Używanie Pegasusa jest sprzeczne z polskim prawem – ekspertyza Katedry Prawa Karnego Uniwersytetu Jagiellońskiego

21 lutego, 2022

Używanie takiego systemu jak Pegasus jest sprzeczne z polskim prawem. Spyware – oprogramowanie typu szpiegowskiego izraelskiej firmy NSO – ma na celu wykradanie informacji przechowywanych w systemach informatycznych poprzez nieznane producentowi luki bezpieczeństwa. Ekspertyza przygotowana przez pracowników Katedry Prawa Karnego Uniwersytetu Jagiellońskiego stawia sprawę jasno, bo oprogramowanie Pegasus nie może być wykorzystane w sądzie przeciwko obywatelowi, jak również nielegalne jest zbieranie danych przez służby z urządzeń bez zastosowania się do odpowiednich procedur wynikających ustawy i przepisów polskiego prawa.

Ekspertyzę wraz z wnioskami przygotowali: dr hab. Agnieszka Barczak-Oplustil, dr hab. Mikołaj Małecki, dr hab. Szymon Tarapata, dr Adam Behan oraz dr Witold Zontek z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego. Plik PDF jest dostępny pod tym linkiem.

Najważniejsze wnioski z ekspertyzy zatytuowanej „Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych(casus Pegasusa)”.

Czytanie SMS-ów i rozmów, udostępnianie

Użycie systemów teleinformatycznych (…) bez wiedzy i zgody użytkownika (…) jest zgodne  z przepisami polskiego prawa, pod warunkiem wykorzystania do tego celu akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programów komputerowych zapewniających bezpieczeństwo informacji niejawnych, których funkcjonalności nie umożliwiają ingerencji w treść danych zgromadzonych w urządzeniu ani udostępniania tych danych osobom trzecim, nieuprawnionym do dostępu do informacji niejawnych.

Nagrywanie mikrofonu i rozmów

Użycie programów komputerowych pozwalających utrwalać treść rozmów i obraz w pomieszczeniach, w których znajduje się telefon/tablet/inne urządzenie, po przejęciu kontroli nad urządzeniem i uruchomieniu przez służby mikrofonu lub kamery, jest sprzeczne z przepisami polskiego prawa, które nie przewidują kompetencji służb do aktywnego wykorzystywania funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych (…).

Kradzież haseł i logowanie się na konta ofiar

Użycie (…) dane dostępowe (hasła/klucze) pozwalające na logowanie się na serwerach z pocztą elektroniczną, bankowych, portalach społecznościowych jest zgodne z przepisami polskiego prawa, przy czym jest sprzeczne z przepisami polskiego prawa przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy).

Pobieranie danych z telefonów

Użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną całą jego zawartość zgromadzoną w urządzeniu w trakcie trwania oraz przed rozpoczęciem kontroli operacyjnej budzi wątpliwości co do zgodności z przepisami polskiego prawa w kontekście spełnienia in concreto konstytucyjnej zasady proporcjonalności, a jest sprzeczne z przepisami polskiego prawa, gdy wykorzystane są do tego celu nieakredytowane przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programy komputerowe nie zapewniające bezpieczeństwa informacji niejawnych, bądź których funkcjonalności umożliwiają ingerencję w treść danych zgromadzonych w urządzeniu, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.

Usuwanie plików, dodawanie, edytowanie

Użycie w ramach kontroli operacyjnej programów komputerowych pozwalających na uzyskanie dostępu do całości lub części systemu informatycznego w telefonie/tablecie/innym urządzeniu osoby poddanej kontroli operacyjnej i dokonywanie zmian w ich zawartości (w tym dodawanie, edytowanie lub usuwanie plików) jest sprzeczne z przepisami polskiego prawa.

Udostępnianie pozyskanych informacji

Nabycie i używanie programów komputerowych, których wykorzystywanie w ramach kontroli operacyjnej wiąże się z przekazywaniem pozyskiwanych danych do osób trzecich, nieuprawnionych do dostępu do informacji niejawnych w szczególności administratorów lub służb wywiadowczych obcych państw, jest sprzeczne z przepisami polskiego prawa.

Kontrola operacyjna powinna być poprzedzona wnioskiem do sądu

Wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji, a także zakres czasowy gromadzenia danych.

Po zakończonej kontroli ofiara powinna być powiadomiona

Osoba kontrolowana, w świetle standardu konstytucyjnego, powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne.

Zatem używanie Pegasusa jest nielegalne

Eksperci od prawa karnego wyrazili opinię o oprogramowaniu Pegasus do celów operacyjnych. Wnioski pozwalają stwierdzić, że dopuszczone jest używanie systemu szpiegowskiego w określonym celu oraz zgodnie z procedurami w danym kraju, począwszy od wystąpienia z wnioskiem do sądu, a skończywszy na poinformowaniu osoby, która była celem służb – w jakim zakresie i czasie pozyskiwano takie dane. Ofiara powinna mieć możliwość odwołania się do sądu i złożenia zażalenia do niezależnego organu kontroli służb.

W związku z powyższym system Pegasus najprawdopodobniej został użyty nielegalnie przeciwko politykom oraz działaczom społecznym w incydentach, które nagłaśniały media.

Nie trzymano się procedury administracyjno-sądowej, dlatego ofiara nigdy nie dowiedziała się o prowadzonej przeciwko niej kontroli. Dopiero w wyniku ujawnienia informacji przez Citizen Lab świat dowiedział się, że Polska aktywnie wykorzystywała system Pegasus przeciwko obywatelom. Zatem nie należy wykluczać, że mogło dojść do nadużycia władzy i kompetencji w zakresie wykorzystania systemu teleinformatycznego, takiego jak Pegasus, przeciwko obywatelom.

Autorzy ekspertyzy wyjaśniają, że inwigilacja może prowadzić do naruszenia podstawowych praw konstytucyjnych, takich jak np.: prawo jednostki do prywatności (art. 47 Konstytucji), konstytucyjnej wolności komunikowania i związanej z tym ochrony tajemnicy komunikacji (art. 49 Konstytucji) i ochrony autonomii informacyjnej. W konsekwencji zbyt głębokiej inwigilacji może dojść do naruszenia zasady godności człowieka (wyrok Trybunału Konstytucyjnego z 30 lipca 2014 r., K 23/11, nb 249).

Co potrafi i jakie są sposoby ochrony przed Pegasusem?

Pegasus potrafi świetnie się ukrywać, wykorzystywać mnóstwo exploitów dla Android, iOS, iPadOS i szyfrować komunikację z hakerem. Do wykradania informacji z telefonu wykorzystuje zarówno połączenia Wi-Fi, jak i sieć 3G, 4G, 5G. Przełamuje zabezpieczenia mobilnych przeglądarek Chrome, Firefox i innych, a także aplikacji Gmail, Facebook, Twitter. Nawet komunikatory nie mogą przeciwdziałać Pegasusowi, jeżeli złośliwe oprogramowanie uzyska uprawnienia administratora (root) poprzez lukę w zabezpieczeniach systemu.

System Pegasus podsumowali badacze z elitarnego zespołu bezpieczeństwa Google Project Zero, więc nie byle kto – „to nieprawdopodobne, że coś takiego powstało w prywatnej firmie”.

Czy przed Pegasusem można się chronić? Prawdopodobnie tak, lecz jest to trudne, bo trzeba pamiętać o ważnych aspektach, które opisujemy dla ciebie za darmo.

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]