Zneužívání špionážního softwaru Pegasus členskými státy Evropské unie je předmětem zprávy vyšetřovací komise, kterou schválil Evropský parlament. Státy se podle závěrů zprávy vzájemně kryjí a nemají zájem vyšetřovat narušení soukromí novinářů či opozičních politiků. Český europoslanec Marcel Kolaja (Piráti) prosazuje, aby byl software, který umožňuje bezpečnostním složkám člověka sledovat, zcela zakázán. „Vláda, ať už je jakákoli, by neměla mít možnost šlapat po právech opozičních politiků nebo novinářů,“ říká v rozhovoru pro deník E15 místopředseda Evropského parlamentu.
V Praze se před týdnem konala konference ISS World, která slouží k navazování kontaktů mezi bezpečnostní komunitou a jejími dodavateli. Prodává se tam i špionážní software a pořádají instruktáže k jeho využití. Jedním ze sponzorů je izraelská společnost NSO Group vyvíjející špionážní program Pegasus. Co říkáte na to, že Praha hostí akci, jež má za hlavního sponzora společnost, na kterou Spojené státy uvalily sankce?
Pokud je to pravda, je to problematické. Prosazuji, aby použití spywaru tohoto typu bylo zakázané.
Mělo by Česko řešit, že se na jeho území koná veletrh, kde se prodává tento software?
Stálo by to za to řešit, posvítit si na to, je to vhodný úkol pro českou vládu. To, že je ta aktivita zmíněna v rámci zprávy výboru EP pro Pegasus, by mělo být pokynem pro českou vládu, aby se tím začala zabývat a zjistila, do jaké míry jsou ta tvrzení pravdivá.
Vláda ale sotva může zakázat konání soukromého veletrhu…
To asi nemůže, ale zpráva mluví o tom, že by měly být splněny určité podmínky. EP nemá kompetenci něco nařizovat, ale EK i členské země by se tím měly zabývat. Zpráva mluví o tom, že by se měly zrušit licence na export spywaru, které nejsou v souladu s regulací o dvojím užití. Pokud na veletrhu probíhá obchod právě s takovým typem softwaru, dávalo by smysl to zjistit a případně se k tomu postavit.
Byl jste v komisi PEGA, která se soustředila na vyšetřování zneužití softwaru Pegasus. Co jste zjistili a jak vyšetřování probíhalo?
PEGA v EP funguje jako výbor, jádrem vyšetřování jsou mise do členských zemí. Byl jsem na misi v Polsku, kde jsme se potkali s politiky a oběťmi zneužití spywaru. Chtěli jsme se potkat s vládou, nicméně polský kabinet odmítl se s námi bavit. Z mého pohledu je toto porušení povinnosti členské země, protože ta má povinnost spolupracovat při vyšetřovacích misích EP. Z výpovědí jsme si udělali obrázek o tom, jak docházelo ke zneužívání spywaru. Konkrétně v Polsku jsme přišli na to, že už nákup spywaru byl nelegální, protože byl zaplacen z fondu určeného na pomoc obětem. Peníz neměly být pro tento účel čerpány.
Zjišťovali jsme například, do jaké míry existovala soudní povolení k použití spywaru. V tom jsme také zjistili spoustu nedostatků, sice v některých členských zemí nějaké soudní příkazy existovaly, ale z rozhodnutí vyplývalo, že soudci nemají dostatek podkladů k tomu, aby mohli kvalifikovaně rozhodnout. Pro soudce to byl spíše případ běžného odposlouchávání, ale my se bavíme o spywaru, který funguje jinak. Ten, kdo dostane přístup do vašeho telefonu, může nejen poslouchat vše, co se děje kolem telefonu, ale má také přístup do všech vašich souborů. V dnešní době cloudových úložišť mohou takoví lidé přistupovat k celému vašemu digitálnímu životu. To je zásadní rozdíl oproti klasickému odposlouchávání telefonní linky.
Původní verze zprávy byl mnohem tvrdší, výsledná zpráva je zjemněna. Došlo uvnitř komise PEGA ke sporu ohledně závěrečného znění?
Spory tam samozřejmě byly, protože jsme vyjednávali i s politiky ze stran tvořících vlády, které zneužily tento software. Když se podíváme na seznam zemí, tedy na Polsko, Maďarsko, Řecko, Španělsko a Kypr, jejich zástupci se to snažili řešit. Například lidovci nebo španělští poslanci z frakce Renew chtěli odstranit spojení Catalan Gate. Realita je taková, že katalánští politici, kteří usilují o nezávislost Katalánska, byli cílem Pegasu. Takové spory nastaly, ale nejsou to spory evropského charakteru. Není to o tom, jaký by měl být evropský přístup k používání špionážního softwaru, ale jde spíše o tlaky národního charakteru, které se snažily zmírnit dopad zprávy na jednotlivé vlády v Evropě.
Vyvíjela nějaký tlak česká vláda?
Nevím o tom. Koneckonců ani nevím, jestli se tomu věnuje někdo z kolegů českých europoslanců.
Takže jste nepocítili zájem od české vlády či úřadů?
Vůbec.
Zpráva naznačuje, že se členské státy vzájemně kryjí, a proto se zneužívání tohoto typu softwaru intenzivně nevyšetřuje. Vnímáte to podobně?
Mám z toho pocit, že ve chvíli, kdy se politici dostanou k moci, myslí si, že by se jim taková technologie mohla hodit, a domnívají se, že u moci budou stále. Proto nemají potřebu nastavit pravidla, která by zamezila zneužití proti opozici. Taková představa je lichá. Ve výsledku se to každému může vymstít. Vláda, ať už je jakákoli, by neměla mít možnost šlapat po právech opozičních politiků nebo novinářů. Vlády se snažily krýt samy sebe, ale pochopitelně jim došlo, že když budou krýt ostatní, tak se jim to vyplatí. V EP nejsme strukturováni podle národností, ale podle politických skupin, takže je to u nás jiné. Jsem velmi zvědavý, co s tím EK, potažmo členské státy udělají poté, co jim přijde zpráva.
Například mě velmi mrzí, že když jsme to projednávali na plénu EP, tak jsem si všiml, že tam seděla pouze jedna úřednice z českého zastoupení v EU, ale jinak tam byla prázdná křesla, neseděl tam jediný politik. Čekal bych, že u takové věci se zúčastní alespoň někdo.
Lidé z bezpečnostní komunity argumentují, že takový software mají všichni, tedy že když ho nebudeme mít, budeme na tom hůře a nebudeme moci zachraňovat životy. Co na to říkáte?
Takový pohled je lichý. Měli bychom hlavně pracovat na bezpečnosti společnosti a našich institucí v tom smyslu, že bychom měli provozovat bezpečný software a používat zabezpečená zařízení. Koneckonců v tomto smyslu je v EU na stole několik různých balíčků legislativy, které se tím zabývají, ať už jde o zabezpečení kritické infrastruktury, nebo o zabezpečení programů pro spotřebitele. Měli bychom se hlavně snažit aby zařízení neobsahovalo bezpečnostní chyby.
Je pravda, že takový stav nikdy nebude existovat, ale jde o to, aby zjištěné bezpečnostní chyby byly co nejrychleji zazáplatovány. Pokud budeme spoléhat na to, že existují bezpečnostní chyby, které mohou pomocí spywaru členské státy zneužít, nedokážeme zamezit tomu, aby někdo jiný, například čínská vláda, o těch bezpečnostních chybách nevěděl a nedokázal je také zneužít. Cesta je zabezpečení zařízení, nikoli vlastnění nástrojů, které je mohou zneužít. Protože to může udělat kdokoli.
Obáváte se, že nástroje typu Pegasus mohou mít k dispozici soukromé subjekty?
Nemyslím si, že to musí být nutně záležitostí vlád, může se to také týkat nějaké kyberšpionáže v průmyslu. Na druhé straně je potřeba říct, že firmy v případě, že by jim něco takového bylo prokázáno, budou čelit řadě postihů, ať už právních, nebo od zákazníků. Nicméně pokud se budeme bavit v celosvětovém měřítku, je možné, že některé soukromé subjekty mohou spyware zneužívat.
Mluvil jste v rámci vyšetřování i s oběťmi, jak to na vás působilo?
Je to silný zážitek. Člověk si uvědomí, k čemu všemu mohou mít lidé s takovým softwarem přístup. Ten dopad na člověka není jen v profesní rovině. Když se například jednalo o státní zástupce, nešlo jen o tlak na kauzy, o kterých rozhoduje, ale zasahuje to do osobního života. Špionážní program vás může sledovat například i při společných chvílích s partnerem nebo na toaletě. Prostě všude.
Zpráva zmiňuje podezření, že nějaký spyware má každá země a konkrétně Pegasus je ve čtrnácti členských zemí EU, takže je jich o devět více, než se dosud vědělo. Víte, které jsou to země?
Informaci o počtu zemí, kam byl program Pegasus prodán, přišla od Izraelců, ale nevíme, které to jsou. Bylo by ideální, kdyby nám to vlády řekly, jelikož pokud má Evropská komise zkoumat, zda jsou naplněny podmínky pro legální použití, měla by vědět, kam zaměřit pozornost.
Může být jedním z těch států Česko?
Teoreticky ano. Nemám ale takovou informaci, to byste se museli ptát jinde. Očekávám, že je to informace v režimu přísně tajné, takže neočekávám, že by vám to někdo potvrdil.
Hodně se mluví o společnostech QuaDream nebo Intellexa, která prodávala tento program africkým milicím. Jak je možné, že firmy prodají něco takového nevládním subjektům a rozpoutají chaos v zemi, jež je sama o sobě nestabilní?
To není novinka, obdobný problém představuje vývoz zbraní, protože je v doporučení EP, že by prodej spywaru měl být v souladu s legislativou o zboží dvojího užití.
Mělo by se to tedy kontrolovat stejně, jako kdybychom vyváželi tanky?
Ano, mělo by to být stejně.
