Lekcje po aferze z Pegasusem. Najważniejsza: służby będą inwigilować, same się nie ograniczą

18 lipca 2021 brytyjski „The Guardian” ujawnił, że węgierski rząd mógł używać narzędzia totalnej inwigilacji – Pegasusa – do śledzenia nie przestępców, ale dziennikarzy. Międzynarodowe dochodzenie pokazało, że aktywistów, polityków, urzędników państwowych i właśnie dziennikarzy inwigilowano za pomocą Pegasusa w ponad 50 krajach świata. Polskie służby także mają dostęp do tego narzędzia.

Co dla nas – obywateli, aktywistów, dziennikarzy – z tego wynika? Pisze Wojciech Klicki, prawnik z Fundacji Panoptykon.

Zamiast terrorystów niepokorni obywatele i obywatelki

Izraelska firma NSO, producent Pegasusa, (wciąż) twierdzi, że ten program szpiegowski został stworzony do walki z najpoważniejszymi przestępcami. Tymczasem państwa, które kupiły system, wykorzystują go w zgoła innych celach. Na przykład na Węgrzech za jego pomocą inwigilowani byli niezależni dziennikarze.

To nie pierwsza sytuacja, w której nowe uprawnienie lub technologie wykorzystywane przez służby do walki z terroryzmem lub w innych szczytnych celach używane są przeciwko wszystkim obywatelom.

Dla przykładu, w indyjskim Delhi zainstalowano rozpoznające twarze kamery w celu poszukiwania zaginionych dzieci, ale szybko się okazało, że służą one do rozpoznawania uczestników demonstracji.

Z kolei unijną odpowiedzią na zamachy w Londynie i Madrycie było przyjęcie tzw. dyrektywy retencyjnej – przepisów, zobowiązujących operatorów telekomunikacyjnych do przechowywania lokalizacji klientów i udostępniania ich na wniosek służb. Czas pokazał, że informacje te są wykorzystywane bez jakiejkolwiek kontroli, w sprawach błahych przestępstw, a niekiedy nawet wykroczeń, np. jeżdżenia koleją na gapę.

Lekcja pierwsza: służby mają tendencje do coraz powszechniejszego stosowania uzyskanych wyjątkowych możliwości (prawne czy technologiczne) – to, co początkowo ma służyć do walki z przestępcami, w których obronie nikt nie stanie, wkrótce jest wykorzystywane w codziennej pracy służb.

Dlatego powinniśmy być szczególnie ostrożni, słysząc o tym, że nowe rozwiązanie jest potrzebne do walki z terrorystami/porywaczami dzieci lub – ostatnio w polskim kontekście – rosyjskimi przestępcami czy “antyszczepionkowcami”.

Koniec złudzeń o bezpiecznej komunikacji?

Pegasus pozwala przejąć kontrolę nad urządzeniem (smartfonem, tabletem) i wszystkimi znajdującymi się na nim informacjami, także rozmowami, prowadzonymi za pośrednictwem „bezpiecznych” komunikatorów, takich jak WhatsApp czy Signal. Zainfekowanie telefonu oprogramowaniem szpiegowskim zaprzepaszcza starania o zachowanie poufności komunikacji np. poprzez szyfrowanie wiadomości.

Rosnąca popularność szyfrowanych komunikatorów czy dysków jest solą w oku wielu rządów. Polskie MSWiA w lipcu 2021 zapowiedziało powstanie Centralnego Biura Zwalczania Cyberprzestępczości, które będzie mogło siłowo uzyskać dostęp do danych.

Biuro ma tworzyć oprogramowanie do łamania haseł i włamywania się na serwery, oczywiście, w ramach walki z najpoważniejszą przestępczością (na konferencji prasowej ogłaszającej inicjatywę Mateusz Morawiecki mówił nawet o “rosyjskich hakerach”).

Złośliwe oprogramowanie to nie jedyne zagrożenie dla bezpiecznej komunikacji: presja na to, by odebrać obywatelom możliwość poufnej komunikacji, płynie także ze strony politycznej. Niedawno Catherine De Bolle (dyrektor wykonawcza w Europolu) apelowała na łamach serwisu Politico o uregulowanie prawne szyfrowania.

Jednak „regulowane szyfrowanie” to po prostu eufemizm, a chodzi o to, by rząd mógł dostać się “tylnymi drzwiami” do treści naszych wiadomości. Tylne drzwi podważają bezpieczeństwo komunikacji, pozostawiając ją podatną na ataki ze strony wrogich podmiotów.

Bo nie ma czegoś takiego jak tylne drzwi tylko dla tych “dobrych”. Nawet gdyby tak było, afera ws. Pegasusa przypomina, że ​​nie wszystkie rządy są „dobre”, i że „dobre rządy” też mogą mieć coś za uszami.

Służby wciąż nie zawsze mają techniczny dostęp do wszystkich zaszyfrowanych informacji, nawet FBI potrzebowało kilku lat, żeby zdobyć dostęp do danych zaszyfrowanych przez Apple’a. Jednak od dłuższego czasu widać rosnącą presję na ograniczenie bezpieczeństwa i poufności komunikacji obywateli.

Lekcja druga: szyfrowana komunikacja to nie tylko narzędzie wykorzystywane przez przestępców. To przede wszystkim możliwość swobodnej komunikacji adwokata z klientem, dziennikarza z informatorem, a w niektórych krajach np. grup dyskryminowanych lub obywateli i obywatelek, chcących zaprotestować przeciwko władzy.

Dlatego powinniśmy się troszczyć o możliwość bezpiecznej komunikacji, na co dzień wybierając szyfrowane komunikatory i patrzeć na ręce tym, którzy chcą tę możliwość ograniczyć.

Jest coraz gorzej

Żyjemy w złotej erze służb, które nigdy nie mogły dowiedzieć się tyle i o tylu osobach naraz. Żaden podsłuch pokojowy czy OZI (“osobowe źródło informacji”) nie ujawni służbom tyle, co telefon komórkowy. Noszony stale w kieszeni może dostarczać szczegółowej wiedzy o zainteresowaniach użytkownika (aktywność w Internecie na smartfonie), korespondencji, kontaktach, transakcjach finansowych (płatności mobilne), a nawet zabezpieczeniach na innych nośnikach danych (np. informacje o sposobach dwuetapowej weryfikacji).

Naukowcy z Massachusetts Institute of Technology ustalili, że tylko na podstawie informacji o lokalizacji i billingu z jednego miesiąca można odtworzyć sieć kontaktów, a w 90 proc. przypadków ustalić tożsamość osób, należących do tej sieci. Co więcej, w 95 proc. przypadków na podstawie tych danych można przewidzieć, gdzie znajdzie się dana osoba w ciągu kolejnych 12 godzin.

Żadne służby, nawet rekordowo liczne Stasi (w ciągu 41 lat istnienia służba miała 600 000 współpracowników), nie mogły pozwolić sobie na to, by każdy obywatel i obywatelka mieli „ogon”, a lokalizacja każdego Niemca i Niemki była dostępna na wyciągnięcie ręki. Wraz z rozwojem technologii problem zniknął.

Dziś polscy funkcjonariusze Policji i osiem innych służb mogą kilkoma kliknięciami sprawdzić, gdzie każdy i każda z nas przebywał w ciągu ostatnich 12 miesięcy.

Problem się pogłębia, a rozwój technologii ułatwia inwigilację i profilowanie osób “podejrzanych”. Obywatele protestujący przeciwko opresyjnej władzy dotąd narażali się na przemoc fizyczną, ale ryzyko negatywnych konsekwencji po antyrządowych demonstracjach było ograniczone słabą jakością zdjęć i filmów. Widać to doskonale na materiałach archiwalnych Służby Bezpieczeństwa.

Dzisiejsi demonstranci – tak jak ci, którzy protestowali w Hongkongu – muszą liczyć się z tym, że wszędobylskie kamery, wyposażone w funkcję rozpoznawania twarzy, posłużą do stworzenia kompletnej listy protestujących. Być może – jak donosiła „Gazeta Wyborcza” – takie oprogramowanie wykorzystywane jest także w Polsce przez Agencję Bezpieczeństwa Wewnętrznego, a nawet jeśli ABW nie używa jej teraz, to technologia ta może być powszechna już za kilka lat (przez obniżenie kosztów produkcji albo tworzenie rodzimych rozwiązań).

Lekcja trzecia: coraz pilniejsze staje się wprowadzenie kontroli nad stosowaniem przez służby specjalne narzędzi inwigilacji. Powinna ona obejmować dwa elementy: stworzenie niezależnego organu, mogącego sprawdzać, czy służby nie nadużywały swoich uprawnień, oraz mechanizmu informowania osób, które były inwigilowane o tym fakcie (oczywiście po upływie czasu, np. 12 miesięcy).

Oba te rozwiązania obecne są w większości państw UE. W krótkiej perspektywie czasowej, w kraju, w którym – jak twierdzi nawet związany z partią rządzącą senator Jan M. Jackowski – jesteśmy “w fazie polityki hakowej, mającej na celu skłaniać polityków do określonych działań”, trudno liczyć na tak rewolucyjną zmianę. Jednak takiego programu powinniśmy domagać się zarówno od rządzących, jak i przede wszystkim od polityków demokratycznej opozycji.

---