Prema službenoj web stranici kompanije,1 njihove proizvode koriste isključivo vladine obavještajne službe i agencije za provođenje zakona u borbi protiv kriminala i terorizma.2
Međutim, Projekt Pegasus je otkrio kako se ta tehnologija koristila u svrhu prisluškivanja i zastrašivanja brojnih aktivista za borbu za ljudska prava, novinara i odvjetnika.
Među metama je bio i mađarski istraživački novinar Szabolcs Panyi s istraživačke stranice Direkt36, a istraga koju je proveo The Associated Press otkrila je da su najmanje tri osobe u Poljskoj bile na meti Pegaz, među kojima su poljska tužiteljica Ewa Wrzosek i oporbeni senator Krzysztof Brejza.3
Europski nadzornik za zaštitu podataka (eng. European Data Protection Supervisor ili EDPS) dana 15. veljače 2022. objavio je svoje preliminarne napomene o procjeni utjecaja špijunskog softvera Pegasus na zaštitu osobnih podataka, otkrivajući da postojanje takvog softvera dovodi do ozbiljnih pitanja o utjecaju suvremenih špijunskih alata na pravo na privatnost i zaštitu podataka.4
Istovremeno, raste politički pritisak za uspostavu istražnog odbora u okviru Europskog parlamenta o zlouporabi špijunskog softvera od strane vlada država članica EU protiv nacionalnih oporbenih političara, odvjetnika i novinara.
Na dan donošenja preliminarnih napomena, u Europskom parlamentu održana je javna rasprava5 u kojoj je ponovljeno da postoji potreba za cjelovitom istragom koja će istražiti dokumentirane slučajeve, konzultirati stručnjake i pozvati svjedoke iz cijele Europe, kako bi se konačno stavile preporuke na stol Europske komisije i nacionalnih vlada za daljnje djelovanje.
Cilj preliminarnog izvješća EDPS-a je pridonijeti javnoj raspravi koja se trenutno odvija u Europskoj uniji i na globalnoj6 razini o neviđenim rizicima koje predstavlja ova vrsta tehnologije nadzora. Korištenje Pegasusa može dovesti ne samo do razine ometanja najintimnijih aspekata svakodnevnog života i zadiranja u temeljna prava i slobode građana koja je bez presedana, nego u konačnici i do narušavanja demokracije i vladavine prava.
Pegasus se smatra najmoćnijim alatom za hakiranje ili špijunskim softverom do danas, a dizajniran je za uspješan napad na gotovo svaki pametni telefon, na temelju specifičnih informacija o meti kao što je broj mobilnog telefona.
Može potajno pretvoriti mobitel u 24-satni nadzorni uređaj, jer dobiva potpuni pristup svim senzorima i informacijama telefona (slanje poruka, preuzimanje fotografija, snimanje poziva, pristup kameri i mikrofonu uređaja, praćenje geolokacije itd.).
Za razliku od „tradicionalnih“ oblika ovakvog tipa nadzora, Pegasus je superiorniji jer
- dopušta potpuni i neograničeni pristup uređaju koji napada; instaliranjem ovog softvera na određeni uređaj napadač dobiva takozvane administrativne privilegije;
- može vršiti napade koji hakeru omogućuje provalu u telefon ili računalo čak i ako njegov korisnik ne otvori zlonamjernu poveznicu ili privitak (tzv. „zero-click“ napad);
- izuzetno je teško otkriti da se softver za praćenje nalazi na zaraženom uređaju, a softver se „smješta“ u privremenu memoriju uređaja (umjesto na tvrdi disk), tako da svaki trag softvera nestaje nakon što se uređaj isključi.
Budući da specifične tehničke karakteristike špijunskih alata poput Pegasusa jako otežavaju kontrolu nad njihovom upotrebom, EDPS vjeruje da bi zabrana razvoja i implementacije špijunskog softvera s mogućnostima kakve ima Pegasus (i bilo koja druga slična tehnologija) na području Europske Unije bila najučinkovitija opcija za zaštitu temeljnih prava i sloboda građana.
Još jedna stvar na koju upozorava Europski nadzornik za zaštitu podataka je da Pegasus nije jedini takav alat koji se nudi na digitalnom tržištu, te postoji mnoštvo drugih špijunskih alata koji se često promoviraju kao "alati za provedbu zakona".
Mogućnosti korištenja Pegasusa u skladu s pravom EU i pravni okvir
Važno je naglasiti da je upotreba alata za digitalni nadzor od strane tijela država članica Unije u svrhe nacionalne sigurnosti, čak i kada je izvan dosega prava Unije, ipak podložna nacionalnom ustavnom pravu, kao i relevantnom zakonskom okviru Vijeća Europe, posebice kroz Europsku konvenciju za zaštitu ljudskih pravima i temeljnih sloboda. Osim toga, Konvencija za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija 108+),7 primjenjuje se na obradu osobnih podataka u svrhe nacionalne sigurnosti, uključujući obranu.
Nadzornik za zaštitu podataka smatra da je malo vjerojatno da bi alat kao što je Pegasus, koji faktično korisniku pruža neograničen pristup osobnim podacima uključujući i posebnim kategorijama osobnih podataka, mogao biti korišten poštujući načelo razmjernosti (proporcionalnosti).
Radi se o miješanju u pravo na privatnost do te mjere da korištenje takvih alata pojedince u potpunosti lišava tog prava jer im se narušava esencija samog prava na privatnost. Osim toga, izložen nije samo pojedinac na čijem je uređaju zlonamjerni softver instaliran, nego i svaka osoba koja je u kontaktu s njim ili u njegovoj blizini.
Iako je prema pojedinim medijskim izvještajima moguće isključiti određene funkcionalnosti ovog (i sličnih softvera), te je moguće da bi promjena određenih njegovih značajki mogla proći test nužnosti i razmjernosti u slučajevima kao što je prijetnja neposrednog terorističkog napada, prema mišljenju EDPS radilo bi se o izoliranim slučajevima koji ne bi smjeli biti opravdanje za širu i sistematičniju primjenu te problematične tehnologije.
S tim u vezi, mnogi forenzički stručnjaci možda nemaju ni potrebno znanje da identificiraju i ispitaju tako naprednu tehnologiju, posebno kada su je razvile privatne kompanije, koje imaju ogromnu financijsku snagu i mogućnosti, koje su prema EDPS, u rangu s mogućnostima nacionalnih država.
Pegasus predstavlja potpuni zaokret u smislu pristupa privatnim komunikacijama i uređajima, što može utjecati na samu bit naših temeljnih prava, posebice prava na privatnost. EDPS navodi kako ta činjenica čini njegovu upotrebu nespojivom s našim demokratskim vrijednostima. Stoga zaključuje da bi zabrana razvoja i implementacije takvog špijunskog softvera u Europskoj uniji, bila najučinkovitija opcija za zaštitu zajamčenih temeljnih prava i sloboda građana.
Ako bi se takvi alati ipak primjenjivali, uz uvjet primjene samo u najiznimnijim situacijama, EDPS preporučuje ponovno promišljanje cjelokupnog postojećeg sustava zaštitnih mjera uspostavljenih za zaštitu ugroženih temeljnih prava i sloboda, kroz sljedeće mjere (koje nisu taksativno navedene)
1) jačanje demokratskog nadzora,
2) stroga provedba zakonodavstva Unije o zaštiti podataka,
3) učinkovita sudska ex-ante i ex-post kontrola korištenja predmetne tehnologije,
4) jačanje procesnih jamstava koje pruža kazneni postupak
5) smanjenje rizika da podaci koji su rezultat nedemokratskih i zlonamjernih praksa nadzora dođu u baze podataka u Europskoj uniji (putem EUROPOL-a) i agencija za provođenje zakona država članica zaobilaženjem zakonskih ograničenja u EU
6) prestanak zlouporabe svrhe nacionalne sigurnosti za legitimiranje politički motiviranog nadzora
7) rješavanje problema vladavine prava
8) osnaživanje civilnog društva u svrhu podizanja svijesti i poticanja javne rasprave
Tihana Kozina Barišić
__________________________________________
^ 1 https://www.nsogroup.com/about-us/
^ 2 https://forbiddenstories.org/pegasus-the-new-global-weapon-for-silencing-journalists/
^ 3https://euobserver.com/democracy/154365
^ 4 https://edps.europa.eu/data-protection/our-work/publications/papers/edps-preliminary-remarks-modern-spyware_en
^ 5 https://www.europarl.europa.eu/news/en/agenda/briefing/2022-02-14/10/pegasus-affair-use-of-spyware-to-be-discussed-in-plenary
^ 6 https://www.theguardian.com/news/2022/feb/02/fbi-confirms-it-obtained-nsos-pegasus-spyware
^ 7 https://www.coe.int/en/web/data-protection/convention108-and-protocol
