Wielokrotnie przez nas opisywany system Pegasus nie ma ostatnio dobrej prasy. Sprawa zaawansowanego oprogramowania do śledzenia osób nie schodzi z paneli dyskusyjnych organizacji międzynarodowych i pozarządowych. Teraz okazuje się, że Departament Handlu USA umieścił Pegasusa na czarnej liście.
W praktyce na cenzurowanym amerykańskiego ministerstwa jest cała firma NSO Group – izraelski producent oprogramowania szpiegowskiego. Przedsiębiorstwo prowadzone przez byłych agentów wywiadu i specjalistów od cyberbezpieczeństwa wylądowało na czarnej liście z kilku powodów.
Co w praktyce oznacza umieszczenie Pegasusa na czarnej liście w USA?
Przede wszystkim NSO Group ma znaczne ograniczenia w handlu na terenie Stanów Zjednoczonych. Wpisanie na Entity List oznacza wymóg uzyskania licencji na eksport/transfer wielu technologii i komponentów z USA do tej firmy, co zwykle utrudnia działalność i współpracę z partnerami korzystającymi z amerykańskich rozwiązań. Dużo bardziej bolesny jest utrudniony dostęp do komponentów produkowanych w USA czy patentów technologicznych ze Stanów Zjednoczonych.
Każde wykorzystanie takiego „amerykańskiego dobra” wymaga od NSO Group zezwolenia Departamentu Handlu USA na eksport. Bardzo wydłuża to procedurę produkcyjną i z pewnością wpłynie na realizację kolejnych projektów izraelskiego giganta.
W kolejnych latach wpisanie NSO Group na amerykańską „Entity List” miało realne konsekwencje finansowe. Firma zaczęła mierzyć się z problemami z płynnością, trudnościami w pozyskiwaniu inwestorów oraz rosnącą presją międzynarodową. W 2023 i 2024 roku pojawiały się doniesienia o próbach restrukturyzacji przedsiębiorstwa, a także sprzedaży części aktywów. Choć Pegasus nie zniknął z rynku, jego pozycja znacząco osłabła.
Amerykański rząd nie ma litości dla izraelskiej firmy (unsplash.com)
Dlaczego amerykański U.S. Department of Commerce dodał NSO Group (producenta Pegasus) do tzw. Entity List?
Głównym zarzutem w stronę NSO Group jest kompletnie nieprzejrzysta i mało transparentna droga prowadzenia działalności gospodarczej, a przede wszystkim – negocjacji. Organizacje międzynarodowe na czele z ONZ oraz rządy poszczególnych krajów mają ogromne wątpliwości dotyczące tego, komu sprzedawany jest ten rozbudowany trojan.
W oficjalnym uzasadnieniu opublikowanym przez Departament Handlu USA możemy przeczytać, że Pegasus istotnie „zagraża bezpieczeństwu handlowemu i narodowemu Stanów Zjednoczonych Ameryki”. USA wskazywały, że spyware był dostarczany rządom, które miały go używać do złośliwego targetowania m.in. dziennikarzy, aktywistów i urzędników oraz do transnarodowych represji. Pegasus miał trafić do Korei Północnej, krajów bliskowschodnich lub międzynarodowych organizacji terrorystycznych takich jak Państwo Islamskie, Al-Kaida czy talibowie.
Potwierdzone są już przypadki podsłuchiwania osób działających na rzecz praw człowieka w krajach islamskich. Na ślady podsłuchiwania trafili także dziennikarze rozpracowujący reżimy i dyktatury na świecie. Wśród podsłuchiwanych może być m.in. prezydent Francji Emmanuel Macron naukowcy brytyjscy czy opozycjoniści w Birmie. Według ONZ, a teraz również USA – izraelska firma sprzedaje Pegasusa bez żadnych ograniczeń, również tam, gdzie obowiązuje embargo na handel międzynarodowy. Więcej o tym przeczytasz w tekście Pegasus – nowe dane o systemie absolutnej inwigilacji
Nadmieńmy, że to nie tylko cios w stronę samego przedsiębiorstwa, ale również rządu izraelskiego. Zresztą decyzja amerykańskich władz szybko spotkała się z dezaprobatą Izraelskich polityków.
Apple pozwało NSO w listopadzie 2021 r., ale we wrześniu 2024 r. wycofało pozew (argument: ryzyko ujawnienia informacji o zabezpieczeniach). Wcześniej podobne działania podjęła firma Meta (właściciel WhatsAppa), twierdząc, że Pegasus był wykorzystywany do infekowania telefonów poprzez komunikator. Pozwy te zapoczątkowały szerszą dyskusję o odpowiedzialności prywatnych firm technologicznych za cyberinwigilację oraz o granicach legalnego eksportu oprogramowania szpiegowskiego. Meta/WhatsApp wygrały sprawę — w grudniu 2024 sąd uznał odpowiedzialność NSO, a w maju 2025 zasądzono wysokie odszkodowanie.
Amerykanie twierdzą, że system Pegasus może być stosowany przez terrorystów (fot. unsplash.com: Administracja państwowa)
Czym jest Pegasus?
System Pegasus to oprogramowanie komputerowe o szerokich możliwościach inwigilacyjnych. Zaawansowany trojan potrafi zainfekować zarówno sprzęt komputerowy, jak i np. telefony czy tablety. Umożliwia pełną kontrolę nad treściami w urządzeniu. Operator sprawdzi np. historię w przeglądarce, podsłucha treść rozmów telefonicznych, przeczyta SMSy czy wiadomości na Messengerze. Istotną funkcją trojana jest samokasowanie w przypadku ewentualnego wykrycia.
O Pegasusie zrobiło się głośno w 2016 roku, gdy międzynarodowe organizacje zauważyły lukę w urządzeniach Apple. Zarówno iPhone, jak i iPad mogły być bez problemu zakażone izraelskim trojanem przez błąd w systemie iOS (Więcej informacji o systemie Pegasus znajdziesz w tekście pt. Trojan na usługach rządu – czym jest Pegasus?). Od luki zero-day właściwie zaczęło się wszystko. Dziś o systemie wiemy o wiele więcej i jego sprawą zajmują się politycy czy działacze społeczni na całym świecie.
Warto jednak podkreślić, że Pegasus nie jest jedynym narzędziem tego typu na świecie. Rynek komercyjnego oprogramowania szpiegowskiego rozwija się dynamicznie, a podobne rozwiązania oferują także inne firmy z Izraela, Europy czy Azji. Coraz częściej mówi się o konieczności międzynarodowej regulacji eksportu technologii inwigilacyjnych, podobnie jak ma to miejsce w przypadku broni konwencjonalnej.
Jednocześnie producenci systemów operacyjnych — Apple i Google — wprowadzili dodatkowe mechanizmy bezpieczeństwa, takie jak tryby zwiększonej ochrony, szybsze łatanie luk typu zero-day czy automatyczne wykrywanie nietypowej aktywności. To pokazuje, że wyścig między twórcami oprogramowania szpiegowskiego a producentami systemów trwa.
Choć wiele rządów nie chce przyznać się do używania Pegasusa, to wiadomo np. że korzystały z niego polskie służby. FBI potwierdziło, że pozyskało dostęp do Pegasusa (m.in. do celów testowych/poznawczych), jednocześnie deklarując, że nie użyto go operacyjnie w śledztwach. Wpisanie NSO Group na czarną listę USA nie zakończyło historii Pegasusa, ale zmieniło globalną dyskusję o granicach cyberinwigilacji. System nie zniknął z rynku, jednak jego użycie stało się przedmiotem znacznie większej kontroli międzynarodowej i społecznej. Sprawa Pegasusa stała się symbolem napięcia między bezpieczeństwem państwa a prawem obywateli do prywatności — i to właśnie ta debata prawdopodobnie pozostanie z nami na długo.
W Polsce temat Pegasusa stał się przedmiotem intensywnej debaty publicznej w latach 2022–2024. Sprawą zajmowała się m.in. senacka komisja nadzwyczajna badająca legalność wykorzystania systemu wobec obywateli. Dyskusja dotyczyła przede wszystkim mechanizmów kontroli nad służbami specjalnymi oraz zakresu nadzoru sądowego nad stosowaniem zaawansowanych narzędzi inwigilacyjnych. Bez względu na ocenę polityczną, sprawa Pegasusa wywołała w Polsce szerszą rozmowę o granicach prywatności i bezpieczeństwa państwa.
(fot. unsplash)
