Foto EFF, Flickr (CC BY 2.0)
Spyware je program, který bez vědomí majitele zařízení odesílá jeho data další straně, tedy tomu, kdo spyware nainstaloval. Jedním z nejznámějších a zároveň nejkontroverznějších programů tohoto typu je Pegasus, za kterým stojí izraelská kybernetická společnost NSO Group. Firma tvrdí, že technologii prodává pouze vládám, a to k hledání kriminálníků a teroristů. Ty pak získávají nejen informace například o historii vyhledávání, zprávách, fotografiích nebo nastavení, ale i přístup ke kameře a mikrofonu zařízení dotyčného.
Plošné využívání takových technologií však výrazně zasahuje do základních lidských práv, včetně práva na soukromí a svobodu projevu. Vztah mezi Pegasem a dodržováním lidských práv ve studii zkoumá Rada Evropy (tedy instituce nezávislá na Evropské unii, která sídlí ve Štrasburku a patří pod ni i Evropský soud pro lidská práva, pozn. aut.).
Sledování a spyware přes mobilní telefony
I kvůli minulým kontroverzím, například důkazům o masovém sledováním americkou vládou, které zveřejnil Edward Snowden, roste veřejné povědomí o těchto technologických možnostech. Zároveň také vzrůstá množství finančních prostředků, které technologické firmy věnují na vývoj zabezpečení a šifrování svých produktů.
Pro vlády však takové ztížení přístupu k citlivým datům z mobilních telefonů představuje nepřijatelnou situaci. Vládní poptávky po programech, které zabezpečení dokážou překonat, tak napomohly zformovat nový průmysl a trh, který funguje následovně – hackeři se snaží nalézt slabé stránky různých softwarů, získané informace o slabinách následně prodávají na černém trhu obchodníkovi s nejvyšší nabídkou a tito obchodníci jsou právě vývojáři škodlivých spyware. Konečnými zákazníky v tomto řetězci jsou často buď vlády různých států či jiné organizace. Státní sektor se tak stal závislým na pomoci třetích stran v prolomení robustního zabezpečení.
Jedním z nejúspěšnějších hráčů na tomto trhu je společnost NSO Group, která stojí za nechvalně proslaveným spywarem Pegasus. Ten funguje na systémech Android, iOS, Windows, BlackBerry i Symbian a přebuduje původní telefon na sledovací zařízení. Podle NSO Group je Pegasus prodáván pouze vládám, a to výhradně za účelem sledování a vyhledávání kriminálníků a teroristů.
Výše zmíněné dovednosti programu naznačují, že jde o přímý zásah do soukromí jak dotyčné osoby, tak i její rodiny, spolupracovníků, kamarádů a ostatních blízkých kontaktů, a jedná se jak o cílené, tak i plošné sledování.
Na nekompletním seznamu zákazníků společnosti se objevují Mexiko, Spojené arabské emiráty, Saudská Arábie, Španělsko, Polsko, Panama, Nizozemsko, Maroko, Indie, Izrael, Německo, Maďarsko, Bahrajn, Ázerbájdžán a Arménie. Využívání technologie představuje značný zásah do státního rozpočtu, zprávy z roku 2016 naznačují, že se roční poplatek pohybuje kolem 600 tisíc amerických dolarů, s jednorázovým poplatkem v hodnotě 500 tisíc dolarů – za téměř 27 milionů korun je tak možné sledovat 10 cílových osob najednou.
Jak Pegasus funguje
K nainstalování běžně stačí jediná zpráva (SMS, WhatsApp, e-mail…) odeslaná na vybrané zařízení s webovým odkazem, který může mít jakoukoliv podobu a může se tak jevit jako naprosto normální a neškodný odkaz. Pouhé kliknutí na něj ale zajistí rychlé infikování telefonu. Také je však možné umístit program do zařízení pomocí zero-click metody, tedy bez potřeby kliknutí. To funguje například přes návštěvu webové stránky, která není dostatečně zabezpečená – a kde má Pegasus volný přístup k nabourání zařízení. Tato metoda je však složitější, protože je nutné monitorovat internetové aktivity dotyčného. Instalace přes odkaz je tak využívanější.
Případně je možné dostat program do systému i manuálně, a to přes root u Androidu nebo jailbreak u iOS, které odstraní veškeré tovární zabezpečení. V takových případech ani člověk obeznámený s existencí této technologie nemusí zachytit, že je zařízení infikované. S vývojem technologie jsou také více využívány nové a kreativní způsoby, například přes zmeškaný hovor na WhatsAppu, který Pegasus dostane do systému, a následné vymazaní záznamu o hovoru – majitel zařízení tak nemá šanci zjistit, že se v jeho telefonu dělo něco neobvyklého.
Instalace spyware do zařízení skýtá velké množství možností, jak s funkcemi a úložištěm telefonu zacházet – Pegasus umí kontrolovat fotoaparát, mikrofon, extrahovat kontakty, záznamy o hovorech a zprávách, historii vyhledávání, fotografie, nastavení, také údaje z různých aplikací jako Gmail, Facebook nebo Telegram, a mnoho dalšího. Zároveň také zaznamenává údery na klávesnici, útočník tak může zjistit citlivá hesla.
Jak poznat, že je moje zařízení infikováno
K rozpoznání nabourání je možné využít program Mobile Verification Toolkit (MVT) od Amnesty International. Příznaky, že se zařízením není něco v pořádku, mohou obsahovat: náhlé zpomalení telefonu, občasné vypnutí, nižší výdrž baterie, existenci pofidérních složek a souborů (především na Androidu), časté přesměrování na neznámé stránky, velké množství vyskakovacích reklam, náhlé zvýšení spotřeby mobilních dat či instalaci nových aplikací.
Dopad na právo na soukromí
Výše zmíněné dovednosti programu naznačují, že jde o přímý zásah do soukromí jak dotyčné osoby, tak i její rodiny, spolupracovníků, kamarádů a ostatních blízkých kontaktů, a jedná se jak o cílené, tak i plošné sledování. To představuje porušení článku 8 Evropské úmluvy o lidských právech (EÚLP) a narušuje standardy stanovené Evropským soudem. Jakýkoliv zásah do soukromí je totiž možné ospravedlnit pouze tehdy, pokud je v souladu se zákonem a je v demokratické společnosti nezbytný k dosažení legitimních cílů, jako je ochrana národní a veřejné bezpečnosti a předcházení nepokojům nebo trestné činnosti. Každé jednotlivé použití by také mělo mít povolení od oprávněného a nezávislého úřadu, a to pouze po detailním vyhodnocení situace.
Soud i s přihlédnutím k některým případům vypracoval několik bodů či požadavků, které by měly být zakotveny ve vnitrostátním právu, aby se v rámci cílených odposlechů předešlo zneužití pravomoci. Těchto šest požadavků vymezuje povahu trestných činů, které mohou být důvodem pro vydání příkazu k odposlechu; vymezuje kategorií osob, které mohou být sledovány; omezuje dobu trvání odposlechu; postup, který je třeba dodržet při zkoumání, používání a uchovávání získaných údajů; opatření, která je třeba přijmout při sdělování údajů dalším stranám; a okolnosti, za kterých mohou nebo musí být odposlouchávané údaje vymazány nebo zničeny. Tyto záruky ale platí také v případě, že k odposlechu dochází z důvodů národní bezpečnosti.
Právo na ochranu osobních údajů sice není samostatným právem dle EÚLP, soud však uznává, že ochrana osobních údajů má zásadní význam pro respektování soukromého a rodinného života osob, článek 8 je tedy hlavním nositelem práv spojených s odposlechem. Významným dokumentem je také Úmluva č. 108, neboli jediná právně závazná mezinárodní smlouva v oblasti ochrany údajů s celosvětovým významem.
Její modernizovaná verze vznikla v roce 2018 a konkrétně reflektovala hrozby, které představují právě spyware jako Pegasus. Především se opírá o myšlenku jedince, který má pevnou kontrolu nad svými daty a zná svá práva v digitálním prostředí, a také ukládá společnostem vyvíjet programy tak, aby od počátku dbaly na ochranu dat. Modernizovaná úmluva zároveň podporuje vytvoření silnější autority, která na projekty dohlíží, a mezinárodní spolupráci ke zlepšení vyšetřování nezákonného nebo neospravedlněného využití masových technologií.
Dopad na svobodu projevu
Dle studie bylo přes 200 novinářů cíleně zasaženo spywarem Pegasus. Svoboda projevu je jedním z hlavních pilířů demokratické společnosti a je garantována článkem 10 EÚLP. Odposlech novinářů a sledování jejich aktivit zásadně zasahuje do vykonávání jejich profese a může ohrožovat jejich zdroje jak z hlediska bezpečnosti, tak i ve smyslu poškození reputace onoho novináře či média, kteří se ve výsledku stanou pro potenciální zdroje rizikem. Soud ve věci Big Brother Watch a další proti Spojenému království (žaloba téměř dvaceti organizací na Spojené království v reakci na zveřejnění nekalých sledovacích praktik některých státních orgánů) rozhodl, že nezávislý orgán musí odposlech novináře odsouhlasit po detailním prozkoumání dostupného materiálu a určit, zda je využití odůvodněno „naléhavým požadavkem ve veřejném zájmu“.
Dopad na ochránce lidských práv
Společně s novináři jsou častými cíli odposlechu ochránci lidských práv. Lidskoprávní organizace a občanské spolky volají po ochraně nejohroženějších osob a apelují na státy, aby na takové osoby sledovací technologie nepoužívaly. Hlavními úkoly využití spywaru je odrazení novinářů či ochránců lidských práv od jejich práce, ovlivnění jejich kontaktů a sběr informací, které mohou být použity proti dotyčným.
Vyšetřování od organizací Front Line Defenders a Citizen Lab také sdílelo alarmující zprávu, že i v těchto případech dochází k diskriminaci na základě pohlaví. Výsledky této studie mluví o vyšší pravděpodobnosti odposlechu žen v oblasti severní Afriky a Blízkého východu, a to zejména z důvodu vydírání přes soukromé a intimní fotografie nebo konverzace. To vede k vytvoření naprosté izolace některých pracovníků, kteří jsou pro demokratické fungování států klíčoví, ale necítí se bezpečně ani uvnitř svých domovů.
Dopad na další lidská práva a svobody
Lidská práva a základní svobody se navzájem doplňují a propojují, tudíž ohrožení práva na soukromí a svobodu projevu ovlivňuje i ty další. Studie Front Line Defenders a Citizen Lab zmiňuje například právo na zdraví. Kvůli hrozbě digitálního sledování a odposlechu se může osoba strachovat o své zdravotní údaje a nesdělí lékařům veškeré informace.
Podobně to platí i o náboženské svobodě nebo svobodě shromažďování a sdružování. Lidé budou také méně komunikovat o různých tématech, a to jak na internetu, tak i off-line. V extrémních případech může strach ze sledování vést až k vyhýbání se veškeré společnosti ostatních lidí a vstupování do veřejného prostoru.
Tyto skutečnosti tak potvrzují, že politicky motivované využívání spyware programů musí být ihned prošetřeno a zastaveno. Někteří aktivisté a organizace, například hnutí bojující za lidská práva Amnesty International, dokonce lobují za moratorium na prodej a používání programu Pegasus do doby, než bude možné zajistit jeho fungování v souladu s ochranou lidských práv a svobod.
Pravidla pro lepší ochranu před digitálním sledováním
Studie Front Line Defenders a Citizen Lab na závěr přidává deset základních pravidel, jak zmenšit škodlivé následky v případě útoku na zařízení:
Časté restartování telefonu může odstranit některé programy.
Otevírání odkazů pouze z ověřených a důvěryhodných zdrojů je klíčem k ochraně.
Pravidelně aktualizujte software zařízení.
Nastavte na telefonu odemykání pomocí otisku prstů, naskenování obličeje či promyšleného PIN kódu.
Vyhýbejte se Wi-Fi sítím zdarma ve veřejném prostoru.
Zašifrujte svá data na zařízení.
Využívejte „mizících“ zpráv, které se v chatu neukládají.
Ke kontaktování citlivých zdrojů nepoužívejte osobní nebo pracovní zařízení, SIM karty nebo e-mailové adresy.
Zařízení může být využito k lokalizaci dotyčného, proto při citlivých setkání zanechte telefon na jiném místě a využijte ke schůzce neutrální prostor.
Odstraňte metadata z citlivých souborů a fotografií předtím, než je sdílíte s ostatními. Metadata totiž mohou obsahovat informace o osobě a zařízení spojených s vytvořením souboru.
Autorka je dobrovolnice ve sdružení Iuridicum Remedium.