Saudo Arabija nubausta 3 mln. svarų sterlingų už „Pegasus“ šnipinėjimo programos naudojimą prieš disidentus užsienyje

Istorinis teismo sprendimas prieš valstybės remiamą sekimą

2026 m. sausį Didžiosios Britanijos teismas priteisė Saudo Arabijos aktyvistui ir politiniam „YouTube“ turinio kūrėjui Ghanemui Al-Masarirui 3 mln. svarų sterlingų žalos atlyginimą, pripažinęs Saudo Arabijos Karalystę atsakingą už sudėtingos šnipinėjimo programinės įrangos naudojimą prieš jį. Šis sprendimas yra viena reikšmingiausių teisinių pergalių prieš valstybės remiamą skaitmeninį sekimą, nukreiptą į užsienyje gyvenančius disidentus.

Al-Masariras, kuris iš savo bazės Jungtinėje Karalystėje garsiai kritikavo Saudo Arabijos vyriausybę, sėkmingai įrodė, kad Saudo Arabijos žvalgybos agentai naudojo liūdnai pagarsėjusią „NSO Group“ šnipinėjimo programą „Pegasus“, kad įsilaužtų į jo mobilųjį įrenginį. Teismas nustatė, kad ši skaitmeninė invazija buvo dalis platesnio persekiojimo modelio, kuris apėmė ir fizinį Saudo Arabijos agentų užpuolimą.

3 mln. svarų sterlingų suma apima kompensaciją už psichologinę žalą, susijusias išlaidas ir prarastas pajamas, atsiradusias dėl sekimo kampanijos ir susijusių bauginimo taktikų.

Kaip „KINGDOM“ operatorius nusitaikė į disidentus

Remiantis teismui pateiktais įrodymais, Saudo Arabija valdė „Pegasus“ klientą, identifikuotą kaip KINGDOM, kuriam buvo pavesta stebėti kritikus ir opozicijos veikėjus už šalies ribų. Šis operatorius siuntė kenkėjiškas žinutes su nuorodomis, skirtomis pasinaudoti mobiliųjų operacinių sistemų pažeidžiamumais.

Kai Al-Masariras gavo šias žinutes ir paspaudė įterptas nuorodas, jo įrenginys buvo užkrėstas „Pegasus“ šnipinėjimo įranga. Įdiegta sudėtinga kenkėjiška programa suteikė užpuolikams visapusišką prieigą prie jo skaitmeninio gyvenimo — žinučių, el. laiškų, nuotraukų, vietos duomenų ir net galimybę nuotoliniu būdu, jam nežinant, aktyvuoti mikrofoną ir kamerą.

„Pegasus“ veikia per tai, ką saugumo tyrėjai vadina „nulinio paspaudimo“ (angl. zero-click) ir „vieno paspaudimo“ (angl. one-click) išnaudojimais. „Nulinio paspaudimo“ atakoms nereikia jokios vartotojo sąveikos, o „vieno paspaudimo“ variantams reikia, kad taikinys paspaustų nuorodą arba atidarytų failą. Atrodo, kad „KINGDOM“ operatorius naudojo „vieno paspaudimo“ metodus, siųsdamas Al-Masarirui ir kitiems taikiniams parengtas žinutes su kenkėjiškais URL adresais.

Tokio tipo sekimas apima daug daugiau nei paprastą stebėjimą. Jis faktiškai paverčia asmeninį įrenginį nešiojama pasiklausymo stotimi, fiksuojančia privačius pokalbius, sekančia judėjimą realiuoju laiku ir renkančia intymią informaciją apie santykius, verslo reikalus bei kasdienę rutiną.

Kontroversiškas „NSO Group“ vaidmuo

Izraelio bendrovė „NSO Group“, sukūrusi „Pegasus“, ilgą laiką teigė, kad savo technologiją parduoda tik vyriausybinėms žvalgybos ir teisėsaugos institucijoms teisėtais tikslais, pavyzdžiui, kovai su terorizmu ir sunkiais nusikaltimais. Bendrovė tvirtina taikanti griežtus patikros procesus ir sutartines apsaugos priemones, kad užkirstų kelią piktnaudžiavimui.

Tačiau daugybė kibernetinio saugumo tyrėjų, žurnalistų ir žmogaus teisių organizacijų atliktų tyrimų užfiksavo platų piktnaudžiavimą „Pegasus“. Taikinių sąrašuose atsidūrė žurnalistai, žmogaus teisių gynėjai, politinės opozicijos veikėjai, teisininkai ir net valstybių vadovai.

Atskleista informacija apie „KINGDOM“ veiklą papildo gausėjančius įrodymus, rodančius, kad „NSO Group“ deklaruojamos apsaugos priemonės pasirodė esančios nepakankamos. Teigiama, kad kelios vyriausybės naudojo „Pegasus“ ne teisėtiems saugumo tikslams, o politinėms represijoms ir transnacionaliniam disidentų sekimui.

„NSO Group“ susiduria su didėjančiu teisiniu ir komerciniu spaudimu. 2021 m. bendrovė buvo įtraukta į JAV prekybos juodąjį sąrašą, o „Apple“ kreipėsi į teismą dėl „iPhone“ vartotojų puolimo. Kelios šalys pradėjo tyrimus dėl „Pegasus“ naudojimo jų teritorijoje.

Platesnis transnacionalinių represijų modelis

Al-Masariro byla iliustruoja nerimą keliantį reiškinį, kurį saugumo ekspertai vadina transnacionalinėmis represijomis — autoritarinės vyriausybės peržengia sienas, kad nutildytų, įbaugintų ar pakenktų demokratinėse šalyse gyvenantiems disidentams ir kritikams.

Skaitmeninio sekimo įrankiai, tokie kaip „Pegasus“, tapo pagrindiniais šių kampanijų įgalintojais. Jie leidžia vyriausybėms rinkti išsamią žvalgybinę informaciją apie diasporos bendruomenes be komplikacijų ir diplomatinių rizikų, kylančių siunčiant fizinius agentus. Per šnipinėjimo programą surinkta informacija vėliau gali būti panaudota tradicinėms priekabiavimo taktikoms, įskaitant grasinimus šeimos nariams, likusiems kilmės šalyje, šmeižto kampanijas ar net fizinį smurtą.

Teismas išklausė įrodymus, kad Saudo Arabijos agentai fiziškai užpuolė Al-Masarirą, o tai rodo, kad skaitmeninis sekimas buvo integruotos bauginimo strategijos dalis. Tai atkartoja modelius, pastebėtus su kitais žymiais Saudo Arabijos kritikais, ypač žurnalistu Jamalu Khashoggiu, kuris buvo nužudytas Saudo Arabijos konsulate Stambule 2018 m.

„Freedom House“, demokratijos ir žmogaus teisių organizacija, užfiksavo šimtus transnacionalinių represijų atvejų dešimtyse šalių. Saudo Arabija šiose ataskaitose minima reguliariai, kartu su tokiomis šalimis kaip Kinija, Rusija, Iranas ir Ruanda.

Teisinės ir techninės pasekmės

3 mln. svarų sterlingų priteisimas iš Saudo Arabijos gali sukurti svarbius precedentus dėl vyriausybių atsakomybės už skaitmeninių teisių pažeidimus, padarytus už jų teritorijos ribų. Tačiau vykdymas išlieka sudėtingas. Valstybės imuniteto doktrinos dažnai apsaugo vyriausybes nuo ieškinių užsienio teismuose, nors tam tikroms žalos kategorijoms taikomos išimtys.

Techniniu požiūriu ši byla pabrėžia skubų poreikį užtikrinti tvirtą mobiliųjų įrenginių saugumą. „Apple“ ir „Google“ įdiegė įvairias apsaugos priemones nuo šnipinėjimo programų, įskaitant saugumo atnaujinimus, kurie ištaiso išnaudojamus pažeidžiamumus, ir naujas operacinės sistemos funkcijas, skirtas aptikti įtartiną veiklą.

Saugumo tyrėjai rekomenduoja kelis praktinius žingsnius asmenims, kuriems kyla didesnė rizika:

Reguliarus įrenginio perkrovimas: Daugelis „Pegasus“ infekcijų neišlieka po perkrovimo, todėl reikalingas pakartotinis užkrėtimas. Kasdienis perkrovimas gali sutrikdyti sekimą.

Izoliavimo režimas (Lockdown Mode): „Apple“ „iOS 16“ ir vėlesnėse versijose yra „Lockdown Mode“, kuris išjungia daugelį atakų vektorių, naudojamų sudėtingos šnipinėjimo įrangos. „Android“ siūlo panašias sustiprinimo galimybes.

Greitas atnaujinimas: Saugumo pataisos dažnai pašalina pažeidžiamumus, kuriais naudojasi šnipinėjimo įranga. Atnaujinimų įdiegimas per kelias dienas nuo jų išleidimo gerokai sumažina rizikos langą.

Atskiri įrenginiai: Didelės rizikos asmenys turėtų apsvarstyti galimybę naudoti atskirus įrenginius jautriam bendravimui, naudojant šifruotas susirašinėjimo programėles tam skirtame telefone, kuris laikomas neprisijungęs prie tinklo, išskyrus atvejus, kai to reikia.

Profesionali ekspertizė: Organizacijos, tokios kaip „Amnesty International“ ir „Citizen Lab“, siūlo šnipinėjimo programų aptikimo paslaugas rizikos grupės aktyvistams ir žurnalistams.

Ką tai reiškia skaitmeninėms teisėms

Al-Masariro sprendimas priimtas didėjant tarptautiniam dėmesiui samdomų šnipinėjimo programų pramonei. Europos Parlamentas įsteigė tyrimo komitetą „Pegasus“ naudojimui ES valstybėse narėse tirti. Jungtinės Valstijos ėmėsi diplomatinių veiksmų, įskaitant vizų apribojimus asmenims, susijusiems su piktnaudžiavimu komercinėmis šnipinėjimo programomis.

Kelios šalys svarsto arba jau priėmė teisės aktus, ribojančius prekybą šnipinėjimo įranga. Tačiau ši pramonė veikia reguliavimo „pilkojoje zonoje“, o bendrovės dažnai registruojamos jurisdikcijose, kuriose taikoma menka priežiūra, nors jos vykdo veiklą visame pasaulyje.

Žmogaus teisių organizacijos pasisako už pasaulinį moratoriumą šnipinėjimo technologijų pardavimui ir perdavimui, kol bus nustatytos tvirtos tarptautinės apsaugos priemonės. Jos nurodo tokius atvejus kaip Al-Masariro, kaip įrodymą, kad dabartinė eksporto kontrolė ir įmonių atitikties programos nesugebėjo užkirsti kelio sistemingam piktnaudžiavimui.

Komercinių šnipinėjimo programų rinka išlieka pelninga — skaičiuojama, kad ji kasmet generuoja milijardus dolerių. Be „NSO Group“, daugybė konkurentų siūlo panašias galimybes, įskaitant bendroves, įsikūrusias Europoje, Šiaurės Amerikoje ir kitur. Kai kurios veikia diskretiškiau, vengdamos viešo dėmesio, kuris užgriuvo „NSO Group“.

Praktiniai patarimai aktyvistams ir žurnalistams

Jei dirbate aktyvistu, žurnalistu ar bet kurioje kitoje srityje, dėl kurios galite tapti valstybės sekimo taikiniu:

Darykite prielaidą, kad esate sekami: Dirbkite darydami prielaidą, kad jūsų pagrindiniai įrenginiai gali būti stebimi. Naudokite šią prielaidą savo saugumo strategijai formuoti.

Suskirstykite veiklą: Atskirkite jautriausią darbą nuo kasdienio bendravimo. Skirtingiems rizikos lygiams naudokite skirtingus įrenginius, paskyras ir tinklus.

Ieškokite bendruomenės paramos: Susisiekite su skaitmeninio saugumo mokytojais ir organizacijomis, kurios specializuojasi saugant aukštos rizikos asmenis. Tokie resursai kaip „Electronic Frontier Foundation“, „Access Now“ ir „Front Line Defenders“ siūlo gaires.

Dokumentuokite incidentus: Dokumentuokite įtartinas žinutes, neįprastą įrenginio veikimą ar fizinį priekabiavimą. Ši dokumentacija gali būti lemiama teisiniuose procesuose.

Kreipkitės teisinės konsultacijos: Sužinokite savo teises gyvenamojoje šalyje ir pasidomėkite, ar yra teisinių galimybių patraukti kaltininkus atsakomybėn.

Teikite pirmenybę psichinei sveikatai: Tapimas sudėtingo sekimo taikiniu sukelia realią psichologinę žalą, kaip teismas pripažino Al-Masariro byloje. Ieškokite tinkamos paramos.

Ghanemui Al-Masarirui priteistas 3 mln. svarų sterlingų žalos atlyginimas reiškia daugiau nei finansinę kompensaciją. Tai pripažinimas gilaus pažeidimo, kurį valstybės remiama šnipinėjimo įranga padaro asmenims, ir signalas, kad demokratinių šalių teismai gali patraukti autoritarines vyriausybes atsakomybėn už skaitmeninių teisių pažeidimus — net jei tos vyriausybės veikia už tūkstančių kilometrų.

Šaltiniai

• Amnesty International Security Lab - „Pegasus Project“ tyrimai ir techninės analizės
• Citizen Lab, Toronto universitetas - Mokslinės publikacijos apie „NSO Group“ ir „Pegasus“ šnipinėjimo įrangą
• Freedom House - Ataskaitų serija „Out of Sight, Not Out of Reach“ apie transnacionalines represijas
• Electronic Frontier Foundation - Komercinių šnipinėjimo programų atvejų dokumentacija
• Apple Security Research - Techninė informacija apie šnipinėjimo programų išnaudojimus ir apsaugą
• The Guardian, The Washington Post, BBC News - Pranešimai apie Saudo Arabijos sekimo kampanijas ir „NSO Group“
• Europos Parlamento tyrimo komitetas dėl „Pegasus“ - Oficialūs procesai ir išvados