PEGASUS - krótka historia narzędzia do totalnej inwigilacji

Jak narodził się Pegasus?

Wiedza o sposobie funkcjonowania i nadużyciach systemu Pegasus przedarła się do świadomości światowej opinii publicznej dzięki śledztwu przeprowadzonemu przez międzynarodową grupę dziennikarską Forbiden Stories. Wyniki śledztwa opublikowane zostały również w formie książki „Pegasus. Jak szpieg, którego nosisz w kieszeni, zagraża prywatności, godności i demokracji” autorstwa Laurenta Richarda i Sandrine Rigaud. To właśnie w tej publikacji możemy znaleźć wiele ciekawostek odnoszących się do historii powstania, technicznych możliwości oraz sposobów wykorzystania oprogramowania.

Izraelska firma NSO Group, producent oprogramowania, powstała w 2010 r., jak mówią jej twórcy, „w kurniku” (na podobieństwo Apple, który zaczynał w garażu). Celem firmy było zapełnienie niszy rynkowej na oprogramowanie umożliwiające przejmowanie kontroli nad telefonem komórkowym bez zgody i wiedzy jego użytkownika. Właściciel i twórca NSO Shalev Hulio już podczas zatrudnienia w rozwiązującej problemy telekomunikacyjne operatorów telefonów komórkowych firmie CommuniTake zorientował się w potrzebach służb specjalnych. Miały one bowiem istotny problem. Nie miały możliwości dostępu do komunikacji telefonicznej potencjalnych terrorystów i przestępców z powodu postępów w szyfrowaniu.

iPhone’y firmy Apple stanowiły barierę nie do pokonania. Shalev Hulio i jego kumpel z dzieciństwa, Omri Lavie, postanowili stworzyć system, który działałby bez wiedzy użytkowników telefonów. Według wspomnień wyżej wymienionych, pierwszy produkt, umożliwiający zdalne włamanie się do telefonów komórkowych, był gotowy w 2011 r.

Co ciekawe, był to okres, kiedy specjaliści od cyberbezpieczeństwa skupiali się na polowaniu na oprogramowania infekujące komputery stacjonarne i laptopy. NSO postawiło na właściwą technologię we właściwym czasie. Wyspecjalizowało się w tworzeniu oprogramowania wyłącznie na urządzenia mobilne. W tym okresie bezpieczeństwo platform mobilnych pozostawało znacząco w tyle za platformami stacjonarnymi. Dotyczyło to zarówno zagrożeń, jak i skuteczności wykrywania konkretnych przypadków naruszenia bezpieczeństwa urządzeń. Pozwalało to NSO działać bez zakłóceń przez dłuższy czas.

NSO w swoim działaniu skupiło się na przełamywaniu zabezpieczeń telefonów komórkowych. Skorzystało z dwóch metod:

1. Podatności protokołu SS7 – starego protokołu telekomunikacyjnego wrażliwego na włamania umożliwiające przejęcie zarządzania cudzym telefonem.
2. Własnych testów, a nie kupowania podatności „zero day” i narzędzi do ataków na telefony, które jeszcze nie zostały ujawnione.

NSO postawiło na własne badania. Za pomocą ok. 500–600 zatrudnionych informatyków, którzy zajmowali się jedynie testowaniem systemów bezpieczeństwa w telefonach, znalazło własną drogę do łamania ich zabezpieczeń. I odniosło sukces. Dostępne medialne dane wskazują, że z oprogramowania korzystały takie państwa jak:

• Meksyk – używane było tam do śledzenia dziennikarzy i wobec osób przeciwdziałających korupcji;
• Indie – Pegasus był tam używany do monitorowania dziennikarzy, polityków i aktywistów;
• Maroko – szpiegowało dziennikarzy i polityków, w tym prawdopodobnie prezydenta Francji Emmanuela Macrona,
• Arabia Saudyjska – ujawniono użycie tam Pegasusa w powiązaniu z przypadkami szpiegowania opozycjonistów i dziennikarzy, w tym Jamala Khashoggiego;
• Zjednoczone Emiraty Arabskie – stosowały oprogramowanie do inwigilacji dziennikarzy, aktywistów oraz członków rodziny królewskiej Kataru;
• Węgry – znane są doniesienia o szpiegowaniu Pegasusem dziennikarzy, prawników i biznesmenów;
• Azerbejdżan – stosował Pegasusa do monitorowania dziennikarzy i działaczy na rzecz praw człowieka;
• Kazachstan – znane są doniesienia o używaniu tam Pegasusa do inwigilacji opozycji;
• Rwanda – używano Pegasusa do śledzenia politycznych przeciwników i dziennikarzy;
• Bahrain – wykorzystywał oprogramowanie do szpiegowania dysydentów politycznych i aktywistów.

Lista ta nie jest wyczerpująca, a pełne wykorzystanie Pegasusa mogło obejmować więcej krajów, które nie zostały jeszcze publicznie ujawnione. Informacje na temat użytkowania Pegasusa często wynikają z dochodzeń dziennikarskich oraz analiz organizacji zajmujących się prawami człowieka i prywatnością, takich jak Amnesty International czy CitizenLab. Trudno też ocenić, czy oprogramowanie to, po śledztwach dziennikarskich, nadal jest tam używane, czy po prostu sięgnięto po inne, o podobnych właściwościach.

Jak działa Pegasus?

Na temat technicznych możliwości oprogramowania Pegasus mogliśmy usłyszeć i przeczytać już wiele. Wiarygodnym źródłem wiedzy na ten temat jest m.in. wspomniana powyżej książka „Pegasus”, a także zeznania świadków, który stanęli przed sejmową „Komisją Śledczą do zbadania legalności, prawidłowości oraz celowości czynności operacyjno-rozpoznawczych podejmowanych m.in. z wykorzystaniem oprogramowania Pegasus”.

Jednym z nich był Jerzy Kosiński, profesor Akademii Marynarki Wojennej w Gdyni. Od roku 2020 dyrektor Morskiego Centrum Bezpieczeństwa. Do 2018 roku pełnił służbę w Policji, zajmując się cyberprzestępczością, dowodami cyfrowymi, białym wywiadem internetowym i naruszeniami własności intelektualnej w Internecie. Miał on możliwość uczestnictwa w prezentacji systemu Pegasus w siedzibie NSO w Izraelu. Podczas przesłuchania przed sejmową komisją 15 marca 2024 r. wskazał możliwości systemu.

Najważniejszą i najbardziej nowatorską cechą Pegasusa jest fakt, że może on ingerować w sprzęt, który zainfekuje. Prof. Kosiński stwierdził: „może on więcej niż użytkownik telefonu”. Zwykły użytkownik widzi jedynie swoje bieżące operacje wykonywane na telefonie, np. inicjowane i odbierane połączenia, prowadzoną w komunikatorach korespondencję. Natomiast operator Pegasusa (np. służba, która wykupiła na niego licencję) ma dostęp również do tej części korespondencji prowadzonej przez użytkownika, którą on skasował i jest ona już fizycznie mu niedostępna.

I właśnie ten wgląd w „przeszłość użytkownika” został zakwestionowany przez polski sąd. Włączona na określony czas kontrola operacyjna (tzw. podsłuch) nie uwzględnia bowiem możliwości „zaglądania” wstecz. Dotychczas realizowana w Polsce kontrola operacyjna nie miała po prostu takich możliwości. Dawała służbie szansę jedynie obserwowania aktywności danej osoby od momentu jej włączenia, tj. momentu zarządzenia przez sąd. I tylko na usługi realizowane za pośrednictwem konkretnego operatora, a nie wchodziła w pamięć urządzenia.

Podkreślenia wymaga również fakt, że w Polsce możliwość realizowania kontroli operacyjnej, zgodnie z prawem, posiadają jedynie służby, które to uprawnienie mają wpisane w swoich ustawach kompetencyjnych (np. Policja, ABW, SKW, CBA).

Ważną funkcjonalnością Pegasusa jest również to, że po zainstalowaniu na urządzeniu nie oddziela on danych „starych” i bieżących. A z informacji przekazanych przez prof. Kosińskiego wynika, że jest w stanie odzyskać dane do 10 lat wstecz.

Członek sejmowej komisji ds. Pegasusa Marcin Bosacki przytoczył, podczas jednego z jej posiedzeń, funkcjonalności oprogramowania przesłane komisji przez NSO. Należą do nich m.in.:

• wykonywanie maili i wchodzenie w pocztę mailową,
• wchodzenie w SMS-y oraz ich wykonywanie,
• sprawdzanie lokalizacji telefonu,
• pokazywanie, w jakiej sieci znajduje się telefon,
• zmienianie i ustalanie ustawień urządzenia,
• sprawdzenie detali kontaktowych,
• możliwość wykorzystania w sieciach społecznościowych (np. możliwość wpisywania postów i komentarzy bez wiedzy właściciela telefonu),
• wykonywanie i sprawdzanie połączeń telefonicznych,
• sprawdzanie kalendarza,
• dostęp do wszystkich plików zapisanych w urządzeniu,
• wykonywanie SMS-ów „na żywo”,
• wykonywanie połączeń telefonicznych i screenshotów,
• nagrywanie w czasie bieżącym.

Oprogramowanie posiada również wiele funkcjonalności ułatwiających pracę operatorowi – służbie, która z niego korzysta. Należy do nich np. alarmowanie o połączeniu z numerem, który pozostaje w zainteresowaniu służby itp. Pozwala także na bardzo inwazyjne działania, np. na dostęp do mikrofonu i aparatu fotograficznego w telefonie osoby podsłuchiwanej, jak również wykonywanie aktywności bez wiedzy właściciela, jak choćby wskazane powyżej wpisy na portalach społecznościowych.

Możliwość pełnego korzystania z wszystkich funkcjonalności oprogramowania wymagała zakupienia każdej z nich. Nie każdy użytkownik miał pełną wersję oprogramowania w pakiecie.

Instalacja systemu początkowo wyglądała odmiennie dla systemu Android i Apple. W systemach Android instalacja nie była w żaden sposób widoczna dla użytkownika telefonu. W telefonach Apple wysyłano komunikat phishingowy, który musiał zostać kliknięty przez użytkownika (np. mail lub link w SMS-ie). Słabością systemu było uzależnienie od pamięci instalacyjnej. Program ten nie był zapisywany na trwałe w nośniku urządzenia, tylko w pamięci instalacyjnej. Po wyłączeniu takiego urządzenia – przejętego telefonu – należało je kolejny raz zainfekować.

Według dziennikarzy, m.in. „The News Minute”, „TNW/The heart of tech”, jest przynajmniej kilka metod używanych do infekowania telefonów Pegasusem:

1. Spear Phishing

Linki w wiadomościach SMS, e-mailach lub wiadomościach w aplikacjach: użytkownicy mogą otrzymać wiadomości zawierające złośliwe linki. Kliknięcie w taki link prowadzi do instalacji oprogramowania szpiegowskiego na urządzeniu.

Spoofing: atakujący mogą podszywać się pod zaufane instytucje lub osoby, aby skłonić ofiary do kliknięcia w złośliwy link.

2. Zero-click Exploits

Bezklikanie (Zero-click exploits): atakujący mogą wykorzystać luki w zabezpieczeniach aplikacji takich jak WhatsApp, iMessage czy FaceTime, które nie wymagają interakcji użytkownika. Wystarczy, że urządzenie odbierze zainfekowaną wiadomość, aby oprogramowanie zostało zainstalowane.

Exploity zero-day: są to nieznane wcześniej luki w oprogramowaniu, które mogą zostać wykorzystane zanim producenci oprogramowania wydadzą odpowiednie łatki zabezpieczające.

3. Man-in-the-Middle (MiTM)

Ataki MiTM: atakujący mogą przechwycić i zmodyfikować ruch internetowy, aby zainstalować Pegasusa na urządzeniu użytkownika. Może to obejmować podszywanie się pod sieć Wi-Fi, do której podłącza się użytkownik.

4. Zainfekowane aplikacje

Aplikacje mobilne: Pegasus może być ukryty w legalnie wyglądających aplikacjach, które użytkownik pobiera i instaluje na swoim urządzeniu.

5. Fizyczny dostęp do urządzenia

Ręczna instalacja: W przypadkach, kiedy atakujący mają fizyczny dostęp do urządzenia, mogą zainstalować Pegasusa ręcznie.

Zwraca uwagę fakt, że większość podanych wyżej metod infekowania to także metody wykorzystywane w cyberprzestępczości.

Kto sprowadził Pegasusa do Polski?

O Pegasusie Polacy dowiedzieli się w 2019 r. Portal TVN24.pl ujawnił wówczas, że Centralne Biuro Antykorupcyjne (CBA) kupiło od izraelskiej firmy NSO Group system do inwigilacji smartfonów. Pierwsze informacje o możliwości wykorzystania przez polskie służby specjalne oprogramowania Pegasus wobec konkretnych osób pojawiły się na przełomie 2021 i 2022 r.

Działająca przy Uniwersytecie w Toronto grupa CitizenLab poinformowała SMS-ami osoby, w których telefonach wykryła działania wskazujące na aktywność oprogramowania Pegasus. Byli to m.in. mec. Roman Giertych (obecnie także poseł KO), prokurator Ewa Wrzosek i ówczesny senator KO Krzysztof Brejza (obecnie europoseł), a także lider Agrounii Michał Kołodziejczak (obecnie wiceminister rolnictwa). W ostatnich tygodniach pojawiły się informacje, że wśród osób inwigilowanych przez służby specjalne w tym czasie byli nie tylko przeciwnicy ówczesnej władzy, ale też prominentni politycy PiS.

Sprawą wydatków Ministerstwa Sprawiedliwości podczas rządów poprzedniej władzy, poza dziennikarzami, interesowała się również Najwyższa Izba Kontroli (NIK). Jako pierwszy urząd państwowy opublikowała sygnały w sprawie oprogramowania Pegasus. Podczas corocznej kontroli z wykonania budżetu państwa za 2017 r. kontrolerzy izby wykryli, że Ministerstwo Sprawiedliwości przelało 25 mln zł z Funduszu Sprawiedliwości na konto CBA.

To była realizacja umowy (nr N/2/2017 z 29 września 2017 r.) między CBA a firmą Matic sp. z o.o. Fundusze te formalnie były przeznaczone na „zakup środków techniki specjalnej, służącej do wykrywania i zapobiegania przestępczości”. Dokument stwierdzał, że dostawa sprzętu i oprogramowania, uruchomienie systemu i szkolenia zostały zrealizowane zgodnie z harmonogramem i potwierdzone protokołem odbioru. Komisja ustaliła, że w żadnych dokumentach nie pada nazwa „Pegasus”, co świadczyło o tym, że próbowano ten fakt świadomie ukryć przed opinią publiczną. Byłoby to bowiem przyznanie się do tego, że chodziło o zakup środków i techniki służącej do inwigilacji obywateli.

Fakty ustalone przez NIK wyraźnie wskazywały, że decydujący o zakupie chcieli ukryć, że działali niezgodnie z prawem – pieniądze z Funduszu Sprawiedliwości nie mogą bowiem być przekazywane na rzecz CBA. Stanowi o tym art. 4 ustawy o CBA. Biuro jest finansowane z budżetu państwa, a środki z funduszu celowego (jakim jest Funduszu Sprawiedliwości) takimi nie są. NIK uznał, że naruszono przepisy ustawy o CBA oraz kilkanaście innych przepisów związanych z finansami publicznymi i 18 lipca 2018 roku złożył w tej sprawie wniosek do Rzecznika Dyscypliny Finansów Publicznych.

We wrześniu 2020 roku ówczesny rzecznik dyscypliny Piotr Patkowski odmówił wszczęcia postępowania wobec CBA. Tłumaczył, że „wykorzystanie środków z Funduszu w zakresie przekazania ich CBA było celowe i efektywne”, a „naruszenie dyscypliny finansów publicznych nie nastąpiło w stopniu wyższym niż znikomy”.

W styczniu 2022 r. senatorowie opozycyjni powołali Komisję Nadzwyczajną do spraw wyjaśnienia przypadków nielegalnej inwigilacji, ich wpływu na proces wyborczy w Rzeczypospolitej Polskiej oraz reformy służb specjalnych. Komisja wezwała na świadków pracowników CitizenLab, którzy przekazali, że według ich ustaleń oprogramowanie Pegasus w Polsce było obsługiwane przez operatora „Orzeł Biały”, który zaczął działać już w listopadzie 2017 roku, czyli półtora miesiąca po zakupie oprogramowania dla polskich służb specjalnych.

Dziś już wiemy, że 15 września 2017 r. ówczesny szef CBA Ernest Bejda zwrócił się do resortu Zbigniewa Ziobry o 25 mln zł na zakup środków techniki operacyjnej i dostał je w dwóch transzach. Środki na ten zakup przekazano do CBA z Funduszu Sprawiedliwości, którym dysponowało Ministerstwo Sprawiedliwości. Zgodę na zakup systemu dla CBA podpisali minister sprawiedliwości Zbigniew Ziobro i jego zastępca Michał Woś.

Po wyborach parlamentarnych z 15 października 2023 r. i sformułowaniu nowego rządu w styczniu 2024 r. Sejm powołał Komisję Śledczą do zbadania legalności, prawidłowości oraz celowości czynności operacyjno-rozpoznawczych podejmowanych m.in. z wykorzystaniem oprogramowania Pegasus przez członków Rady Ministrów, służby specjalne, Policję, organy kontroli skarbowej oraz celno-skarbowej, organy powołane do ścigania przestępstw i prokuraturę w okresie od 16 listopada 2015 r. do 20 listopada 2023 r. Do końca maja 2024 r. komisja zebrała się

11 razy. Zeznający podczas jej posiedzeń eksperci ujawnili wiedzę o technicznych możliwościach oprogramowania. Jednak na wniosek posłów PiS Trybunał Konstytucyjny (TK) 8 maja 2024 r. zobowiązał komisję śledczą ds. Pegasusa „do powstrzymania się od dokonywania jakichkolwiek czynności faktycznych lub prawnych do czasu wydania przez Trybunał Konstytucyjny ostatecznego orzeczenia w sprawie o sygn. akt U 4/24”. Przewodnicząca komisji nie uznaje zobowiązania TK i komisja nadal pracuje, choć politycy PiS odmawiają składania przez nią zeznań.

Jednocześnie Prokuratura Krajowa prowadzi własne prace. Wszczęła na nowo śledztwo dotyczące zakupu oprogramowania Pegasus ze środków Funduszu Sprawiedliwości 23 lutego 2023 r. Postępowanie to zostało dołączone do śledztwa dotyczącego nieprawidłowości w wydatkowaniu środków z tego funduszu.

Powstała również lista osób inwigilowanych Pegsusem. Prokuratura Krajowa w kwietniu 2024 r. poinformowała ok. 30 osób o fakcie objęcia ich tym środkiem. To ewenement w polskim systemie prawnym i bezpieczeństwa. Nie było dotychczas takiej sytuacji, by osoby objęte kontrolą operacyjną przez służby specjalne były o tym informowane. Do osobistej decyzji każdej z powiadomionych osób należy, czy poinformuje o tym opinię publiczną, czy nie. Osoby te będą mogły także ewentualnie wnieść powództwo odszkodowawcze przeciwko państwu polskiemu.

Obecny Minister Sprawiedliwości Adam Bodnar potwierdził, że w każdym przypadku inwigilacji tych ok. 30 osób była zgoda sądu na użycie Pegasusa. Zastrzegł jednak, że „mogła być wyłudzona”. Wyjaśnił, że np. sądowi mogły być przedstawione informacje o podejrzeniu popełnienia przestępstwa, które nie miały pokrycia w rzeczywistości. Istnieje również możliwość, że podjęte działania (użycie Pegasusa) były ewidentnie nieproporcjonalne, czyli na przykład zdecydowano się na wykorzystanie techniki w sprawie, która się do tego w żaden sposób nie nadawała, gdyż była jakiejś miałkiej wagi.

Kolejne kroki podjęte przez prokuraturę w sprawie Pegsusa to postawienie zarzutów Michałowi Wosiowi – posłowi PiS, w latach 2017–2018 podsekretarzowi stanu w Ministerstwie Sprawiedliwości, upoważnionemu przez ministra sprawiedliwości do wykonywania czynności dysponenta Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej – Funduszu Sprawiedliwości.

Zarzuty stawiane Wosiowi dotyczą nadużycia funkcji przez funkcjonariusza publicznego (art. 231 kodeksu karnego), nadużycia zaufania (art. 296 kk) oraz wyrządzenia szkody majątkowej wielkich rozmiarów. To czyny zagrożone karą od roku do lat 10 pozbawienia wolności. Zarzuty odnoszą się do wydatkowania środków na zakup oprogramowania typu Pegasus ze środków Funduszu Sprawiedliwości, a także wydatkowania środków publicznych na zakup licencji na korzystanie z systemu Pegasus.

Jak polskie prawo traktuje oprogramowanie typu Pegasus?

Dyskusja o możliwościach oprogramowania Pegasus toczyła się początkowo w obszarach etyki i moralności. Niesprzyjające okoliczności polityczne (rząd należał do ludzi z partii, która system zakupiła) powodowały, że nie było możliwości sądowej oceny wykorzystania oprogramowania. Po wyborach z 15 października 2023 r. prokuratura i sądy podjęły ten temat.

W wyniku tych działań po blisko roku od wydania wyroku, który zapadł w maju 2023 r. i dotyczył legalności korzystania z narzędzi do inwigilacji używanych przez służby, Sąd Apelacyjny we Wrocławiu opublikował do niego uzasadnienie. W skrócie, sąd stwierdził, że dowody zebrane oprogramowaniem szpiegowskim nie mogą być uznane za zgodne z ustawą oraz pozyskane w sposób legalny.

Sąd podkreślił również, że  oprogramowanie pozwalające na przejęcie pełnej kontroli nad urządzeniem mobilnym nie odpowiada wymaganiom stawianym przez Trybunał Konstytucyjny, co do właściwego sprecyzowania stosowanego środka techniki operacyjno-rozpoznawczej – a więc tym środkiem być nie może w obecnych uwarunkowaniach prawnych.

W ocenie prawników potrzebny jest przepis pozwalający na jednorazowe ściąganie zawartości telefonu na serwery służb – ale pod kontrolą sądu. Na razie podstaw prawnych nie ma. Owszem, służby dostawały zgody, ale dlatego, że sądy sądziły, że chodzi o kontrolę operacyjną „od–do”, a nie o ściągnięcie wszystkich danych zapisanych w urządzeniu. A na to zgody nie mogłyby dać – bo nie ma do tego przepisu prawnego.

Poważnym problemem prawnym wynikającym z użytkowania oprogramowania Pegasus jest również fakt, że pozyskiwane za jego pośrednictwem dane transmitowane były na serwery w innych krajach. O fakcie tym informowało NSO podczas prezentacji oprogramowania – infrastruktura serwerowa, na którą zrzucano informacje przejęte z urządzenia, mogła być w posiadaniu organizacji, która zarządzała licencją, a więc mogła być zorganizowana w oparciu o serwery NSO Group.

Stosowanie kontroli operacyjnej, w tym Pegasusa, pozostaje również w zainteresowaniu organizacji związanych z ochroną praw człowieka, m.in. takich jak Panoptykon. Są one tradycyjnie zwolennikami maksymalnego zawężenia możliwości stosowania wszelkich narzędzi kontroli operacyjnej oraz informowania obywateli o ich zastosowaniu. Problem ten ma raczej naturę etyczną niż prawną, gdyż uprawnienia służb specjalnych, w tym do stosowania kontroli operacyjnej, są ujęte w ustawach, a więc są prawnie legalne. Natomiast Pegasus prawnie legalny w Polsce nadal nie jest i aby mógł być stosowany, prawo należy zmienić.

Jaka jest przyszłość Pegasusa?

Warto przypomnieć, gdyż w dyskusji o ochronie praw człowieka, prawa do prywatności itp. umknęło nam, do czego zostało stworzone oprogramowanie Pegasus. Jego podstawowym celem było umożliwianie służbom specjalnym efektywnej walki z zorganizowaną przestępczością, terroryzmem, działaniami inspirowanymi przez obce wywiady. Oprogramowanie powstało, by wejść w przestrzenie działalności przestępczej dotąd służbom specjalnym niedostępne. „Tradycyjne” środki kontroli operacyjnej stały się nieskuteczne. Przejście na komunikację realizowaną za pośrednictwem komunikatorów całkowicie odcięło służby od tej formy śledzenia przestępców. Potrzebne były nowe rozwiązania techniczne. Odpowiedzią był Pegasus.

Historia z użyciem czy też nadużyciem Pegasusa nie wydarzyłaby się, gdyby nie gwałtowny rozwój technologii umożliwiających jej użytkownikom przechowywanie w niej wielu osobistych treści. Inteligentne telefony stały się naszymi powiernikami i nieustannymi uczestnikami życia zawodowego i osobistego. Choć dziś wszyscy już wiemy, że można ich użyć również przeciwko nam, wykorzystując ich nieograniczone możliwości techniczne, trudno byłoby postawić tezę, że ich wykorzystanie zmniejszyło się lub stało się bardziej ostrożne. Ta wiedza nic nie zmienia w naszych nawykach. To nasz osobisty wybór, w jaki sposób je wykorzystujemy, w jakich sytuacjach mamy je przy sobie. Żadne regulacje prawne tego nie zmienią. 

NSO stworzyło oprogramowanie odpowiadające bardzo konkretnym potrzebom. Pegasus był niewidzialnym koniem trojańskim. Najdoskonalsze narzędzia do prowadzenia cyfrowej inwigilacji wykorzystują rozmaite luki w zabezpieczeniach  w taki sposób, by po ich aktywności nie zostały żadne wykrywalne ślady. Twórcy oprogramowania z NSO uchodzili za najlepszych w branży specjalistów od zacierania śladów. Czy nie była to prawda? Być może okazało się, że są lepsi, jak choćby informatycy pracujący dla Amnesty International czy CitizenLab.

Ważnym argumentem w dyskusji o przyczynach wykrycia oprogramowania jest również to, w jaki sposób zostało ono wykorzystane. Choć firma deklarowała, że stworzone zostało do walki z poważną przestępczością i jej tajnym wykrywaniem, a licencje miały dostawać państwa i rządy do swojej legalnej walki z przestępczością, to faktycznie tak nie było.

Pegasus i inne systemy cybernetycznej inwigilacji stały się ulubionymi zabawkami niektórych pośród najbardziej bezwzględnych przywódców politycznych na świecie; ludzi, którzy nie zawahają się zniszczyć życia każdemu, kto nadepnie im na odcisk. Ludzi, którzy mają nieograniczone środki finansowe. W tej grupie znalazły się też takie państwa jak Meksyk, Węgry, Indie czy Polska i Hiszpania.

W naszym kraju, zanim cokolwiek powiedziano o wykorzystaniu tego oprogramowania wobec przestępców, mierzyliśmy się z wiedzą o nękaniu nim polityków opozycji i osób niezgadzających się z polityką rządu Zjednoczonej Prawicy. Wiemy też przecież, że zakup oprogramowania próbowano nieudolnie ukryć i odbył się on wbrew obowiązującemu prawu. Czy gdyby oprogramowanie było wykorzystywane jedynie legalnie i tylko wobec przestępców, nigdy nie stałoby się publicznie znane i sławne z takich, a nie innych powodów? Raczej nie.

Za ciekawostkę, znaną już w historii wielkich śledztw, należy uznać fakt, że za nadużycia systemu Pegasus na razie nikt nie został oskarżony. W Polsce zarzuty postawiono temu, kto wydał bezprawną zgodę na jego zakup z nieuprawnionych do tego środków. Trochę jak z Al Capone, którego skazano za niepłacenie podatków, a nie za kierowanie zorganizowaną grupą przestępczą.

Czy fakt, że polski sąd uznał narzędzie, jakim jest Pegasus, za nieuprawnione do stosowania w polskim systemie prawnym, oznacza, że nie może ono być w Polsce wykorzystywane? Czy polskie służby specjalne potrzebują narzędzia takiego jak Pegasus? Czy ze względu na ochronę praw człowieka narzędzie Pegasus powinno być zakazane w Polsce? Pytania tego rodzaju i podobne mnożą się w przestrzeni medialnej, ale także prawnej oraz w dyskusjach ekspertów. Wielu z nich, w tym autorka niniejszego tekstu, uważa, że czy to będzie Pegasus, czy inne oprogramowanie tego rodzaju, będą one potrzebne w działalności polskich służb specjalnych.

Czasu i technologii nie można cofnąć. Tak jak nagle nie wycofamy się do używania małych telefonów komórkowych z klawiaturą, bez względu na to, jak wiele będziemy mówić i pisać o zagrożeniach płynących z zastosowania smartfonów, tak nie możemy cofnąć wykorzystania technologii w działalności przestępczej.

Dziś już wiemy, że wysokorozwinięte technologie bywają nie tylko w dyspozycji państw i ich rządów ale także wykorzystywane są, a często i kreowane, przez zorganizowane grupy przestępcze. Za pieniądze można dziś kupić wszystko. I „pegasusy”, i podobne im oprogramowania istnieją i będą istnieć. Dlatego służby specjalne, w tym polskie, będą ich potrzebować, by działać skutecznie i efektywnie. Pytanie jest jedynie takie: jak z nich korzystać, by nie krzywdzić tych, którzy na to nie zasługują?

Czy prawo rzeczywiście jest w stanie poradzić sobie z zagrożeniami płynącymi ze strony nowoczesnych technologii dla demokratycznego porządku prawnego? Nie jest to oczywiste. Bardzo często sprawcy tych zagrożeń skutecznie omijają prawo, wymykają się mu lub funkcjonalnie je wyprzedzają. Polski, i nie tylko, przykład pokazał, że nawet rządzący wybrani w demokratycznych wyborach, wybierają drogę na skróty i przy korzystaniu z tak ofensywnych narzędzi nie kierują się prawem.

Pomimo dotkliwych strat materialnych i wizerunkowych, jakie poniosła NSO po publikacji odkryć Projektu Pegasus, jej twórcom, poza drobnymi stratami materialnymi, nic nie grozi. Podmiotom i rządom, które programu nadużywały, również nie dzieje się krzywda. Zatem nadużycia związane z bezprawną inwigilacją osób, które broniły praw człowieka czy też walczyły z niesprawiedliwą władzą w wielu zakątkach świata, nigdy prawdopodobnie nie zostaną ukarane.

W Polsce potrzebne są regulacje ustawowe, umożliwiające zgodne z prawem wykorzystanie narzędzi typu Pegasus. Tak by pozyskane nim dowody mogły być zgodnie z prawem wykorzystane w procesie sądowym. Wskazane są również prace nad stworzeniem oprogramowania krajowego, a więc takiego, który zebrane dane będzie agregował w kraju, a nie na zagranicznych serwerach.

Cyberbezpieczeństwo staje się bowiem głównym obszarem bezpieczeństwa państwa. Szczególnie w czasach, w których przyszło nam obecnie funkcjonować – w czasie wojny za naszą granicą i ptzy wysokim zagrożeniu ze strony zarówno obcych wywiadów, jak i działań o charakterze terrorystycznym. Lekcja, jaką odebraliśmy z wykorzystania oprogramowania Pegasus w sposób nielegalny, może być dla nas cenną i bardzo perspektywiczną. Wystarczy, by politycy skorzystali z niej mądrze i szybko.