Komoly nemzetközi felháborodást keltett, hogy egy izraeli kémszoftvert számos országban a hatalmon lévők ellenzéki személyek megfigyelésére használtak. A hatalom mindig is törekedett ilyen megfigyelésre, de azzal, hogy szinte az egész életünket egyetlen kütyün tároljuk, magunk tettük sebezhetővé magunkat. Székely Róbert írása a Magyar Narancsban.
Mint a közelmúltban kiderült, számos ország újságíróit, ellenzéki politikusait, egyéb közszereplőit figyelték meg egy kémszoftverrel – emiatt jókora nemzetközi botrány robbant ki. Kezdetben vezető médiumok foglalkoztak az esettel, de amint napvilágot látott az érintettek köre, elkezdtek megszólalni vezető politikusok is a világ minden tájáról. A vádaskodások három irányba mutattak: A megfigyeléseket végző kormányok felé, a megfigyelést lehetővé tevő szoftver gyártója, az izraeli NSO felé, valamint az izraeli kormány felé, amely jóváhagyta a szoftver értékestését autoriter kormányoknak.
Az NSO, mint sok más hasonló izraeli cég, a katonai felderítésben dolgozó mérnökök által alapított, vagy az ő munkájukra épülő start-up. Az izraeli hadseregben mára az ún. 8200-as egység vált a legnagyobbá. Ebben az egységben fiatalok ezreit képzik a világ legjobb számítástechnikai mérnökeivé, és a társadalom büszke arra, hogy az ilyen cégek a világ vezető kiberhatalmává tették az országot. A botrány kapcsán az izraeli társadalom ambivalens érzelmekkel bír. Büszke arra, hogy egy izraeli cég számít a legjobbnak, de ugyanakkor érti, hogy egy ilyen eszköz, mint bármely fegyver, mit jelent rossz kezekben. A társadalmi vita része az is, hogy egy ilyen botrány mennyire vethet rossz fényt az ország egyébként is vitatott megítélésére.
A nemzetközi média figyelme és a közbeszéd elsősorban a technológiára összpontosult, kihangsúlyozva, hogy az NSO által fejlesztett Pegasus nevű szoftver végleg felszámolja a privát szférát, és mostantól védtelenek vagyunk az autoriter kormányok támadásaival szemben. A demokratikus világ megannyi politikusa, NGO-k garmadája, és vezető médiumok követelik annak kivizsgálását, hogy miként kerülhetett egy ilyen kiberfegyver olyanok kezébe, akikről tudni lehet, hogy azt nem védelemre, hanem saját polgáraik megfigyelésére és teljhatalmuk biztosítására fogják használni.
A NSO technológiájáról sokan úgy gondolják, hogy mérföldkő a technikai lehetőségek szempontjából, mely a személyes szabadságunkat veszélyezteti, és egy teljesen új dimenziót nyit meg az antidemokratikus vezetők számára. Tényleg ilyen veszélyes ez a fegyver? Valóban új fejezetet nyit a megfigyelések történetében?
Hiányzó nemzetközi szabályozás
A Pegasus elérhetővé teszi a mobiltelefonokon lévő adatokat, és a készülék minden eszközét a program felhasználója számára. Ez praktikusan azt jelenti, hogy nem csak minden e-mail, fénykép, tartózkodási hely, vagy a telefonon tárolt jelszavak kerülhetnek a titkosszolgálatok kezébe, de a mikrofonon és a kamerán keresztül lényegében folyamatosan megfigyelhető a célszemély. A technológia valóban új abból a szempontból, hogy jelenleg ez a legjobb ismert eszköz, mely a ma használt mobil készülékek és az azon futó operációs rendszerek mindegyikét képes feltörni és átvenni annak irányítását. Valóban elég félelmetesen hangzik, hogy az NSO szoftverét birtoklók előtt megszűnik a magánszféra, és bárki totális megfigyelés áldozata lehet anélkül, hogy erről sejtése volna.
Érthető tehát a felháborodás és a számonkérés. Hogyan lehetséges, hogy ilyen eszközök autoriter kormányok kezébe kerülnek, sőt, miért engedjük, hogy ilyen eszközök egyáltalán létezzenek?
Az NSO válasza egyszerű: szoftverei védekezésre szolgálnak, és ha a felhasználók másra használják, azt a felhasználókon és nem rajtuk kell számon kérni. Ugyanakkor az NSO pontosan tudja, hogy szoftvere sokkal több egy okos eszköznél, mely segíti mondjuk a rendőrség munkáját. A konvencionális háborúkat egyre inkább felváltja a kibertérben vívott harc, és az itt használt eszközök nem kevésbé veszélyesek a konvencionális fegyvereknél. Márpedig a konvencionális fegyverek gyártását és a fegyverkereskedelmet nemzetközi törvények szabályozzák, és ezek megszegése komoly szankciókat von maga után. Léteznek helyi törvények, így az NSO is köteles egyeztetni az izraeli kormánnyal, és csak az állam által jóváhagyott ügyfelekkel köthet szerződést, de ezek lokális törvények, melyek az adott ország érdekeit szolgálják, és nem széleskörűen ratifikált nemzetközi egyezmények. Ésszerű követelés lenne, ha a kiberfegyvereket is hasonlóan szabályoznák, de egyrészt ennek betartása és ellenőrzése sokkal összetettebb feladat, másrészt a botránnyal kapcsolatban felszólalók sokkal inkább csak az adott botránnyal foglalkoznak, mintsem az általános szabályozással. Ezért összpontosulnak a vizsgálati követelések az NSO-ra, illetve az NSO üzleteit jóváhagyó izraeli kormányra.
Nemzetközi egyezmények és elfogadott játékszabályok hiányában azonban meglehetősen kétszínű dolog az NSO és Izrael támadása elsősorban azért, mert a nemzetközi szabályozás hiánya nem a politikusok vagy szakértők lustaságából fakad, hanem mert nem érdeke egyetlen kormánynak sem, köztük azoknak sem, melyek most megdöbbenésüknek és rosszallásuknak adnak hangot.
A konvencionális fegyveriparban sem könnyű betartatni a nemzetközi fegyverkereskedelmi egyezményeket, az egyszerűbb fegyverekhez meglehetősen könnyen jutnak hozzá terrorszervezetek és diktatúrák. A drágább fegyverek, például repülőgépek, vagy tengeralattjárók gyártása és kereskedelme könnyebben ellenőrizhető egyrészt a termékek ára, másrészt az ezeket gyártó cégek szűk köre miatt. A számítástechnikai eszközök esetében ez sokkal összetettebb.
A felhasználó kiléte biztosítható, nem a felhasználás módja
Rengeteg cég fejleszt olyan szoftvereket és eszközöket, melyek felhasználhatók fegyverként, vagy segítségükkel illegális tevékenység folytatható, még akkor is, ha eredetileg a termék célja nem ez volt. A legtöbb ilyen termék csupán egyetlen eleme a felhasználó arzenáljának, mely csak együttesen kezelve válik fegyverré. Ezért a legtöbb ilyen termék eleve nem kategorizálható fegyverként. Másrészt a szoftverek terjesztésének szabályozása sokkal nehezebb feladat, mint a kézzelfogható termékeké, hiszen ezekhez nincs szükség gyártósorokra, raktárakra, szállításra, sokrétegű és komplex védelem nélkül egyszerűen másolhatók.
A szoftverfejlesztő cégek rengeteg energiát fektetnek az illegális másolatok elleni védelembe, és ez a védelem ma leginkább arra épül, hogy a felhasználó eszköz az interneten keresztül folyamatosan elérhető, így a szoftverfejlesztő cég szerverei folyamatosan kapcsolatban tudnak lenni a felhasználók eszközein futó termékeikkel. A titkosszolgálatok eszközei azonban nincsenek internetre kötve, ezért ezek felhasználásának ellenőrzése nem oldható meg ilyen módon. A fejlesztő cégek ezért más módszereket használnak: például megpróbálják a szoftver futását egyetlen engedélyezett hardverhez kötni, például úgy, hogy a program csak kódolt formában van tárolva, és a kódolást csak a hozzákötött hardver tudja feloldani. Ez egy viszonylag biztonságos módszer, melynek megkerülése nagyon nehéz, és rengeteg időre, munkára, tudásra és eszközre van szükség hozzá. AZ NSO is többek között ilyen védelmet használ. De ez a védelem csak a felhasználó kilétét biztosítja, és nem a felhasználás módját. Ez utóbbihoz arra van szükség, hogy a felhasználó megossza a szoftver által gyűjtött felhasználási információt, logot, melyre az NSO szerződésben kötelezi partnereit. De az NSO számára ezek a logok nem minden esetben értelmezhetőek rosszindulatú, vagy törvénytelen felhasználásnak még akkor sem, ha a valóságban a szoftvert nem rendeltetésszerűen használták. Az NSO láthatja azt, hogy milyen telefonokra telepítették a szoftvereket, de azt, hogy ezen telefonok kikhez tartoznak, és azok megfigyelése törvényes vagy sem, kizárólag az adott állam tudja, és az NSO kénytelen megbízni ügyfeleiben ebből a szempontból.
Futárok, levelek, telefon, internet…
Fontos megjegyezni, hogy a kémprogramok felhasználása nemcsak autoriter, vagy antidemokratikus kormányok és diktátorok érdeke, hanem – megfelelő szabályozás mellett – mindannyiunké. Ezek az eszközök ma központi szerepet játszanak a terrorizmus elleni harcban, drogkartellek, pedofilhálózatok, emberkereskedők és a szervezett bűnözés minden formája ellen, valamint elengedhetetlenek a kémelhárításban és a kibertámadások elleni védekezésben. Például ahhoz, hogy a kolumbiai kormánnyal együttműködve sikeresen vegyük fel a harcot a drogkartellek ellen, kénytelenek vagyunk ilyen eszközöket a kezükbe adni még akkor is, ha tudjuk, hogy ezeket az eszközöket másra is használják.
Azt is fontos látni, hogy az NSO szoftvere semmilyen újdonságot nem hozott abból a szempontból, hogy az információgyűjtés eddig is alapvető része volt minden rendszernek, legyen az demokrácia vagy diktatúra. Az információgyűjtés és megfigyelés eszközei csupán követik a kommunikáció technológiai fejlődését. Mikor futárok vitték az üzeneteket, akkor a futárokat kellett elcsípni, hogy fontos információhoz jussanak a kor vezetői. Később a kommunikáció fő csatornája a levelezés lett, így a megfigyeléshez a leveleket kellett felbontani. A technika fejlődésével a levelezést felváltotta a telefonálás, majd az internet.
A követés eszközei is folyamatosan változtak: kezdődött a személyes követéssel, amihez később csatlakozott a lehallgatás és az elektronikus eszközök segítségével történő követés. A megfigyelés eszközeinek fejlődésével párhuzamosan változtak a megfigyelés elkerülésének módszerei is. Már nem elég elfutni a követők elől, nem elég titkos helyen hagyni az üzeneteket, vagy kódolni üzeneteinket. A különféle terror- és bűnszervezetek egyre jobb módszerekkel bújnak el az őket megfigyelni kívánó állami szervezetek elől, melyeknek ezért újabb és újabb módszereket kell bevetniük, hogy felvegyék velük a harcot. És mi, állampolgárok el is várjuk az állami vezetőktől, hogy azok mindent megtegyenek védelmünk érdekében. Beláthatjuk tehát, hogy az információgyűjtés, és ezen belül a megfigyelés folyamatos fejlesztése nemcsak elfogadható, hanem elvárt kötelessége minden államnak, sőt ezt a legtöbb országban törvény írja elő.
Törvénytelen szervezetek elleni törvényes háború?
Ha a fenti állításokat elfogadjuk, akkor azt is el kell fogadnunk, hogy minden államnak kötelessége az NSO szoftveréhez hasonló eszközök fejlesztése, vagy azok beszerzése. És ennek a kötelességnek a kormányok általában eleget is tesznek, több-kevesebb sikerrel. Ezért állítom azt, hogy a felháborodás ezen része csupán populizmus, és az igazi botrány kizárólag ezen eszközök felhasználása, és nem az eszköz létezése, vagy annak értékesítése. A politikai vezetők nagyon is tisztában vannak ezeknek a szoftvereknek a létezésével, sőt ezek használatát valószínűleg maguk is helyeslik, még akkor is, mikor a megfigyelt személyek nem közveszélyes bűnözők, vagy ellenséges országok kémei, hanem politikai ellenfeleik.
A megfigyelés tehát eddig sem a megfelelő eszközök létezésén múlt. Ha egy autoriter rezsim mindent tudni akart az állampolgárairól, akkor eddig is megfigyelte, követte őket, kémkedett utánuk. A demokráciák is rendszeresen felrúgják saját törvényeiket terrorizmusra, szervezett bűnözésre, vagy ellenséges országokkal szembeni védekezésre hivatkozva, és a nem demokratikus és törvényes szervezetekkel szembeni harcot nem is könnyű a törvények betartásával megvívni. A demokráciák és az autoriter rendszerek között a különbség az, hogy az előbbiekben ezek az eszközök az állam és az állampolgárok védelmét szolgálják, míg az utóbbiakban a hatalmat és az autoriter vezetőt. Ha egy demokráciában kiderül, hogy a hatalom mégis saját céljaira használja a titkosszolgálatokat és a szolgálatok által használt eszközöket, akkor abba belebuknak.
A technológia fejlődése azonban mégis hozott egy fontos változást, s talán ez az, ami miatt másként tekintünk a Pegasusra és más kémprogramokra: ma egyetlen eszközön, a telefonunkon hatalmas mennyiségű személyes információt tárolunk, és ezért sokkal kiszolgáltatottabbaknak érezzük magunkat, ha ehhez az eszközhöz más hozzáfér. Továbbá az, hogy életünk szinte minden mozzanata valós időben egy technológiai eszközön rögzítve van, lehetővé teszi a hatalom számára, hogy egyszerre nagyon sok embert figyeljen meg és szinte mindenre kiterjedően.
Demokráciában elengedhetetlen ezen eszközök használatának szabályozása, de ugyanakkor a titkosszolgálatok éppen titkosszolgálati mivoltukból fakadóan nem működhetnek teljesen átlátszóan, így az állampolgárok számára leginkább a demokratikus vezetőkbe és intézményekbe vetett bizalom marad. Autoriter rendszerekben pedig védtelenek az állampolgárok, de a terrorszervezetek, valamint a nemzetközi bűnszervezetek elleni harc miatt kénytelenek vagyunk ezekkel a rendszerekkel is együttműködni.
Újságíró