Kiedy prawie dwa lata temu panel Parlamentu Europejskiego badający nadużycia oprogramowania szpiegowskiego na kontynencie zwrócił się do polskiego rządu, urzędnicy w Warszawie odmówili się z nimi spotkać. Rząd stanowczo zapewnił, że działa zgodnie z prawem i w dużej mierze utrudniał śledztwo.

Dwa lata później rząd oskarżony o nadużywanie tego narzędzia stracił władzę, a Polska wytycza sobie pozycję pioniera w zakresie radzenia sobie z nadużyciami w zakresie oprogramowania szpiegującego, badając sposób wykorzystania tej technologii przez poprzedni rząd i ujawniając ofiarom, czy były one celem.

„To, co dzieje się w Polsce, jest w zasadzie bezprecedensowe, jeśli chodzi o odpowiedzialność za nadużywanie oprogramowania szpiegującego” – powiedział John Scott-Railton, starszy pracownik naukowy w Citizen Lab na Uniwersytecie w Toronto, które pracowało nad wykryciem nadużyć związanych z oprogramowaniem szpiegującym przez rząd w Warszawie. „Polska była bardzo ciemnym punktem w przestrzeni nadużyć w zakresie oprogramowania szpiegującego. I nagle staje się oczywistym liderem w zakresie odpowiedzialności za nadużywanie oprogramowania szpiegującego. To niezwykłe.”

W kwietniu polski prokurator krajowy ujawnił, że rząd kierowany przez konserwatywną partię Prawo i Sprawiedliwość w latach 2017–2022 skierował do inwigilacji Pegasusa prawie 600 osób. Niewykluczone, że zostaną postawione zarzuty karne. Ponadto Polska podpisała się pod zobowiązaniem administracji Bidena, aby zachęcać kraje o podobnych poglądach do przeciwdziałania rozprzestrzenianiu i niewłaściwemu wykorzystywaniu oprogramowania szpiegującego.

Natalia Krapiva, radca prawny ds. technologii w grupie Access Now, zajmującej się prawami cyfrowymi, nazwała polską zmianę „naprawdę przełomowym wydarzeniem”. Wśród krajów, które są głównymi użytkownikami wiodącego w branży oprogramowania szpiegującego Pegasus stworzonego przez izraelską firmę NSO Group, „nie widzieliśmy czegoś takiego” – dodała.

„Nie potrafię powiedzieć, co stanowi największy precedens” – powiedział Scott-Railton. „Powiadomienie dla ofiar? Rząd wystąpi i publicznie przedstawi kontekst? Może śledztwo w sprawie nadużyć politycznych?”

Nietypowy – ale nie wyjątkowy – splot okoliczności doprowadził Polskę do obecnego miejsca w zakresie oprogramowania szpiegującego, a mianowicie dochodzenie nowego rządu wobec swojego poprzednika w związku z zarzutami inwigilacji wymierzonymi w jego opozycję polityczną. Ten zbieg czynników rodzi pytania, czy inne narody mogłyby lub poszłyby w jego ślady. Jednak grupy zajmujące się śledzeniem i zwalczaniem nadużyć w zakresie oprogramowania szpiegującego mają nadzieję, że Polska może służyć jako model dla innych, którzy chcą rozwiązać problem jego wcześniejszego wykorzystania.

Na ziemi w Polsce

W 2021 roku Citizen Lab ustaliło, że Pegasus zainfekował telefon Krzysztofa Brejzy, polskiego posła do Parlamentu Europejskiego. W momencie infekcji w 2019 r. Brejza był działaczem opozycji. Jego SMS-y zostały następnie sfałszowane i wyciekły.

„Byłem zszokowany” – powiedział CyberScoop, opisując inwigilację i molestowanie, jakim był „chory”.

Jego żona Dorota reprezentuje go jako prawnik w sprawach cywilnych, szukając odpowiedzi na pytanie, co się stało. W jednej z takich spraw sędzia potwierdził, że w telefonie Brejzy wykryto oprogramowanie szpiegujące, i nakazał nadawcy państwowemu, który opublikował jego zhakowane i sfałszowane wiadomości, wypłacenie Brejzie odszkodowania i przeproszenie za swoje zachowanie.

„Nie mieliśmy nadziei, że ta sprawa kiedykolwiek zostanie rozwiązana” – powiedziała Dorota, dodając, że ona i jej mąż „bardzo się cieszyli” z rządowego śledztwa w sprawie włamania do telefonu Krzysztofa i innych osób.

Organizacje społeczeństwa obywatelskiego od lat dokumentują ataki na postacie takie jak Brejza przy użyciu wysoce inwazyjnego oprogramowania szpiegującego, ale gdy uważa się, że za taką działalnością stoją rządy, często wprost temu zaprzeczają. Oficjalne śledztwa w Polsce dostarczają dodatkowego potwierdzenia ich pracy.

„Mamy do czynienia z dużą ilością dezinformacji odrzucającej naszą pracę zarówno ze strony rządów, jak i grup prorządowych i samych firm” – powiedziała Krapiva, której grupa Access Now czasami współpracuje z Citizen Lab. „Za każdym razem, gdy ktoś próbuje zaprzeczyć dochodzeniu, mówią, że nasze metody są nieprawidłowe i że nie mamy wystarczających dowodów”.

Potwierdzenie przez rząd przypadków zidentyfikowanych przez Citizen Lab „to ogromna sprawa” – stwierdziła. „To naprawdę wzmacnia naszą pozycję”.

NSO Group argumentowała w przeszłości, że jej narzędzie jest wykorzystywane przez klientów w trakcie zgodnych z prawem dochodzeń prowadzonych przez organy ścigania lub kontrwywiad, i choć niektóre z 600 osób, które zdaniem polskich urzędników stały się celem Pegasusa, stanowiły uzasadnione cele, „zbyt wiele” uznano za nie, zdaniem Tomasza Siemoniaka, ministra nadzorującego polskie służby bezpieczeństwa.

Grupa NSO odmówiła komentarza na temat polskiego śledztwa. Polski rząd nie odpowiedział na prośby o komentarz.

Rzecznik PiS Rafał Bochenek w oświadczeniu poinformował, że partia „odpiera wszelkie oskarżenia”, jakoby jej „politycy działali niezgodnie z prawem lub nielegalnie w związku z wykorzystaniem oprogramowania Pegasus”. Bochanek powiedział, że użycie Pegasusa odbyło się zgodnie z procedurą i zostało zatwierdzone przez sędziego.

Bochanek oskarżył obecny rząd o „wykorzystywanie Pegaza i innych kwestii do szukania politycznej zemsty na PiS” oraz „zachowywanie się w sposób, którego nie tolerowałby żaden zachodni rząd”, powołując się na spór konstytucyjny, który skłonił tę partię do stwierdzenia nie będzie już zeznawał przed parlamentarną komisją badającą wykorzystanie oprogramowania NSO.

Lider PiS Jarosław Kaczyński w przeszłości odrzucał zarzuty jakoby rząd nadużywał Pegaza, nazywając go „histerią opozycji”.

Model odpowiedzialności za nadużycia oprogramowania szpiegującego?

Organizacje społeczeństwa obywatelskiego udokumentowały użycie Pegaza na całym świecie, od Meksyku po Zjednoczone Emiraty Arabskie, i mają nadzieję, że polska próba udokumentowania jego niewłaściwego użycia i nałożenia odpowiedzialności za jego niewłaściwe użycie może posłużyć za wzór dla innych.

„Bardzo poważnie podchodzą do kroków, które muszą podjąć, aby dojść do sedna problemu wykorzystania oprogramowania szpiegującego – kto na to zezwolił, czy nałożono na niego jakiekolwiek ograniczenia, kim byli wszystkie cele, które faktycznie padły ofiarą oprogramowania szpiegującego ”- powiedział David Kaye, były specjalny sprawozdawca Organizacji Narodów Zjednoczonych ds. promowania i ochrony prawa do wolności opinii i wypowiedzi. „Mamy zarówno podejście polityczne, jak i prawno-karne, które mają miejsce w tym samym czasie”.

Fakt, że dochodzenie to prowadzi rząd przeciwko partii sprawującej wcześniej władzę, rodzi pytania, czy jest to odwet polityczny, ale Kaye, obecnie profesor na Uniwersytecie Kalifornijskim w Irvine, jest podbudowany tym, co twierdzi widział dotychczas i uważa Ministra Sprawiedliwości Adama Bodnara za poważnego obrońcę praw człowieka zaangażowanego w praworządność.

Kaye ostrzega jednak, że śledztwo jest na wczesnym etapie. „Wygląda na to, że na tym etapie próbują po prostu zrozumieć, co się stało” – stwierdziła Kaye, dodając, że nie wiadomo, w jaki sposób najlepiej zapewnić, że oprogramowanie szpiegujące, jeśli zostanie udostępnione, będzie podlegało należyty proces.

Nie jest jasne, czy połączenie zmiany władzy i konkretnych osobistości związanych z Polską będzie możliwe do odtworzenia gdzie indziej, stwierdziła Kaye.

W 2018 r. w Meksyku nastąpiła zmiana rządu, która dała organizacjom społeczeństwa obywatelskiego pewną nadzieję na pociągnięcie do odpowiedzialności za używanie oprogramowania szpiegującego w tym kraju, ale nadzieja ta zniknęła z powodu braku znaczących wyników i raportów o trwających nadużyciach w zakresie oprogramowania szpiegującego.

„Możliwe, że niektóre rządy przyjdą, dostrzegą siłę tych narzędzi i powiedzą: «Ech, nie musimy tego robić zbyt rygorystycznie, bo może będziemy potrzebować tych narzędzi»” – stwierdziła Kaye.

Scott-Railton wierzy, że w ślad za Polską mogą pójść inni.

„Polska bardzo dobrze przemawia za powielaniem tego modelu” – stwierdził. „Robią to w sposób, który nie mówi tylko: „wszystkie programy szpiegowskie są złe”. Polska mówi: „Znaleźliśmy przypadki, w których wykorzystano to w dochodzeniach karnych. Stwierdziliśmy także nadużycia. Może to być bardziej akceptowalne dla innych rządów chcących zbadać własne kryzysy związane z nadużywaniem oprogramowania szpiegującego”.

Obiecujące znaki, pytania bez odpowiedzi

Dla niektórych ofiar oprogramowania szpiegującego w Polsce śledztwo stanowi pozytywny krok naprzód, pozostaje jednak wiele pytań.

Dorota Brejza powiedziała, że ​​Polska musi jeszcze przyjąć przepisy zapewniające większą władzę sądową nad krajowymi służbami specjalnymi, jeśli chce dalej zwalczać nadużycia w zakresie oprogramowania szpiegującego.

To najwcześniejszy etap polskich wysiłków – zauważyła Kaye.

Krzysztof Brejza ma własne pytania dotyczące swojej sprawy.

„Wciąż czekamy na prawdę o Pegazie, o całej operacji przeciwko mojej rodzinie i przyjaciołom – kto dokonał przecieku, dlaczego wykorzystano go przeciwko mnie” – powiedział.