Čtení jak ze špionážních románů mají dnes na stole evropští poslanci. Na plenárním zasedání ve Štrasburku budou jednat o zprávě týkající se využívání i zneužívání špionážního softwaru Pegasus některými evropskými vládami. Na zprávě pracoval speciální vyšetřovací výbor Evropského parlamentu zhruba 15 měsíců – a nabízí zajímavé čtivo.

Systém Pegasus, který umožňuje vzdálené skryté sledování a odposlech chytrých telefonů, vyvinula izraelská technologická firma NSO Group Technologies. Spyware v telefonu umí například získávat obrazové záznamy z telefonu i nahrávat zvuk, samozřejmostí je čtení odeslaných zpráv, zjištění lokace i toho, s kým dalším se majitel zrovna potkal.

Podle zprávy vyšetřovacího výboru má systém k dispozici 75 zemí světa, z toho 14 členských států Evropské unie.

Primárně měl a má sice systém sloužit k boji proti organizovanému zločinu a terorismu, oblíbily si jej však i autoritativní režimy. Systém měl sledovat například i saúdského novináře a spolupracovníka deníku Washington Post Džamála Chášukdžího, který byl v říjnu 2018 zavražděn na saúdském generálním konzulátu v Istanbulu.

„Zjištění vyšetřování jsou šokující a měla by znepokojit každého evropského občana. Je zřejmé, že obchod se špionážním softwarem a jeho používání by měly být přísně regulovány.“

Kontrolovat, regulovat nebo zakázat

Před dvěma lety konsorcium zahraničních investigativních novinářů přineslo informace o zneužívání systému proti aktivistům, kritickým novinářům, právníkům, či opozičním politikům. Celosvětově mělo jít až o padesát tisíc lidí. A to včetně občanů Evropské unie – konkrétně v Maďarsku a v Polsku.

Právě to stálo na počátku rozhodnutí založit při Evropském parlamentu vyšetřovací výbor (PEGA).

„Zneužívání spywaru Pegasus neporušuje jen právo na soukromí jednotlivců. Skrytě podkopává demokracii a demokratické instituce, umlčuje opozici a kritiky, vylučuje kontrolu a ohrožuje svobodný tisk a občanskou společnost a slouží i k manipulaci voleb,“ konstatuje mimo jiné zpráva.

Diskutovat o ní bude plénum Evropského parlamentu ve Štrasburku právě dnes.

Výsledkem má být série doporučení Evropské komisi. „Doporučení proti používání špionážního softwaru volají po ukončení jejich používání národními vládami do konce tohoto roku,“ shrnuje za europoslance české Pirátské strany mluvčí Tomáš Polák. Členem vyšetřovacího výboru byl i pirátský europoslanec Marcel Kolaja.

Jedním z návrhů je například to, aby členské státy pravidelně o využití špionážních softwarů informovaly Evropskou komisi, tak, „aby bylo možné porovnat používání špionážního softwaru v členských státech“.

Některé pozměňovací návrhy však chtějí prosadit „celounijní zákaz vývoje, prodeje, nákupu, převodu, servisu a používání špionážních softwarů, jako je Pegasus“.

„Vysvětlení úřadů odvolávajících se na národní bezpečnost bylo velmi nepřesvědčivé. Pádné důkazy naznačují, že lidé byli špehováni s cílem získat ještě větší politickou a finanční kontrolu nad veřejnou sférou a mediálním trhem.“

„Některé vlády sledovaly občany EU pomocí výkonného a vysoce invazivního a rušivého špionážního softwaru a zneužily tak svého práva provádět taková sledování v případech ohrožení národní bezpečnosti. Vnímáme to jako ohrožení demokracie, právního státu a základních lidských práv. EU má jen málo pravomocí, aby mohla proti těmto hrozbám zasáhnout, a to i v případě, že se to týká samotné EU,“ stojí mimo jiné ve zprávě vyšetřovacího výboru PEGA.

Použití spywaru se totiž týkalo i pracovníků Evropské komise i nejméně jednoho eurokomisaře. V dubnu 2022 agentura Reuters napsala, že komisař pro spravedlnost Didier Reynders a nejméně čtyři zaměstnanci Evropské komise byli v listopadu 2021 cílem softwaru Pegasus.

Už v listopadu 2021 zaslala společnost Apple na zařízení komisaře Reynderse a „dalších zaměstnanců EK“ oficiální oznámení, v němž je informovala, že se stali „cílem státem sponzorovaných útočníků“ a že jejich zařízení mohla být napadena.

To, že produktu jako je Pegasus je lépe v utajení, nasvědčují problémy, do nichž se následně společnost NSO dostala. Ještě v roce 2020 měla údajně příjmy ve výši 243 milionů dolarů. Poté, co vyšly informace o fungování spyware najevo, firmu žalovaly společnosti Apple a Meta. NSO se dostala i na černou listinu amerického ministerstva obchodu a zpřísnil se izraelský vývozní režim tohoto produktu – to vše (jak také upozorňuje zpráva) vedlo k značnému poklesu zisku NSO.

Pegasus je nicméně vládám a jejich bezpečnostním složkám nadále k dispozici.

Špehování novinářů, právníků i politiků

Zpráva vyšetřovacího výboru přiznává, že s ní vlády jednotlivých zemí v podstatě nespolupracovaly: „Národní bezpečnost zůstává ve výlučné pravomoci členských států. Ale jejich činnost musí být stále v souladu se základními právy a demokratickými normami zakotvenými v právu EU.“

Neochotu dělit se o informace tohoto typu ilustrují europoslanci na příkladu Polska: „Zástupci ministerstev se s delegací výboru odmítli setkat. V odpovědi na dotazník, který PEGA rozeslala 15. července 2022, polské orgány neodpověděly na všechny otázky a trvaly na tom, že stávající předpisy jsou dostatečné a že postupují striktně v rámci zákona. Ministr vnitra Mariusz Kaminski rovněž odmítl pozvání PEGA k diskusi.“

Zneužívání špionážního softwaru proti občanům v Polsku zpráva ilustruje na sledování lidí spojených nějakým způsobem s organizací a průběhem voleb. Cílem byl například senátor Krzysztof Brejza (vedoucí volební kampaně největší opoziční strany), Roman Giertych (právník lídra opozice a bývalého předsedy Evropské rady Donalda Tuska), Ewa Wrzosek (prokurátorka vyšetřující korespondenční hlasování v prezidentských volbách), Nejvyšší kontrolní úřad (NIK) a Michael Kolodziejczak (zakladatel agrární politické strany).

Maďarsko bylo jednou z prvních zemí, kde se na zneužívání špionážního softwaru přišlo. Podle Amnesty International se to mělo týkat zhruba tří stovek lidí, zejména politických aktivistů, investigativních novinářů, právníků, ale i podnikatelů, opozičního politika a bývalého ministra.

„V únoru 2023 navštívila delegace výboru PEGA Maďarsko. Dospěla k závěru, že vše nasvědčuje tomu, že v Maďarsku dochází k hrubému zneužívání spywaru. Vysvětlení úřadů odvolávajících se na národní bezpečnost bylo označeno za velmi nepřesvědčivé. Pádné důkazy naznačují, že lidé byli špehováni s cílem získat ještě větší politickou a finanční kontrolu nad veřejnou sférou a mediálním trhem,“ konstatuje zpráva.

Mezi zeměmi EU, které Pegasus získaly, jsou například Německo, Nizozemí, Řecko, Francie a Malta. Ani vlády těchto zemí ale nebyly – s ohledem na to, že jde o záležitosti národní bezpečnosti – k poslaneckému výboru příliš sdílné. Příkladem je Španělsko, které se mělo zaměřovat zejména na stoupence katalánské nezávislosti. „Španělská vláda dosud poskytla jen omezené informace – s odvoláním na nutnost zachování důvěrnosti z důvodů národní bezpečnosti a z právních důvodů,“ podotýká zpráva.

Vyšetřovací výbor zdůrazňuje, že v době, kdy na EU a evropské hodnoty útočí vnější agresor, konkrétně Rusko, je zásadní nepodrývat demokratický právní stát útoky zevnitř.

Útoky na demokracii – zevnitř

Žádná zmínka o České republice se ve zprávě v souvislosti se systémem Pegasus nevyskytuje. A to přesto, že existují náznaky, že i české zpravodajské služby tento spyware k dispozici mají.

Zajímavé jsou ale i země, které Pegasus sice chtěly, ale nakonec jej nezískaly. Zájem o něj údajně projevilo Estonsko. První jednání s NSO Group proběhla v roce 2018, po nichž Estonsko uhradilo zálohu ve výši 30 milionů dolarů.

„O rok později však Rusko informovalo Izrael o záměru Estonska používat špionážní software Pegasus na ruských telefonních číslech. Tato informace vedla izraelské ministerstvo obrany k tomu, že zablokovalo Estonsku možnost špehovat jakákoli ruská zařízení po celém světě s tím, že by tato dohoda poškodila izraelsko-ruské vztahy,“ popisuje dění zpráva a konstatuje, že tento přístup „lze brát jako důkaz, že spyware Pegasus není jen sledovacím nástrojem, ale slouží i jako politická měna v diplomatických vztazích“.

Samotný výrobce i stát Izrael k problematice podle vyšetřovacího výboru přistoupili poměrně otevřeně: „Výbor PEGA navštívil Izrael v červenci 2022. Hlavním cílem cesty bylo setkání s výrobcem špionážního softwaru Pegasus, izraelskou společností NSO Group. Delegace PEGA se dozvěděla, že společnost NSO Group prodala spyware vládám 14 zemí EU, přičemž využila vývozní licence vydané izraelskou vládou.“

Vyšetřovací výbor ve své zprávě zdůrazňuje, že v době, kdy na EU a evropské hodnoty útočí vnější agresor, konkrétně Rusko, je zásadní, aby členské státy nepodrývaly demokratický právní stát útoky zevnitř: „Zjištění vyšetřování jsou šokující a měla by znepokojit každého evropského občana. Je zřejmé, že obchod se špionážním softwarem a jeho používání by měly být přísně regulovány,“ konstatuje zpráva s tím, že výbor PEGA v tomto smyslu vydá řadu doporučení.

„Stejně tak by měly vzniknout iniciativy pro institucionální a politické reformy, které by EU umožnily tato pravidla a normy skutečně prosazovat a dodržovat, a to i v případech, kdy je členské státy samy porušují,“ dodává zpráva.