0:00
Prawa autorskie: Slawomir Kaminski / Agencja Wyborcza.plSlawomir Kaminski / ...
07 lutego 2022

Pegasus w NIK? Nadal wiadomo niewiele

NIK "nie może wykluczyć", że urządzenia kontrolerów zostały zaatakowane Pegasusem. Nie może też jednak tego jednoznacznie potwierdzić. Na dzisiejszej konferencji nie dowiedzieliśmy się w zasadzie niczego nowego. Padły jednak ważne słowa dotyczące zagrożeń związanych ze stosowaniem tego typu zaawansowanych systemów cyfrowej inwigilacji osobistej

Wydrukuj

Dwa dni temu pisaliśmy o możliwych cyberatakach na NIK, być może przy użyciu Pegasusa. Doniosło o tym nieoficjalnie RMF FM. Podkreślaliśmy wtedy, między innymi, że:

  1. Rzekoma inwigilacja pięciuset urządzeń NIK jest technicznie możliwa, ale takie twierdzenie wymagałoby bardzo rzetelnych, konkretnych dowodów.
  2. Twierdzenie o tysiącach "ataków" brzmi wątpliwie, i łatwo może wynikać z nadinterpretacji dostępnych danych (Zaufana Trzecia Strona wyjaśnia głębiej, czemu).
  3. Ewentualne infekcje konkretnych urządzeń można potwierdzić wyłącznie dzięki danym zawartym na tych urządzeniach, przy pomocy odpowiedniego narzędzia, którego użycie wymaga specjalistycznej wiedzy.

Przeczytaj także:

Co ujawnili przedstawiciele NIK

W poniedziałek 7 lutego 2022 o godz. 13:00 NIK zorganizował konferencję prasową, na której miał - zgodnie z zapowiedziami - przedstawić szczegóły ataku na urządzenia mobilne pracowników Izby.

Jak można się było spodziewać, przy analizie dostępnych danych współpracują z NIK zewnętrzni eksperci i ekspertki, w tym kanadyjski Citizen Lab, z którym NIK "pozostaje w stałym kontakcie".

Kierownik wydziału bezpieczeństwa Izby Grzegorz Marczak stwierdził, że istnieją podejrzenia, że zostały zainfekowane "trzy urządzenia z najbliższego otoczenia" prezesa NIK Mariana Banasia.

Nie jest jednak do końca jasne, czy oznacza to zawężenie listy podejrzanych o infekcję urządzeń (na przykład dzięki dokładniejszej analizie danych i wykluczeniu większości ze wspomnianych wcześniej ponad pięciuset urządzeń), czy może - co wydaje się bardziej prawdopodobne - tylko podkreślenie faktu, że również urządzenia z bezpośredniego otoczenia prezesa NIK były potencjalnie atakowane.

Na chwilę obecną NIK nie może ani jednoznacznie potwierdzić, ani wykluczyć, że urządzenia kontrolerów Izby były faktycznie atakowane Pegasusem. Następnym krokiem ma być weryfikacja konkretnych urządzeń podejrzanych o infekcję. Na razie żadne urządzenia ani dane z urządzeń nie zostały jednak jeszcze przekazane do analizy w Citizen Lab.

Izba nie podjęła także żadnych kroków formalno-prawnych związanych z podejrzeniem naruszenia bezpieczeństwa urządzeń używanych przez kontrolerów. Po uzyskaniu wyników analizy urządzeń takie kroki mogą zostać podjęte.

Co to oznacza?

Dzisiejsza konferencja prasowa NIK nie dostarczyła konkretnych dowodów na infekcję urządzeń mobilnych używanych przez jej pracowników. To oczywiście nie oznacza, że infekcji nie było.

Wspomniane "tysiące ataków" (które lepiej byłoby nazwać "podejrzanymi incydentami") mogą faktycznie sugerować, że coś jest na rzeczy. Ale dopóki nie zostaną przeanalizowane konkretne urządzenia, nie uzyskamy jednoznacznej odpowiedzi.

To bardzo niefortunne. Możliwość inwigilacji instytucji kontrolerskiej, zwłaszcza w kontekście konkretnych, politycznie i społecznie istotnych, kontroli prowadzonych przez tę instytucję, należy traktować poważnie.

Rozdmuchiwanie tematu na podstawie niejasnych informacji, przed uzyskaniem jednoznacznego potwierdzenia, wydaje się nieodpowiedzialne.

Problem systemów inwigilacji jest szerszy

Bodaj najważniejsza wypowiedź, która padła na dzisiejszej konferencji, nie dotyczyła bezpośrednio pytania o możliwą inwigilację Najwyższej Izby Kontroli.

Radca prezesa NIK Janusz Pawełczyk słusznie zauważył, że prawo dotyczące kontroli operacyjnej jest "archaiczne" i "nie przystaje do aktualnego rozwoju technologicznego".

Podkreślił fakt, że technicznie rzecz biorąc zaawansowane narzędzia inwigilacji osobistej, pozwalające przejąć kontrolę nad urządzeniami inwigilowanych osób, mogą umożliwiać ich operatorom "stworzyć dowody" — pisaliśmy o tym w grudniu.

Choć system Pegasus takiej funkcjonalności najwyraźniej nie posiada, zdeterminowany operator mógłby wykorzystać uzyskane za jego pomocą dane logowania do modyfikacji informacji na kontach (np. e-mail) osoby inwigilowanej.

Wskazał, wreszcie, na konieczność "merytorycznego, szczelnego ustawodawstwa" w tym obszarze.

Wypowiedź radcy Pawełczyka warto zacytować szerzej:

Od lat nie nowelizowane prawo stało się, mówiąc kolokwialnie, archaiczne. Nie przystaje do aktualnego rozwoju technologicznego.

Obecnie przy wykorzystaniu najnowszych technologii ofensywnych istnieje możliwość zainfekowania każdego urządzenia elektronicznego, począwszy od telefonu, skończywszy na komputerze, tablecie. A to oznacza, że można przejąć władzę nad tymi urządzeniami i to oznacza też, że można bez jakiejkolwiek kontroli ingerować w te urządzenia, wyciągając z nich dane, i integrując w te urządzenia zwrotnie dane.

Rodzi się uzasadnione pytanie, jakie dane mogą wrócić do tych urządzeń. Czy mogą to być dane o charakterze sensytywnym, i w ten sposób stworzyć dowody przeciwko nam.

Dlatego tak ważne jest po pierwsze merytoryczne, szczelne ustawodawstwo. A po drugie - właściwy nadzór nad służbami, z oczywistym zagwarantowaniem ich skuteczności. Ale jednocześnie działania w zgodzie z prawem i poszanowaniem praw człowieka. To działanie potrzebne jest także służbom, bo rzetelna legislacja pozwoli także służbom na uniknięcie oskarżeń o działanie poza prawem".

Pegaza (i inne tego typu niebezpieczne, inwazyjne systemy inwigilacji osobistej) należy osiodłać niezależnie od tego, czy kontrolerzy NIK byli faktycznie inwigilowani.

Udostępnij:

Michał rysiek Woźniak

(https://rys.io/) jest specjalistą ds. bezpieczeństwa informacji w rejestrze domen IS. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej, a wcześniej zarządzał Fundacją Wolnego i Otwartego Oprogramowania. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium”, oraz “Katalogu Kompetencji Medialnych”.

Komentarze

Komentarze będą wkrótce dostępne