Prywatna inwigilacja kwitnie. Nadchodzi szpiegowski Armagedon?
Wiedza na temat narzędzi i oprogramowania szpiegującego, w tym hackerskiego, a przede wszystkim one same, są bardziej dostępne niż kiedykolwiek wcześniej. Nasze dane, jak nigdy wcześniej, podatne są na zagrożenia, a świat stał się przez to bardziej niebezpieczny. To nie jest już tylko problem państw, ale przede wszystkim zwykłych obywateli. Jesteśmy świadkami masowego upowszechnienia narzędzi i technik szpiegowskich, które pozostawały niegdyś wyłącznie w rękach wyselekcjonowanych służb specjalnych. Dzisiaj się to zmienia. Jak twierdzi Sharon Weinberger, dziennikarka „The New York Times”, specjalizująca się w kwestiach bezpieczeństwa, „prywatna inwigilacja to śmiertelna broń, którą obecnie każdy może kupić” (wydanie z 19 lipca 2019 r.).
Źródła szpiegowskiego boomu
Prywatne szpiegostwo to nic nowego, ale dzisiejszy problem polega na skali, wyrafinowaniu technicznym oraz szerokim spektrum aktywnych uczestników. Z czego on wynika? Spróbujmy uporządkować wiedzę.
Po pierwsze, szpiegowski biznes się globalizuje Jak donosi kwietniowy „The Times” technologia monitoringu zbudowana dla chińskiego systemu politycznego jest obecnie wykorzystywana – a w niektórych przypadkach nadużywana – aż przez 18 krajów, w tym Zimbabwe, Uzbekistan, Pakistan, Kenię, Zjednoczone Emiraty Arabskie i Niemcy. To tylko jeden z przykładów globalizacji. Warto zwrócić uwagę, iż coraz częściej państwa stają się klientami profesjonalnych agencji szpiegowskich, co jest swoistym fenomenem przełomu XX i XXI wieku. Posłużmy się opisanym przez Sarah Weinberger przykładem Uzbekistanu. Otóż w 2014 roku rząd tego kraju zapragnął monitorować komunikację wszystkich swoich obywateli. I bez tej zdolności Human Rights Watch oceniało stan przestrzegania praw człowieka w Uzbekistanie pod przywództwem Islama Karimowa, jako fatalny. Chodziło o zakup zaawansowanej technologii inwigilacyjnej. Jednym z oferentów była amerykańska firma, specjalizująca się w technologii nadzorowania komunikacji telefonii mobilnej i stacjonarnej oraz internetowej. Rządzący nie mieli zamiaru odciąć ludzi od Internetu, a jedynie go kontrolować. Kontrakt trafił prawdopodobnie do izraelskich firm, co potwierdza raport z 2015 r. Privacy International, organizacji pozarządowej śledzącej eksport technologii szpiegowskiej, w którym stwierdzono, że dwie firmy działające w Izraelu utworzyły centra monitorowania w Uzbekistanie. Dzięki temu służby uzbeckie mogą m.in. namierzyć użytkownika telefonu na podstawie jego „unikalnego głosu”, niezależnie od tego, jakiego numeru telefonu używa. Nie sposób wprost udowodnić Izraelczykom udziału w tym procederze, ponieważ branża inwigilacyjna to wielce skomplikowana struktura, zaangażowane są w nią firmy produkujące oprogramowanie, dostawcy sprzętu, a nawet tradycyjni operatorzy telekomunikacyjni.
Po drugie, mamy do czynienia z łatwą dostępnością do wiedzy i technologii szpiegowskiej. Liczne grupy pozarządowe i osoby prywatne kupują narzędzia szpiegowskie i techniki do nielegalnych celów. Cyberprzestępcy są tego przykładem. Prawdziwa wiedza hackerska była niegdyś domeną komputerowych guru i wyrafinowanych służb wywiadowczych, ale dziś takie know-how można pozyskać na czarnym rynku. Kartele narkotykowe, terroryści i inne sieci przestępcze mogą wykorzystywać wysokiej jakości kamery i urządzenia do inwigilacji, nagrywania swoich konkurentów oraz państwowych „prześladowców”. Narzędzia wywiadowcze są też wykorzystywane do kradzieży informacji i technologii należących do firm i instytucji badawczych.
Zaawansowane technologie inwigilacji, niegdyś należące do wyspecjalizowanych służb w bogatych krajach, są obecnie oferowane przez prywatnych kontrahentów na całym świecie w ramach prywatnej tajnej branży wartej wiele miliardów dolarów. W ubiegłym roku pojawiły się co najmniej dwa głośne doniesienia, że państwa autorytarne wykorzystywały zachodnią technologię inwigilacji do tropienia dziennikarzy lub działaczy politycznych. Firma DarkMatter ze Zjednoczonych Emiratów Arabskich rzekomo szpiegowała niezależnych dziennikarzy, zaś rząd saudyjski został oskarżony o wykorzystywanie programów szpiegujących izraelskiej firmy NSO Group, aby włamać się do telefonu bliskiego współpracownika Jamala Khashoggi, saudyjskiego pisarza i dziennikarza „The Washington Post”, zabitego w konsulacie swojego kraju w Stambule w październiku ubiegłego roku. Również w Stanach Zjednoczonych eksperci bezpieczeństwa alarmują, że prywatni użytkownicy korzystają z tańszych wersji tej technologii.
Po trzecie, terroryzm uaktywnił globalną działalność inwigilacyjną, a jednocześnie dał pretekst do wielu nadużyć w jej obszarze. Genezy tego szpiegowskiego fenomenu należy szukać w gorączkowych tygodniach bezpośrednio po atakach z 11 września 2001 r., kiedy Kongres amerykański uchwalając Patriot Act, ustanowił prawo znacznie poszerzające kompetencje inwigilacyjne rządu. W trakcie procesu legislacyjnego ustawodawcy, zdaje się w sposób niezamierzony, stworzyli rynek dla firm prywatnych, zainteresowanych świadczeniem usług i technologii gromadzących i analizujących wielkie zasoby danych. Firmy z branży szpiegowskiej zaczęły bez rozgłosu powstawać w Stanach Zjednoczonych i Europie. Niektóre były tradycyjnymi firmami telekomunikacjami, które od dawna współpracowały z organami rządowymi w zakresie inwigilacji, inne zaś mniejszymi start-upami.
Skala szpiegowskiej branży
Według opinii ekspertów firmy Booz Allen Hamilton, dla której niegdyś pracował E. Snowden, wartość prywatnego rynku szpiegowskiego jest trudna do oszacowania. Należałoby zebrać dane od jego uczestników, a to, ze względu na charakter ich działań, nie jest możliwe. Jeden z raportów ocenia branżę na 3,3 miliarda USD. Izraelska NSO Group, szacuje wartość sektora na około 12 miliardów USD. Jedno jest pewne: prywatny sektor inwigilacji kwitnie. Firma „Little Black Book of Electronic Surveillance”, która tworzy katalog technologii inwigilacyjnych, zmieniła w 2016 roku nazwę na „Big Black Book”. Edycja z 2017 roku obejmuje 150 dostawców tego rodzaju urządzeń i programów.
Na tym wschodzącym rynku mocno osadziły się firmy izraelskie. W 2010 r. premier Benjamin Netanjahu nadał priorytet opanowaniu cyberprzestrzeni. Natychmiast podjęto działania organizacyjne i prawne umożliwiające weteranom słynnej Jednostki 8200, odpowiedniczce amerykańskiej NSA, tworzenie prywatnych firm szpiegowskich. Netanjahu nie ukrywał, iż jego inspiracja wywodzi się z lat 70., kiedy studiował w amerykańskim MIT (Massachusetts Institute of Technology) i przekonał się o bliskich związkach wywiadu ze środowiskiem akademickim. W 2011 r. powołał specjalną grupę zadaniową, która zainicjowała rozwój prywatnego przemysłu cybernetycznego w Izraelu i usunęła „przeszkody eksportowe” w zakresie technologii cybernetycznej. Weterani z Jednostki 8200 i innych formacji izraelskiego wojska zaczęli tworzyć wyspecjalizowane firmy. Większość angażuje się w cyberbezpieczeństwo narodowe, ale kilka, w tym NSO Group, wkroczyło na drogę „legalnego” przestępstwa. Te ostatnie pomagają włamać się do obcych systemów komputerowych. Czas był dla nich pomyślny, bowiem w 2011 r. miała miejsce arabska „wiosna ludów” i wiele krajów oraz wywiadów poszukiwało takich usług.
Jeszcze kilkanaście lat temu branża trudniła się zbieraniem informacji przechwyconych głównie z telefonów komórkowych i stacjonarnych oraz skrzynek e-mailowych. Ostatnie kilka lat to rewolucyjna zmiana w komunikacji – najpierw Facebook, potem Skype, iPhone itp. Obecnie miliardy ludzi spacerują z urządzeniami, które wykonując szeroką gamę usług, pozwalają zgromadzić szczegółowe dane o ich posiadaczach.
W przeszłości, kiedy służby wywiadowcze chciały „zajrzeć do czyjegoś mózgu”, musiały z taką osobą rozmawiać, zorganizować jej obserwację, ewentualnie pojmać i przesłuchiwać. Nieco później dobrym rozwiązaniem było zdalne zainstalowanie złośliwego oprogramowanie na komputerze. Ale nawet wówczas istniały ograniczone możliwości dokładnego „prześwietlenia” człowieka. Obecnie, kiedy ludzie noszą w kieszeniach zaawansowane technologicznie urządzenia, które zawierają wymieniane wiadomości, kontakty, zdjęcia, informacje o zwyczajach i upodobaniach, zdradzają tym samym sposób ich rozumowania, obnażają osobowość.
Do 2013 roku wiedza o tym, co oferowały firmy szpiegowskie i co wykorzystywały rządy, była bardzo ograniczona. Ale w maju 2013 r. Edward Snowden ujawnił listę ściśle tajnych materiałów, które szczegółowo opisywały globalne programy nadzoru NSA, w tym program PRISM, który gromadził ogromną ilość komunikacji internetowej. Te rewelacje zmieniły z dnia na dzień sposób postrzegania elektronicznej branży szpiegowskiej.
Oczywiście niewiele krajów ma środki na budowę lub zakup programu takiego jak PRISM, ale stać ich na usługi izraelskiej NSO Group lub jej podobnych. Do 2013 roku jedna trzecia firm branży szpiegowskiej pochodziła z „krajów niezachodnich”, w tym z Chin, Indii, Arabii Saudyjskiej i Południowej Afryki.
Najgorsze, jak utrzymują eksperci, dopiero nadchodzi. Wielkie zasoby danych, sztuczna inteligencja, obliczenia kwantowe i sieci komórkowe 5G zmienią nasze społeczeństwa w sposób niewyobrażalny, na lepsze i na gorsze. Coraz potężniejsza, łatwo dostępna technologia będzie zwiększać konkurencję między państwami, wzmocni zarówno służby wywiadowcze, jak i przestępców oraz terrorystów.
Prywatne szpiegostwo wymaga prawnych regulacji
Inwigilacja to groźna broń, ale gdy inne rodzaje uzbrojenia podlegają surowym międzynarodowym normom i ograniczeniom – nawet jeśli są często łamane – to handel technologią szpiegowską jest w praktyce nieuregulowany. Bez większej przesady można stwierdzić, że tego rodzaju technologia w niepowołanych rękach daje taki sam efekt, jak sprzedaż śmiercionośnej broni. Możliwości zagranicznych służb wywiadowczych wciąż rosną, zwiększa się więc presja na rządy, aby kwestie te uregulowały prawnie.
W 2015 roku włamano się do Hacking Team, włoskiej firmy, która sprzedaje oprogramowanie do zdalnego włamywania się i monitorowania elektronicznych urządzeń użytkowników. Opublikowano w Internecie pięcioletni zasób wewnętrznych wiadomości e-mail i dokumentów firmy jednocześnie ujawniając, że zespół hakerów sprzedał swój produkt do krajów autorytarnych, w tym Syrii i Azerbejdżanu, i że włoskie przepisy eksportowe nie zabraniają takiej działalności.
Rosnące oburzenie związane z tego rodzaju sprzedażą zwiększyło wsparcie dla zaproponowanych przez Wielką Brytanię i Francję zmian do istniejącego porozumienia z Wassenaar (porozumienie w sprawie Kontroli Eksportu Broni Konwencjonalnej oraz Dóbr i Technologii Podwójnego Zastosowania z 1994 roku). Wśród nowych propozycji znalazł się postulat włączenia do porozumienia technologii inwigilacji, w tym oprogramowania szpiegowskie. Firmy mogłyby sprzedawać tego rodzaju technologie, ale po uzyskaniu pozwolenia, jak w przypadku innej broni. USA początkowo proponowały wymóg licencji eksportowych. Inni sygnatariusze Wassenaar, w tym Unia Europejska, posuwali się jeszcze dalej, ale z różnych powodów proponowane zmiany nie znalazły się w treści porozumienia.
Jak dotąd nikt nie wymyślił dobrego rozwiązania regulującego tę branżę, natomiast istnieją dowody na to, że prywatne szpiegostwo poczyna sobie coraz śmielej. Nawet sami zainteresowani uważają, że sektor wymaga nadzoru, zwłaszcza w Europie i Azji, gdzie najlepiej czują się firmy handlujące technologią szpiegowską. Nie ma jednak dobrej odpowiedzi na pytanie, jak to zrobić, ponieważ jest to skomplikowany, pełen niuansów problem. Politycy źle się czują w obliczu złożonych technologicznie kwestii.
E. Snowden, którego informacje rzuciły światło na technologie napędzające ten rynek, proponuje radykalne wyjście: całkowicie zakazać obrotu oprogramowaniem szpiegowskim. Twierdzi, iż handel lukami w zabezpieczeniach oprogramowania ma niewielką wartość publiczną, a przynosi wyjątkowe publiczne szkody, jako że tworzy grupę najemników – cyfrowych sabotażystów – którzy równie dobrze mogą świadczyć usługi dla Saudyjczyków i Chińczyków, jak i dla Francuzów. Drastyczny zakaz handlu tego rodzaju technologami prawdopodobnie nie wejdzie w życie, ale obawy Snowdena są uzasadnione.
Niedawno wyszło na jaw, iż DarkMatter, cyberfirma ze Zjednoczonych Emiratów Arabskich, zatrudniająca byłych amerykańskich pracowników wywiadu, atakowała również obywateli amerykańskich. Potwierdza to tylko obawy, że zachodnie technologie ostatecznie są stosowane przeciwko obywatelom tych krajów. Znane firmy, jak NSO Group czy angielsko-niemiecka Gamma Group, sprzedają swoje technologie rządom, ale trafiają one również do prywatnych użytkowników. Dzieje się tak z programem FlexiSPY, którego producent ogłasza, że może potajemnie „włączyć mikrofon telefonu i nagrać jego otoczenie” oraz „szpiegować SMS-y, e-maile i zdjęcia”. Można go nabyć za 60-70 USD. Z kolei program szpiegujący FinSpy firmy Gamma Group, może rejestrować każde naciśnięcie klawisza, połączenie lub wiadomość tekstową na zainfekowanym urządzeniu. Może ponadto potajemnie nagrywać dźwięk za pomocą wbudowanego mikrofonu w komputerze.
Reasumując warto ponownie postawić pytanie: czy można zatrzymać ten szpiegowski Armagedon? Zapewne nie do końca, nie definitywnie, ale należy podejmować wysiłki w tym kierunku. Przede wszystkim systemy i technologie gromadzenia danych wywiadowczych winny być traktowane przez rządy jak broń. Ta zaś wymaga licencji eksportowych. Nie ma oczywiście gwarancji, że eksport nigdy nie trafi do krajów autorytarnych, takich jak Arabia Saudyjska, ale odpowiednie przepisy postawią tamę powszechności procederu. Decydującą rolę mogą odegrać tu Stany Zjednoczone, które są w stanie wywrzeć presję na sojusznikach – w tym na Niemcy, Włochy i Izrael – aby sprzedawali oprogramowanie tylko tym krajom, które respektują prawa człowieka.
Wymaga to zasadniczych przewartościowań w myśleniu, na które prawdopodobnie nie stać administracji Trumpa, prowadzącej rekordową sprzedaż uzbrojenia do Arabii Saudyjskiej. Zmiana i tak nie miałaby wpływu na amerykańskie firmy, które sprzedają oprogramowanie szpiegowskie na rynku wewnętrznym, ale byłby to dobry sygnał dla innych, silniejszych państw.
Warto pamiętać, iż eksport broni to w dalszym ciągu nieuporządkowany obszar. Nowe przepisy dotyczące technologii szpiegowskiej wywołałyby protest. Firmy zachodnie podniosą krzyk, że przynoszą korzyści takim konkurentom jak Chiny czy Rosja, zaś obrońcy praw człowieka będą utyskiwać, że Departament Stanu regularnie zezwala na sprzedaż broni dyktatorom. Jednak oznaczenie technologii i oprogramowania szpiegowskiego jako broni pozwoli uświadomić zainteresowanym, że narzędzia do szpiegowania prywatności są częścią nowego wyścigu zbrojeń.