Afera z Pegasusem potwierdza jedynie, że istnieje swoista mania szpiegowania i zainteresowanych nią jest coraz więcej podmiotów tak państwowych, jak i prywatnych. Coraz mniej prawdopodobne okazuje się również zapewnienie bezpieczeństwa i zaufania w cyberprzestrzeni, od których zależy – rozwijana na całym świecie – gospodarka cyfrowa i digitalizacja usług publicznych.
Gdy w 2013 r. były pracownik CIA Edward Snowden ujawnił, w jaki sposób amerykańska Agencja Bezpieczeństwa Narodowego na masową skalę inwigilowała ludzi na całym świecie (w tym również i z państw sojuszniczych) głosom oburzenia nie było końca. Sama Angela Merkel grzmiała, że tego nie robi się „przyjaciołom”. Wkrótce rozwinęła się dyskusja o możliwościach ograniczenia dostępu agencji wywiadowczych do prywatnych danych obywateli. Pojawiły się nawet regulacje odnośnie ochrony danych osobowych.
Jednak rozwój gospodarki cyfrowej i powszechna digitalizacja oraz nowe modele biznesowe oparte na targetowaniu behawioralnym, wiążą się z ciągłym zbieraniem danych i integrowaniem ich w coraz większe bazy przechowywane w chmurze. Zarówno korporacje jak i mniejsze podmioty raz spróbowawszy tych metod, nie zamierzają pozbawiać się możliwości dostępu do wszelkich informacji o konsumentach mogących potencjalnie generować zyski. Nie są więc zainteresowane żadnymi regulacjami powstrzymującymi je przed szpiegowaniem praktycznie każdego w praktycznie każdej sytuacji.
Wesprzyj nas już teraz!
Możliwości operacyjne jakie oferuje cyberprzestrzeń doceniły oczywiście już dawno wszelkie agencje wywiadowcze i organy ścigania. A ponieważ coś co jeszcze do niedawna było przedmiotem działalności jedynie kilku państw zdolnych do zdalnego hakowania i przejmowania komunikacji „inwigilowanych obiektów”, stało się obecnie dostępne dla znacznie większej liczby podmiotów państwowych i niepaństwowych, musiały pojawić się sugestie uregulowania cyberprzestrzeni.
Owa piąta domena prowadzenia wojny przez państwa jest jednak niezwykle trudna do okiełznania.
Opisywana przez polskie media afera z programem Pegasus, ale także wszelkie cyberataki np. SolarWinds, pokazują wyraźnie, że stosunkowo łatwo można uzyskać dostęp do najpilniej strzeżonych informacji i powodować poważne szkody społeczne.
Agencje wywiadowcze chcą ułatwień w dostępie do danych obywateli
Oprogramowanie szpiegujące Pegasus przeznaczone do instalacji zdalnej, nawet bez konieczności interakcji użytkowników telefonów, na systemach iOS i Android, opracowane i dystrybuowane przez izraelską firmę NSO Group, jest jednym z kilku dostępnych na rynku. Konkurencja rośnie z roku na rok, bo też panuje swoista moda na szpiegowanie. Wydaje się, że rewelacje związane ze skandalem Cambridge Analytica, czy przecieki Edwarda Snowdena i demaskator Facebooka, Frances Haugen, nie są w stanie ograniczyć zapędów podmiotów państwowych i korporacji chcących mieć dostęp do coraz większej ilości danych o obywatelach.
W 2020 r. agencje wywiadowcze skupione w sojuszu Five Eyes (Pięciorga Oczu), z pięciu krajów: USA, Kanady, Wielkiej Brytanii, Australii i Nowej Zelandii zaapelowały do korporacji technologicznych, by pozostawiły furtki, które pozwolą im hakować urządzenia stosowane przez podejrzane osoby. Agencje chcą, by osłabić mechanizmy szyfrowania. Z nieco inną propozycją wystąpiła Bruksela, sugerując, by zapewnić agencjom wywiadowczym UE dostęp do tych urządzeń, bez osłabiania zasad szyfrowania.
Służby i organy ścigania na całym świecie przekonują, że nie mogą pozabawiać się możliwości działań operacyjnych, próbując namierzyć terrorystów albo pedofilów.
Jednak programy szpiegujące wykorzystywane są nie tylko w odniesieniu do osób podejrzanych o pedofilię czy terroryzm, a katalog możliwości prowadzenia działań operacyjnych potrafi być bardzo długi, jak na przykład w Polsce. Przedmiotem ataków stają się coraz częściej dziennikarze, aktywiści, opozycjoniści, czy nawet sędziowie jak w Indiach.
Szyfrowanie powinno chronić przed nielegalnym dostępem nieupoważnionych osób do przechowywanych danych, przesyłanych wiadomości, uwierzytelnianych transakcji finansowych obywateli itp.
Afera z Pegasusem tak naprawdę dotyczy tego, czy zależy nam na zachowaniu prywatności i anonimowości oraz bezpieczeństwa naszych transakcji w świecie cyfrowym? Czy chcemy chronić tajemnice handlowe i bezpiecznie komunikować się?
Monopol Big Tech i coraz większa władza. Zbieranie danych oraz targetowanie behawioralne
Rządy niektórych państw zdały sobie sprawę, że firmy Big Tech zyskały – właśnie dzięki nowemu modelowi biznesowemu polegającemu na inwigilacji i targetowaniu behawioralnym – ogromną władzę. Chiny podjęły działania, by ukrócić zapędy monopolistyczne korporacji cyfrowych. W USA także mówi się o aktualizacji prawa antymonopolowego i powstrzymaniu fuzji oraz przejęć, które sprawiły, iż konkurencja na rynku Big Tech stała się iluzją. W Korei Południowej przyjęto odpowiednie regulacje uderzające w Google, podobnie w innych państwach.
Rządy podnoszą coraz częściej, że korporacje dopuszczają się inwigilacji użytkowników i zbierają wszelkie możliwe dane, którymi potem handlują z innymi podmiotami.
Użytkownicy nie wiedzą, jakie informacje są o nich zbierane i w jaki sposób są wykorzystywane. O tym, jakie materiały (w tym reklamy) należy wyświetlać na ich profilach, informuje sieć wniosków o użytkownikach, do których oni sami nie mają dostępu. A wraz z inwigilacją pogłębia się również cenzura w sieci i rozwija tzw. kultura unieważniania, wymazywania (cancel culture).
Wielkie firmy wciąż skutecznie bronią się przed kompleksowymi przepisami chroniącymi prywatność, co pozwalałoby użytkownikom pozywać je za nadmierną inwigilację, niewłaściwe wykorzystanie danych, cenzurowanie czy inwazyjne praktyki reklamowe.
Ani korporacje, ani rządy nie są zainteresowane ochroną prywatności
Rządy – chociaż z jednej strony chciałyby ukrócić praktyki coraz potężniejszych gigantów technologicznych – wspierają je, obawiając się wprowadzania regulacji, które utrudniłyby gromadzenie danych o obywatelach. Same chcą przecież tego samego – chcą ograniczać prywatność i autonomię ludzi, jednocześnie zabiegając o to, by się z nimi dzielono już zdobytymi informacjami.
Edward Snowden podkreślał, że ochrona danych i prywatności jest kluczem dla zapewnienia bezpieczeństwa. Dlatego tak ważne jest budowanie silnych systemów szyfrowania, „bez furtek”. Ich osłabienie – poprzez umożliwienie rządom dostępu do osobistych wiadomości ludzi – byłoby „kolosalnym błędem” o fatalnych konsekwencjach – przestrzega, dodając, że „prywatność to potęga”.
Podczas Pierwszego Dnia Szyfrowania obchodzonego jesienią 2021 r. Snowden potwierdził, że USA, Unia Europejska, Australia, Rosja i Chiny „próbują opracować środki i metody wymagające słabych systemów szyfrowania”. Z kolei UE naciska na gigantów technologicznych, aby zapewnili organom ścigania dostęp do dowodów cyfrowych „bez zabraniania lub osłabiania szyfrowania”.
Czy rok 2022 przyniesie nowe regulacje dotyczące bezpieczeństwa danych i ochrony prywatności? Niektórzy komentatorzy tak sugerują. W kilkudziesięciu stanach USA już bowiem toczą się prace nad nowymi przepisami w tej kwestii. Latem 2021 r. ONZ zaapelowała, by przyspieszyć działania na rzecz uregulowania cyberprzestrzeni. Jest jednak mało prawdopodobne, by ewentualne regulacje skutecznie zapewniły bezpieczeństwo użytkownikom sieci. Jednego możemy być pewni: takich firm jak NSO Group powstanie w najbliższych latach wiele.
Amerykanie obłożyli sankcjamami NSO, bo za pomocą Pegasusa zhakowano telefony ich dyplomatów w Ugandzie
Pegasus, oprogramowanie szpiegowskie firmy NSO Group z siedzibą w Izraelu, sprzedawane jedynie rządom, wyróżnia się na rynku tym, że pozwala stosunkowo łatwo włamać się do dowolnego telefonu Androida lub iPhone’a, dając pełny dostęp do urządzenia zaatakowanej osoby.
Izraelska firma obecnie znajduje się w dużych tarapatach. Być może nie wpadłaby w nie, gdyby ugandyjscy dysponenci programu (którzy by nabyć licencję musieli zapewnić, że nie będą szpiegować Amerykanów) nie zhakowali telefonów jedenastu amerykańskich dyplomatów, przez co Departament Handlu USA obłożył ją sankcjami.
Z różnych raportów i śledztw toczonych w różnych miejscach świata wiemy, że Pegasus był wykorzystywany do szpiegowania ponad 50 tys. osób na całym świecie. Wśród nich był król Maroka Mohammed VI, około 10 prezydentów, w tym prezydent Francji Emmanuel Macron, prezydent Iraku Barham Salih i prezydent Republiki Południowej Afryki Cyril Ramaphosa. Było także siedmiu byłych premierów i trzech obecnych: Imran Khan z Pakistanu, Mostafa Madbouly z Egiptu i Saad-Eddine El Othmani z Maroka. Inwigilacją objęto wielu dziennikarzy mainstreamowych mediów w USA czy w Europie, dysydentów politycznych w afrykańskich krajach, na Bliskim Wschodzie czy w Indiach. Inwigilowano w Polsce, w Niemczech, na Węgrzech, Cyprze czy w Bułgarii.
Citizen Lab wskazywało, że Zjednoczone Emiraty Arabskie wykorzystały oprogramowanie szpiegujące Pegasus do zhakowania telefonu Hanan Elatr, żony zamordowanego w saudyjskim konsulacie w Turcji dziennikarza Dżamala Chaszodżdżiego.
W Meksyku program został wykorzystany przez biznesmenów do inwigilacji dziennikarzy, ale też do szpiegowania osób z otoczenia prezydenta Andrésa Manuela Lópeza Obradora. Inwigilowano reporterów CNN, Associated Press, ,,The New York Times” i ,,The Wall Street Journal”, ale take dziennikarzy ,,Le Monde”, AFP, ,,India Express” itp.
W Indiach władze szpiegowały dysydentów i krytyków premiera Narendra Modiego. Inwigilowano co najmniej 65 biznesmenów, 85 działaczy na rzecz praw człowieka, 189 dziennikarzy i co najmniej 600 polityków. Śledzono palestyńskich działaczy powiązanych z sześcioma organizacjami określanymi przez Izrael jako grupy terrorystyczne.
Niedawno amerykańska firma Apple pozwała NSO Group za zhakowanie iPhonów, przez co podważone zostało zaufanie do marki. W pozwie uznano pracowników NSO za „amoralnych najemników XXI wieku, którzy stworzyli wysoce wyrafinowaną machinę nadzoru cybernetycznego, zachęcającą do rutynowych i rażących nadużyć”. – Aktorzy sponsorowani przez państwo, tacy jak NSO Group, wydają miliony dolarów na zaawansowane technologie nadzoru bez ponoszenia odpowiedzialności. To musi się zmienić – wskazywał Craig Federighi, starszy wiceprezes Apple ds. inżynierii oprogramowania odnosząc się do izraelskiej cyberdyplomacji.
NSO Group broni się, że jej program jest wykorzystywany przez rządy jedynie do ratowania życia i w celu zwalczania pedofilii oraz terroryzmu. Pegasus posłużył m.in. do włamania się do telefonów duchowieństwa katolickiego.
W związku z licznymi aferami i skargami władze Izraela w lipcu 2021 r. przeprowadziły kontrolę w firmie NSO, której program pomagał sprzedawać były premier Benjamin Netanjahu. W grudniu USA obłożyły NSO sankcjami, a kilkunastu amerykańskich senatorów zastanawia się, czy nie nałożyć kolejnych ograniczeń. Do listy podmiotów o ograniczonym dostępie do amerykańskich komponentów dodano także inną izraelską firmę zajmująca się cyberbezpieczeństwem: Candiru.
Z kolei do 7 stycznia 2022 r. obywatele Indii mogli zgłaszać się do Sądu Najwyższego, jeśli podejrzewali, że ich telefony były zhakowane za pomocą Pegasusa. Urządzenia mają być poddane badaniom technicznym. W Indiach inwigilowano między innymi sędziów.
Wścibstwo cyfrowe i konieczność ochrony prywatności
Ujawnienie działalności Pegasusa uświadamia nam, jak wszyscy jesteśmy podatni na wścibstwo cyfrowe i jak stosunkowo łatwo można zdobywać wiedzę o nas. Edward Snowden od lat apeluje o wprowadzenie zakazu sprzedaży oprogramowań szpiegujących, twierdząc, że takie narzędzia będą wkrótce wykorzystywane do inwigilacji milionów ludzi. Bo skoro znajduje się sposób na zhakowanie jednego iPhone’a, to zyskuje się możliwość zhakowania wszystkich tego typu urządzeń korzystających z tego samego oprogramowania.
Dziś znacznie więcej podmiotów może inwigilować nas dzięki telefonom komórkowym, które stanowią o naszym dostępie do gospodarki cyfrowej. Praktycznie każdy z nas może stać się „przyjaznym cyfrowym asystentem czyjegoś szpiega”. Jednocześnie każdy z nas może być inwigilowany pod pretekstem „konieczności zapewnienia bezpieczeństwa publicznego”.
Zrównoważenie kwestii bezpieczeństwa narodowego, bezpieczeństwa w sieci i prywatności – to jedno z najpilniejszych zagadnień, nad którym będą pochylać się w najbliższych latach różne gremia. Czy zwycięży opcja, by pozostawić „furtki” dla służb państwowych i organów ścigania? A jeśli tak, to skoro służby będą mieć możliwość szpiegowania każdego bez ograniczeń, to w jaki sposób propagatorzy gospodarki cyfrowej chcą zapewnić bezpieczeństwo transakcji i komunikacji w sieci? Kto zagwarantuje, że inne prywatne podmioty nie skuszą się, by skorzystać ze stworzonej „okazji” dostępu do prywatnych danych?
Ataki ransomware, w tym te na infrastrukturę krytyczną, ingerencja w wybory, szpiegostwo korporacyjne, zagrożenia dla sieci elektrycznej, nadal nie przekonują rządów do zaprowadzenia porządku w anarchistycznej cyberprzestrzeni. Rządzący państwami zdają sobie bowiem sprawę, że bardzo trudno byłoby wyegzekwować przestrzeganie norm.
Czy zatem nic nie robić? Wręcz przeciwnie. Trzeba się starać, by zarówno podmiotom państwowym jak i niepaństwowym nie zostawiać żadnych furtek, przez które mogliby uzyskać dostęp do naszych danych i nas inwigilować. Nie można im niczego ułatwiać i na nowo należy zdać sobie sprawę, jak ważna jest troska o prywatność.
Agnieszka Stelmach