Polskie służby mogłyby zająć się na poważnie cyberbezpieczeństwem. A chyba wolą bawić się Pegasusem

Choć w Polsce echa #DworczykLeaks nie cichną, poza granicami kraju afera nie została raczej zauważona. Dużo większe zainteresowanie globalnych mediów wywołał projekt Forbidden Stories ("Zakazane Opowieści", znany też czasem jako "Pegasus Project"), dotyczący platformy szpiegującej Pegasus.

Pegasus to wyspecjalizowany system umożliwiający włamywanie się na urządzenia mobilne, wyprodukowany przez izraelską firmę NSO Group. Nie jest jedynym takim systemem (wystarczy wspomnieć FinFishera czy Candiru), ale obecnie wydaje się najbardziej zaawansowanym na rynku.

Systemy tego typu to nic innego, jak bardzo drogie złośliwe oprogramowanie: wykorzystują błędy w systemach operacyjnych i aplikacjach, by automatycznie włamywać się na urządzenia osób, którymi zainteresowane są korzystające z nich służby. Sprzedawane są (rzekomo) tylko rządom krajów demokratycznych, i (rzekomo) wyłącznie w celach walki z niebezpiecznymi przestępcami (zorganizowana przestępczość, terroryzm, itp).

Dziennikarki i dziennikarze zaangażowani w projekt Forbidden Stories dowodzą jednak jasno, że dostęp do tego niebezpiecznego narzędzia mieli też członkowie meksykańskich karteli (m.in. w celu śledzenia nieprzychylnych dziennikarzy), służby Arabii Saudyjskiej (w celu inwigilacji osób związanych z bestialsko zamordowanym dziennikarzem Dżamalem Chaszukdżim), czy rząd Maroka (który najwyraźniej postanowił inwigilować prezydenta Francji Emmanuela Macrona).

Pegasus a sprawa polska

Mogło by się wydawać, że nasza rodzima afera z mailami szefa kancelarii premiera (które wyciekły w wyniku niefrasobliwości i braku podstawowych kompetencji cyfrowych) nie ma wiele wspólnego z globalnym systemem inwigilacji stosowanym między innymi przeciwko dobrze zabezpieczonym dziennikarzom i aktywistkom.

Od lat jednak wiemy, że Pegasus jest w Polsce obecny. Są też mocne przesłanki wskazujące na to, że dostęp do tej platformy został zakupiony (za niemałe pieniądze) przez polskie służby (najprawdopodobniej CBA).

Innymi słowy, państwo polskie stać (finansowo, i w sensie woli politycznej) na bardzo zaawansowane narzędzia używane do włamywania się do dobrze zabezpieczonych urządzeń osób dbających o swoje bezpieczeństwo cyfrowe.

Przecież nawet szkolenie z cyberbezpieczeństwa dla posłów i posłanek zorganizowane zostało tak, że kolidowało z ich obowiązkami!

Powiedzieć, że to zastanawiające, to nic nie powiedzieć.

Gdyby chodziło o zabezpieczenie Polski przed cyfrowym atakiem, zacząć by należało raczej od stworzenia bezpiecznej infrastruktury dla kluczowych osób w państwie, i od zadbania, by osoby te wiedziały jak dbać o swoją cyfrową higienę. Pegasus w tym raczej nie pomoże -- wręcz przeciwnie, jak pokazuje przykład Emmanuela Macrona, przed takimi systemami należałoby się wręcz bronić.

Z drugiej strony, dziennikarki i dziennikarze śledczy pracujący na przykład przy Panama Papers mogą zaświadczyć, że brak dostępu do tego typu narzędzi nie przeszkadza im w ujawnianiu nadużyć korupcyjnych popełnianych nawet przez osoby na najwyższych stanowiskach. Czy więc dostęp do tej wyspecjalizowanej platformy inwigilacji osobistej jest dla Centralnego Biura Antykorupcyjnego naprawdę niezbędny?

A jeżeli nie jest, to do czego w zasadzie mógłby być przydatny?

Narzędzia wyspecjalizowane

Na Węgrzech, na przykład, Pegasusa wykorzystuje się do nadzoru opozycji.

Dziennikarki i aktywiści wiedzą, że mogą być przedmiotem zainteresowania służb, i starają się dbać o cyfrową higienę. Nie są przez to łatwym celem, a co za tym idzie prostsze narzędzia nadzoru mogą nie wystarczyć. Jednak nawet na Węgrzech uzyskanie sądowej zgody (na przykład) na założenie dziennikarzom podsłuchów może być bardzo trudne -- a jeśli się uda, zostawia niewygodny ślad w dokumentach.

Widać to zresztą doskonale w opublikowanych w ramach Forbidden Stories danych.

Co gorsza, nie chodzi tylko o bierne śledzenie poczynań osób na celowniku władzy. Zaawansowane systemy inwigilacji osobistej dają ich operatorom pełną kontrolę nad przejętymi urządzeniami. Oznacza to, że dane można z zainfekowanych urządzeń pobrać, ale... można też na nich dowolne dane umieścić lub zmienić. Innymi słowy, można spreparować dowody przeciwko niewygodnym aktywistom -- na ich własnych urządzeniach.

„Państwo to my"

Traktowanie dziennikarstwa nieprzychylnego władzy jako ataku na samo państwo i stosowanie wobec mediów czy aktywistek narzędzi inwigilacji osobistej nie ma wiele wspólnego z demokratycznym państwem prawa. Viktorowi Orbánowi to rzecz jasna nie przeszkadza.

W jaki sposób Pegasus jest wykorzystywany w Polsce? Trudno powiedzieć. CBA od lat zasłania się ustawą o ochronie informacji niejawnych. Trudno też ustalić, czy inne, podobne systemy cyfrowej inwigilacji są w Polsce używane. Wreszcie: nie jest nawet jasne, czy używanie tego typu narzędzi przez polskie służby jest w ogóle zgodne z prawem.

Jasne jest jednak to, że (z Pegasusem czy bez niego) maile szefa kancelarii premiera są dziś publicznie dostępne w sieci.

Priorytety

Być może więc zamiast kupować drogie (i niebezpieczne) zabawki, polskie służby mogłyby skupić się na zabezpieczeniu kluczowych osób w państwie i zbudowaniu bezpiecznej i użytecznej infrastruktury telekomunikacyjnej. To jednak zadanie niewdzięczne i wymagające woli politycznej, której najwyraźniej brak.

Środki zaoszczędzone na narzędziach cyfrowej inwigilacji (np. 34 mln PLN najprawdopodobniej wydane w 2017 roku właśnie na Pegasusa) można by natomiast spożytkować lepiej dofinansowując polski CERT -- instytucję faktycznie dbającą o cyfrowe bezpieczeństwo kraju, m.in. monitorując i analizując złośliwe oprogramowanie w polskim Internecie, zbierając informacje o incydentach związanych z cyfrowym bezpieczeństwem, i oferując darmowe poradniki dotyczące bezpieczeństwa w Sieci.

Skorzystalibyśmy na tym wszyscy.