PEGASUS
Pegasus to oprogramowanie zdolne do włamania się do telefonów komórkowych i zbierania ogromnych ilości danych przechowywanych lub przetwarzanych przez system docelowy. Jego producent, NSO Group, reklamował oprogramowanie jako narzędzie do „wojny cybernetycznej”. New York Times ozdobnie określił go jako „najpotężniejszą na świecie broń cybernetyczną”. Według współzałożyciela NSO – Shaleva Hulio, takie technologie stały się niezbędne wraz z pojawieniem się zaszyfrowanej komunikacji masowej i dostawców komunikacji elektronicznej, którzy odmawiają rządom dostępu do prywatnej komunikacji (problem „going dark”).
W porównaniu z „bulk interception”, którego celem jest masowe zbieranie i analizowanie ogromnych ilości danych z punktów dostępu do infrastruktury komunikacji elektronicznej, Pegasus wykorzystuje luki w telefonach komórkowych wcześniej zidentyfikowanych osób. Nie wymaga on zaangażowania dostawców usług komunikacji elektronicznej i łączy w sobie różnorodne narzędzia nadzoru elektronicznego. Pegasus umożliwia operatorom czytanie wiadomości tekstowych, śledzenie połączeń, zbieranie haseł, śledzenie lokalizacji, dostęp do urządzeń z mikrofonem i kamerą oraz ich nagrywanie, a także zbieranie informacji z aplikacji bez zauważenia celu i w różnych krajach („extraterritorial reach”).
Pierwsze doniesienia
Kanadyjskie laboratorium interdyscyplinarne Citizen Lab po raz pierwszy odkryło ślady oprogramowania szpiegowskiego Pegasus w 2015 roku, ale dopiero w 2021 roku skandal wybuchł na skalę globalną. Stało się tak dzięki wspólnym wysiłkom Citizen Lab, Amnesty International, Forbidden Stories i 17 organizacji medialnych. Raporty ujawniły, że autorytarne i demokratyczne rządy na całym świecie wykorzystywały Pegasusa do szpiegowania dziennikarzy, prawników, aktywistów, polityków oraz wysokich rangą urzędników państwowych. Śledczy łączą oprogramowanie szpiegowskie z pogwałceniem praw człowieka – w tym z zastraszaniem, nękaniem, zatrzymywaniem i morderstwami. Pegasus został opracowany przez NSO Group i jest przeznaczony do naruszania telefonów komórkowych i ekstrakcji ogromnych ilości danych przechowywanych lub przetwarzanych przez system docelowy, w tym wiadomości tekstowych, przechwytywania połączeń, haseł, lokalizacji, nagrań z mikrofonu i kamery oraz informacji z aplikacji.
W Unii Europejskiej, rządy Węgier i Polski jako pierwsze znalazły się w ogniu krytyki, po tym, jak organizacje medialne ujawniły szerokie wykorzystanie oprogramowania szpiegowskiego Pegasus przez władze publiczne przeciwko przedstawicielom opozycji rządu. Węgierski poseł Fideszu Lajos Kósa i polski wicepremier Jarosław Kaczyński, a także polski minister sprawiedliwości Zbigniew Ziobro jako pierwsi potwierdzili nabycie Pegasusa przez władze publiczne. Nieco później Hiszpania znalazła się w ogniu „cyklonu” Pegasusa po ujawnieniu przez Citizen Lab szeroko zakrojonych operacji szpiegowskich oprogramowania przeciwko Katalończykom („CatalanGate”).
Mówi się, że Pegasusem dysponowali również Niemcy, Belgia i Holandia, a Cypr i Bułgaria miały służyć jako kraje eksportu oprogramowania – rodzi to pytania o miejsca przeznaczenia i zezwolenia na eksport. To odkrycie obudziło obawy na różnych poziomach europejskiego porządku prawnego: w odniesieniu do ochrony danych i prywatności, wolności słowa, wolności prasy, wolności zrzeszania się, mechanizmów odwoławczych oraz procesów i instytucji demokratycznych. W odpowiedzi na nadużycia w zakresie nadzoru osoby fizyczne i władze poszukiwały możliwości dochodzenia roszczeń i egzekwowania prawa, takich jak indywidualne spory sądowe, formalne skargi, postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego oraz mechanizmy sankcji za kwalifikowane uchybienia w zakresie praworządności.
Na Węgrzech, w Polsce i w Hiszpanii opozycjoniści dokonują porównań do amerykańskiego skandalu Watergate, który doprowadził do rezygnacji prezydenta Richarda Nixona w 1974 roku.
Doniesienia o Pegasusie rzuciły światło na negatywne skutki handlu i nadużywania technologii nadzoru cybernetycznego, decydenci nadal szukają odpowiednich odpowiedzi. Chociaż UE poczyniła znaczne postępy w dziedzinie bezpieczeństwa cybernetycznego, odpowiedzialności cywilnej i prywatności, wzmocnienie ich skuteczności może zdecydowanie pomóc w ograniczeniu nadużywania oprogramowania szpiegowskiego.
Sprawa polska
W Polsce skandal z systemem Pegasus został ujawniony na zasadzie indywidualnego przypadku. Wydaje się, że Pegasus został podjęty w trwających dochodzeniach w sprawie korupcji. Według doniesień system Pegasus został nabyty przez Centralne Biuro Antykorupcyjne (CBA) i po raz pierwszy użyty w Polsce w 2017 r. do inwigilacji byłego rzecznika Ministerstwa Obrony Narodowej Bartłomieja Misiewicza. Innymi potencjalnymi celami Pegasusa, związanymi wcześniej z partią rządzącą PiS, są: Adam Hofman i Dawid Jackiewicz – zamieszani w aferę korupcyjną „Zmowa Wrocławska”. Według źródeł, Katarzyna Kaczmarek, żona byłego agenta CBA i byłego posła PiS Tomasza Kaczmarka („agent Tomek”), była inwigilowana przez Pegaza ze względu na jej znajomość potencjalnie szkodliwych informacji o sprawach wewnętrznych Mariusza Kamińskiego, Ministra Spraw Wewnętrznych i Administracji oraz Koordynatora Służb Specjalnych.
Przede wszystkim na celowniku znalazły się osoby z opozycji i ich współpracownicy, jak np.: prawnik (i były polityk) Roman Giertych, reprezentujący liderów opozycji – w tym Donalda Tuska, który według jego prawnika był prawdziwym celem; prokurator Ewa Wrzosek, która wszczęła śledztwo w sprawie organizacji wyborów kopertowych w maju 2020 r; opozycyjny senator Krzysztof Brejza. Celem stał się również założyciel ruchu „Agrounia” Michał Kołodziejczak; dziennikarz Tomasz Szwejgiert – współautor książki o działalności Kamińskiego jako szefa CBA, a także były szef Centralnego Biura Antykorupcyjnego – Paweł Wojtunik oraz były minister transportu – Sławomir Nowak, który został zatrzymany na trzy dni przed drugą turą wyborów prezydenckich pod zarzutem korupcji, kierowania zorganizowaną grupą przestępczą i prania brudnych pieniędzy. Ujawniono również, że Andrzej Malinowski był inwigilowany za pomocą Pegasusa. Podejrzewa on, że mogło to mieć związek m.in. z jego działalnością w Radzie Dialogu Społecznego, kontaktami w kraju i za granicą oraz krytycznymi wobec PiS-u felietonami publikowanymi w „Rzeczpospolitej”.
12 stycznia br. powołano senacką Komisję Nadzwyczajną ds. inwigilacji. Zadaniem Komisji jest wyjaśnienie spraw i implikacji prawnych, a także podjęcie inicjatywy ustawodawczej w celu zreformowania działalności podjęcie inicjatywy ustawodawczej w celu zreformowania działalności służb specjalnych; nie posiada ona uprawnień śledczych.
Rządząca partia PiS blokowała starania opozycji o powołanie komisji śledczej w Sejmie. Prokuratura Okręgowa w Ostrowie Wielkopolskim wszczęła śledztwo w sprawie inwigilacji Krzysztofa Brejzy przez Pegasusa. Z kolei Prokuratura Okręgowa w Warszawie odmówiła wszczęcia postępowania w sprawie prokurator Ewy Wrzosek. Złożyła ona zażalenie, które – jak miała nadzieję – „pozwoli na uchylenie nieuzasadnionej i przedwczesnej odmowy wszczęcia śledztwa”.
Kroki podjęte przez Unię Europejską
Komisja UE zapewniła Parlament, że jest świadoma rozwoju sytuacji na poziomie państw członkowskich – miała ona uwzględnić niedociągnięcia w sprawozdaniu na temat praworządności.
Badanie takich kwestii należy do obowiązków każdego państwa członkowskiego.
Komisja europejska
Przed powołaniem komisji śledczej posłowie Parlamentu Europejskiego omawiali aferę Pegasusa podczas kilku wydarzeń: na sesji plenarnej 15 września 2021 r. i 15 lutego 2022 r.; w komisjach 9 września 2021 r., 29 listopada 2021 r. i 1 lutego 2022 r. oraz podczas publicznego przesłuchania Europejskiej Partii Ludowej 10 lutego 2022 r.
W marcu 2022 r. Parlament przyjął sprawozdanie potępiające stosowanie oprogramowania do inwigilacji Pegasus przez węgierskie i polskie podmioty państwowe oraz wezwał Komisję do sporządzenia listy nielegalnego oprogramowania do inwigilacji i ciągłej jej aktualizacji.
„Bardziej rygorystyczne przepisy dotyczące oprogramowania szpiegowskiego są potrzebne, by chronić obywateli” – sens Komisji PEGA, konferencja 21.09.2022
Podczas wizyty w dniach 19-21 września, dziesięcioosobowa delegacja posłów z komisji śledczej do zbadania wykorzystania oprogramowania szpiegowskiego Pegasus i równoważnych programów inwigilacyjnych spotkała się z komisją śledczą ds. oprogramowania szpiegowskiego polskiego Senatu oraz posłami Sejmu, niższej izby parlamentu.
Komisja ds. Pegasusa odwiedziła również Najwyższą Izbę Kontroli, aby dowiedzieć się o jej kontrolach, które ujawniły zakupy oprogramowania szpiegowskiego ze środków publicznych. Członkowie komisji spotkali się z również osobami, które stały się ofiarami oprogramowania szpiegowskiego.
Odbyliśmy serię owocnych spotkań, które rzuciły nowe światło na nielegalne stosowanie inwazyjnej inwigilacji przeciwko podmiotom demokratycznym w Polsce. Widzimy, że system prawnych i instytucjonalnych kontroli i równowagi został rozmontowany, aby umożliwić namierzanie osób uznanych za przeciwników politycznych za pomocą broni cybernetycznej klasy wojskowej. W rezultacie kluczowe standardy demokratyczne i prawa obywatelskie zapisane w prawie unijnym i polskim zostały rażąco naruszone. Jest to kolejny wymiar kryzysu państwa prawa w Polsce.
Przewodniczący komisji Jeroen Lenaers (EPP, NL)
Współpraca z rządem jest utrudniona, niechętnie podejmowane są kroki w celu rozwiązania cybernetycznej sprawy po polskiej stronie. W kontekście poważnych naruszeń podstawowych praw obywateli europejskich oraz podważania demokracji w Europie przy pomocy oprogramowania szpiegowskiego Pegasus, nie do przyjęcia jest fakt, że NSO i władze Izraela odmawiają potwierdzenia, czy eksportowane licencje oraz umowy z władzami polskimi zostały uchylone, czy też nie.
Potępiamy odmowę współpracy rządu Polski z komisją PEGA. Nie zniechęca nas to jednak do kontynuowania naszego dochodzenia i przygotowania rekomendacji, które pomogą zabezpieczyć obywateli UE przed nadużywaniem narzędzi inwazyjnego nadzoru. […] To, co usłyszeliśmy w Warszawie, jest szokujące. Pegaz został nielegalnie kupiony i wykorzystany do celów politycznych, podczas gdy nie ma praktycznie żadnej kontroli służb bezpieczeństwa. W tych okolicznościach nikt nie może czuć się bezpiecznie.
„Potrzebujemy europejskich przepisów regulujących wykorzystanie technologii szpiegowskich, aby niewinni obywatele nie stali się ofiarami natrętnej i nielegalnej inwigilacji, czego byliśmy świadkami w Polsce”
Państwa członkowskie mogą kwestionować możliwość zastosowania prawa UE i jurysdykcję TSUE ze względu na odpowiedzialność za ochronę bezpieczeństwa narodowego (art. 4 ust. 2 TUE i art. 1 ust. 3 dyrektywy o prywatności i łączności elektronicznej (ePD)337), o tyle TSUE może równie dobrze przyjąć podejście materialne i zakreślić termin, na co wskazał w orzeczeniu w sprawie La Quadrature du Net (LQDN) i Privacy International. Wiele kontrowersji budzi kwestia uwarunkowań prawnych i skutków prawnych art. 4 ust. 2 TUE. Zgodnie z orzeczeniami LQDN i Privacy International, odpowiedzialność państw członkowskich za bezpieczeństwo narodowe „odpowiada pierwszorzędnemu interesowi ochrony podstawowych funkcji państwa i podstawowych interesów społeczeństwa oraz obejmuje zapobieganie i karanie działań mogących poważnie zdestabilizować podstawowe konstytucyjne, polityczne, gospodarcze lub społeczne struktury kraju, a w szczególności bezpośrednio zagrażających społeczeństwu, ludności lub samemu państwu, takich jak działalność terrorystyczna”.
UE mogłaby wspierać egzekwowanie praw z powództwa prywatnego poprzez finansowanie projektów społeczeństwa obywatelskiego mających na celu ułatwienie wymiany informacji między poszkodowanymi stronami lub potwierdzanie na drodze sądowej faktu zainfekowania telefonów komórkowych. Szczególna potrzeba publicznego egzekwowania prawa przez UE pojawia się w przypadku, gdy skuteczne i terminowe egzekwowanie prawa jest utrudnione na poziomie krajowym, a egzekwowanie prawa przez osoby prywatne jest zablokowane na wyższym poziomie – na przykład dlatego, że poszkodowane strony nie kwalifikują się jako wnioskodawcy (procedury UE) lub muszą najpierw wyczerpać krajowe środki odwoławcze (procedura ETPCz).
Szpiegowanie przeciwników politycznych jest sposobem działania Putina i jest nie do przyjęcia w UE. Obecny polski rząd odmawia zbadania i wyjaśnienia tego skandalu. Dlatego polscy obywatele liczą na to, że Europa będzie chronić ich prywatność i wolności. Potrzebujemy silniejszego europejskiego prawodawstwa dotyczącego technologii szpiegowskich, które ochroni wszystkich obywateli Europy, w tym Polaków, przed nadużyciami ze strony oprogramowania szpiegowskiego. Musimy mieć pewność, że takie technologie są stosowane tylko w ostateczności, w najpoważniejszych przestępstwach, z bardzo surowymi zabezpieczeniami.
O autorze
Studentka administracji na Uniwersytecie Warszawskim. Stara się wydłużyć dobę do 48 godzin. Entuzjastka picia kawy. Interesuje się prawem rynków kapitałowych oraz nowymi technologiami. W wolnym czasie robi zdjęcia oraz organizuje city breaks.