub są z nim powiązane, takich jak: NSO Group, Cellebrite, Cytrox i Candiru.

– Jestem zaskoczony, że to Stany Zjednoczone są liderem takiego działania – przyznaje dla serwisu The Record badacz z kanadyjskiego Citizen Lab, John Scott-Railton. – Spodziewałem się takich działań raczej z Europy. Biorąc pod uwagę skalę problemu, a także pozornie silne zaangażowanie Europy w ochronę prywatności i praw jednostki. Spyware jest niezwykle niebezpieczne dla obu tych wartości – dodaje w rozmowie z portalem.

Deklaracja z Seulu to kolejny dokument tego typu. 7 lutego przedstawiciele rządów i świata nauki podpisali deklarację Pall Mall Process. Jej sygnatariusze, w tym Polska, zobowiązali się do wspólnej walki z zagrożeniami wynikającymi z wykorzystania komercyjnych narzędzi do cyberataków.

A może zakazać?

Na Starym Kontynencie pojawiają się natomiast pomysły, by spyware zupełnie zakazać. EDRi (koalicja organizacji pozarządowych działających na rzecz praw obywatelskich w sieci) apeluje, by europejscy politycy włączyli taki postulat do swoich programów na wybory do europarlamentu.

– Kiedy trzeba wskazać winnego nadużyć oprogramowania szpiegującego, UE łatwo przychodzi wskazywanie palcem na obce mocarstwa. Minimalizuje w ten sposób własną odpowiedzialność za wyrządzone szkody – ocenia Chloé Berthélémy z EDRi i przekonuje, że do tej pory Wspólnota była dla branży pobłażliwa.

Podobnie jak w przypadku amerykańskiej deklaracji także tutaj argumentów dostarcza skandal z udziałem polityków. W marcu tego roku serwis Politico ujawnił, że co najmniej dwaj członkowie Komisji Obrony Parlamentu Europejskiego byli inwigilowani za pomocą oprogramowania szpiegowskiego.

Sprawa nie jest jednak taka prosta – jak wiemy z raportów spółki NSO Group, odbiorcami jej produktów były wyłącznie agendy rządowe. 46 proc. stanowiły służby mundurowe, 45 proc. – agencje wywiadowcze, a 9 proc. odbiorców – wojsko. O ile w krajach takich jak Rwanda, Mjanma, Turcja czy Białoruś używano oprogramowania do namierzania dziennikarzy czy dysydentów, o tyle w Holandii używano Pegasusa do ścigania podejrzanych o poważne przestępstwa. W USA natomiast programy typu spyware pomagały w walce z gangami narkotykowymi.

Służby mają i będą miały

Jak było w Polsce? Ma to wyjaśnić sejmowa komisja śledcza ds. zbadania legalności i prawidłowości czynności operacyjno-rozpoznawczych. Przesłuchiwany

przed nią w piątek Jarosław Kaczyński ocenił, że z jego punktu widzenia było oczywiste, iż Polska musi mieć urządzenie takie jak Pegasus. – Nie może być tak, aby państwo było bezradne wobec przestępców – mówił prezes PiS. Jak słyszymy od członków komisji, kluczowe będzie ustalenie m.in., jakich przestępców złapano dzięki temu oprogramowaniu.

Choć to przesłuchanie prezesa PiS zwróciło uwagę większości komentatorów, z punktu widzenia wyjaśnienia, jak służby wykorzystywały oprogramowanie typu spyware, dużo ciekawsze były zeznania pierwszego ze świadków.

Profesor Jerzy Kosiński to ekspert w dziedzinie cyberbezpieczeństwa, który brał udział w prezentacji produktów NSO Group. Choć także on był zdania, że służby na całym świecie mają dostęp do narzędzi zdolnych do przechwytywania komunikacji elektronicznej, z jego zeznań wynikało również, że Polska mogła się narazić na niebezpieczeństwo przejęcia danych przez obce państwa.

– To może oznaczać, że dane pozyskane przez nasze służby krążą po świecie. W dodatku demaskując sposób ich działania – mówi Joanna Kluzik-Rostkowska (KO), członkini komisji ds. zbadania inwigilacji. Z zeznań prof. Kosińskiego wynika, że – z powodu nieszczelności systemu – dostęp do nich mogły mieć nie tylko Izrael, lecz także Zjednoczone Emiraty Arabskie. Tam mieli wyemigrować programiści NSO Group po tym, jak zaczęły się problemy firmy z rządem USA.

Na to, że NSO Group miało dostęp do danych zbieranych przez wywiady, wskazuje także sposób, w jaki krajom łamiącym warunki umowy odbierano licencje. To pracownicy spółki analizowali, kto używa oprogramowania niezgodnie z przeznaczeniem.

Kolejnymi świadkami komisji mają być Krzysztof Kwiatkowski, szef NIK w latach 2013–2019, oraz wiceminister sprawiedliwości i polityk Solidarnej Polski Michał Woś.

Nie tylko posłowie starają się wyjaśnić mechanizm wykorzystywania oprogramowania szpiegującego w polskich służbach. W czwartek w Sejmie odbędzie się niejawne posiedzenie komisji ds. służb specjalnych. Mają być tam prezentowane wyniki kontroli NIK dotyczącej realizacji zadań związanych z koordynacją, nadzorem i kontrolą funkcjonowania służb specjalnych prowadzących na terenie Rzeczpospolitej Polskiej czynności operacyjno-rozpoznawcze.

Nie udało nam się jednak pozyskać nawet omówienia raportu. Jak napisał nam rzecznik instytucji, zarówno wyniki kontroli, jak i akta są niejawne. ©℗

Pegasus nie był pierwszy

2003 – powstaje Hacking Team – firma informatyczna z siedzibą w Mediolanie. Zaczyna oferować rządom, korporacjom i organom ścigania komercyjne oprogramowanie pozwalające na włamania i inwigilację urządzeń. Według organizacji Citizen Lab dostarczany przez Hacking Team system Galileo był wykorzystywany także w Polsce.

2010 – dawni agenci izraelskich sił specjalnych zakładają NSO Group. Dołączają do rynku komercyjnych podmiotów oferujących rządom oprogramowanie spyware.

2014 – hakerzy włamali się do systemów Hacking Team, dokumenty firmy ujawniono na WikiLeaks. Okazało się, że spółka wystawiała faktury armii libańskiej, Sudanowi, Bahrajnowi i Kazachstanowi.

2016 – okazało się, że Zjednoczone Emiraty Arabskie śledziły za pomocą oprogramowania Pegasus iPhone’a działacza na rzecz praw człowieka Ahmeda Mansoora, a także użyły go wobec Rori Donaghy, która krytycznie informowała o nadużyciach reżimu w tym kraju. Sprawę ujawnili analitycy Citizen Lab i Lookout Security.

2017 – Citizen Lab ujawniło, że Pegasus był wykorzystywany do atakowania meksykańskich działaczy próbujących walczyć z otyłością wśród dzieci. Złośliwe oprogramowanie uzyskiwało dostęp do ich telefonów po kliknięciu linków w wiadomościach tekstowych. Polska kupiła Pegasusa.

2018 – Amnesty International poinformowała, że jeden z jej pracowników, a także kilku saudyjskich obrońców praw człowieka byli celem ataków za pomocą oprogramowania Pegasus.

2019 – Hacking Team została wykupiona przez spółkę InTheCyber Group. Powstaje Memento Labs. Tworzy produkt Krait, który ma pozwalać na hakowanie dowolnych urządzeń z systemem Android bez pozostawiania śladów. Krait ma również pozwalać na kradzież haseł.

2019 – przed Europejski Trybunał Praw Człowieka trafia skarga polskich obywateli. Dotyczy możliwej inwigilacji i naruszenia prawa do prywatności przez władze.

2021 – Śledztwo Citizen Lab ujawnia, że Pegasusem byli inwigilowani polscy obywatele, m.in. Krzysztof Brejza i Ewa Wrzosek.

2022 – polski Senat powołuje komisję ds. wyjaśnienia inwigilacji Pegasusem. Szefuje jej polityk PO Marcin Bosacki. ©℗

WIT
Spyware w Europie / Dziennik Gazeta Prawna - wydanie cyfrowe