European Data Protection Supervisor är orolig för missbruk av modern spionprogramvara

Författare:

|

Datum:

|

European Data Protection Supervisor (EDPS) vars uppgift är att agera som rådgivare till EU-politiker om hur de bör reglera teknik som påverkar integriteten, är oroad över den senaste generationen statliga spionprogram. I ett PM som publicerades den 15 februari 2022 gör EDPS några preliminära iakttagelser om spionprogrammet Pegasus.

Pegasus är ett hackerverktyg av militär standard avsett att användas av brottsbekämpande myndigheter men som enligt uppgift också missbrukats för att spionera på journalister, politiska rivaler och advokater. Enligt andra källor har även vissa länders statschefer olovligen avlyssnats.

Enligt EDPS ska PM:et ses som myndighetens bidrag till en pågående offentlig diskussion om huruvida en programvara som Pegasus kan accepteras i ett demokratiskt samhälle.

Vad är Pegasus?

EDPS PM, hänvisar till en artikel i the Guardian från juli 2021 som avslöjade att Pegasus (en programvara som utvecklats av företaget NSO-group med säte i Israel) är ett hackningsverktyg som kan göra mer än att bara avlyssna en telefon. Angriparen får fullständig kontroll över telefonen. Denne kan slå på sensorer som GPS, kameror och mikrofoner men kan även utföra åtgärder som att skicka meddelanden.

Enligt EDPS är Pegasus för kraftfullt jämfört med traditionella brottsbekämpningsverktyg. Annorlunda uttryckt: Om polisen endast får läsa information / avlyssna och använder verktyg med starkare funktioner som låter polisen överskrida sina juridiska befogenheter blir övervakningen för långtgående, olaglig och kränker mänskliga rättigheter. Programmet kan nämligen också missbrukas, angriparen kan även kapa den avlyssnades identitet menar EDPS.

Programvaror som Pegasus, bygger på avancerad skadlig kod. I detta fall är det en trojan som gör intrång i telefonen genom att runda dess säkerhetsskydd. Telefonen kan infekteras i hemlighet utan att användaren behöver göra någonting. De företag som står bakom denna typ av programvara har ekonomiska resurser för att anställa mycket duktiga programmerare som kan hitta sårbarheter som kan utnyttjas. Inte ens teknikjättar som Google och Apple kan hålla jämna steg med dem, så angriparen har hackningsmöjligheter i nivå med ledande underrättelsetjänster.

Oro kring Pegasus-liknande programvara

EDPS hänvisar vidare till medierapporter om att myndigheter i vissa EU-länder använt spionprogramvaran Pegasus för att hacka telefoner som tillhör journalister, politiker från oppositionen och advokater. EDPS anser att användningen av denna teknik innebär ett paradigmskifte inom elektronisk övervakning. EDPS anser att en programvara som Pegasus medför en hittills oöverträffad risk för skada på grundläggande mänskliga rättigheter, det demokratiska systemet och rättsstaten.

EDPS ifrågasätter också om användningen av Pegasus-liknande programvara är förenlig med EU-lagar och den europeiska rättsordningens grundprinciper. EDPS frågar sig därför också i vilken utsträckning bevis som samlats in med hjälp av programvaran, kan användas som bevis i domstol.

NSO-group tillbakavisar anklagelser

NSO-group anger i ett uttalande på sin hemsida från den 18e juli 2021 att de endast säljer sina produkter till brottsbekämpande myndigheter och underrättelsetjänster i länder som godkänts genom en tuff granskningsprocess. Enligt NSO-group får deras programvara bara användas för att fånga grova brottslingar som terrorister, knarkkarteller med mera och för att rädda människor i nöd. Programvaran körs på kundens egen utrustning och NSO-group uppger att de inte har tillgång till kundens data. Den 21 juli 2021 uppgav NSO-group att de inte längre kommer svara på medieförfrågningar, eftersom företaget menar att mediernas rapportering inte byggt på fakta.

The Times of Israel rapporterade i december 2021 att den israeliska regeringen, skärpte exportrestriktionerna för spionprogram. I artikeln intervjuas dock en advokat som jobbar med mänskliga rättigheter, denne dömer ut de nya åtgärderna som verkningslösa.  

EU och USA oroliga medan Ungerns dataskyddsmyndighet godkänner övervakning med Pegasus

Förra veckan rapporterade EU-observer att Europaparlamentet väntas inleda en officiell utredning om hur Pegasus har använts av EU:s regeringar för att övervaka journalister, advokater och politiker ur oppositionen. En sådan utredning kan kalla in vittnen och till och med skicka personer på utredningsuppdrag i medlemsstaterna. Den 15 februari 2022 hade parlamentet också en sittning i frågan.

Vidare rapporterar engelskspråkiga Hungary Today att den ungerska dataskyddsmyndigheten NAIH har utrett medieuppgifter rörande den ungerska regeringens övervakning av journalister, offentliga tjänstepersoner och den politiska oppositionen. Den 55-sidiga utredningen, liksom de juridiska motiveringarna till att NAIH ansåg att övervakningen i samtliga fall som utreddes var laglig, är dock hemlig till år 2050. Det verkar utifrån artikeln finnas tveksamheter om Europaparlamentet kommer få tillgång till det material som NAIH har.

Enligt Tech Crunch satte den amerikanska regeringen i november 2021 upp företaget NSO-group som har sitt säte i Israel på en lista med exportrestriktioner för amerikanska företag. Detta på grund av att programvaran även sålts till ”auktoritära regeringar”. Det finns också medieuppgifter om att vissa stater använt Pegasus för att avlyssna andra länders regeringschefer, däribland Frankrikes president men även Finska diplomater.

EDPS presenterar i PM:et en rad åtgärder, som bland annat innebär ett EU-förbud mot Pegasus-liknande programvara, import- och exportrestriktioner, effektivare kontroll av övervakningsåtgärder samt minimiregler för brottsutredningar på EU-nivå som gör det olagligt att samla in och använda bevis som erhållits med hjälp av liknande spionprogramvara. Avslutningsvis hävdar EDPS att de har en plikt att stödja civilsamhällets organisationer att lyfta dessa frågor. Det är enligt EDPS, tack vare civilsamhället, som missbruket av övervakningsverktyg mot politiker, journalister och människorättsaktivister ens kunnat avslöjas och ställas under demokratisk kontroll.

Läs mer

Europeiska datatillsynsmannens hemsidaArtikel i the Guardian från juli 2021

Artikel i the Guardian från juli 2021

NSO-groups uttalande den 18 juli 2021 där de tillbakavisar flera medieuppgifter om Pegasus

NSO-groups uttalden den 21 juli 2021 om att de inte längre kommer svara på medieförfrågningar.

Artikel i the Times of Israel den 6 december 2021

Artikel i the EU-observer från 9 feb 2022 om att EU-parlamentets planer att tillsätta en utredning

Videoinspelning av EU-parlamentets sittning den 15 feb 2022

Artikel i Hungary Today från 15 feb 2022

Artikel i Tech Crunch den 3 nov 2021 om att USA regering satt tillverkaren av Pegasus, NSO-group på en lista över företag som omfattas av exportrestriktion

Artikel i Washington Post från 20 juli 2021 om att Frankrikes president och 13 andra statsöverhuvuden avlyssnats

Pressmeddelande från Finlands utrikesdepartement den 28 januari 2022 om utrett spionage med Pegasus