Europarlament na tropie Pegasusa. "To może być europejskie Watergate"

Przyspiesza śledztwo Parlamentu Europejskiego w sprawie Pegasusa. Dziś przed PE ma zeznawać wiceprezes izraelskiej NSO Group, czyli firmy produkującej niesławne oprogramowanie. W lipcu zaś komisja śledcza wybierze się do Izraela, by sprawdzić tamtejsze wątki sprawy. – To wszystko jest splątane jak spaghetti – mówi SW+ holenderska posłanka Sophie in 't Veld, sprawozdawczyni komisji śledczej ds. Pegasusa.

21.06.2022 05.28
Europarlament na tropie Pegasusa

Chaim Gelfand, wiceprezes NSO Group, jest od ponad dwóch lat odpowiedzialny za compliance, czyli kontrolę, czy firma działa zgodnie z normami prawnymi i etycznymi. Dziś Parlament Europejski będzie go przepytywał z tego, jak bardzo te normy w NSO były naginane i łamane.

Raczej nie ma co się spodziewać, by izraelska firma przyznała, że przy sprzedaży jej wysoce niebezpiecznego oprogramowania doszło do braku nadzoru, do kogo i w jakim konkretnie celu trafi Pegasus. Ale ciekawe jest już to, że to właściciele NSO sami skontaktowali się z przewodniczącymi komisji śledczej PEGA (czyli zajmującej się Pegasusem) z propozycją złożenia zeznań. Jak twierdzą, posiadają wrażliwe informacje na temat poprzedniego szefostwa NSO.

– Doskonale zdajemy sobie sprawę z tego, że bez sprawdzenia wątków związanych z Izraelem nie będziemy w stanie dogłębnie wyjaśnić tej sprawy. Przecież NSO Group i Pegasus nie są do końca prywatną firmą i prywatnym oprogramowaniem. W Izraelu sprzedaż broni, w tym broni cybernetycznej, musi uzyskać specjalną licencję eksportową od rządu – mówi Hannes Heide, austriacki europarlamentarzysta, członek komisji PEGA. – W lipcu wybieramy się ze specjalną misją do Izraela właśnie po to, by próbować wyjaśnić te kwestie – dodaje Heide. 

Żołnierz IDF opowiada zwiedzającym targi w Holon o systemie satelitarnym – Izrael. Fot. Dmitriy Feldman Svarshik / Shutterstock.com

– Możemy pytać o wszystko, co uznamy za ważne. Czy strona izraelska odpowie, to już inna sprawa. Nie sądzę, by z miejsca mieli na to ochotę. Nie mamy mocy, by do takich odpowiedzi zmusić, ale za to możemy wywierać presję poprzez podkreślanie wagi tego problemu, poprzez starania, by nie schodził z politycznego i społecznego świecznika – dodaje Sophie in 't Veld, sprawozdawczyni komisji śledczej ds. Pegasusa.

Pegasus lata nad Europą

Tak naprawdę sprawa wciąż jest na "świeczniku" dzięki kolejnym doniesieniom o używaniu Pegasusa w stosunku do polityków, prawników i dziennikarzy z kolejnych państw Europy.

Im więcej państw Unii okazuje się być dotkniętych aferą Pegasusa, tym większa determinacja wśród członków PE, by dotrzeć do sedna sprawy. W tym celu powołano w kwietniu komisję PEGA. Jej celem jest zgromadzenie informacji "co do zakresu, w jakim państwa Unii, w tym między innymi Węgry oraz Polska" stosują inwigilację w sposób naruszający prawa i wolności zapisane w unijnej Karcie Praw Podstawowych. A także "ocena ryzyka dla demokracji, praworządności i poszanowania praw człowieka" w Unii.

Tuż po powołaniu tej komisji sytuacja wokół Pegasusa zaogniła się jeszcze bardziej. Okazało się, że na jego celownik trafili także politycy z Hiszpanii. Kanadyjski ośrodek Citizen Lab potwierdził inwigilowanie ponad 60 polityków katalońskich związanych z tamtejszym ruchem niepodległościowym, w tym czterech europosłów.

Z kolei rząd Hiszpanii poinformował, że za pomocą Pegasusa w 2021 r. włamywano się do telefonów premiera Pedro Sáncheza i ministra obrony Hiszpanii. To pierwsza informacja o użyciu tego oprogramowania szpiegowskiego przeciwko urzędującemu szefowi rządu w Unii Europejskiej.

W kwietniu pojawiło się też potwierdzenie, że podobnego oprogramowania o nazwie Predator używano w stosunku do greckiego dziennikarza Thanasisa Koukakisa.

– Jak widać, sprawa dotyczy coraz większej liczby państw członkowskich i ma kluczowe znaczenie dla bezpieczeństwa i praw obywateli całej Unii – podkreśla Heide. 

Co więcej, według informacji opublikowanej przez Reuters co najmniej pięcioro wysoko postawionych przedstawicieli Unii Europejskiej było szpiegowanych za pośrednictwem oprogramowania NSO Group między lutym i wrześniem 2021 r. Jedną z ofiar ma być Didier Reynders, komisarz do spraw sprawiedliwości z Komisji Europejskiej. Czworo pozostałych osób również pełniło funkcje komisarzy.

Nie ujawniono, kim konkretnie są te osoby. Nie jest jasne, dlaczego akurat oni byli szpiegowani. Nie wiadomo też, kto korzystał ze szpiegującego oprogramowania. Wiadomo jednak, że atak wykrył Apple. W tej sprawie użyty miał być nie Pegasus, a inny rodzaj oprogramowania od NSO Group o nazwie ForcedEntry. Działanie tego programu spyware'owego jest jednak podobne i sprowadza się do cichego i całkowitego przejęcia kontroli nad zainfekowanym smartfonem.

Europejskie Watergate

Początkowo najgłośniejsze były sprawy w Polsce i na Węgrzech. Afera Pegasusa wybuchła pod koniec ubiegłego roku po tym, jak specjaliści ze wspomnianego Citizen Lab ujawnili, że za pomocą izraelskiego systemu szpiegowskiego inwigilowano mecenasa Romana Giertycha oraz prokurator Ewę Wrzosek. Z czasem okazało się, że ofiar jest więcej. Produkt firmy NSO Group użyto również wobec senatora Krzysztofa Brejzy (szefa sztabu KO podczas wyborów parlamentarnych) i jego ojca, a także szefa AgroUnii Michała Kołodziejczaka oraz Tomasza Szwejgierta związanego z serwisem Wieści24.pl.

Krzysztof Brejza w 2019 roku. Fot. MOZCO Mateusz Szymanski / Shutterstock.com

W celu wyjaśnienia sprawy w Senacie została utworzona nadzwyczajna komisja, która bada kwestię wykorzystania izraelskiego systemu w naszym kraju. Jednak nie ma ona tak dużych kompetencji, jakie mają sejmowe komisje śledcze. Tej do tej pory nie powołano ze względu na brak potrzebnej większości wynikający oczywiście ze sprzeciwu Zjednoczonej Prawicy, która utrzymuje, że nie doszło do żadnego skandalu.

– Dlatego raczej taka komisja nie zostanie powołana i dlatego tak ważne są prace Parlamentu Europejskiego. On też oczywiście ma swoje ograniczenia choćby formalne, bo nie ma możliwości zobowiązania do zeznań choćby Zbigniewa Ziobry. Jednak komisja PEGA ma za zadanie przygotować materiał, udokumentować nadużycia oraz sformułować rekomendacje. To jest pierwszy etap, na poziomie europejskim. Wierzę, że kolejnym etapem będą działania na poziomie krajowym, po przejęciu władzy przez opozycję - mówi członek komisji PEGA, europoseł ze Śląska Łukasz Kohut w rozmowie z SW+.

I dodaje, że planuje wezwać polskiego ministra sprawiedliwości jako świadka, choć niewielka jest szansa, by ten faktycznie się pojawił. – Dla dobra całego śledztwa wszystkie państwa, w tym i Polska, i Węgry, którym zarzuca się zakup i stosowanie takich środków inwigilacji jak Pegasus, faktycznie powinny udzielić wszelkich informacji i pomocy. I podobnie też powinno być w przypadku firm, które są zamieszane w ten proceder. Mówię o powinnościach, choć doskonale wiemy, że niekoniecznie będzie łatwo z ich egzekwowaniem – podkreśla Kohut.

Swoje postępowanie w sprawie Pegasusa prowadzi też Rada Europy. Jako sprawozdawca poseł Pieter Omtzigt od trzech miesięcy bada, jak i gdzie trafiło to bardzo inwazyjne oprogramowanie. Omtzigt właśnie upublicznił pierwsze wyniki tego śledztwa. Wstępny raport został przygotowany przez Departament Społeczeństwa Informacyjnego przy udziale Tamara Kaldani, byłego Inspektora Ochrony Danych Osobowych oraz Państwowego Inspektora Gruzji, i izraelskiego programisty Zeeva Prokopetsa.

Tyle że ten raport nie przynosi za wielu odpowiedzi na kluczowe pytania. W tym to, czy izraelski rząd wiedział, w jakim konkretnie celu sprzedawane są licencje produktów tworzonych w NSO Group, gdzie gromadzone są dane zebrane za ich pośrednictwem oraz jak wygląda legalność ich użycia przez służby.

Pegasus, narzędzie od NSO Group. Fot. mundissima

– Mamy pewien postęp w śledztwie, ale jest stanowczo za wolny. Na pewno nie pomaga to, że państwa członkowskie odmawiają współpracy, ale i Komisja Europejska, która nie chce ujawnić szczegółów alarmu o ataku na komisarzy. To jest absurdalne, bo jeżeli za tą próbą, udaną czy nie, stały władze czy służby któregoś z państw członkowskich, to mamy do czynienia z ogromnym skandalem. To by było przecież europejskie Watergate! – mocno mówi holenderska europosłanka Sophie in 't Veld. I dodaje, że całe śledztwo wokół Pegasusua jest jak układanie puzzli, w których wciąż brakuje wielu elementów.

– Dzieje się tak także dlatego, że państwa, w których pojawiły się ślady Pegasusa, jakby kryją siebie nawzajem i próbują ograniczać i blokować działania śledcze. Dodatkowo mamy przecież bardzo dużo pytań, choćby do samego Apple: ile konkretnie włamań do swoich użytkowników stwierdzili, ile osób ostrzegli, kiedy konkretnie do tego dochodziło. Mamy wciąż więcej pytań niż odpowiedzi – podkreśla in 't Veld.

Ośmiornica NSO

Jak wynika z dotychczasowego śledztwa PE, działania NSO Group w Europie mogą być znacznie szersze, niżby się wydawało. Podczas zeznań przed PE Bill Marczak z Citizen Lab jasno powiedział, że NSO Group "ma praktycznie monopol w Europie na oprogramowanie szpiegowskie".

A jak wynika z dokumentów udostępnionych członkom komisji śledczej – pisało o nich POLITICO – NSO Group stworzyła wielką siatkę składającą się z mało znanych filii rozsianych po całej Europie, ale i poza nią. – To jest jak wielkie, splątane spaghetti składające się z wpływów i interesów. Zaczynamy dopiero rozplątywać cały ten system, który wygląda, tak jakby był zresztą celowo stworzony dla utrudnienia wskazania łańcucha odpowiedzialności – tłumaczy in 't Veld.

Z dokumentów, jakie pozyskał PE, wynika, że NSO Group składa się z ponad 30 spółek zależnych i filii. Działają one w Izraelu, Luksemburgu, Cyprze, Bułgarii, ale także w Stanach Zjednoczonych, Hongkongu i Wielkiej Brytanii, a używają m.in. nazw CS-Circles Solutions i Westbridge Technologies. Struktura ta została przedstawiona członkom PE przez amerykańską firmę inwestycyjną Berkeley Research Group (BRG), która przejęła zarządzanie NSO Group latem 2021 roku. BRG jest firmą konsultingową pomagającą organizacjom w sporach i dochodzeniach.

Rozgrywki w NSO

– To nie koniec tego braku przejrzystości, bo przecież i w samym NSO dzieje się bardzo dużo, zmieniają się tam ludzie u szczytu, mówi się o bankructwie – podkreśla holenderska europosłanka.

Rynek prywatnego nadzoru rozrasta się od lat i od lat też stawał się coraz ważniejszą branżą w samym Izraelu. W 2021 r. izraelskie firmy technologiczne pozyskały aż 25,6 mld dolarów inwestycji. Ale NSO z największego zwycięzcy na tym polu stało się gorącym kartoflem.

Powstało dekadę temu i niemal od razu znalazło fundusze na rozkręcenie badań. 1,8 mln dol. za 30 proc. udziałów wyłożyła grupa inwestycyjna związana z funduszem venture capital Genesis Partners. Już dwa lata później młodziutka spółka podpisała wart 20 mln dol. kontrakt z rządem Meksyku – oficjalnie do walki z mafią narkotykową. Gdy ten projekt wypalił, pojawili się kolejni inwestorzy. W 2014 r. amerykańska firma private equity Francisco Partners kupiła NSO Group za 130 milionów dolarów.

fot. mundissima / Shutterstock

Mimo iż NSO z czasem zmieniało właścicieli i coraz więcej sprzedawało na globalnych rynkach, to badawcze zespoły i centrala wciąż pozostawały w Izraelu i działały na podstawie tamtejszego prawa.

Ale ostatni rok to już nie pasmo sukcesów, a problemów. W firmie trwa zaciekła wewnętrzna walkę o władzę, ale także o zrzucenie odpowiedzialności za skandal z Pegasusem. Niv Carmi, Shalev Hulio i Omri Lavie to ludzie, którzy założyli NSO Group. Inicjały ich imion tworzą nazwę firmy. Jednak w wyniku kontrowersji wokół Pegasusa i po prostu przejęć utracili oni już władzę w firmie. Lavie powiedział agencji Reutera, że opuścił NSO Group pod koniec 2021 roku po tym, jak zarządzanie firmą przejęło BRG. – Gdy tylko BRG dołączyła do naszej firmy, zadzwoniłem do nich i powiedziałem, że chciałbym zakończyć moją kadencję w NSO. Zrobiłem to, co uważam za normalną praktykę w tego typu sytuacjach – powiedział Lavie. 

W tym samym czasie nad NSO zaczęła przechodzić istna burza gradowa. W listopadzie 2021 r. ministerstwo handlu USA umieściło NSO na swojej czarnej liście, twierdząc, że izraelska firma sprzedaje oprogramowanie szpiegujące zagranicznym rządom, które następnie wykorzystują ten sprzęt do atakowania urzędników państwowych i dziennikarzy.

Pozew do sądu przeciwko izraelskiej spółce złożyła firma Apple, która uważa, że używanie Pegasusa naruszyło amerykańskie prawo, bowiem narzędzie to włamywało się do systemów operacyjnych iPhone'ów. Wobec NSO działania prawne podjął także Microsoft, Meta, Google i Cisco. Przed kilkoma dniami NSO pozwał też Jordi Solé, jeden z czterech hiszpańskich europarlamentarzystów, który miał być poddany inwigilacji.

W takiej sytuacji BRG oficjalne zapewnia, że jest gotowa na transparentność. Tyle że sama jest w konflikcie prawnym z Hulio i Laviem, czyli ojcami założycielami, którzy nowym właścicielom wytoczyli procesy.

Wnioski w listopadzie 

Komisja śledcza PE ma 12 miesięcy na przygotowanie raportu ale in 't Veld zapowiada, że wstępne wnioski z dochodzenia powinny być gotowe już w listopadzie. Następnie przyjdzie pora na rekomendacje dla państw członkowskich związane z ochroną obywateli.

– Doskonale sobie zdajemy sprawę z tego, że bez dobrej woli rządów najlepsze nawet rekomendacje nie zadziałają. Ale kwestia ochrony ludzi przed takimi inwazyjnymi narzędziami wykorzystywanymi przez służby bez kontroli i bez transparentności musi być ukrócona. Afera Pegasusa to sowieckie standardy w praktyce. Sowieckie podejście do prywatności. Sowieckie podejście do używania narzędzi, którymi dysponuje państwo.  Musimy do kości wyjaśnić całą tę aferę i wprowadzić standardy, które pozwolą chronić obywateli. - podkreśla Kohut.

– Nie da się tworzyć prawa wbrew złym intencjom. Na papierze może wszystko wyglądać świetnie, ale jeżeli intencje będą złe, to każde prawo da się obejść. Jednak musimy tę sprawę spróbować rozplątać także na przyszłość tak, by były podstawy do regulacji rynku technologii nadzoru – podsumowuje Sophie in 't Veld. 

Zdjęcie tytułowe: Jaime Grech Santos/Shutterstock
DATA: 21.06.2022