Państwo świadome nadużyć: jak „Pegasusy” zabijają demokrację

Grek Thanasis Koukakis nie był osobą karaną ani nie został o nic formalnie oskarżony. Nie wzywano go na przesłuchanie, co świadczyłoby, że jest o coś podejrzany lub choćby mógłby być świadkiem w jakiejkolwiek sprawie. Mimo to dwa lata temu dowiedział się, że władze jego kraju inwigilują go z przyczyn „związanych z bezpieczeństwem narodowym”.

Ten dziennikarz śledczy CNN Greece najpierw sprawdził swój telefon komórkowy u ekspertów z Citizen Lab, którzy potwierdzili, że jest w nim zainstalowany program Pegasus, a zaraz potem wysłał zapytanie do Urzędu ds. Bezpieczeństwa Komunikacji i Prywatności – organu, który od 27 lat umożliwiał Grekom ustalenie, dlaczego państwo ich inwigilowało. W dniu, gdy  dziennikarz złożył pismo, prokurator greckiej służby wywiadowczej nakazał zaprzestanie trwającej od trzech miesięcy inwigilacji. Na oficjalną odpowiedź Koukakis musiał jednak czekać aż rok. Zanim nadszedł list z enigmatyczną odpowiedzią o „bezpieczeństwie narodowym”, władze zmieniły prawo i teraz już żaden Grek nie może się dowiedzieć, czy i z jakiego powodu był inwigilowany.

Na tym jednak sprawa Koukakisa się nie skończyła, bo na początku zeszłego miesiąca okazało się, że w jego telefonie jest nowy potężny program służący inwigilacji – tym razem Predator. Dopytywany o to rzecznik greckiego rządu stwierdził, że władze nie mają z tym nic wspólnego i dziennikarza zapewne inwigiluje jakaś „osoba prywatna”. Sęk w tym, że spyware Predator – jak zapewniają jego twórcy – sprzedawany jest wyłącznie organom ścigania, a nie osobom prywatnym, zresztą dokładnie tak samo jak Pegasus. Co więcej, takie zaawansowane programy kosztują dziesiątki, a nieraz nawet setki milionów dolarów, co sprawia, że dla podmiotów prywatnych choćby z tego powodu są w zasadzie nieosiągalne. 

Sprawa Koukakisa, którego w ciągu półtora roku inwigilowano przy pomocy dwóch potężnych programów szpiegujących, z założenia służących do ścigania terrorystów i sprawców najpoważniejszych przestępstw, pokazuje, jak krucha może być pozycja obywatela w konfrontacji z państwem i jak łatwo można łamać jego prawa, jeśli państwo tych praw przestrzegać nie chce. A jaka może być skala takiego łamania praw obywateli? Tylko w 2020 r. i tylko w Grecji prokuratorzy działający na zlecenie tamtejszych służb kontrwywiadowczych wydali 13 751 pozwoleń na inwigilację, w tym jedno dotyczące Koukakisa. Na pytanie, jakie zagrożenie dla bezpieczeństwa narodowego stanowił, dotąd nikt nie odpowiedział i – w myśl nowych przepisów – już nie musi odpowiadać. Podobnie jest na Węgrzech czy w Polsce, choć tu nawet nie było gdzie pisać odwołania, władze zaś najpierw szły w zaparte, że „żadnego Pegasusa nie mają”, a jak już wreszcie przyznały, że jednak kupiły ten program, to mantrują: „wszystko odbywa się zgodnie z prawem”.

Prawa człowieka i rosyjskie interesy

To miał być ważny zakup dla estońskich służb specjalnych. W 2018 r. rząd Jüriego Ratasa zgodził się zapłacić blisko 30 mln dolarów za licencję na Pegasusa i zdążył już nawet przelać większość tej kwoty na konta producenta oprogramowania, czyli izraelskiej NSO. Izraelskie MON, które musi wydać zgodę na sprzedaż produkowanych w tym kraju programów szpiegowskich, wprawdzie wydało pozwolenie na transakcję z Estończykami, ale wówczas do gry wkroczyła Rosja ze swoimi zastrzeżeniami. Twierdziła, że sąsiedzi będą używać Pegasusa na jej terytorium, co zresztą nie byłoby żadnym ewenementem (choćby ostatnio wyszło na jaw, że urzędników MSZ Wielkiej Brytanii mogły inwigilować Pegasusem służby aż czterech państw: Cypru, Indii, Zjednoczonych Emiratów Arabskich i Jordanii). Mimo obiekcji Rosji, izraelskie MON podtrzymało decyzję o sprzedaży, ale przy wprowadzeniu dodatkowych obostrzeń: program miał mieć techniczną blokadę uniemożliwiającą Estończykom włamywanie się na rosyjskie numery. Ostatecznie nawet to było dla Rosjan nie do przyjęcia. Po kolejnych naciskach Izrael całkowicie transakcję zablokował.

Estonia nie była jedynym państwem, któremu Pegasusa odmówiono nie ze względu na możliwość wykorzystania go w sposób łamiący prawa człowieka, ale ze względu na rosyjskie interesy. Ukraina – według źródeł „The Guardian” i „The Washington Post” – miała się starać o to oprogramowanie co najmniej od trzech lat. Mimo poparcia, jakiego Kijowowi udzielili w tej kwestii Amerykanie, po wielu miesiącach wewnętrznej debaty w ubiegłym roku izraelski rząd ostatecznie zablokował sprzedaż, by ukraińskie cyberoperacje nie zostały uznane przez Rosję za akt agresji.

„Myślę, że amerykańscy przywódcy nie rozumieją dobrze sytuacji” – mówiła magazynowi  „The New Yorker” Eva Galperin, dyrektor ds. cyberbezpieczeństwa Electronic Frontier Foundation, dodając: „Oczekują, że izraelski rząd rozprawi się z NSO, podczas gdy w rzeczywistości firma robi to, co każe jej robić izraelski rząd”. Sojusz NSO z izraelskim państwem był na tyle bliski, że według śledztwa amerykańskiego magazynu firma służyła czasami jako nieoficjalne przedłużenie działań izraelskiego wywiadu i dyplomacji. Były wysoki rangą urzędnik powiedział „Tygodnikowi”, że w przeszłości, kiedy jego jednostka odrzucała prośby o współpracę ze strony europejskich krajów, „Mossad mówił: mamy coś niemal równie dobrego, NSO Group”. Były pracownik NSO powiedział, że państwo „było świadome nadużyć, a nawet wykorzystywało je w ramach własnych działań dyplomatycznych”.

300 aktów przemocy, w tym 4 morderstwa

Izrael na programach takich jak Pegasus zyskuje. Wiele wskazuje, że ma wgląd do danych osób, które są inwigilowane przez ten program, oraz że było to cenne narzędzie dyplomacji byłego premiera Beniamina Netanjahu w kontaktach z krajami takimi jak Polska czy Węgry.

Tylko co na tym zyskują partnerzy Izraela, przynajmniej tacy, którzy sami siebie uważają za kraje demokratyczne?

Biorąc pod uwagę skalę, na jaką wykorzystywane są narzędzia mające służyć organom ścigania do inwigilacji terrorystów i największych przestępców, żaden z nich nie powinien już chodzić wolno. W teorii. Bo w praktyce nikt nie podaje statystyk dotyczących skuteczności związanej z używaniem takich programów jak Pegasus, a jego wykorzystywanie – według analizy grupy badawczej Forensic Architecture z Uniwersytetu Londyńskiego – można bezpośrednio powiązać z co najmniej 300 aktami przemocy fizycznej, w tym z morderstwami co najmniej czterech dziennikarzy. Do tego dochodzą tysiące przypadków inwigilacji opozycjonistów, prawników, a nawet naukowców w co najmniej 45 krajach.

Takich programów jak Pegasus jest więcej

Komisja Parlamentu Europejskiego, która ma zbadać przypadki nadużyć w państwach UE, będzie zapewne chciała zająć się całym rynkiem cyberszpiegostwa, nie tylko Pegasusem, a programów tego typu na rynku jest sporo. „Pegaz” jest wśród nich jedynie najsłynniejszy, ale podobne technologie rozwijają m.in. Włosi czy Holendrzy. Komisja PE nie ma co prawda uprawnień pozwalających jej na podejmowanie wiążących decyzji, ale jej członkowie liczą, że jeśli zrobią dość hałasu, Komisja Europejska nie będzie miała wyboru i zajmie się sprawą. „Nie mówimy o jakimś ataku dyktatorów lub autokratów z krajów trzecich. Ostatnie przypadki wyraźnie pokazują, że nawet europejskie demokracje nie są odporne na nadużycia” –  powiedziała niemiecka eurodeputowana Zielonych Hannah Neumann. Dodatkowym argumentem dla KE może być to, że problem zaczął dotyczyć także tej organizacji – okazało się, że co najmniej pięciu jej pracowników miało w swoich telefonach Pegasusa.

Pracy eurokomisja będzie miała wiele. Citizen Lab ujawniło ostatnio nowy przypadek kampanii inwigilacyjnej, polegającej na podrzucaniu szpiegowskiego oprogramowania aktywistom i politykom. Co najmniej 65 działaczy katalońskiego ruchu niepodległościowego, w tym europosłowie i trzej kolejni prezydenci Katalonii, byli podsłuchiwani za pomocą Pegasusa i innych podobnych narzędzi.

Komisja europarlamentu ma przedstawić raport ze swoich prac za rok.