Pegasus w NIK? Nadal wiadomo niewiele

Dwa dni temu pisaliśmy o możliwych cyberatakach na NIK, być może przy użyciu Pegasusa. Doniosło o tym nieoficjalnie RMF FM. Podkreślaliśmy wtedy, między innymi, że:

1. Rzekoma inwigilacja pięciuset urządzeń NIK jest technicznie możliwa, ale takie twierdzenie wymagałoby bardzo rzetelnych, konkretnych dowodów.
2. Twierdzenie o tysiącach "ataków" brzmi wątpliwie, i łatwo może wynikać z nadinterpretacji dostępnych danych (Zaufana Trzecia Strona wyjaśnia głębiej, czemu).
3. Ewentualne infekcje konkretnych urządzeń można potwierdzić wyłącznie dzięki danym zawartym na tych urządzeniach, przy pomocy odpowiedniego narzędzia, którego użycie wymaga specjalistycznej wiedzy.

Co ujawnili przedstawiciele NIK

W poniedziałek 7 lutego 2022 o godz. 13:00 NIK zorganizował konferencję prasową, na której miał - zgodnie z zapowiedziami - przedstawić szczegóły ataku na urządzenia mobilne pracowników Izby.

Jak można się było spodziewać, przy analizie dostępnych danych współpracują z NIK zewnętrzni eksperci i ekspertki, w tym kanadyjski Citizen Lab, z którym NIK "pozostaje w stałym kontakcie".

Kierownik wydziału bezpieczeństwa Izby Grzegorz Marczak stwierdził, że istnieją podejrzenia, że zostały zainfekowane "trzy urządzenia z najbliższego otoczenia" prezesa NIK Mariana Banasia.

Nie jest jednak do końca jasne, czy oznacza to zawężenie listy podejrzanych o infekcję urządzeń (na przykład dzięki dokładniejszej analizie danych i wykluczeniu większości ze wspomnianych wcześniej ponad pięciuset urządzeń), czy może - co wydaje się bardziej prawdopodobne - tylko podkreślenie faktu, że również urządzenia z bezpośredniego otoczenia prezesa NIK były potencjalnie atakowane.

Na chwilę obecną NIK nie może ani jednoznacznie potwierdzić, ani wykluczyć, że urządzenia kontrolerów Izby były faktycznie atakowane Pegasusem. Następnym krokiem ma być weryfikacja konkretnych urządzeń podejrzanych o infekcję. Na razie żadne urządzenia ani dane z urządzeń nie zostały jednak jeszcze przekazane do analizy w Citizen Lab.

Izba nie podjęła także żadnych kroków formalno-prawnych związanych z podejrzeniem naruszenia bezpieczeństwa urządzeń używanych przez kontrolerów. Po uzyskaniu wyników analizy urządzeń takie kroki mogą zostać podjęte.

Co to oznacza?

Dzisiejsza konferencja prasowa NIK nie dostarczyła konkretnych dowodów na infekcję urządzeń mobilnych używanych przez jej pracowników. To oczywiście nie oznacza, że infekcji nie było.

Wspomniane "tysiące ataków" (które lepiej byłoby nazwać "podejrzanymi incydentami") mogą faktycznie sugerować, że coś jest na rzeczy. Ale dopóki nie zostaną przeanalizowane konkretne urządzenia, nie uzyskamy jednoznacznej odpowiedzi.

To bardzo niefortunne. Możliwość inwigilacji instytucji kontrolerskiej, zwłaszcza w kontekście konkretnych, politycznie i społecznie istotnych, kontroli prowadzonych przez tę instytucję, należy traktować poważnie.

Rozdmuchiwanie tematu na podstawie niejasnych informacji, przed uzyskaniem jednoznacznego potwierdzenia, wydaje się nieodpowiedzialne.

Problem systemów inwigilacji jest szerszy

Bodaj najważniejsza wypowiedź, która padła na dzisiejszej konferencji, nie dotyczyła bezpośrednio pytania o możliwą inwigilację Najwyższej Izby Kontroli.

Radca prezesa NIK Janusz Pawełczyk słusznie zauważył, że prawo dotyczące kontroli operacyjnej jest "archaiczne" i "nie przystaje do aktualnego rozwoju technologicznego".

Podkreślił fakt, że technicznie rzecz biorąc zaawansowane narzędzia inwigilacji osobistej, pozwalające przejąć kontrolę nad urządzeniami inwigilowanych osób, mogą umożliwiać ich operatorom "stworzyć dowody" — pisaliśmy o tym w grudniu.

Choć system Pegasus takiej funkcjonalności najwyraźniej nie posiada, zdeterminowany operator mógłby wykorzystać uzyskane za jego pomocą dane logowania do modyfikacji informacji na kontach (np. e-mail) osoby inwigilowanej.

Wskazał, wreszcie, na konieczność "merytorycznego, szczelnego ustawodawstwa" w tym obszarze.

Wypowiedź radcy Pawełczyka warto zacytować szerzej:

Obecnie przy wykorzystaniu najnowszych technologii ofensywnych istnieje możliwość zainfekowania każdego urządzenia elektronicznego, począwszy od telefonu, skończywszy na komputerze, tablecie. A to oznacza, że można przejąć władzę nad tymi urządzeniami i to oznacza też, że można bez jakiejkolwiek kontroli ingerować w te urządzenia, wyciągając z nich dane, i integrując w te urządzenia zwrotnie dane.

Rodzi się uzasadnione pytanie, jakie dane mogą wrócić do tych urządzeń. Czy mogą to być dane o charakterze sensytywnym, i w ten sposób stworzyć dowody przeciwko nam.

Dlatego tak ważne jest po pierwsze merytoryczne, szczelne ustawodawstwo. A po drugie - właściwy nadzór nad służbami, z oczywistym zagwarantowaniem ich skuteczności. Ale jednocześnie działania w zgodzie z prawem i poszanowaniem praw człowieka. To działanie potrzebne jest także służbom, bo rzetelna legislacja pozwoli także służbom na uniknięcie oskarżeń o działanie poza prawem".

Pegaza (i inne tego typu niebezpieczne, inwazyjne systemy inwigilacji osobistej) należy osiodłać niezależnie od tego, czy kontrolerzy NIK byli faktycznie inwigilowani.