1. SPIDER'S WEB
  2. plus
  3. SW+

Czy na pewno doszło do inwigilacji Pegasusem? „Jesteśmy pewni wyników” – zapewnia ekspert Citizen Lab

– Pegasus jest jak benzyna, którą polewa się autorytarne zapędy państw – mówi SW+ John Scott-Railton z Citizen Lab. To ten ośrodek wykrył, że Pegasusa stosowano w Polsce do walki politycznej. Kolejni politycy związani z PiS próbują zdyskredytować te doniesienia i kpią z afery wokół Pegasusa. Jednak analizy Citizen Lab pokazują, że Polska pod kątem inwigilacji dołączyła do niechlubnego klubu dyktatur i reżimów autorytarnych. 

Pegasus w Polsce. Citizen Lab jest pewne: doszło do inwigilacji

Minister Michał Woś próbuje wykpić doniesienia o tym, że to on de facto był bezpośrednio odpowiedzialny za zakup Pegasusa i publikuje zdjęcie konsoli z lat 90. jako jedynego „pegasusa”, jaki kupił. Wicerzecznik PiS Radosław Fogiel przepytywany na antenie Radia Zet, dlaczego PiS nie chce zgodzić się na powołanie komisji śledczej, skoro nie ma sobie nic do zarzucenia w sprawie domniemanego użycia Pegasusa, kpi: – Nie ma dowodów na to, że reptilianie rządzą światem. Czy to jest argument, żeby powołać komisję śledczą? 

Rząd od kilku tygodni robi wszystko, by nie ujawnić prawdy o zakupie oprogramowania szpiegowskiego Pegasus. Oprogramowania, które, jak się okazuje, było używane w celu walki z politycznymi oponentami. O tym, że polski rząd został klientem NSO Group, nie dowiedzielibyśmy się, gdyby nie śledztwo ekspertów z Citizen Lab.

Naukowcy z Kanady od lat tropią globalny biznes inwigilacji. Nie tylko krok po kroku wskazują, że w kolejnych państwach jest wymierzony przeciwko politykom opozycji, dziennikarzom i obrońcom praw człowieka. Opisują też, jak bardzo zaawansowane technicznie i jak trudne do udowodnienia są te działania. 

Połączeni w ramach Citizen Lab, czyli interdyscyplinarnego ośrodka badawczego w Munk School of Global Affairs & Public Policy na Uniwersytecie w Toronto, od lat specjalizują się w śledzeniu cybernadzoru, analityce cyberszpiegostwa i technologii inwigilacji. Badają rządową cenzurę i dezinformację. Łącząc kompetencje specjalistów z różnych dziedzin, Citizen Lab w swoich śledztwach wykorzystuje analizy prawne i politologiczne, śledztwa informatyczne i badania techniczne telefonów, co do których mają podejrzenia, że zostały zaatakowane.

Citizen Lab jest finansowane m.in. przez kanadyjski rząd i szereg fundacji, w tym Open Society Foundations, czyli fundację Georga Sorosa, co dla polskich polityków powiązanym z rządem jest dowodem na polityczne umocowania tych badań. Szczególnie, że stoją one dziś za skandalem wywołanym doniesieniami o tym, że polskie służby wykorzystywały szpiegowskie oprogramowanie Pegasus nie do walki z przestępczością, tylko do partykularnych celów politycznych.

Ale śledztwa Citizen Lab pokazują, że z Pegasusa korzystają służby na całym świecie. Nawet nie tyle z niego korzystają, co nadużywają. W Meksyku inwigilowano tak m.in. telefon zamordowanego w 2017 roku reportera Cecilio Pinedy Birto, który ujawniał przypadki korupcji w rządzie. W Arabii Saudyjskiej rządowi hakerzy wykorzystali Pegasusa w celu włamania się do 36 telefonów należących do dziennikarzy i kadry zarządzającej telewizji Al-Dżazira. Zhakowanie dziennikarzy zostało odkryte po tym, jak dziennikarz śledczy Tamer Almisshal zaniepokojony zachowaniem własnego telefonu zwrócił się o pomoc do Citizen Lab. Badacze wykryli, że jego telefon łączy się z serwerami NSA i został on zarażony złośliwym kodem dostarczonym przez serwery Apple, mimo że Almisshal nie klikał w żadne podejrzane linki.

Już w 2018 r. kanadyjscy eksperci wykryli ślady użycia Pegasusa na terenie Polski. Jego operator, podpisany jako „ORZELBIALY”, miał prowadzić działania od listopada 2017 r. W tym samym roku, jak wynika ze śledztwa TVN24, CBA miało kupić dostęp do izraelskiego systemu za 34 mln zł. Ślady tego zakupu znalazły się w raporcie NIK. To, że jest taka faktura, potwierdził przed kilkoma dniami prezes NIK Marian Banaś. „Gazeta Wyborcza” zaś prześledziła, jak zdobywano zgodę Sejmu na ten wydatek, przedkładając na posiedzenie sejmowej komisji finansów publicznych we wrześniu 2017 roku „zaopiniowanie wniosku ministra sprawiedliwości w sprawie zmian w planie finansowym Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej na 2017 rok”. To w tej zmianie do budżetu CBA przeniesiono 25 mln zł, bo dzień wcześniej resort sprawiedliwości wystąpił do Ministerstwa Finansów o zgodę na przeznaczenie 25 mln zł z Funduszu na „inne działania”, które mają „służyć zapobieganiu przestępczości”.

Krzysztof Brejza w 2019 roku, fot. MOZCO Mateusz Szymanski / Shutterstock

W wyniku tych wszystkich śledztw dziś wiadomo, że Pegasusa używano do szpiegowania przynajmniej trzech osób publicznych: mecenasa i byłego ministra Romana Giertycha, prokurator Ewy Wrzosek i senatora Krzysztofa Brejzy. iPhone Giertycha miał być intensywnie inwigilowany w 2019 r., w tym samym roku 33 razy złamano zabezpieczenia sprzętu senatora Brejzy. Smartfon prokurator Wrzosek został zhakowany w 2020 roku. 

Citizen Lab nie podał, kto mógł być zleceniodawcą tych inwigilacji i wciąż nie podaje, ale jak mówi nam John Scott-Railton z tego ośrodka, są wzorce wykorzystywania Pegasusa na świecie, które pozwalają wyciągać wnioski w tej kwestii. A te niestety nie są korzystne dla polskiego rządu. – Ludzie w Polsce powinni zadać sobie ważne pytania. Czy taką technologią powinno zawiadywać państwo? Czy wierzymy, że będzie w stanie jej użyć, respektując podstawowe prawa? A jeżeli nie, to jakie powinny być poniesione konsekwencje? – pyta analityk Citizen Lab w wywiadzie dla SW+.

Sylwia Czubkowska: Jak w ogóle natrafiliście w Citizen Lab na użycie Pegasusa w Polsce?

John Scott-Railton*: To śledztwo zaczęło się tak naprawdę dobrych kilka lat temu. Już od 2017 roku Citizen Lab zajmował się systematyczną analizą, której celem było odnalezienie jak największej liczby zainfekowanych telefonów. Jako element tej analizy zauważyliśmy klaster infekcji pochodzących od jednego z klientów NSO Group w Polsce. Odkryliśmy to w 2017 roku i informację o tym opublikowaliśmy jako element szerszego śledztwa dotyczącego użycia Pegasusa na całym świecie.

Kolejnym elementem stała się decyzja Apple, które zaczęło powiadamiać swoich użytkowników o infiltracji ich telefonów Pegasusem i wśród zaalarmowanych w ten sposób osób znalazła się polska prokurator Ewa Wrzosek. To stało się dla nas kolejnym sygnałem potwierdzającym konieczność bliższego przyjrzenia się sprawie. Cały proces śledztwa opiera się więc z jednej strony na skanowaniu i analizie podatności, ale także na takim instynkcie, który nam podpowiada, że może być więcej przypadków o podobnym profilu i który skłania do dalszych badań.

Polska prokuratura właśnie odmówiła wszczęcia postępowania na wniosek Ewy Wrzosek, twierdząc, że nie przedstawiła ona dowodów na złamanie prawa. Kolejni politycy związani z rządem wyśmiewają i umniejszają całą sprawę związaną z Pegasusem. Jak bardzo możemy być pewni, że faktycznie doszło do inwigilacji Wrzosek, Giertycha i Brejzy, o której donosicie?

Na podstawie naszego śledztwa mamy wysoką pewność, że na trzech urządzeniach doszło do wielokrotnego złamania zabezpieczeń. Zastosowaliśmy ten sam bardzo dokładny standard dowodowy, jaki stosujemy w stosunku do innych śledztw na całym świecie. Więc jesteśmy pewni wyników.

Czy wasz zespół prowadzi śledztwa nad innymi narzędziami typu Pegasus?

Oczywiście!

Cóż, mogłam się tego domyślić, rynek technologii inwigilacji jest ogromny. Nie brakuje chętnych, by kupować, więc nie brakuje i dostawców. Czy widzicie jakieś powtarzające się schematy co do tego, kto i w jakim celu płaci za narzędzia do inwigilacji? Czy Pegasus jest tu jakimś nadzwyczajnym przypadkiem?

Zajmujemy się badaniem ataków na cywili i w związku z tym obserwowaliśmy i badaliśmy ogromne ilości takich działań ze strony rządów. Łącznie jest tego tak dużo, że można wręcz mówić o usługach hakerskich jak o najemnikach wyspecjalizowanych w szpiegowaniu. 

Oczywiście oficjalnie technologie szpiegowskie sprzedawane są rządom z założeniem, że będą używane do walki z terroryzmem lub przestępczością zorganizowaną. Tyle że od 2016 roku i u nas w Citizen Lab i w innych grupach badawczych zaobserwowaliśmy, że regularnie kolejne dyktatury zaczęły z tych narzędzi korzystać do politycznego szpiegostwa i represji antydemokratycznych. Faktycznie, najgłośniejsze stało się użycie w tym celu Pegasusa, ale mamy też kolejne śledztwo dotyczące narzędzia nazwanego Predator, także używanego przeciwko społeczeństwu obywatelskiemu. Predator oferowany jest przez pochodzącą z Macedonii firmę Cytrox, mającą siedziby w Izraelu i na Węgrzech. W ostatnim roku badaliśmy kilka takich szpiegowskich narzędzi.

Pegasus, narzędzie od NSO Group. Fot. mundissima

To, co wyróżnia Pegasusa i czego niestety doświadczyła Polska, to fakt, że używano go w kraju należącym do Unii Europejskiej w sposób, który budzi duże polityczne obawy. Czyli w sprawach, które nie były związane z żadnymi zarzutami karnymi. To jest alarmujące, bo jak wynika z naszych badań, Pegasus ma ogromny potencjał do nadużyć i faktycznie wykorzystywany jest w dyktaturach. Niepokojące jest więc, że dzieje się to także w kraju demokratycznym. To wywołuje spory niepokój, co do rządów prawa w Polsce.

A we mnie budzi smutek, że mój kraj jest wymieniany obok państw, które, jak pan mówi, są po prostu dyktaturami.

Ja sam odczułem ogromny smutek, gdy zaczęły pojawiać się dowody dotyczące Polski. Naprawdę liczyłem, że nie znajdziemy takich spraw dotyczących Polski czy innego europejskiego państwa. Liczyłem, że normy demokracji i rządów prawa będą skutecznie blokować takie działania.

Pegasusa używał także rząd Węgier.

Dokładnie. I nie wygląda to na przypadek, że także to państwo znalazło się na liście używających Pegasusa. Tam wykorzystano go do infiltracji dziennikarzy śledzących tematy związane z Orbanem. To jest dodatkowy przykład, jak wykorzystanie narzędzi hakerskich staje się dowodem na nadużywanie władzy państwowej.

Co właściwie jest takiego w Pegasusie, że stał się takim powiedzmy „popularnym” narzędziem?

Każdy rząd chce i potrzebuje stabilności do zwalczania technologicznego szpiegostwa. Problemem jest, że wiele rządów nie jest wystarczająco skutecznie nadzorowanych w tym zakresie. Równolegle obserwujemy ogromny wzrost globalnego biznesu oferującego narzędzia inwigilacji. Przewidywalnym skutkiem jest to, że niektóre państwa zaczęły tę potężną i kuszącą technologię nadużywać. Robią to nawet państwa demokratyczne.

A przecież jest ogromne niebezpieczeństwo stojące za takim tajnym nadzorem. W telefonie są nasze najbardziej prywatne, osobiste działania, myśli, obawy, kontakty z bliskimi. Pomysł, że państwo ma niekontrolowaną władzę co do dostępu do tych zasobów i robi to – jak było w Polsce w 2019 roku – raz za razem, jest przerażający. Technologia taka jak Pegasus staje się benzyną, którą polewa się autorytarne zapędy państw. Znalezienie dowodów na to jest poważnym sygnałem, że dla obywateli są powody do obaw.

Czy widać jakieś schematy tego, jak używany jest Pegasus na świecie? Gdzie powinny nam się zapalać ostrzegawcze światła w Polsce?

Po latach badań widać, że jest najczęściej używany w stosunku do polityków opozycji, obrońców praw człowieka, krytyków rządów. Kolejny cel tych ataków, który się powtarza, to dziennikarze. Ludzie, którzy mówią prawdę, którzy badają działania władz. Wiemy, że wiele państw używa go do międzynarodowego szpiegostwa, np. do włamań do telefonów dyplomatów, jak było choćby w Ugandzie – mimo że jest oficjalnie sprzedawany do śledzenia terrorystów i przestępców.

To, jak dane państwo użyje Pegasusa, zależy od tego, jaki konkretnie urząd, agencja ma do niego dostęp i jakie cele realizuje. Kluczowym fenomenem jest globalne nieumiarkowanie w użyciu tego narzędzia. Co więcej, możemy założyć, że rzeczywista skala problemu jest o wiele większa niż to, co już wiemy.

To, co się teraz dzieje z wykorzystaniem Pegasusa, bardzo przypomina mi sprawę „Tainted Leaks”. Rosja kilka lat temu zhakowała Davida Sattera, jednego z zachodnich dziennikarzy. W wyniku włamania zostały wykradzione i opublikowane jego maile, tyle że po dokonaniu manipulacji w ich treści. Celem było zdyskredytowanie Aleksieja Nawalnego. To pokazuje, że często dezinformacja i inwigilacja idą ręka w rękę. Sprawa Brejzy ma z tym wiele wspólnych punktów. Szczególnie, że jak wynika z jego relacji, także w jego przypadku doszło do publikacji zmanipulowanej korespondencji. To jest bardzo zasmucające, bo pokazuje, jak podobne są te działania do zachowania autorytarnego reżimu.

Tradycyjnie z takimi działaniami, z tworzeniem narzędzi do inwigilacji, kojarzyliśmy raczej Chiny czy Rosję. W przypadku Pegasusa, ale także wielu innych narzędzi, okazuje się, że pochodzą z Izraela, który stał się swoistym hubem technologii inwigilacji. Czy to państwo nie powinno sprawować poważniejszej kontroli nad tym, gdzie i na jakich zasadach są sprzedawane takie – jak widać – niebezpieczne produkty?

Rzeczywiście przez lata prowadziliśmy śledztwa w sprawie działań Rosji i Chin. Jednym z naszych kluczowych zadań w Citizen Lab jest wręcz śledzenie, filtrowanie i przełamywanie działań ze strony Chin, w dużej mierze kierowanych albo do diaspor za granicą, albo własnych obywateli wewnątrz państwa.

Fot. motioncenter / Shutterstock

Teraz jednak widać, jak ten przez lata swobodnie działający biznes technologii inwigilacji, na którym zarabiał, kto tylko mógł i który jest faktycznie mocny w Izraelu, budzi skandale i problemy na całym świecie. NSO Group jest teraz w bardzo trudnej pozycji, bo rząd Izraela próbuje odcinać się od decyzji tej firmy. Trzeba obserwować, czy faktycznie Izrael podejmie poważniejsze działania w celu zmniejszenia szkodliwości wywoływanej przez ten biznes.

Ale nie tylko z tego państwa pochodzą firmy sprzedające narzędzia do inwigilacji, co do których działań prowadziliśmy śledztwa. Badaliśmy firmy z Francji, Niemiec, Włoch, Wielkiej Brytanii. Kluczowe jest to, byśmy zrozumieli, że jesteśmy w tym momencie dziejowym, w którym zaczynamy rozumieć szkodliwość tego inwigilacyjnego przemysłu. I byśmy docenili wagę międzynarodowych norm i ram prawnych – także tych krajowych – w ograniczaniu samowoli. W innym wypadku nadużycia będą się tylko zwiększać.

Co faktycznie można zrobić w sytuacji, gdy władze próbują nadużycia ukrywać, rozmywać, odmawiają ujawniania informacji, zasłaniają się tajemnicą służb i równolegle, jak już wspominałam, odmawiają nawet wszczęcia postępowania na wniosek poszkodowanego?

To jest powszechne zjawisko, że w przypadkach ujawniania tego typu działań władze zaprzeczają swojemu udziałowi. Ale muszę przyznać, że obserwuję działania polskiego rządu ze sporym zdziwieniem. Rzeczywiście zaskakująca jest skala zaprzeczeń pomieszanych z umniejszeniem problemu; z tłumaczeniami, że nawet jak były takie działania, to zostały uzasadnione. Bo to są przecież wykluczające się argumenty. Ale gdyby Pegasus nie był używany w ten sposób w Polsce, to nie byłoby logów, umów i dowodów. Widzimy jednak raz za razem, a ostatnio w Meksyku – lokalni dziennikarze urządzają poważne śledztwa dziennikarskie i znajdują konkretne dowody na decydentów stojących za tymi działaniami. Myślę, że to jest właśnie czas dla wolnych mediów w Polsce na pójście tym tropem i pokazanie nam, co konkretnie się zadziało.

Jednym z kluczowych elementów demokracji jest przeprowadzanie sprawiedliwych wyborów. Te w wyniku wykorzystania Pegasusa budzą teraz w Polsce obawy co do swojego faktycznego przebiegu. Co więcej, ludzie mają prawo wybierać, jak dużą techniczną siłą dysponuje państwo. Ta sprawa powoduje, że ludzie w Polsce powinni zadać sobie ważne pytania. Czy taką technologią powinno zawiadywać państwo? Czy wierzymy, że będzie w stanie jej użyć, respektując podstawowe prawa? A jeżeli nie, to jakie powinny być poniesione konsekwencje? Przecież Polacy mają w pamięci, jak wygląda sytuacja, gdy państwo zdobywa za dużą władzę. Więc pytanie brzmi, czy to, co się teraz dzieje, nie wygląda znajomo? Jeżeli tak jest, to każdy powinien czuć się zagrożony. 

* John Scott-Railton – senior researcher w Citizen Lab. Specjalizuje się w badaniu złośliwego oprogramowania, phishingu i dezinformacji.

Zdjęcie tytułowe: SBI / Shutterstock