Cum UE a devenit vestul sălbatic al programelor-spion. De la Pegasus la Predator, totul este permis pentru supraveghere

UE vrea să-și consolideze statutul de autoritate mondială în domeniul tehnologiei, bineînțeles cu respectarea drepturilor fundamentale. Numai că, pentru companiile care produc programe-spion, aceeași UE este un spațiu în care totul este permis. Doar un exemplu: Software-ul spion folosit împotriva Robertei Metsola, președinta Parlamentului European, a fost creat și comercializat de o companie europeană.

Predator vs Parlamentul European

Un link trimis către Roberta Metsola ca răspuns la o postare pe X, fostul Twitter, a fost conceput pentru a infecta telefonul oricărei persoane care dădea click pe el- cu software-ul de supraveghere Predator. Predator este produs și vândut de alianța Intellexa, mai multe firme de tehnologie de supraveghere controlate de un holding cu sediul în Irlanda, potrivit unui raport al Amnesty International, care a dezvăluit tentativa de piratare.

Predator permite unui atacator să obțină acces complet la dispozitivele victimei, inclusiv la microfoane, camere, mesaje text și aplicații. Link-uri similare au fost trimise pe contul oficial al Comisiei și pe contul lui Emily Haber, fost ambasador al Germaniei în Statele Unite. „Nu am dat click și am raportat imediat”, a spus Metsola. „Telefonul meu este curat”. Ea a spus că estimează că tentativa de piratare a fost legată de o dispută privind pescuitul între UE și Vietnam.

Fondată de Tal Dilian, un fost ofițer al armatei israeliene, Intellexa este una dintre bijuteriile coroanei din industria în plină expansiune a programelor de spionaj din UE. Cu birouri în Cipru, Grecia, Irlanda, Ungaria, Republica Cehă și Franța, precum și în Macedonia de Nord și Emiratele Arabe Unite, „se prezintă ca o companie cu sediul în UE și reglementată”, potrivit Amnesty.

Digi24.ro

Trupul unei tinere a fost turnat în beton în urmă cu peste 50 de ani. Abia acum polițiștii au aflat cine este și povestea ei ciudată

Intellexa a vândut software-ul Predator în Austria, Germania și Elveția, precum și unor guverne cu istoric de încălcări ale drepturilor omului, cum ar fi din Qatar, Congo, Emiratele Arabe Unite, Pakistan și Vietnam. Intellexa, contactată prin intermediul unui avocat care a reprezentat-o la Bruxelles, nu a răspuns la o solicitare de comentarii a Politico.

Proliferarea de spyware, „scăpată de sub control”

UE poate că și-a câștigat o reputație de putere în materie de reglementare în domeniul tehnologiei – a intrat în conflict cu Facebook în ceea ce privește confidențialitatea și cu X în ceea ce privește dezinformarea – dar abordarea sa față de programele de spionaj este vorbă în vânt. În timp ce Statele Unite au luat măsuri drastice împotriva programelor spion comerciale, UE a ales să nu acționeze. Acest lucru a dus la o proliferare a firmelor de pe continent care profită de talentele salte tehnice și, mai ales, de legile sale laxe privind licențele și exporturile.

Lipsa unor norme UE privind cine și cum poate utiliza programele de spionaj înseamnă, de asemenea, că o mare parte a guvernelor din blocul comunitar – de la ministerele educației la agențiile de venituri și la autoritățile de aplicare a legii – au acces la unele dintre cele mai intruzive tehnologii de supraveghere disponibile.

„Este remarcabil faptul că, chiar dacă se află direct în vizorul unui spyware dezvoltat de o companie cu sediul în UE, blocul comunitar nu se poate elibera de interesele de nișă și nu poate lua măsuri semnificative”, a scris John Scott-Railton, cercetător la grupul de drepturi The Citizen Lab, pe X. El a remarcat că utilizarea unui link către spyware într-un forum public precum X indică faptul că „proliferarea de programe-spion mercenare a scăpat de sub control”.

Digisport.ro

Femeia care și-a cumpărat un avion pentru a nu mai plăti mereu două locuri a intrat pe teren și internetul ”a explodat”

Avantajele sediului în blocul comunitar

În timp ce industria globală de profil este estimată la aproximativ 12 miliarde de dolari, nu există o cifră credibilă pentru partea Europei din această afacere. Cercetătorii estimează că aproape fiecare țară din UE are cel puțin un expert în spyware. Printre exemplele notabile se numără Circles din Bulgaria, care a vândut un produs folosit pentru a asculta telefonul unui jurnalist londonez, și MOBILedit din Republica Cehă, pe care forțele de securitate din Ucraina l-au folosit în războiul lor împotriva Rusiei.

Faptul de a avea sediul în UE conferă tot felul de avantaje. Nu numai că oferă produselor unei companii o legitimitate, dar piața unică oferă, de asemenea, acces ușor la clienții din întregul bloc. În plus, lipsa unor reglementări comune permite companiilor să caute cel mai permisiv mediu juridic.

„În UE, companiile producătoare de spyware profită de faptul că există o reglementare variată și își deschid birouri în statele membre în care se știe că controalele la export sunt slabe”, a declarat Steven Feldstein, expert la Carnegie Endowment for International Peace din Washington.

Capetele hidrei

Firma de securitate UTX Technologies – achiziționată mai târziu de Cognyte – și-a menținut prezența atât în Cipru, cât și în Lituania, ceea ce înseamnă că, dacă nu reușea să obțină o licență de export într-o țară, putea să o solicite în cealaltă. În mod similar, înainte de 2020, Circles a avut, de asemenea, un birou în Cipru, dar l-a închis după ce un grup de activiști a cerut autorităților să examineze ce exporta.

„Europa devine un teren propice pentru programele de spionaj, facilitând exporturile de diverse instrumente”, a declarat Ilia Siatița, director de program pentru supraveghere guvernamentală la Privacy International. „Chiar dacă sancționați o companie, ca și când ați ucis unul dintre capetele hidrei, apar alte două. Atâta timp cât există cerere, va exista ofertă”.

Balul spionilor

Industria programelor de spionaj are o istorie îndelungată în UE, unde companii precum Hacking Team din Italia și FinFisher din Germania au deschis drumul vânzând programe concepute pentru a intra în dispozitivele personale. „Nu trebuie să uităm că programele-spion s-au născut în Europa”, a declarat Vitor Ventura, cercetător principal în domeniul securității la Cisco Talos.

Cel mai mare eveniment din industria europeană a spyware-ului are loc în fiecare an într-o clădire de culoare roșu aprins de la periferia orașului Praga. Cunoscut sub numele de ISS World, evenimentul a fost poreclit „Balul spionilor”. Acesta se prezintă ca fiind „cea mai mare adunare din lume a analiștilor regionali din domeniul aplicării legii, al informațiilor și al securității interne”.

Nu există prea multă publicitate, în afară de câteva ecrane digitale la locul de desfășurare. Participanții poartă legitimațiile sau insignele întoarse pentru a-și ascunde afilierea. Dar înăuntru, sălile sunt animate. La evenimentul din iunie anul acesta, reprezentanți ai poliției și ai forțelor de securitate din Austria, Germania, Kosovo, Rusia, Suedia, Ucraina și alte 96 de țări au sosit îmbrăcați în haine casual, cu carnete de notițe în mână.

Broșurile din anii precedenți arată că au participat delegații guvernamentale din toate țările UE, cu excepția Luxemburgului. În 2013, printre participanți s-au numărat reprezentanți ai ambasadelor europene din Togo, Afganistan, Algeria, Maroc, Rusia și Yemen.

În așteptarea potențialilor clienți se aflau 115 expozanți, toți numai zâmbete, dornici să demonstreze că produsele lor ar putea face diferența între ratarea sau evitarea unui atac terorist. „Big Tech lucrează împotriva voastră în ceea ce privește consolidarea criptării, noi vă putem ajuta”, se lăuda reprezentantul unei companii. „Cu cel mai recent software de hacking auto, puteți vedea când un suspect frânează și ce ușă este deschisă”, a promis un altul.

Primadona Israelului, NSO Group

Printre companiile expuse se numărau Candiru, Feedback Italia și Rayzone Group, precum și britanicii de la BAE Systems și francezii de la Airbus, printre cei mai mari producători militari din Europa. Atracția principală a fost însă NSO Group din Israel. Iluminat în alb, standul companiei a prezentat o masă care oferea vin, bere blondă, caju și măsline cu infuzie de rozmarin, sub motto-ul „iluminarea tenebrelor”.

Pegasus, produsul de spionaj emblematic al NSO, a fost folosit împotriva politicienilor din opoziție din Ungaria și Polonia, a fost utilizat de Madrid pentru a spiona activiștii și politicienii catalani și ar fi fost folosit de Maroc pentru a viza oficiali guvernamentali francezi, inclusiv pe președintele Emmanuel Macron. De asemenea, a fost folosit pentru a-l spiona pe șeful Amazon, Jeff Bezos, timp de opt luni, și a fost instalat pe telefonul soției lui Jamal Khashoggi, jurnalistul care a fost ucis și dezmembrat la ambasada saudită din Istanbul.

În septembrie, organismele de apărare a drepturilor digitale Citizen Lab și Access Now au dezvăluit că telefonul Galinei Timcenko, o jurnalistă rusă stabilită în Letonia și fondatoare a publicației independente de știri Meduza, a fost infectat cu programul Pegasus în timp ce se întâlnea cu disidenți ruși la Berlin. Dovezile indică din ce în ce mai mult Letonia ca fiind autorul probabil al atacului, a declarat Access Now.

„Acest spyware trebuie să fie interzis aici în Europa”, a declarat Ivan Kolpakov, redactor-șef al Meduza. „În mod surprinzător, a fost interzis în SUA înainte de a fi interzis în Europa. Există o mulțime de fani Pegasus în Europa, și nu vorbim doar de Polonia și Ungaria, ci și de țările din Europa de Vest”.

Care reglementare?

Vestea că politicienii europeni au fost ținta unor programe-spion a stârnit inițial indignare, apoi o ridicare colectivă din umeri. În urma publicării în 2021 a Proiectului Pegasus – o investigație realizată de un consorțiu de publicații europene – Parlamentul European a lansat în anul următor o comisie de anchetă pentru a investiga abuzurile din întregul bloc comunitar. Legiuitorii l-au intervievat pe avocatul principal al NSO Group, Chaim Gelfand, și au întreprins misiuni de investigații în Israel, Ungaria, Spania, Grecia și Polonia.

Gelfand a dezvăluit că NSO vânduse programul Pegasus către cel puțin cinci țări din UE și că suspendase două dintre acestea pentru abuz. „Încercăm să facem ceea ce trebuie și asta este mai mult decât alte companii care lucrează în acest sector”, a declarat el în fața membrilor Comisiei Parlamentului desemnată să ancheteze folosirea programelor-spion, în iunie 2022.

Responsabilitatea s-a oprit aici. În octombrie, Comisia a dezvăluit că pregătește orientări pentru guvernele UE cu privire la modul de utilizare a programelor de spionaj în concordanță cu legile UE privind protecția datelor și securitatea națională. Dar punerea lor în practică va fi responsabilitatea guvernelor naționale, care până acum au fost reticente în a adopta măsuri care să le limiteze accesul la tehnologia de supraveghere. În UE, securitatea națională este responsabilitatea fiecărei țări în parte.

Nu sunt înlocuitori naționali

În timpul unei audieri în Parlament, comisarul pentru justiție, Didier Reynders, el însuși ținta programelor de spionaj, a recunoscut că biroul său are mijloace limitate de intervenție. Stéphane Duguin, director al CyberPeace Institute și fost ofițer Europol, a declarat că, din cauza faptului că guvernele nu au reușit să finanțeze o tehnologie independentă de monitorizare a comunicațiilor infracționale, departamentele de poliție se îndreaptă către companii private pentru soluții.

„Dacă mâine, forțele de ordine nu vor avea capacitatea de a cumpăra mașini sau de a avea oameni pe străzi, ce vor face? Vor subcontracta supravegherea fizică a infractorilor unor companii private. Despre asta e vorba”, a declarat Duguin.

O viitoare lege a UE privind libertatea presei ar putea îngreuna utilizarea de către forțele de ordine naționale a programelor-spion specifice împotriva jurnaliștilor. Dar Comisia Europeană a evitat alte măsuri mai energice pentru a limita utilizarea sau abuzul de programe-spion de către diverse niveluri guvernamentale.

O lege din 2021, menită să limiteze exportul de tehnologii precum programele-spion, a avut un impact redus până în prezent. Comisia nu verifică efectiv dacă este aplicată de guvernele naționale. Între timp, un raport al comisiei parlamentare care investighează scandalul Pegasus a declarat că există „numeroase dovezi” că adoptarea legii a fost „slabă și neuniformă”, unele țări ignorând-o în mod deliberat.

Statele Unite, pe o linie mult mai dură

Abordarea UE contrastează puternic cu cea a SUA, unde președintele Joe Biden a adoptat o linie mult mai dură. În martie, liderul de la Casa Albă a publicat un decret care interzice guvernului să achiziționeze programe-spion comerciale. De asemenea, administrația sa a pus pe lista neagră NSO Group și a adăugat pe această listă compania europeană Intellexa și filiala sa Cytrox, ceea ce înseamnă că firmele americane nu pot face afaceri cu acestea.

Represiunea lui Biden a fost resimțită în afara granițelor țării. Ca răspuns, Agenția israeliană de control al exporturilor în domeniul apărării a restrâns destinațiile de export acceptabile ale companiilor sale naționale, limitându-le la 38 de țări democratice, majoritatea membre ale UE.

Având în vedere că Israelul a fost unul dintre liderii de piață în acest domeniu, această schimbare – combinată cu lipsa de consecințe pentru companiile implicate în scandaluri – nu poate decât să facă piața europeană mai interesantă pentru companiile care caută clienți în regiuni mai puțin interesante ale globului.

„În nici un caz nu s-a făcut dreptate, chiar dacă pe hârtie există o cale de atac legală. Statele Unite lucrează pentru a pune aceste companii pe lista neagră, dar aici, în Europa, ele beneficiază de un tratament regal”, a declarat un europarlamentar.