Zacznijmy od tego, czym jest Pegasus. Jest to oprogramowanie stworzone przez izraelską firmę NSO Group złożoną z byłych członków służb bezpieczeństwa. Głównym celem Pegasusa jest zbieranie danych z urządzeń mobilnych osoby nadzorowanej bez jej wiedzy. Pegasus zgodnie ze swoim przeznaczeniem ma być wykorzystywany jako pomoc w zwalczaniu terroryzmu i przestępczości. Na podstawie analizy ujawnionych danych Forbidden Stories dot. potencjalnych klientów zidentyfikowano potencjalnych klientów NSO w 11 krajach: Azerbejdżanie, Bahrajnie, na Węgrzech, w Indiach, Kazachstanie, Meksyku, Maroku, Rwandzie, Arabii Saudyjskiej, Togo i Zjednoczonych Emiratach Arabskich. Jak się okazało, państwa, które zakupiły technologię, często nadużywały możliwości płynących z oprogramowania.

Kiedy sprawa wyszła na jaw?

„Projekt Pegasus” rozpoczął się w momencie, kiedy dziennikarze uzyskali dostęp do ponad 50 tys. numerów telefonów w prawie 50 krajach będących, jak byli przekonani, listą celów ataków hakerskich przy użyciu oprogramowania szpiegowskiego stworzone przez NSO Group.

W celu śledzenia wdrażania i wpływu na prawa człowieka narzędzi cyfrowego nadzoru, stworzonych przez NSO Group, powstała specjalna strona internetowa Digitalviolence.org. Jest to platforma, na której umieszczone zostały interaktywne wykresy i mapy, pokazujące wykorzystanie narzędzi kontroli w ośmiu państwach w latach 2011–2021. Wykres cały czas jest uzupełniany o nowe dane. Patronat nad projektem objęło m.in. Amnesty International.

W jaki sposób telefon może zostać zainfekowany Pegasusem?

Pierwsze wersje oprogramowania opierały się na sposobach stosowanych przez hakerów. Osoba dostawała informację z nieznanym linkiem. Po kliknięciu w link w urządzeniu mobilnym instalowało się oprogramowanie, niewidoczne z punktu widzenia użytkownika. Program pozwalał na dostęp do każdego rodzaju informacji w telefonie – wszelkich baz danych, takich jak zdjęcia, wiadomości tekstowe i zainstalowane aplikacje. Co więcej, operator prowadzący nadzór uzyskiwał także dostęp do aparatu, kamery i mikrofonów, które mogły zostać włączone bez wiedzy użytkownika.

Oznacza to, że zainfekowany telefon mógł nagrywać obraz, nawet jeśli aparat pozostawał wyłączony. Z informacji zawartych w raporcie Amnesty International wynika, że Pegasus pozwalał na uzyskanie dostępu także do danych, które były zaszyfrowane. Tak było chociażby w przypadku sześciu dysydentów z Rwandy, których rozmowy były śledzone w 2019 roku przez aplikację Whatsapp.

Najnowsze wersje oprogramowania jednak nie muszą wykorzystywać linków, aby uzyskać dostęp do telefonu. Zgodnie z informacjami przedstawionymi przez autorów raportu Pegasus może zostać zainstalowany zdalnie, bez konieczności ingerencji użytkownika.

Wśród numerów telefonów, które wyciekły, a będących listą potencjalnych celów zdalnej obserwacji, znaleźli się obrońcy praw człowieka, dziennikarze, prawnicy, aktywiści i politycy z całego świata. Jednak, jak się okazało, zbieranie danych nie ograniczało się tylko do nich, ale także do ich otoczenia. Tak było w przypadku Jamala Khashoggiego, zamordowanego saudyjskiego dziennikarza. Jak się okazało, cztery miesiące przed jego zabójstwem jego żona była namierzana z wykorzystaniem Pegasusa.

Osobną kwestią pozostaje zasada poufności dziennikarskiej i tajności źródeł. Wielu dziennikarzy, których numery znalazły się na liście, było dziennikarzami śledczymi. W swoich telefonach posiadali numery do osób udzielających im informacji, często z narażeniem swojego zdrowia lub życia. Dostanie się tych danych w niepowołane ręce stanowiło zatem zagrożenie również dla niczego nieświadomych informatorów.

Skutki takiego dobierania celów są potencjalnie katastrofalne, szczególnie w odniesieniu do przechwytywania intymnych danych osobowych i ich wykorzystania jako dźwigni emocjonalnej. Tak było m.in. w przypadku wykorzystywania wiadomości czy zdjęć z telefonów do szantażowania obrończyń praw człowieka w Azerbejdżanie. Jak opisuje Amnesty International, Amina Rustamzade, żona aktywisty i byłego więźnia sumienia Ilkina Rustamzadego, usiłowała popełnić samobójstwo w lipcu 2020 roku po skierowanych w nią atakach.

Co niepokojące, ofiarami Pegasusa padli również prawnicy pozywający NSO Group za użytkowanie Pegasusa w niewłaściwy sposób. Adwokaci m.in. z Meksyku, Izraela czy Indii byli ofiarami naruszenia prywatności poprzez włamania do ich telefonów.

Czy w Polsce wykorzystywany jest Pegasus?

W „Projekcie Pegasus” jedynym wymienianym europejskim państwem korzystającym z oprogramowania NSO Group są Węgry. Nie oznacza to jednak, że polskie służby bezpieczeństwa nie posiadają Pegasusa. Jak ustalili dziennikarze TVN24, Pegasus miał zostać zakupiony przez Centralne Biuro Antykorupcyjne, w ramach dofinansowania z Funduszu Sprawiedliwości. Oprogramowanie miało być wykorzystywane m.in. do zbierania dowodów w sprawie byłego ministra transportu, Sławomira Nowaka.

Wnioski dla państw i dla NSO Group

Amnesty International (AM) w swoim raporcie opisującym „Projekt Pegasus” sugeruje podjęcie działań, mających zmienić sposób funkcjonowania narzędzi nadzoru, zarówno przez państwa, jak i przez samą NSO Group.

Zdaniem AM wszystkie państwa powinny postarać się o niezależny nadzór zarówno nad sprzedażą oprogramowania szpiegowskiego, jak i nad praktykami kontroli, a także postawić na większą przejrzystość swoich działań. Inne zalecenia to m.in.:

• wstrzymanie się od sprzedaży i korzystania z technologii szpiegujących, do czasu powstania ram regulacyjnych dotyczących ochrony praw człowieka,
• natychmiastowe rozpoczęcie niezależnego i przejrzystego śledztwa w sprawie każdego nieuzasadnionego wykorzystania Pegasusa, a w razie potrzeby pociągnięcie sprawców do odpowiedzialności karnej,
• przyjęcie i egzekwowanie ram prawnych, zobowiązujących prywatne firmy nadzorujące do zachowania należytej staranności w zakresie praw człowieka w ich globalnych operacjach, łańcuchach dostaw oraz w odniesieniu do korzystania z ich produktów i usług.

Z kolei NSO Group powinna:

• zawiesić wsparcie, sprzedaż i działanie Pegasusa w każdym z państw, gdzie był on wykorzystywany do bezprawnego nadzoru nad aktywistami, obrońcami praw człowieka, dziennikarzami itp.,
• zadośćuczynić ofiarom dotychczasowych nadużyć,
• podjąć odpowiednie kroki, aby podobne sytuacje nie miały miejsca w przyszłości,
• zerwać lub zawiesić umowy z rządami, które wykorzystały jej narzędzia do prowadzenia bezprawnego ukierunkowanego nadzoru lub w inny sposób naruszały prawa człowieka,
• zapewnić przejrzystość w zakresie użytkowanej przez państwa technologii.

Artykuł powstał w ramach projektu „Fakty w debacie publicznej”, realizowanego z dotacji programu „Aktywni Obywatele – Fundusz Krajowy”, finansowanego z Funduszy EOG.