Polityka i prawo
Pegasus w Unii. „Nadzwyczajne konsekwencje dla nadużywających władzy”
„Powinny być nadzwyczajne konsekwencje dla wszystkich, którzy nadużywają władzy” - to jedna z tez, która padła podczas kolejnego już posiedzenia komisji śledczej ds. Pegasusa w Parlamencie Europejskim. Wskazano, że sprzedaż systemu szpiegowskiego przez firmy takie jak NSO Group odbywa się w oparciu o zasadę „działania w dobrej wierze”.
Roman Ramirez, specjalista ds. cyberbezpieczeństwa, podkreślił przed komisją śledczą Parlamentu Europejskiego ds. Pegasusa, że wykorzystanie systemów szpiegowskich, takich jak Pegasus to złożony problem.
„Wyobraźmy sobie urządzenie z szyfrowaniem, a organy ścigania próbują prowadzić dochodzenie w sprawie jego właściciela. Pojawiają się tutaj dwie ścieżki” – wskazał ekspert.
Jedną z nich jest „osłabienie” szyfrowania na obszarze np. UE (poprzez np. konieczność wprowadzania backdoorów), co ma negatywne konsekwencje dla obywateli. Wynika to z faktu, że w ten sposób ograniczany jest poziom ich bezpieczeństwa i prywatności.
Drugą opcją jest użycie zaawansowanych narzędzi szpiegowskich. Tego typu rozwiązania wykorzystują luki i/lub inne słabe punkty sprzętu bądź oprogramowania, w celu przejęcia nad nim kontroli.
„Jeśli organy ścigania mają prowadzić swoje czynności, to muszą posiadać określone możliwości. Moim zdaniem powinny mieć pewne zdolności i ich używać, ale tylko wtedy, gdy odpowiednią decyzję wyda właściwy sąd”– zaznaczył Roman Ramirez. Dodał, że nie chodzi tu o to, by zajmować się technologią, lecz kontrolą nad działaniem służb. „Muszą posiadać dostęp do urządzeń, ale nie może to być zjawisko powszechne” – precyzował.
Uważam, że kontrola nad wykorzystaniem rozwiązań takich jak Pegasus jest za mała.
Roman Ramirez, specjalista ds. cyberbezpieczeństwa
Podczas wysłuchania w komisji śledczej PE ds. Pegasusa specjalista zwrócił uwagę, że organy ścigania i służby wywiadowcze będą musiały wykorzystywać technologie szpiegowskie. Jednak jego zdaniem musi to się odbywać na podstawie konstytucyjnej, demokratycznej kontroli dostępu do tego typu narzędzi.
Powinny być nadzwyczajne konsekwencje dla wszystkich, którzy nadużywają władzy.
Roman Ramirez, specjalista ds. cyberbezpieczeństwa
Czytaj też
Jak broń
Z kolei Michel Arditti ze Swiss Cyber Solutions (SCS) w trakcie swojego wystąpienia zaznaczył, że użycie systemów podobnych do Pegasusa jest uregulowane. Są sprzedawane tylko agencjom rządowym.
„Mamy tu uregulowanie podobnie jak w przypadku broni. Istnieją różnego rodzaju licencje, certyfikaty. Trzeba jednak mieć na uwadze, że tego typu technologie stają się coraz bardziej złożone” – wskazał specjalista.
„Byle kto” nie korzysta z Pegasusa
Jak podkreślił, we współczesnym świecie infekowanie telefonów jest czymś normalnym. Dokonują tego nie tylko cyberprzestępcy, ale także podmioty rządowe. Ekspert ocenił, że „nie da się infekować telefonów bez posiadania odpowiednich zdolności”. Rozwiązania do tego przeznaczone z czasem stają się coraz bardziej rozbudowane i zaawansowane.
W odniesieniu do Pegasusa przedstawiciel Swiss Cyber Solutions zaznaczył, że jest on jedynie narzędziem i aby go skutecznie wykorzystać potrzeba m.in. zespołu, który będzie przygotowywał np. scenariusze i plany włamań na urządzenia (jaką wiadomość wysłać do ofiary, aby zachęcić ją do kliknięcia w link itd.).
Co więcej, niezbędne są zdolności do gromadzenia i analizy ogromnej ilości danych.
Pegasus to chirurgiczne narzędzie do strategicznego pozyskiwania informacji.
Michel Arditti ze Swiss Cyber Solutions (SCS)
Michel Arditti powiedział wprost: „Sprzedawca (narzędzia szpiegowskiego – red.) nie widzi danych, które są pobierane za pomocą jego rozwiązania”. Jak dodał, wszystko opiera się tutaj na zasadzie „działania w dobrej wierze”.
Czytaj też
Trzy wyzwania dla dostawców
Michel Arditti omówił również trzy główne wyzwania, przed którymi stoją producenci i dostawcy rozwiązań szpiegowskich. Po pierwsze, wskazał na problem międzynarodowej skali. Co miał na myśli? Otóż, przykładowo NSO Group sprzedaje licencje na Pegasusa określonemu państwu, a przecież przestępczość nie ma granic. Z tego względu (poruszanie się przestępców między krajami) często skuteczność prowadzenia działań do samego końca jest ograniczona.
Po drugie: gromadzenie danych - informacji jest coraz więcej, pochodzą one z różnych urządzeń, aplikacji, platform itd. „Obecnie w przypadku prowadzenia śledztw mówi się o terabajtach danych” – podkreślił Michel Arditti.
Przedstawiciel Swiss Cyber Solutions, w nawiązaniu do poprzedniej myśli, wskazał, że wyzwaniem jest także „pogodzenie" danych z różnych źródeł, np. komunikatorów jak Telegram, WhastApp czy Messenger. Wynika to z faktu, że współcześnie na rynku dostępnych jest wiele aplikacji, dzięki czemu przestępcy mogą prowadzić komunikację na kilku urządzeniach przy wykorzystaniu sporej liczby komunikatorów.
Czytaj też
Gdzie jest granica?
Przed komisją śledczą PE ds. Pegasusa stanął również Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych. Zaznaczył, że problemy związane z Pegasusem oraz innymi rodzajami tego typu oprogramowania nie są niczym nowym. Jego biuro podejmowało działania w tej sprawie.
Nie możemy skupiać się tylko na Pegasusie, lecz również innych podobnych narzędziach.
Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych
Specjalista zaznaczył, że rozwiązania przeznaczone do nadzoru i szpiegostwa mogą naruszać podstawowe wolności, które są zagwarantowane przez UE, w tym m.in. prywatności, słowa czy religii.
Problem jest m.in. fakt, że przepisy regulujące kwestie nadzoru telekomunikacyjnego w wielu krajach UE odzwierciedla rzeczywistość z XX lub początku XXI wieku. A przecież od tego czasu wiele się zmieniło – postęp technologiczny jest zdecydowanie większy niż we wskazanych okresach.
Wojciech Wiewiórowski podkreślił, że Pegasus jest używany do różnych celów i mówimy o kwestii, która ma wymiar międzynarodowy. „Postrzegamy tę sprawę znacznie szerzej niż tylko w kontekście ochrony danych i prywatności” – zadeklarował, odnosząc się do działalności swojego biura.
Gdzie jest granica między naruszeniem prawa a wyjątkami uzasadniającymi wykorzystanie tego typu systemów (jak Pegasus – red.)?
Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych
Stojąc przed komisją, wezwał państwa do „niewykorzystywania możliwości wynikających z władzy do celów politycznych”. Musimy pamiętać, że tego typu narzędzia zostały stworzone z myślą o m.in. cyberwojnie. Z tego względu należy prowadzić rozmowy i skupić się na kontroli nad narzędziami szpiegowskimi, które są używane przez m.in. autorytarne państwa.
Czytaj też
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.