Policja z narzędziem szpiegowskim. „Za nadużyciami zawsze stoi człowiek”

Zgodnie z medialnymi doniesieniami, Komenda Główna Policji wyda 6,5 mln zł na 3-letnią licencję na narzędzie izraelskiej firmy Cellebrite. Rozwiązanie wcześniej było wykorzystywane do m. in. szpiegowania współpracowników Nawalnego w Rosji. 

W naszym kraju staliśmy się w ostatnim czasie szczególnie wyczuleni na tego typu systemu/oprogramowania, będące w dyspozycji służb. To bezpośredni efekt tzw. afery Pegasusa, którą w Polsce ujawnili specjaliści Citizen Lab w pod koniec 2021 r. 

Dowody zebrane przez specjalistów pokazały, że osoby publiczne, w tym np. mecenas Roman Giertych, prokurator Ewa Wrzosek i senator Krzysztof Brejza, byli inwigilowani za pomocą produktu NSO Group.

Sprawa zyskała rozgłos na arenie UE, kiedy okazało się, że afera Pegasusa, to nie tylko Polska, ale również inne kraje. Odkryto podobne przypadki w m.in. Hiszpanii czy na Węgrzech. 

Z tego względu podjęto decyzję o powołaniu komisji śledczej w Parlamencie Europejskim, której zadaniem jest wyjaśnienie incydentów. Z kolei w naszym kraju aferą zajmuje się senacka komisja nadzwyczajna. 

To nie drugi Pegasus

Jednak narzędzie UFED (Universal Forensic Extraction Device) firmy Cellebrite różni się od Pegasusa. Przede wszystkim wymaga bezpośredniego podłączenia do docelowego telefonu/urządzenia, aby można było je dokładnie „prześwietlić”. 

W przypadku rozwiązania NSO Group dostęp jest zdalny, co stwarza poważne ryzyko, ponieważ ofiara może być zupełnie nieświadoma, że jej sprzęt jest sprawdzany (najgroźniejsza sytuacja występuje w przypadku użytkowników iPhone'ów ze względu na dostęp poprzez „zero-click”).

Generalnie UFED (są jego różne warianty) po podłączeniu do telefonu lub innego sprzętu umożliwia m. in. kopiowanie danych czy złamanie blokady w postaci np. hasła, kodu PIN czy pattern lock na Adroidzie i iOS. 

Ponadto, narzędzie (wersja UFED Cloud Analyzer) pozwala na odczytanie danych z chmury z komunikatorów typu Facebook, Twitter, WhatsApp czy VKontakte.

Dzięki tym wszystkim rozwiązaniom służby są w stanie sprawdzić np. SMS-y, MMS-y, maile, zdjęcia, pliki wideo, historię przeglądania stron internetowych, dane lokalizacyjne i historię połączeń.

„Słabym ogniwem zawsze jest człowiek”

Pojawienie się informacji o zakupie licencji na narzędzie firmy Cellebrite wywołało obawy dotyczące powtórzenia się sytuacji z Pegasusem. Nie brakuje głosów krytycznych, że Policja będzie dopuszczała się nadużyć przy użyciu UFED wobec obywateli, co naruszy ich prawa i wolności. 

Nie ma wątpliwości, że podmioty bezpieczeństwa, jak policja czy inne służby, powinny dysponować nowoczesnymi narzędziami (tele)informatycznymi, dającymi im możliwość efektywnego działania w coraz bardziej zdigitalizowanym świecie. 

„Pozyskiwane narzędzia nie powinny jednak dawać możliwości, nawet czysto teoretycznych, wychodzenia poza literę prawa” – podkreśla na łamach naszego portalu Artur Dubiel, ekspert ds. bezpieczeństwa z Wyższej Szkoły Bankowej w Chorzowie oraz autor podcastu „Na celowniku".

Specjalista tłumaczy, że sposób działania każdego narzędzia – hardware czy software – nie ma znaczenia w kwestii potencjalnych nadużyć. 

„Słabym ogniwem zawsze jest czynnik ludzki, bo to człowiek steruje swoją aktywnością, różnie przy tym będąc motywowanym: słabościami, szantażem, chęcią zysku, zazdrością czy zemstą, a nawet i chęcią zatuszowania swoich niekompetencji” – tłumaczy Artur Dubiel.

Zwraca jednak uwagę, że poprzez nadzór i kontrolę, a także obowiązujące prawo (przewidujące kary za złamanie obowiązujących przepisów), motywacja do podejmowania „zbyt daleko idących kroków” jest zwykle mniejsza. 

Kiedy służby mogą zabrać nam sprzęt?

Jednak w przypadku UFED, aby funkcjonariusze policji mogli prześwietlić nasz sprzęt, muszą najpierw uzyskać do niego dostęp. Kiedy zatem urządzenie może zostać zajęte?

„Służby posiadają uprawnienie do zajęcia naszego każdego sprzętu czy rzeczy, jeśli istnieje uzasadnione podejrzenie, że mogły posłużyć przestępstwu” – wskazuje nasz rozmówca. 

Jak tłumaczy, w przypadku, gdy na zajętym urządzeniu będą zapisane dane, funkcjonariusze będą starali się do nich dotrzeć i je odczytać. „Wszystko oczywiście zależy też od okoliczności i podstaw prowadzonych czynności służbowych” – dodaje autor podcastu „Na celowniku”. 

To na ustawodawcy spoczywa obowiązek stworzenia takiego systemu prawnego, aby z jednej strony służby mogły skutecznie realizować swoje działania, a z drugiej, by obywatele nie musieli się obawiać, że dojdzie wobec nich do nadużyć ze stronu aparatu państwowego. 

Artur Dubiel podkreśla, że „o winie orzeka sąd a nie fakt podjęcia czynności służbowych”.  „Uprawnienia i działanie aparatu państwowego muszą mieć swoje prawne umocowanie, a działania ingerujące w prawa człowieka i obywatela muszą być zapisane w akcie prawnym rangi ustawy” – mówi ekspert na łamach naszego portalu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected].