Używanie takiego systemu jak Pegasus jest sprzeczne z polskim prawem. Spyware – oprogramowanie typu szpiegowskiego izraelskiej firmy NSO – ma na celu wykradanie informacji przechowywanych w systemach informatycznych poprzez nieznane producentowi luki bezpieczeństwa. Ekspertyza przygotowana przez pracowników Katedry Prawa Karnego Uniwersytetu Jagiellońskiego stawia sprawę jasno, bo oprogramowanie Pegasus nie może być wykorzystane w sądzie przeciwko obywatelowi, jak również nielegalne jest zbieranie danych przez służby z urządzeń bez zastosowania się do odpowiednich procedur wynikających ustawy i przepisów polskiego prawa.
Ekspertyzę wraz z wnioskami przygotowali: dr hab. Agnieszka Barczak-Oplustil, dr hab. Mikołaj Małecki, dr hab. Szymon Tarapata, dr Adam Behan oraz dr Witold Zontek z Katedry Prawa Karnego Uniwersytetu Jagiellońskiego. Plik PDF jest dostępny pod tym linkiem.
Najważniejsze wnioski z ekspertyzy zatytuowanej „Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych(casus Pegasusa)”.
Czytanie SMS-ów i rozmów, udostępnianie
Użycie systemów teleinformatycznych (…) bez wiedzy i zgody użytkownika (…) jest zgodne z przepisami polskiego prawa, pod warunkiem wykorzystania do tego celu akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programów komputerowych zapewniających bezpieczeństwo informacji niejawnych, których funkcjonalności nie umożliwiają ingerencji w treść danych zgromadzonych w urządzeniu ani udostępniania tych danych osobom trzecim, nieuprawnionym do dostępu do informacji niejawnych.
Nagrywanie mikrofonu i rozmów
Użycie programów komputerowych pozwalających utrwalać treść rozmów i obraz w pomieszczeniach, w których znajduje się telefon/tablet/inne urządzenie, po przejęciu kontroli nad urządzeniem i uruchomieniu przez służby mikrofonu lub kamery, jest sprzeczne z przepisami polskiego prawa, które nie przewidują kompetencji służb do aktywnego wykorzystywania funkcjonalności systemu informatycznego lub urządzenia końcowego w celu agregowania danych (…).
Kradzież haseł i logowanie się na konta ofiar
Użycie (…) dane dostępowe (hasła/klucze) pozwalające na logowanie się na serwerach z pocztą elektroniczną, bankowych, portalach społecznościowych jest zgodne z przepisami polskiego prawa, przy czym jest sprzeczne z przepisami polskiego prawa przeglądanie i pobieranie danych zgromadzonych w tych systemach informatycznych po odrębnym zalogowaniu się do nich przez służby za pomocą pobranych danych dostępowych (haseł/kluczy).
Pobieranie danych z telefonów
Użycie programów komputerowych pobierających z telefonu/tabletu/innego urządzenia osoby objętej kontrolą operacyjną całą jego zawartość zgromadzoną w urządzeniu w trakcie trwania oraz przed rozpoczęciem kontroli operacyjnej budzi wątpliwości co do zgodności z przepisami polskiego prawa w kontekście spełnienia in concreto konstytucyjnej zasady proporcjonalności, a jest sprzeczne z przepisami polskiego prawa, gdy wykorzystane są do tego celu nieakredytowane przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego programy komputerowe nie zapewniające bezpieczeństwa informacji niejawnych, bądź których funkcjonalności umożliwiają ingerencję w treść danych zgromadzonych w urządzeniu, bądź których użycie wiąże się z udostępnianiem tych danych osobom trzecim nieuprawnionym do dostępu do informacji niejawnych.
Usuwanie plików, dodawanie, edytowanie
Użycie w ramach kontroli operacyjnej programów komputerowych pozwalających na uzyskanie dostępu do całości lub części systemu informatycznego w telefonie/tablecie/innym urządzeniu osoby poddanej kontroli operacyjnej i dokonywanie zmian w ich zawartości (w tym dodawanie, edytowanie lub usuwanie plików) jest sprzeczne z przepisami polskiego prawa.
Udostępnianie pozyskanych informacji
Nabycie i używanie programów komputerowych, których wykorzystywanie w ramach kontroli operacyjnej wiąże się z przekazywaniem pozyskiwanych danych do osób trzecich, nieuprawnionych do dostępu do informacji niejawnych w szczególności administratorów lub służb wywiadowczych obcych państw, jest sprzeczne z przepisami polskiego prawa.
Kontrola operacyjna powinna być poprzedzona wnioskiem do sądu
Wniosek o kontrolę operacyjną kierowany do sądu powinien określać cele, zakres i sposób kontroli, w tym wykorzystywane programy komputerowe wraz ze wskazaniem ich funkcjonalności w kontekście rodzaju, źródeł i liczby pozyskiwanych informacji, a także zakres czasowy gromadzenia danych.
Po zakończonej kontroli ofiara powinna być powiadomiona
Osoba kontrolowana, w świetle standardu konstytucyjnego, powinna mieć prawo do powiadomienia o zakończonej wobec niej kontroli operacyjnej i złożenia zażalenia do niezależnego organu kontroli na podjęte wobec niej czynności operacyjne.
Zatem używanie Pegasusa jest nielegalne
Eksperci od prawa karnego wyrazili opinię o oprogramowaniu Pegasus do celów operacyjnych. Wnioski pozwalają stwierdzić, że dopuszczone jest używanie systemu szpiegowskiego w określonym celu oraz zgodnie z procedurami w danym kraju, począwszy od wystąpienia z wnioskiem do sądu, a skończywszy na poinformowaniu osoby, która była celem służb – w jakim zakresie i czasie pozyskiwano takie dane. Ofiara powinna mieć możliwość odwołania się do sądu i złożenia zażalenia do niezależnego organu kontroli służb.
W związku z powyższym system Pegasus najprawdopodobniej został użyty nielegalnie przeciwko politykom oraz działaczom społecznym w incydentach, które nagłaśniały media.
Nie trzymano się procedury administracyjno-sądowej, dlatego ofiara nigdy nie dowiedziała się o prowadzonej przeciwko niej kontroli. Dopiero w wyniku ujawnienia informacji przez Citizen Lab świat dowiedział się, że Polska aktywnie wykorzystywała system Pegasus przeciwko obywatelom. Zatem nie należy wykluczać, że mogło dojść do nadużycia władzy i kompetencji w zakresie wykorzystania systemu teleinformatycznego, takiego jak Pegasus, przeciwko obywatelom.
Autorzy ekspertyzy wyjaśniają, że inwigilacja może prowadzić do naruszenia podstawowych praw konstytucyjnych, takich jak np.: prawo jednostki do prywatności (art. 47 Konstytucji), konstytucyjnej wolności komunikowania i związanej z tym ochrony tajemnicy komunikacji (art. 49 Konstytucji) i ochrony autonomii informacyjnej. W konsekwencji zbyt głębokiej inwigilacji może dojść do naruszenia zasady godności człowieka (wyrok Trybunału Konstytucyjnego z 30 lipca 2014 r., K 23/11, nb 249).
Co potrafi i jakie są sposoby ochrony przed Pegasusem?
Pegasus potrafi świetnie się ukrywać, wykorzystywać mnóstwo exploitów dla Android, iOS, iPadOS i szyfrować komunikację z hakerem. Do wykradania informacji z telefonu wykorzystuje zarówno połączenia Wi-Fi, jak i sieć 3G, 4G, 5G. Przełamuje zabezpieczenia mobilnych przeglądarek Chrome, Firefox i innych, a także aplikacji Gmail, Facebook, Twitter. Nawet komunikatory nie mogą przeciwdziałać Pegasusowi, jeżeli złośliwe oprogramowanie uzyska uprawnienia administratora (root) poprzez lukę w zabezpieczeniach systemu.
System Pegasus podsumowali badacze z elitarnego zespołu bezpieczeństwa Google Project Zero, więc nie byle kto – „to nieprawdopodobne, że coś takiego powstało w prywatnej firmie”.
Czy przed Pegasusem można się chronić? Prawdopodobnie tak, lecz jest to trudne, bo trzeba pamiętać o ważnych aspektach, które opisujemy dla ciebie za darmo.
