Začátkem letošního října vyšlo najevo, že minulá polská vláda pomocí systému Pegasus špehovala tamní aktivistku za práva žen Klementynu Suchanow. Nejedná se přitom o ojedinělý případ. Zneužívání spywaru se provalilo také v dalších evropských zemích, včetně Řecka a Španělska. Jako první se k jeho používání přiznalo Maďarsko: „Situace právního státu se zhoršila natolik, že je nemožné domáhat se spravedlnosti ve vlastní zemi,“ říká tamní novinář Szabolcs Panyi, který se stal v minulých letech obětí špionáže. O tom, jestli tajné služby spyware vlastní a jak s ním případně nakládají, se diskutuje také v Česku a na Slovensku.
[infobox heading=“Co je to spyware?"]Jedná se o sledovací program schopný na dálku proniknout do konkrétního elektronického zařízení a odesílat z něj údaje. Tyto aktivity probíhají bez vědomí majitele přístroje. Spyware Pegasus je zvláště sofistikovaný software z dílny soukromé izraelské kybernetické společnosti NSO Group. Bez povšimnutí napadá elektronická zařízení operující na systémech Android a iOS, může sledovat telefonní hovory, zprávy i obsah aplikací, monitorovat polohu uživatele přístroje a jeho činnost na internetu. Mimoto spyware dokáže i nahrávat a natáčet, jelikož umí v napadeném zařízení spustit diktafon a kameru. Jeho výrobce tvrdí, že si Pegasus mohou zakoupit pouze vlády a používají jej výhradně zpravodajské a bezpečnostní orgány v boji proti terorismu a organizovanému zločinu. Jak se však ukazuje na případech některých evropských zemí, včetně sousedního Maďarska a Polska, spyware Pegasus je užitečný nástroj také v boji proti politickým oponentům, nepohodlným aktivistům a novinářům.[/infobox]
Polské aktivistky v hledáčku vlády
Polská média v uplynulých týdnech informovala o tom, že předcházející vláda vedená stranou PiS (Právo a spravedlnost) nasadila špionážní program proti polské aktivistce Klementyně Suchanow. Ta je od roku 2016 jednou z čelných postav Celopolské stávky žen (Ogólnopolski Strajk Kobiet) neboli občanského hnutí usilujícího o obnovení reprodukčních práv polských žen. „Když v roce 2020 probíhaly protivládní protesty, nejdůležitější občanské dění v zemi, byla jsem jednou z jejich tváří. Jakmile jsem se tedy dozvěděla, že se v Polsku používal Pegasus, hned mě napadlo, že jsem se i já stala obětí špionáže. Tím spíše, když jsem věděla, že to všechno probíhalo protizákonně,“ vzpomíná Suchanow v rozhovoru pro investigaci.cz. Ze zjištění média TVN24 rovněž vyplývá, že Pegasus mohl být nasazen i proti zakladatelce hnutí Martě Lempart.Sledování a odposlechy jsou v Polsku v odůvodněných případech legální, a to s ohledem na policejní zákon z roku 2016. Ten vymezuje podmínky, za jakých může policie využít „prostředky tajné kontroly“, umožňující „získávání a zaznamenávání údajů obsažených v počítačových paměťových médiích, telekomunikačních koncových zařízeních a informačních a datových komunikačních systémech“. A to je definice, do které spadá i spyware.
Letos v dubnu navíc polský ministr spravedlnosti a generální prokurátor Adam Bodnar informoval senát o počtu osob, u nichž oprávněné orgány požádaly o zahájení adekvátní kontroly. Z dokumentu mimo jiné vyplývá, že tři nejmenované služby uplatnily v letech 2017 až 2022 „provozní kontrolu koncových zařízení“ celkem u 578 osob. Zpráva sice Pegasus přímo nezmiňuje, že se však jednalo právě o tento software, potvrdili mluvčí generálního prokurátora Anna Adamiak i ministr vnitra Tomasz Siemoniak. Posledně jmenovaný připustil, že ačkoli bylo v některých případech použití spywaru oprávněné, v mnoha jiných se jednalo o zneužití státní moci. V rozhovoru pro polskou TVN24 ministr rovněž potvrdil, že NSO Group odebrala polské vládě licenci Pegasus kvůli jejímu neoprávněnému použití: „Pokušení politiků využít spyware proti nepohodlným politikům, právníkům, soudcům a státním zástupcům bylo příliš velké,“ uvedl Siemoniak.
V reakci na tato odhalení nařídil Sejm (dolní komora polského parlamentu) zřízení Vyšetřovacího výboru pro program Pegasus (SKPG). Ten se zabývá přezkoumáváním zákonnosti a odůvodněnosti využití programu Pegasus a dalších špionážních programů mezi lety 2015 až 2023 státní prokuraturou, radou ministrů, tajnými službami a dalšími státními orgány. V tomto období byla u moci právě konzervativně-populistická strana PiS.
Lídryně Strajku – Suchanow, Lempart a Agnieszka Czerederecka – se již v minulosti dostaly do hledáčku polských soudů. Na základě pokynu tehdejšího nejvyššího státního zástupce Bogdana Święczkowského se jimi zabývala státní prokuratura. Ta je v roce 2021 obvinila z trestného činu ohrožení života a zdraví kvůli organizování veřejných protestů a pochodů během pandemie COVID-19, za což jim hrozil trest odnětí svobody až na osm let. Okresní soud ve Varšavě citované aktivistky obvinění zprostil teprve 3. října letošního roku s tím, že epidemiologická ohrožení naopak způsobila policie, jež účastníky protestů shlukovala a nedovolovala jejich rozchod.
O rok dříve, než byla na Klementynu Suchanow podána žaloba, poslal tehdejší ministr spravedlnosti a generální prokurátor Zbigniew Ziobro (PiS) Święczkowskému dopis, v němž údajně žádal, aby byla aktivistka podrobena zvláštní kontrole. „Důvodem ke sledování mělo být mimo jiné podezření z vlastizrady a také z toho, že vedu špionážní činnost pro cizí rozvědky. Soud však nevěděl, s čím vlastně souhlasí, protože v žádosti nebyl uveden název sledovací techniky,“ popsala celou záležitost Suchanow a redakci investigace.cz umožnila nahlédnout do dokumentu vydaného Okresní prokuraturou ve Varšavě. Z textu vyplývá, že státní zástupce Święczkowski odkazuje v dopise ze dne 27. října 2020 na provedení pokynu ministra Ziobry.
Jméno Święczkowského figuruje také v další polské kauze, kdy byl údajně zneužit jiný špehovací program. Podle zjištění Gazety Wyborczej zakoupila na jaře roku 2021 polská prokuratura „specializovaný analytický program“ Hermes. Licence programu měla prokuraturu přijít na 15 milionů zlotých, tedy zhruba 85 milionů korun. Software měl být používán ke sledování nepohodlných politiků, soudců a státních zástupců a zaměstnanců. Tuto informaci obdržela Wyborcza od informátora z prokuratury a následně ji ověřila z několika na sobě nezávislých zdrojů. „Za mého působení ve funkci nejvyššího státního prokurátora nebyl zakoupen žádný špionážní software,“ popřel sdělení novinářů Święczkowski. Přestože není známo přesné datum, kdy polská vláda zakoupila přinejmenším spyware Pegasus, v období, kdy Święczkowský působil ve funkci, byl Pegasus prokazatelně používán.
Případem Suchanow, který původně odhalil informátor z tajných služeb, se momentálně zabývá soud. Ten by měl stanovit, v jakém období a rozsahu byla aktivistka sledována. „To, že se to týká mě, je jedna věc. Jsem dospělá a vědomě jsem takové riziko přijala. Nejvíc mě ale trápí skutečnost, že v době, kdy byl v Polsku používán Pegasus, se mnou bydlela i moje neplnoletá dcera. Všechno, co v tu dobu říkala a dělala, mohlo být odposloucháváno a natáčeno,“ dodává Suchanow. Nejnovější posun v její kauze nastal 23. října letošního roku, kdy se dostavila k přelíčení u státní prokuratury. Ta jí kvůli režimu utajení odmítla poskytnout podrobnosti, ale definitivně potvrdila, že byla sledována pomocí programu Pegasus, a přiznala jí status poškozené osoby.
Fico použití programu Pegasus popírá
„Vím o tom, že slovenská vláda používá spyware vůči novinářům a opozičním politikům,“ řekl investigaci.cz člen parlamentního výboru pro obranu a bezpečnost a pro kontrolu Vojenského zpravodajství Juraj Krúpa. O tom, že by se mohl špionážní software Pegasus vyskytovat i na Slovensku, informoval už v září tohoto roku Denník N. Podle zjištění slovenských novinářů by měla spywarem disponovat Slovenská informačná služba (SIS). Tvrzení uveřejněná v článku však zástupci vlády, včetně ministra obrany Roberta Kaliňáka, ministra vnitra Matúša Šutaja Eštoka a premiéra Roberta Fica, jednomyslně popřeli. „Žádný Pegasus. Naopak, v případě tohoto ‚červíka‘ musíme přijmout zákon, který jeho výskytu zabrání, protože by to byl opravdu zásah do soukromí, kdyby takový systém existoval,“ nechal se slyšet premiér.Fico ve své výpovědi zmiňuje pouze špionážní program Pegasus. Krúpa však tvrdí, že by slovenská vláda mohla používat jiný systém fungující na podobném principu: „Jedná se o něco novějšího než standardní Pegasus. SIS tím programem komplexně nedisponuje, využívají jen systém, skrze který si zadávají žádosti na zpracování údajů z koncových zařízení požadovaných osob,“ uvedl poslanec. SIS dostala ze státní kasy na příští rok navýšený rozpočet, z 84 milionů si přilepší na téměř 95 milionů eur – tedy přes 250 milionů korun. Zda navýšení souvisí i se špionážními softwary ovšem není jasné. Důvodová zpráva k rozpočtu totiž opodstatnění vyšších financí neuvádí.
Slovenská legislativa využití špionážních programů přímo neupravuje. Jediný možný právní rámec proto představuje zákon o použití informačně-technických prostředků. Ty může v odůvodněných případech používat celkem pět orgánů, kromě SIS jsou to Policejní sbor, Vojenské zpravodajství, Sbor vězeňské a justiční stráže a Celní správa. Nasazení takového systému se děje na základě žádostí dané instituce, kterou musí vždy schválit soudce. „Neexistují však žádné kontrolní mechanismy, jež by to používání monitorovaly. Navíc se na Slovensku momentálně ubíráme od demokracie k neliberálnímu, autoritářskému systému. Hrozí tudíž zneužívání státní moci, včetně prostředků, jako je spyware, ve vlastní prospěch politiků,“ varuje Krúpa.
Spyware v rukou maďarských tajných služeb
Na zneužívání spywaru Pegasus v Maďarsku poprvé upozornil tamní investigativní web Direkt36 v rámci mezinárodního Pegasus Project, jehož součástí byla také investigace.cz. Na seznamu telefonních čísel napadených spywarem Pegasus, jejž měli členové projektu k dispozici, jich bylo přes 350 maďarských. Jedno z nich patřilo i investigativnímu novináři Szabolcsi Panyimu: „Byl jsem sledován mezi dubnem a listopadem roku 2019. Později jsem se stal členem Projektu Pegasus, takže na přemýšlení o vlastní situaci jsem neměl moc času, protože jsem se okamžitě vrhl na vyšetřování případů jiných lidí,“ vzpomíná novinář.Panyi a další maďarští mediální pracovníci se o tom, že byli sledování, dozvěděli poté, co jejich telefony analyzovali technici z Amnesty International a Citizen Lab. Podobné kontrole podrobila svůj telefon také polská aktivistka Suchanow, avšak neúspěšně, protože její telefon používá systém Android. Zařízení se systémem Android je obecně obtížnější forenzně zkoumat.
Vláda v čele s premiérem Viktorem Orbánem zprvu veškerá nařčení z aplikace spyware Pegasus odmítala. K jeho používání se politici přiznali až v listopadu roku 2021. Jako první tuto informaci zveřejnil zákonodárce Lajos Kosa, jenž špehování maďarských občanů pomocí spywaru podle svých slov nepovažuje za problematické. Tento politik z národně-konzervativní strany a předseda parlamentního výboru pro obranu a prosazování práva navíc prohlásil, že „velké technologické společnosti provádějí mnohem širší sledování občanů než maďarský stát“. O používání spywaru následně promluvil také ministr vnitra Sándor Pintér s tím, že se podle něj jedná o zcela standardní postup, kdy využití takového nástroje musí bezpodmínečně autorizovat ministerstvo či příslušný soud.
V Maďarsku je totiž za uděleným povolením sledovat konkrétní subjekt v rámci trestního vyšetřování skutečně zodpovědný soud. Podobně jako jejich polští kolegové však ani maďarští soudci nevědí, jaká technika bude ve výsledku použita. A pokud se jedná o případy související s terorismem, podle zákona o národní bezpečnosti uděluje povolení ministr spravedlnosti. V praxi však mezery v zákoně umožňují Zvláštním službám pro národní bezpečnost (SNSS) udělovat dočasná povolení ke sledování, a to bez souhlasu ministra.
Szabolcs Panyi se podle svých slov momentálně snaží spolu s dalšími oběťmi špionáže podniknout právní kroky v členských státech EU a v Izraeli, zatím však bez většího úspěchu. „Situace maďarského právního státu se již zhoršila do té míry, že je pro nás nemožné domáhat se spravedlnosti ve vlastní zemi. Spyware Pegasus tady byl velkým skandálem zhruba několik týdnů, pak ale celá záležitost utichla. Popularita vlády tím neutrpěla a obecně mám pocit, že o tyto případy je mnohem větší zájem v zahraničí než v samotném Maďarsku,“ uzavírá novinář.
A co na to Češi?
Podobně jako v dalších zemích Visegrádské čtyřky, ani v Česku není pojem spyware výslovně zakotven v zákoně. Náš legislativní rámec reguluje pouze odposlech, který může policie a celní správa použít v trestním řízení vůči stíhaným osobám. Zákon rovněž definuje tzv. zpravodajské techniky, jež zasahují do základních práv a svobod dané osoby a fungují v režimu utajení. Povolení k použití takové techniky mohou získat Bezpečnostní informační služby (BIS) a Vojenské zpravodajství od předsedy senátu vrchního soudu. Žádost musí obsahovat konkrétní popis druhu techniky, která bude k odposlechu či sledování využita.Zda se spyware v Česku skutečně používá, se snažila zjistit redakce iROZHLAS.cz. S dotazem se obrátila mimo jiné i na Vrchní soud v Praze a na Městské státní zastupitelství v Praze, jasnou odpověď ale obě instituce odmítly poskytnout. Redakci iROZHLAS.cz se však podařilo získat protokol o kontrole vydaný Úřadem pro ochranu osobních údajů. Z něj vyplývá, že Útvar zvláštních činností policie používal systém s krycím názvem GALILEO, a to v souladu s trestním řádem. Mělo se jednat o vyjímečný prostředek, specifiku systému ani jeho výrobce však nelze na základě částečně začerněného dokumentu určit.
Monitoringem činnosti tajných služeb a potažmo také využitím zpravodajských technik se má zabývat nově vzniklý Orgán nezávislé kontroly zpravodajských služeb České republiky. Vznik této komise ustanovila zákonná novela z roku 2017, obsadit se ji však podařilo teprve v červnu letošního roku. Předsedkyní se stala bývalá ústavní soudkyně Ivana Janů. Redakce investigace.cz se opakovaně snažila pětičlennou komisi kontaktovat s otázkami ohledně využívání spywaru českými tajnými službami, avšak bez úspěchu.
Regulace selhává v ochraně novinářů
Jako první na zneužití spywaru upozornil v roce 2021 Projekt Pegasus. Mezinárodní tým novinářů, výzkumníků a nevládních organizací tehdy zveřejnil odhalení o protizákonném používání stejnojmenného špionážního programu v evropských zemích. V červenci téhož roku publikovali členové Projektu Pegasus články sepsané na základě přístupu k databázi přibližně 50 000 telefonních čísel identifikovaných jako cíle špionážního softwaru od výrobce NSO Group. Případem se měla dále zabývat PEGA, vyšetřovací výbor Evropského parlamentu. Z výsledků šetření, jež komise zveřejnila v květnu roku 2022, vyplývá, že většina členských států EU spyware v nějaké podobě zakoupila. V některých případech byl tento nástroj posléze využíván ke sledování politických oponentů a kritiků vlády.Evropská komise dále vydala Evropský akt o svobodě sdělovacích prostředků (EMFA), jenž vešel v platnost v červnu letošního roku. Nový soubor pravidel má sloužit k ochraně novinářů a jejich zdrojů a podporovat nezávislost médií, nadto pojednává o škodlivosti takzvaného intruzivního sledovacího softwaru. Tím se rozumí „jakýkoli produkt s digitálními prvky účelově navržený tak, aby (…) umožňoval skryté sledování fyzických nebo právnických osob prostřednictvím monitorování, získávání, shromažďování nebo analyzování údajů“. I přes snahu o regulaci podobných nástrojů však EMFA obsahuje hned několik výjimek, kdy je použití takového softwaru možné z důvodů veřejného zájmu či je v souladu s vnitrostátním právem. Jedná se například o případy sledování osob podezřelých z trestné činnosti, za niž pachateli hrozí nejméně tříletý trest odnětí svobody. V praxi se tak legitimita uplatnění spywaru může v jednotlivých členských státech lišit podle místních zákonů.
Nejnovějším krokem v regulaci špionážních softwarů je doporučení Komise z 11. října letošního roku. To však nevymezuje jejich použití, ale pouze podmínky, za kterých mohou společnosti sídlící na území členských států takový spyware exportovat.
Autorka textu: Adéla Gajdicová
