lehallgatás

„Mindannyian egy kémet tartunk a zsebünkben” – Natalia Krapiva, az Access Now munkatársa az újságírók és civilek megfigyeléséről

A világ kormányai – beleértve demokratikus országok vezetőit is – egyre kifinomultabb kémszoftvereket szereznek be a bűnözés és a terrorizmus elleni küzdelemre hivatkozva, ezeket azonban sok esetben újságírók és aktivisták megfigyelésére használják. Natalia Krapiva, az Access Now vezető technológiai és jogi tanácsadója az Átlátszónak arról beszélt: sok állam úgy tesz, mintha az alapvető jogok a digitális térben megszűnnének létezni. A választások után az új magyar kormány – Donald Tusk új lengyel kormányához hasonlóan – ígéretet tett arra, hogy feltárja az Orbán-korszak megfigyeléseinek teljes körét. Krapiva szerint ez jó kezdet, de további garanciákra van szükség annak a további visszaélések megakadályozására.

Natalia Krapiva a New York-i ügyvédi kamara tagja és a Brooklyn Kerületi Ügyészség egykori ügyésze, valamint az Access Now vezető technológiai és jogi tanácsadója. Az Access Now egy globális emberi jogi szervezet, amely a digitális jogok védelméért és kiterjesztéséért küzd. A szervezeten belül Natalia Krapiva szakterülete a kémszoftverekkel való visszaélés és a civil társadalom elleni digitális támadások feltárása, az elkövetők elszámoltatása és az áldozatok jogi képviselete. Interjúnkban ezekről a témákról kérdeztük.

Átlátszó: Az elmúlt években számos újságíró és civil aktivista számolt be fokozódó online megfigyelésről, hackertámadásokról és más digitális fenyegetésekről. Mit tart a legnagyobb veszélyforrásnak az újságírók és a civil szervezetek szempontjából?

Natalia Krapiva: A legveszélyesebb szereplő gyakran maga az állam, különösen azokban az országokban, ahol gyengék a demokratikus intézmények és korlátozott a szabadságjogok védelme. A problémát azonban nemcsak a belföldről jövő elnyomás jelenti: egyre gyakrabban látunk határokon átnyúló támadásokat, amikor menekülteket és másként gondolkodókat külföldön támadnak az országuk kormányai, amelyek elől elmenekültek.

A tech-vállalatok szintén sokszor bűnrészesek a megfigyelésekben: technikai lehetőséget biztosítanak a jogellenes megfigyelésekre, vagy csak nem hajlandók azokat megakadályozni. Sok esetben a nagy technológiai cégek üzleti érdekei egybeesnek az állampolgáraikat megfigyelni akaró kormányok céljaival. Sőt, időnként maguk a cégek gyűjtenek adatokat jogsártő módon a felhasználókról, megkönnyítve a visszaéléseket, például felhasználói adatok értékesítésével.

A reklámcélú adatgyűjtés különösen problémás. Ezt használják ki az „AdInt”-típusú kémszoftverek: ezek az online reklám-infrastruktúrát és a hirdetéselhelyezés kapcsán gyűjtött adatokat használva juttatnak célba spyware-t. Ilyen technológiát biztosított Magyarország számára az izraeli Cobwebs cég, amely később egyesült az amerikai PenLink vállalattal.

A magyar kormány valószínűleg jogellenesen használta a Cobwebs rendszerét, megsértve a GDPR előírásait.

Az Egyesült Államokban nagyobb lehetőségek vannak az ilyen technológiák alkalmazására, mivel ott lazábbak az adatvédelmi szabályok. Ugyanakkor ott is előfordult már, hogy egyes szervek a jogszerűség bizonytalansága miatt felbontották a szerződéseiket.

Júniusban beszámoltunk a Belgrádi Biztonságpolitikai Központ tanulmányáról, amely az aktivisták és újságírók elleni digitális támadásokat vizsgálta. Az egyik legmeglepőbb megállapítás az volt, hogy az ilyen támadások gyakoribbak voltak Nyugat- és Észak-Európában, mint a Nyugat-Balkán EU-n kívüli államaiban. Mennyire beszélhetünk új jelenségről? A nyugati kormányok mindig is alkalmaztak ilyen módszereket, csak kevésbé fejlett technológiával?

A kormányok, beleértve a demokratikus kormányokat is, mindig is érdekelte, mit tudhatnak meg azokról a területekről, amelyeket nem tartanak teljesen ellenőrzés alatt. Különösen azok az újságírók különösen érdekesek számukra, akik bűnözéssel és korrupcióval kapcsolatos témákat vizsgálnak, és olyan forrásokkal beszélnek, amelyeket a kormány is szeretne megismerni.

Az új technológiák sokkal könnyebbé tették a megfigyelést. Ma mindenki hord magánál mobiltelefont.

Bizonyos értelemben mindannyian egy kémet tartunk a zsebünkben.

A kémszoftverek beszerzésével és használatával a közelmúltban több európai ország is lebukott: Olaszországban a Paragon, Spanyolországban a Pegasus, Görögországban pedig a Predator nyomaira bukkantak. A probléma az, hogy az áldozatok nagyon ritkán értesülnek arról, hogy megfigyelték őket, miközben a kormányok működése ezen a téren egyáltalán nem átlátható.

Papíron a kormányok terroristák és bűnözők megfigyelésére vásárolnak kémszoftvereket. De amikor egy újságíró például korrupciós ügyeket tár fel, erős lehet a kísértés, hogy ezeket az eszközöket ellene használják, különösen akkor, ha a polgárok megfigyelésének nincsenek következményei.

A titokban megfigyelt újságírók sok esetben az illegális migrációról és határvédelemről tudósítottak. A hatóságok a megfigyeléseket rendre azzal magyarázták, hogy a megfigyeltek bűncselekményeket elkövető vagy nemzetbiztonsági kockázatot jelentő személyekkel kerültek kapcsolatba. Indokolhatják ezek a kapcsolatok a megfigyelést?

A kormányok érvelése ellenére mind a nemzeti, mind az európai jog védi a magánélethez, a véleménynyilvánítás szabadságához és az információhoz való hozzáféréshez fűződő jogokat. Minden megfigyelési intézkedésnek arányosnak kell lennie a fenyegetéssel. Egy olyan személy elleni kémszoftver-használat, aki egyesek szerint kapcsolatban állhat egy bűncselekmény elkövetésével gyanúsított személlyel, nem jelent elég erős indokot a megfigyelésre, mert

e logika alapján szinte bárki megfigyelése igazolható lenne.

Az újságírók munkájukból fakadóan sokféle forrással kommunikálhatnak, beleértve kormányzati tisztviselőket és akár bűnszervezetek tagjait is. Ugyanez igaz az ügyvédekre is, akiket szintén egyre gyakrabban figyelnek meg a hírszerző szolgálatok egyre gyakrabban vesznek célba. E szakmák megfigyelése ezért aránytalanul súlyos jogsértés bármilyen feltételezett fenyegetéshez képest. Hasonló aggályok merülnek fel a sérülékeny csoportokat segítő civil szervezetek esetében is: a megfigyelés közvetlenül nehezítheti is a munkájukat.

A jogászok megfigyelése különösen aggasztó, mivel az ügyvédi titok védelme alapvető jog. Világszerte azonban továbbra is azt látjuk, hogy ügyvédeket figyelnek meg: Lengyelországban és Mexikóban például Pegasust telepítettek ügyészek, köztük egy szervezett bűnözést vizsgáló ügyész telefonjára is.

Melyik a nagyobb probléma? Hogy a jogszabályok nem tartanak lépést a technológiával, vagy az, hogy a kormányok nem tartják tiszteletben az emberek privát adatait védő törvényeket?

A legtöbb országban már léteznek alkotmányos garanciák a magánélet védelmére. A probléma az, hogy sok kormány úgy viselkedik, mintha ez a védelem nem tiltaná az új technológiákkal végrehajtott jogsértéseket.

Az Access Now álláspontja szerint az alapvető jogok a digitális térben ugyanúgy léteznek, mint az úgynevezett való világban.

Fontos tisztázni, hogy pontosan mi az, amit a kémprogramok látnak: ma az okostelefon szinte az emberi elme meghosszabbítása. Ha a kormányok hozzáférnek ehhez, hatalmas mennyiségű, rendkívül érzékeny információhoz jutnak hozzá.

Mennyire megállapítható a jogi felelősség azokban az esetekben, amikor amikor a hatóságok nem közvetlenül kémkednek az emberek után, hanem mások – például internetszolgáltatók vagy közösségimédia-vállalatok – által összegyűjtött adatokat hasznának fel?

A személyes adatoknak mindenképpen erősebb jogi védelmet kellene biztosítani a harmadik fél általi hozzáféréssel szemben. Egy hozzáértő szereplő akár egy IP-címből vagy telefonszámból is rendkívül sok következtetést képes levonni. Ehhez képest sok cég a piacon értékesíti a cookie-k segítségével gyűjtött adatokat, legálisan vagy illegálisan.

Az Egyesült Államokban például a rendőrség adatbrókerektől vásárolhat személyes adatokat, és ezeket felhasználhatja a nyomozások során – a gyakorlatot digitális jogvédő szervezetek alkotmányellenesnek tartanak.

A banki adatok szintén komoly problémát jelentenek, mert vásárlásaink is nagyon sokat elárulnak rólunk. Ez különösen az Egyesült Államokban probléma, ahol az adatvédelem gyengébb, mint az EU-ban. Ugyanakkor – ahogy Magyarország esetében is látható – egyes uniós államok is megsérthetik a GDPR-t azzal, hogy vásárolt reklámadatokat használnak megfigyelésre az érintettek tudta vagy hozzájárulása nélkül.

Hogyan lehetne megakadályozni, hogy a szolgáltatók vagy az állam által gyűjtött adatokat civilek vagy újságírók elleni támadásokra használják?

Világszerte sokkal nagyobb átláthatóságra lenne szükség azzal kapcsolatban, hogyan gyűjtik a személyes adatokat, és kik férhetnek hozzájuk. Szükség lenne olyan nemzeti szintű jogszabályokra, amelyekkel a vállalatok jogszerű adatgyűjtése és -kezelése számonkérhető. Emellett a szolgáltatóknak pontosan kéne tájékoztatniuk a felhasználóikat az adataik kezelősőrél, lehetőséget adva számukra az adatgyűjtés elutasítására.

Jelenleg az adatkezelésről való tájékoztatást a vállalatok letudják egy kipipálható nyilatkozattal – vagy néha még ennyivel sem. Ehelyett a vállalatoknak valódi választási lehetőséget kell biztosítaniuk, nem pedig a választás illúzióját.

A kormányok általi adatgyűjtésre ugyanilyen az adatvédelmi elveket kell alkalmazni.

Az adatgyűjtésnek nemcsak jogszerűnek, hanem szükségesnek és arányosnak is kell lennie.

Szigorú szabályokra van szükség annak meghatározására is, hogy a kormányon belül ki férhet hozzá az összegyűjtött információkhoz. A kormányok már most is óriási mennyiségű adattal rendelkeznek. Az ezekhez való hozzáférést minimálisra kellene csökkenteni és el kellene különíteni. Nincs például ésszerű indok arra, hogy egy ország elnöke bármikor hozzáférhessen egy állampolgár különböző állami szervek által gyűjtött személyes adataihoz.

Ezért ellenezzük az olyan digitális személyazonosító rendszerek bevezetését is, amelyekben minden személyes információt egy helyen tárolnak, hozzáférést biztosítva az állami hatóságoknak.

Szintén rendkívül veszélyes javaslat az, hogy az internetfelhasználóknak kötelezően személyes okmányokat kelljen bemutatniuk, hogy regisztrálhassanak a közösségi médiára vagy más népszerű online szolgáltatásokra. Egy ilyen előírás gyakorlatilag feleslegessé tenné a kémszoftvereket, mert a megfigyelés beépülne be a rendszerbe, véget vetve a magánéletnek, az anonimitásnak. Ez jelentősen megkönnyítve az elnyomást és a jogsértéseket.

Bár a kormányok általában a saját hatalmukat próbálják növelni, az Access Now bizonyos esetekben mégis együtt tudott velük működni a digitális megfigyelés elleni törvények és garanciák kidolgozásában. Mely kormányok bizonyultak a legnyitottabbnak, és mit sikerült velük elérni?

Több irányból közelítjük meg a megfigyelés elleni küzdelmet. Egyrészt segítünk a civil szervezeteknek megvédeni magukat a digitális támadásokkal szemben, és kivizsgáljuk a már megtörtént incidenseket. Másrészt érdekképviseleti munkát végzünk. Nemzeti kormányokkal, az Európai Unióval és az ENSZ-szel dolgozunk együtt, bemutatjuk vizsgálataink eredményeit, és szakpolitikai javaslatokat teszünk a kémszoftverek használatának és értékesítésének korlátozásáért, valamint a vállalatok és kormányok nagyobb elszámoltathatóságáért.

Érdekes módon a legtöbb sikert eddig nem Európában, hanem az Egyesült Államokban értük le. Az előző és a jelenlegi amerikai kormányzat is korlátozásokat és szankciókat vezetett be olyan cégekkel szemben, mint az NSO Group, az Intellexa és a Candiru. Ezek az intézkedések érzékenyen érintik a vállalatokat, mert így kiszorulnak az amerikai piacról.

Az Egyesült Államok számára a kémszoftverek nemzetbiztonsági kérdést is jelentenek.

A Pegasust például külföldön dolgozó amerikai állami tisztviselőket ellen is bevetették, és mivel ezeket az eszközöket külföldi cégek fejlesztik, az általuk gyűjtött információk más kormányok számára is hozzáférhető külföldi szerverekre kerülhetnek.

Európában a kémszoftvereket fejlesztő cégek ellen folyó peres eljárásokat támogatjuk. Itt egyelőre a pereskedés bizonyult a leghatékonyabbnak, ahogy azt a görögországi büntetőeljárások is mutatják.

De reméljük, hogy az európai kormányok is készek szankciókat bevezetni, és maguk is felhagynak ezeknek az eszközöknek a használatával. Jelenleg sajnos több országról tudni, hogy használnak Pegasust, köztük Hollandiáról, Németországról és Belgiumról. A német kormány azt is elismerte, hogy a Pegasus egy kifejezetten nekik fejlesztett változatát használják.

Az Orbán-kormány szintén használta a Pegasus és a Devil’s Tongue kémszoftvereket újságírók és politikai ellenfelek megfigyelésére. Az új magyar kormány azt ígérte, hogy nyilvánosságra hozza a 2010 óta elrendelt politikai indíttatású titkos megfigyelések dokumentumait, ami legalábbis bizonyos szintű hajlandóságot jelez a probléma orvoslására. A külföldi tapasztalatok alapján hogyan lenne lehetséges egy érdemi reform Magyarországon?

Az Access Now már megkezdte a munkát magyar civil partnerekkel, köztük a TASZ-szal, és reméljük, hogy ezt az együttműködést tovább mélyíthetjük.

A lehetséges magyarországi változások szempontjából Lengyelország fontos precedenst jelent. Az új lengyel kormány értesítette azokat, akiket elődje Pegasussal figyelt, egyes megfigyelési gyakorlatokat jogellenesnek nyilvánított, és büntetőeljárásokat is indított. Biztató, hogy hasonló kérdések ma már Magyarországon is a közéleti vita részét képezik.

Ugyanakkor nem elég pusztán a korábbi kormányok jogsértéseit kivizsgálni. Lengyelországban például még nem vezettek be megfelelő garanciákat annak érdekében, hogy a jövőbeli kormányok ne tudjanak visszaélni a kémszoftverekkel. Ehhez az Európai Parlament PEGA-bizottságának ajánlásai hasznos keretet nyújthatnak.

Ha ezeket az ajánlásokat végrehajtják, olyan országok, mint Lengyelország és Magyarország, akár példát is mutathatnak másoknak, köztük Olaszországnak, Spanyolországnak vagy Görögországnak. Reméljük azt is, hogy a korábban támadott civil szervezetek szerepet játszhatnak a jogsértések megakadályozásában, a megfigyeléseket gátló garanciák kidolgozásában.

Zubor Zalán

Címlapkép: Natalia Krapiva/Access Now (Átlátszó-montázs)

Megosztás

Nélküled nincsenek sztorik.

  • Bankkártya
  • Átutalás
  • PayPal
  • 1%
  • Így is támogathatsz

Támogasd a munkánkat bankkártyás fizetéssel! Köszönjük.

5 000 Ft 10 000 Ft 20 000 Ft Egyedi összeg

Támogasd a munkánkat banki átutalással. Az adományokat az Átlátszónet Alapítvány számlájára utalhatod. Az utalás közleményébe írd: „Adomány”, köszönjük!

  • Belföld
  • Külföld

Bankszámlaszám: 12011265-01425189-00100001
Bank neve: Raiffeisen Bank

Számlatulajdonos: Átlátszónet Alapítvány
1084 Budapest, Déri Miksa utca 10.

IBAN (EUR): HU36120112650142518900400002
IBAN (USD): HU36120112650142518900500009
SWIFT: UBRTHUHB

Számlatulajdonos: Átlátszónet Alapítvány
1084 Budapest, Déri Miksa utca 10.
Bank neve és címe: Raiffeisen Bank
(H-1133 Budapest, Váci út 116-118.)

Támogasd a munkánkat az Átlátszónet Alapítványnak küldött PayPal-adománnyal! Köszönjük.

Támogatom PayPal-adománnyal

Ha az 1 százalékodat az Átlátszó céljaira, projektjeire kívánod felajánlani, a személyi jövedelemadó bevallásodban az Átlátszónet Alapítvány adószámát tüntesd fel: 18516641-1-42

1% TÁMOGATÁS
  • ikon ikon

    Viselj Átlátszós pólót!

    Támogasd a munkánkat 10 ezer forint adománnyal, mi pedig megajándékozunk egy pólóval. Katt a részletekért.

  • ikon ikon

    Üvegvisszaváltással

    Támogasd a munkánkat palackvisszaváltással, kattints az üvegvisszaváltós oldalra, mentsd el a kódunkat, és használd azt a Repontoknál!

  • ikon ikon

    Bankkártyával az AdjukÖssze.hu oldalon

    Ha van bankkártyád, akkor pár kattintással gyorsan tudsz rendszeres vagy egyszeri támogatást beállítani nekünk az adjukossze.hu oldalán.

  • ikon ikon

    Postai befizetéssel

    Postai befizetéssel is tudsz minket támogatni, amihez „sárga csekket” küldünk. Add meg a postacímedet, és már repül is a csekk.

  • ikon ikon

    Havi előfizetés a Patreonon

    Néző, Szurkoló, B-közép és VIP-páholy kategóriás Átlátszó-előfizetések között válogathatsz a Patreonon.

  • ikon ikon

    Benevity rendszerén keresztül

    Bárhol is dolgozol a világban, ha a munkáltatód lehetőséget ad arra, hogy adott összeget felajánlj egy nonprofit szervezetnek, akkor ne feledd, a Benevity-n keresztül az Átlátszónet Alapítvány is ajánlható.

  • ikon ikon

    SZJA 1% felajánlásával

    Ha az 1 százalékodat az Átlátszó céljaira, projektjeire kívánod felajánlani, a személyi jövedelemadó bevallásodban az Átlátszónet Alapítvány adószámát tüntesd fel: 18516641-1-42