Dwa dni temu pisaliśmy o możliwych cyberatakach na NIK, być może przy użyciu Pegasusa. Doniosło o tym nieoficjalnie RMF FM. Podkreślaliśmy wtedy, między innymi, że:
- Rzekoma inwigilacja pięciuset urządzeń NIK jest technicznie możliwa, ale takie twierdzenie wymagałoby bardzo rzetelnych, konkretnych dowodów.
- Twierdzenie o tysiącach „ataków” brzmi wątpliwie, i łatwo może wynikać z nadinterpretacji dostępnych danych (Zaufana Trzecia Strona wyjaśnia głębiej, czemu).
- Ewentualne infekcje konkretnych urządzeń można potwierdzić wyłącznie dzięki danym zawartym na tych urządzeniach, przy pomocy odpowiedniego narzędzia, którego użycie wymaga specjalistycznej wiedzy.
Co ujawnili przedstawiciele NIK
W poniedziałek 7 lutego 2022 o godz. 13:00 NIK zorganizował konferencję prasową, na której miał – zgodnie z zapowiedziami – przedstawić szczegóły ataku na urządzenia mobilne pracowników Izby.
Jak można się było spodziewać, przy analizie dostępnych danych współpracują z NIK zewnętrzni eksperci i ekspertki, w tym kanadyjski Citizen Lab, z którym NIK „pozostaje w stałym kontakcie”.
Kierownik wydziału bezpieczeństwa Izby Grzegorz Marczak stwierdził, że istnieją podejrzenia, że zostały zainfekowane „trzy urządzenia z najbliższego otoczenia” prezesa NIK Mariana Banasia.
Nie jest jednak do końca jasne, czy oznacza to zawężenie listy podejrzanych o infekcję urządzeń (na przykład dzięki dokładniejszej analizie danych i wykluczeniu większości ze wspomnianych wcześniej ponad pięciuset urządzeń), czy może – co wydaje się bardziej prawdopodobne – tylko podkreślenie faktu, że również urządzenia z bezpośredniego otoczenia prezesa NIK były potencjalnie atakowane.
Na chwilę obecną NIK nie może ani jednoznacznie potwierdzić, ani wykluczyć, że urządzenia kontrolerów Izby były faktycznie atakowane Pegasusem. Następnym krokiem ma być weryfikacja konkretnych urządzeń podejrzanych o infekcję. Na razie żadne urządzenia ani dane z urządzeń nie zostały jednak jeszcze przekazane do analizy w Citizen Lab.
Izba nie podjęła także żadnych kroków formalno-prawnych związanych z podejrzeniem naruszenia bezpieczeństwa urządzeń używanych przez kontrolerów. Po uzyskaniu wyników analizy urządzeń takie kroki mogą zostać podjęte.
Co to oznacza?
Dzisiejsza konferencja prasowa NIK nie dostarczyła konkretnych dowodów na infekcję urządzeń mobilnych używanych przez jej pracowników. To oczywiście nie oznacza, że infekcji nie było.
Wspomniane „tysiące ataków” (które lepiej byłoby nazwać „podejrzanymi incydentami”) mogą faktycznie sugerować, że coś jest na rzeczy. Ale dopóki nie zostaną przeanalizowane konkretne urządzenia, nie uzyskamy jednoznacznej odpowiedzi.
To bardzo niefortunne. Możliwość inwigilacji instytucji kontrolerskiej, zwłaszcza w kontekście konkretnych, politycznie i społecznie istotnych, kontroli prowadzonych przez tę instytucję, należy traktować poważnie.
Rozdmuchiwanie tematu na podstawie niejasnych informacji, przed uzyskaniem jednoznacznego potwierdzenia, wydaje się nieodpowiedzialne.
Problem systemów inwigilacji jest szerszy
Bodaj najważniejsza wypowiedź, która padła na dzisiejszej konferencji, nie dotyczyła bezpośrednio pytania o możliwą inwigilację Najwyższej Izby Kontroli.
Radca prezesa NIK Janusz Pawełczyk słusznie zauważył, że prawo dotyczące kontroli operacyjnej jest „archaiczne” i „nie przystaje do aktualnego rozwoju technologicznego”.
Podkreślił fakt, że technicznie rzecz biorąc zaawansowane narzędzia inwigilacji osobistej, pozwalające przejąć kontrolę nad urządzeniami inwigilowanych osób, mogą umożliwiać ich operatorom „stworzyć dowody” — pisaliśmy o tym w grudniu.
Choć system Pegasus takiej funkcjonalności najwyraźniej nie posiada, zdeterminowany operator mógłby wykorzystać uzyskane za jego pomocą dane logowania do modyfikacji informacji na kontach (np. e-mail) osoby inwigilowanej.
Wskazał, wreszcie, na konieczność „merytorycznego, szczelnego ustawodawstwa” w tym obszarze.
Wypowiedź radcy Pawełczyka warto zacytować szerzej:
Od lat nie nowelizowane prawo stało się, mówiąc kolokwialnie, archaiczne. Nie przystaje do aktualnego rozwoju technologicznego.
Obecnie przy wykorzystaniu najnowszych technologii ofensywnych istnieje możliwość zainfekowania każdego urządzenia elektronicznego, począwszy od telefonu, skończywszy na komputerze, tablecie. A to oznacza, że można przejąć władzę nad tymi urządzeniami i to oznacza też, że można bez jakiejkolwiek kontroli ingerować w te urządzenia, wyciągając z nich dane, i integrując w te urządzenia zwrotnie dane.
Rodzi się uzasadnione pytanie, jakie dane mogą wrócić do tych urządzeń. Czy mogą to być dane o charakterze sensytywnym, i w ten sposób stworzyć dowody przeciwko nam.
Dlatego tak ważne jest po pierwsze merytoryczne, szczelne ustawodawstwo. A po drugie – właściwy nadzór nad służbami, z oczywistym zagwarantowaniem ich skuteczności. Ale jednocześnie działania w zgodzie z prawem i poszanowaniem praw człowieka. To działanie potrzebne jest także służbom, bo rzetelna legislacja pozwoli także służbom na uniknięcie oskarżeń o działanie poza prawem”.
Pegaza (i inne tego typu niebezpieczne, inwazyjne systemy inwigilacji osobistej) należy osiodłać niezależnie od tego, czy kontrolerzy NIK byli faktycznie inwigilowani.
Mam też nieodparte wrażenie, że poniedziałkowa konferencja prasowa w NIK, od soboty "pompowana" w mediach, odbyła się zdecydowanie za wcześnie. Praktycznie nie podano niczego nowego, poza tym co wcześniej anonsował rzecznik prasowy NIK oraz RMF FM i TVN24. Ponadto wypowiedzi "anonimowego eksperta" ze sztucznie zniekształconym głosem też były bardzo ogólnikowe. Charakterystyczne, że pytania były zadawane chyba tylko przez dziennikarza z TVN24. Czyżby inne media nie były zainteresowane wydawałoby się tak nośnym tematem? Niestety, zabrakło lub też nie mieli o co pytać, jeśli byli tam obecni, przedstawiciele portali zajmujących się cyberbezpieczeństwem. Dlaczego NIK nie mógł poczekać z konferencją do czasu gdy będzie miał dane z Citizen Lab? Bo tak to niestety z zapowiadanej "bomby medialnej" odpalił jakiś "zamoknięty kapiszon". Oby to nie zakończyło się na potwierdzonej przez CitizenLab inwigilacji smartfonów osoby(osób) wobec których toczą się śledztwa i nie wykluczone, że prokuratura w odpowiednim momencie poda odpowiednią informację wskazując na w pełni formalne podstawy takowej inwigilacji (stosowny wniosek prokuratury, zatwierdzony postanowieniem sędziego sądu okręgowego w Warszawie). Ale poczekajmy jednak na konkretne ustalenia CitizenLab, które być może będą wkrótce.
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
czyli kolejny kapiszon: tak naprawde konferencja nie wiadomo o czym, bo ja oczekiwalem konkretow: czyli firma z Kandy potwierdza,ze w takich i takich urzadzeniach NIK byl zainstalowany system a tymczasem mamy jakies suche teksty o ekspertach o tysiacach akcji, ale nie wiadomo jakich…generalnei zenada