„Etinio“ šnipinėjimo programų miražas: kodėl „Paragon“ ignoruoja Italijos prokurorus

Likus daug laiko iki tol, kol žurnalistas gauna pranešimą iš „Apple“ ar „WhatsApp“, įspėjantį apie valstybės remiamą ataką, tyliame biure sudaromas sandoris. Šie sandoriai, verti milijonų, prekiauja mūsų skaitmeninio gyvenimo valiuta. Tačiau nors pardavimo kalbos yra nugludintos, o rinkodaros brošiūros žada „saugumą ir etiką“, šnipinėjimo programų pramonės realybė dažnai primena dingimo triuką.

Daugiau nei metus Italijos prokurorai vijosi vaiduoklį, vardu „Paragon Solutions“. Ši Izraelio ir Amerikos bendrovė, kadaise skelbta kaip „teisinga“ alternatyva skandalų krečiamai „NSO Group“, pranešama, nutilo. Nepaisant ankstesnių viešų vaidinimų, kai bendrovė teigė norinti padėti tirti įtarimus dėl įsilaužimų, „Paragon“ neatsakė į oficialius teisinius prašymus pateikti informaciją. Man, kaip žurnalistui, kuris dienas leidžia bendraudamas per šifruotus tunelius ir tikrindamas kodus, šis „atskaitomybės, kol tai iš tikrųjų tampa svarbu“ modelis yra scenarijus, kurį mačiau pasikartojantį pernelyg dažnai.

Vidurnakčio beldimas Milane

Skandalas prasidėjo ne fiziniu beldimu, o skaitmeniniu. 2023 m. pabaigoje „WhatsApp“ ir „Apple“ išsiuntė pranešimus grupei Italijos žurnalistų ir aktyvistų. Žinutė buvo gąsdinanti: į jų įrenginius nusitaikyta naudojant vyriausybinio lygio šnipinėjimo programinę įrangą. Tarp taikinių buvo Francesco Cancellato ir Ciro Pellegrino, naujienų svetainės „Fanpage“ žurnalistai, bei „Mediterranea Saving Humans“ – pelno nesiekiančios organizacijos, skirtos migrantų gelbėjimui, nariai.

„WhatsApp“ teismo ekspertizė tiesiogiai nurodė į „Graphite“ – sudėtingą sekimo įrankį, kurį sukūrė „Paragon Solutions“. Skaitmeninio šnipinėjimo pasaulyje „Graphite“ yra skaitmeninis visraktis. Jis ne tik stebi, ką darote; jis siurbia duomenis iš debesijos, apeidamas daugelį tradicinių saugumo priemonių, kuriomis vartotojai pasitiki saugodami savo privačius pokalbius.

Kai ši žinia iškilo į viešumą, Italijos visuomenė pagrįstai pasipiktino. Milano ir Romos prokurorai pradėjo tyrimus. Iš pradžių „Paragon“ laikėsi drąsios, beveik iššaukiančios pozicijos. Jie viešai kritikavo Italijos vyriausybę, teigdami, kad siūlėsi padėti tirti, jei į žurnalistų įrenginius būtų įsilaužta, tačiau jų pasiūlymas buvo atmestas. Atlikdama didelių statymų korporacinį teatrą, „Paragon“ netgi paskelbė nutraukianti sutartis su Italijos vidaus ir išorės žvalgybos agentūromis AISI ir AISE. Jie norėjo, kad pasaulis patikėtų, jog yra per daug etiški, kad dirbtų su vyriausybe, kuri nesilaiko taisyklių.

„Etinio“ hakerio tyla

Persikelkime į šias dienas, 2026 m. balandį, ir ši principinga pozicija dabar labiau primena scenos rekvizitą. Italijos prokurorai, siekdami suprasti, kaip ir kodėl „Graphite“ buvo naudojama prieš civilius, per Izraelio vyriausybę nusiuntė oficialius prašymus pateikti informaciją „Paragon“. Praėjo metai, o tyla yra kurtinanti. Jokių duomenų, jokių žurnalų, jokio bendradarbiavimo.

Šis skaidrumo trūkumas yra sisteminė privataus žvalgybos sektoriaus problema. Atitikties požiūriu šios įmonės dažnai slepiasi už savo priimančiųjų šalių „suvereniteto“. Šiuo atveju Izraelio vyriausybė, kuri privalo patvirtinti šių įrankių eksporto licencijas, atrodo, yra pagrindinė kliūtis. Mes jau matėme šį scenarijų anksčiau. Ispanijos Aukštasis Teismas buvo priverstas atidėti tyrimą dėl NSO „Pegasus“ šnipinėjimo programos naudojimo prieš Ispanijos politikus, nes Izraelio valdžios institucijos tiesiog atsisakė bendradarbiauti.

Teisės pasaulyje dažnai kalbame apie „ekstrateritorialumą“ – idėją, kad šalis gali vykdyti valdžią už savo sienų. Tačiau kalbant apie šnipinėjimo programų pramonę, sienos yra pastatytos iš storo, nepermatomo stiklo. Galite matyti žalą kitoje pusėje, bet negalite pasiekti asmens, laikančio kūjį.

Amerikietiškas paradoksas

Kuo „Paragon“ atvejis yra ypač subtilus, tai glaudūs bendrovės ryšiai su Jungtinėmis Valstijomis. Nors „NSO Group“ buvo įtraukta į JAV Prekybos departamento juodąjį sąrašą, „Paragon“ pavyko išlaikyti švarią reputaciją Vašingtone. Tiesą sakant, bendrovė turi galiojančią sutartį su JAV Imigracijos ir muitinės tarnyba (ICE).

ICE informavo įstatymų leidėjus, kad jos teisėsaugos padalinys, Tėvynės saugumo tyrimai (HSI), naudoja „Graphite“ narkotikų prekeiviams ir teroristams sekti. Tai sukuria rėžiantį kontrastą: tas pats įrankis, naudojamas tūkstančiams žmonių deportuoti JAV, yra tiriamas dėl nusitaikymo į žmogaus teisių aktyvistus ir žurnalistus Europoje.

Tai yra dvigubos paskirties technologijų rinkos paradoksas. Įrankis, parduodamas kaip ginklas prieš „blogiukus“, beveik neišvengiamai panaudojamas nutildyti „nepatogius žmones“. Kai įmonė teigia turinti „etinę tarybą“ ar „griežtą patikrą“, turėtume būti nusiteikę skeptiškai. Be privalomų, skaidrių ir įgyvendinamų tarptautinių standartų, „etika“ yra tik rinkodaros skyriaus būdas pasakyti „pasitikėkite mumis“.

Privatumas kaip pagrindinė teisė, o ne funkcija

Italijos ministrė pirmininkė Giorgia Meloni nuosekliai neigė, kad jos vyriausybė stovėjo už įsilaužimų į „Fanpage“ žurnalistų įrenginius. Tačiau prokurorų atlikta teismo ekspertizė neseniai patvirtino, kad F. Cancellato telefonas iš tikrųjų buvo pažeistas. Jei vyriausybė to nepadarė, o įrankį sukūrusi įmonė nesako, kas tai padarė, liekame pavojingame atskaitomybės vakuume.

Aukoms tai nėra abstrakti diskusija apie kibernetinę politiką. „Mediterranea Saving Humans“ aktyvistams tai yra jų operacijų saugumo ir žmonių, kuriuos jie bando išgelbėti, gyvybių klausimas. Kai šnipinėjimo programos naudojamos prieš nevyriausybines organizacijas, jų skaitmeniniai pėdsakai tampa trupinių taku tiems, kurie nori jiems pakenkti.

Galiausiai „Paragon“ saga įrodo, kad negalime pasikliauti sekimo technologijų kūrėjų „gerais ketinimais“. Atitiktis neturėtų būti pasirinkimas; tai turėtų būti būtina sąlyga egzistavimui rinkoje. Kai įmonė ignoruoja demokratinės sąjungininkės teisinį prašymą, jai neturėtų būti leidžiama išlaikyti savo vietos prie tarptautinės prekybos stalo.

Skaitmeninio perimetro apsauga

Kol laukiame, kol reguliavimo aplinka pasivys skaitmeninio šnipinėjimo realybę, asmenys, ypač dirbantys aukštos rizikos profesijose, gali imtis konkrečių veiksmų, kad sumažintų savo pažeidžiamumą. Galvokite apie savo skaitmeninę higieną ne kaip apie vargą, o kaip apie šarvus.

• Užrakinkite savo debesiją: Šnipinėjimo programos, tokios kaip „Graphite“, dažnai taikosi į atsargines kopijas debesyje. Jei jums nereikia atsarginių žinučių kopijų debesyje, išjunkite šią funkciją. Naudokite galinio šifravimo (end-to-end) paslaugas, kurios savo serveriuose nesaugo metaduomenų.
• Durų rakinimas aparatine įranga: Paskyroms, kurios tai palaiko, naudokite fizinius saugos raktus (pvz., „Yubikey“) dviejų veiksnių autentifikavimui. Tai gerokai apsunkina užpuolikui galimybę užgrobti jūsų paskyras, net jei jis turi jūsų slaptažodį.
• Perkrovimo galia: Daugelis šiuolaikinių šnipinėjimo programų atmainų yra „nepastovios“, t. y. jos gyvena laikinojoje telefono atmintyje ir yra ištrinamos, kai įrenginys paleidžiamas iš naujo. Įprotis kasdien perkrauti telefoną gali būti paprasta, bet veiksminga atgrasymo priemonė.
• Peržiūrėkite savo leidimus: Periodiškai peržiūrėkite, kurios programėlės turi prieigą prie jūsų mikrofono, kameros ir vietos nustatymo. Jei programėlei nereikia leidimo veikti, jį panaikinkite. Skaitmeninis minimalizmas yra jūsų geriausia gynyba.

Mes galime niekada negauti tiesaus atsakymo iš „Paragon“, tačiau galime padaryti pasaulio „grafitus“ daug mažiau veiksmingus, aktyviai rūpindamiesi savo skaitmeninėmis teisėmis.

Šaltiniai:

• Bendrasis duomenų apsaugos reglamentas (BDAR): 5 straipsnis (Su asmens duomenų tvarkymu susiję principai) ir 32 straipsnis (Duomenų tvarkymo saugumas).
• Europos Žmogaus Teisių Teismas: Byla Szabó ir Vissy prieš Vengriją (dėl priežiūros būtinybės vykdant sekimą).
• Italijos baudžiamojo proceso kodeksas: Straipsniai dėl tarptautinių teisinės pagalbos prašymų ir teisminio bendradarbiavimo.
• Wired Italy: Tiriamoji ataskaita apie „Paragon/Graphite“ Italijos skandalą.
• Citizen Lab: Techninė „Graphite“ šnipinėjimo programų diegimo analizė.

Atsakomybės apribojimas: Šis straipsnis yra informacinio ir žurnalistinio pobūdžio ir nėra oficiali teisinė konsultacija. Privatumo įstatymai įvairiose jurisdikcijose gerokai skiriasi, todėl dėl konkrečių atitikties ar skaitmeninių teisių klausimų turėtumėte pasikonsultuoti su kvalifikuotu teisės specialistu.