Rośnie popularność narzędzi typu Pegasus. Co UE może zrobić?

Unia Europejska niezmiennie zajmuje się aferą Pegasusa w krajach członkowskich, w tym przypadkami użycia izraelskiego narzędzia szpiegowskiego wobec Polaków (m.in. mec. Roman Giertych, prok. Ewa Wrzosek , opozycyjny senator Krzysztof Brejza). 

Inicjatywy podejmowane są w ramach komisji śledczej, utworzonej w Parlamencie Europejskim. Jej mandat został przedłużony do 10 czerwca br. na podstawie decyzji przewodniczących PE. Podczas ostatniego posiedzenia (tj. czwartek, 19 stycznia br.) przedstawiono najważniejsze punkty raportu pt. „Pegasus a relacje zewnętrzne UE”. 

Jego autorami są eksperci Steven Feldstein i Richard Youngs z think-tanku Carnegie Europe. Dokument powstał na zalecenie Parlamentu Europejskiego, jednak - jak zastrzeżono - nie reprezentuje poglądów komisji. 

Wzrost ryzyka inwigilacji

W treści zwrócono uwagę, że rozwój nowoczesnych technologii sprawił, iż państwa zyskują kolejne narzędzia pozwalające na zwiększenie kontroli nad społeczeństwem i represji, co prowadzi do naruszeń podstawowych praw i wolności jednostek. 

Z tego względu wśród kluczowych wyzwań generowanych przez innowacje, są – zdaniem ekspertów – rozprzestrzenianie narzędzi przeznaczonych do m.in. inwigilacji obywateli oraz wzrost zainteresowania rządów praktykami ingerencji i kontroli wobec społeczeństwa, które są trudne do wykrycia i tym samym - do pociągnięcia sprawców do odpowiedzialności. 

Ryzyko wykorzystania nowoczesnych technologii do represji lub kontroli wzrasta w zwłaszcza w okresie napięć politycznych, wyborów, protestów, demonstracji, konfliktów zbrojnych lub innego rodzaju kryzysów, takich jak np. pandemia.
Raport „Pegasus a relacje zewnętrzne UE”

Autorzy raportu wskazują, że najczęściej celem tego typu działań ze strony aparatu państwowego są „grupy szczególnie wrażliwe”. Określenie to obejmuje m.in. dziennikarzy, opozycję, obrońców praw człowieka, krytyków władzy czy przedstawicieli społeczeństwa obywatelskiego.  

Rośnie popularność „Pegasusów”

Do inwigilacji wykorzystywane jest spyware, czyli rozwiązania szpiegowskie, które mogą działać niezauważenie na urządzeniu ofiary. Stworzony przez izraelską spółkę NSO Group Pegasus to jeden z przykładów systemów pracujących w ten sposób. Mówimy o narzędziu inwazyjnym, umożliwiającym nie tylko kradzież danych z określonego sprzętu, ale także np. ich manipulację, usuwanie, a nawet podrzucanie sfabrykowanych treści. 

Musimy jednak pamiętać, że NSO Group to nie jedyny producent tego typu rozwiązań. Wystarczy wspomnieć również o m.in. Cytrox, Cyberbit, Black Cube, Cellebrite i RCS Labs. To pokazuje, że rynek spyware rozwija się. 

W raporcie zwrócono uwagę, że coraz więcej rządów decyduje się na zakup takiego oprogramowania lub systemu (licencji). W ten sposób rośnie popularność „Pegasusów", co sprawia, że niektórzy producenci, jak np. Cytrox, generują znaczące zyski na bazie „nieprzejrzystych umów o wartości milionów dolarów". 

Specjaliści są zaniepokojeni faktem, że obecnie istnieje niewielki nadzór nad rynkiem spyware. Ponadto, dostawcy narzędzi szpiegowskich nie przestrzegają podstawowych standardów ochrony prywatności i gwarancji praw człowieka.

„Raczkujące” wysiłki UE

Zdaniem Stevena Feldsteina i Richarda Youngsa, pomimo wielu inicjatyw UE na rzecz walki z cyfrowym autorytaryzmem, nadużyciami w sieci, naruszeniami podstawowych praw i wolności jednostek poprzez technologie, Wspólnota musi wzmocnić zestaw narzędzi i lepiej dostosować go do wyzwań związanych z oprogramowaniem szpiegowskim. 

„Problem ten zyskuje na znaczeniu w stosunkach międzynarodowych, dlatego przymuje coraz bardziej geopolityczny wymiar” – stwierdził podczas ostatniego posiedzenia komisji śledczej PE Richard Youngs. 

Do tej pory Bruksela dążyła do m.in. ściślejszej kontroli eksportu tego typu rozwiązań, ograniczania możliwości zakupu narzędzia la Pegasus czy bardziej odpowiedzialnego licencjonowania produktów szpiegowskich. Jednak w ocenie specjalistów, to wciąż za mało, a w wielu przypadkach mechanizmy UE pozostają w tyle za ewolucją wyzwań związanych z oprogramowaniem szpiegowskim. 

„Nie zagwarantowano żadnej regulacji, która ograniczałaby użycie narzędzi szpiegowskich” – zaznaczył w czasie komisji przedstawiciel Carnegie Europe. 

Biorąc pod uwagę powyższe kwestie, eksperci ocenili wysiłki Unii jako „raczkujące”. 

Co UE powinna zrobić?

W raporcie wskazano, że aby Wspólnota mogła skuteczniej walczyć ze zjawiskiem handlowania i nadużywania narzędzi podobnych do Pegasusa, powinna rozszerzyć system globalnych sankcji za łamanie praw człowieka, poprzez wyraźne podkreślenie aspektów „cyfrowych represji” ze strony rządów (np. inwigilacja obywateli).

W czasie posiedzenia komisji Richard Youngs podkreślił jednoznacznie, że nie powinno dochodzić do importu i/lub eksportu spyware do państw, które nie dbają o podstawowe prawa i demokratyczne zasady. 

Ponadto, autorzy dokumentu zwracają uwagę na potrzebę uczynienia „represji cyfrowych" centralnym elementem unijnej dyplomacji na wysokim szczeblu oraz strategii geopolitycznych. Ich zdaniem trzeba, aby UE zwiększała presję na prywatne przedsiębiorstwa w krajach trzecich, aby zmuszać je do przestrzegania rygorystycznych norm chroniących np. prawa jednostek. 

Inne rekomendacje dotyczą tego, by Bruksela zainwestowała więcej w zdolności do monitorowania cyfrowych nadużyć w celu ich skuteczniejszego wykrywania i ujawniania, a także utworzyła urząd „oficjalnego łącznika" lub punktu kontaktowego, odpowiedzialnego za liczne inicjatywy UE w obszarze cyberbezpieczeństwa i praw człowieka. 

Według Richarda Youngsa, istotne jest również opracowanie wspólnej na poziomie UE definicji pojęcia „bezpieczeństwo narodowe”. Dlaczego? „Wspólna, uściślona definicja w ramach UE pozwoliłaby na lepszą kontrolę demokracji we Wspólnocie” – tłumaczył ekspert przed komisją PE. W efekcie możliwe byłoby np. łatwiejsze identyfikowanie nadużyć ze strony rządów pod pretekstem dbałości o bezpieczeństwo narodowe. 

Co więcej, przedstawiciele Carnegie Europe uważają, że warto także zorganizować w ramach Unii „Szczyt na rzecz Demokracji”, podczas którego omówione zostałyby wyzwania i problemy związane z naruszaniem podstaw demokracji, praw człowieka i swobód obywatelskich. Ich zdaniem odrębnym punktem obrad powinny być kwestie dotyczące narzędzi szpiegowskich i ich wykorzystania do inwigilacji obywateli. 

W czasie posiedzenie komisji śledczej PE ds. Pegasusa polska eurodeputowana Różna Thun przekazała, że „Szczyt na rzecz Demokracji” planowany jest na marzec br. 

Dokument podkreśla również wagę takich kwestii jak m.in.:

• długoterminowych, ściślejszych kontroli eksportu narzędzi szpiegowskich poprzez opracowanie nowych procedur i mechanizmów do tego przeznaczonych;
• podkreślenie wyzwań związanych ze spyware w stosunkach dyplomatycznych z Izraelem (to „centrum" rynku rozwiązań szpiegowskich; producenci są wspierani przez tamtejszy rząd);
• stworzenie „czarnej listy" dostawców oprogramowania szpiegowskiego, na wzór podejścia, które występuje w USA (podmioty będące na np. czarnej liście Departamentu Handlu zostają objęte sankcjami).

Więcej zaleceń oraz szczegółowe postanowienia raportu można znaleźć pod linkiem. Z kolei nagranie z posiedzenia komisji śledczej PE ds. Pegasusa jest dostępne tutaj.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].