Amit tudunk
Az NSO Pegazus nevű trójai terméke alkalmas arra, hogy Android és iOS operációs rendszerű eszközökbe észrevétlenül behatoljon, és onnan a felhasználóról minden fontos információt továbbítson egy bonyolult, titkosított (ún. proxy) hálózaton át az NSO ügyfelének.
A Forbidden Stories nevű párizsi központú nonprofit szervezet és az Amnesty International (AI) hozzájutott egy adatállományhoz, amely olyan telefonszámokat tartalmaz, amelyeket a Pegazus segítségével meghekkelhettek.
Az AI bűnügyi adatelemzését (forensic analysis) a Torontoi Egyetem Citizen Labs nevű intézete ellenőrizte és helyesnek találta.
Az elemzés szerint 10 ország kormánya adhatott be telefonszámokat a rendszerbe: Azerbajdzsán, Bahrein, Egyesült Arab Emirátusok, India, Kazahsztán, Magyarország, Marokkó, Mexikó, Ruanda és Szaúd-Arábia. A célszemélyek telefonszámai 45 országból kerültek ki. Az ügyfelek 51%-a nemzetbiztonsági szolgálat, 38%-a rendvédelmi szerv és 11%-a katonai szervezet a Guardian szerint.
Amit nem tudunk
Nem tudjuk, hogy a hivatkozott adatállomány az 50 ezer telefonszámmal honnan származik és mennyire hiteles. Azt az AI is elismeri, hogy nem mindegyik telefonszám készülékére telepítettek poloskát, így csak nem reprezentatív számarányokra hagyatkozhatunk. A tény, hogy a francia kormány igen intenzíven foglalkozik a témával, valamint az indiai legfelsőbb bíróság vizsgálata arra mutat, hogy az AI állítása nem légből kapott vagy alaptalan.
Nem tudjuk jelen pillanatban, hogy még hány magyar közszereplő érintett. Sejthető, hogy a Direkt36 továbbiakat fog megnevezni.
Nem tudjuk, hogy mennyit tudott meg az NSO abból az adatmennyiségből, amit az ügyfelei megszereztek. Shalev Hulio, az NSO vezérigazgatója azt nyilatkozta, hogy nem láttak bele az ügyfeleik adatállományába. De azt is, ha tudta volna, hogy az eszközt nem a vállaltak szerint használják, akkor azt megakadályozta volna. Ezt nyilván csak akkor teheti meg, ha nemcsak látja az ügyfelei adatállományát, hanem befolyásolni is tudja a kémszoftver működését. Ez nem egy solingeni kés, aminek a felhasználásáról, krumplit pucoltak vele vagy leszúrtak valakit, a gyártó nem is tud.
Nem tudjuk, hogy az izraeli titkosszolgálatok ráláttak-e az NSO által kezelt adatállományra. Hulio ezt tagadja. A francia-izraeli kormányközi együttműködés talán fényt derít erre a pontra is.
A tévhitek
A Pegazus-ügy nem kizárólagosan magyar ügy, hiszen 45 országot érint. Az ismert számok alapján a magyar telefonszámok a teljes volumen töredékét teszik ki (300/50.000, azaz 0,6%).
A Pegazust nem az izraeli titkosszolgálatok telepítették a célszemélyek telefonjaira. A Pegazust minden esetben kormányszervek vásárolták meg az izraeli NSO Grouptól izraeli hatósági exportengedéllyel.
A Pegazus nem az egyetlen kémszoftver. Számtalan számítógépre vagy telefonra telepíthető alkalmazás vásárolható vagy szerezhető meg a hivatalos vagy feketepiacon. Csak kormányzati felhasználásra (lawful interception) is több ismeretes, például az angol-német Gamma Group FinFisherje vagy az olasz Memento Labs (lánykori nevén Hacking Team) RCS X-e. Mindkét cég botrányának voltak magyar vonatkozásai.
Megfigyelő technológiák alkalmazása önmagában nem egy autokratikus kormány sajátja. Minden kormány joga és kötelessége a biztonság fenntartása. Ez ugyanúgy egy szakma, mint a nőgyógyászat vagy a számítógépes programozás, amelyeknek megvan az eszköztáruk.
A rendvédelmi szervek, az ügyészség és a nemzetbiztonsági szolgálatok szerepe
A Rendőrségi Törvény, az Ügyészségi Törvény, a NAV Törvény és a Nemzetbiztonsági Törvény idevonatkozó paragrafusai alapján a helyzet a következőképpen foglalható össze.
- Titkos információgyűjtés, amelyet a nyomozó hatóságok (a rendőrség, az NVSZ és a NAV), valamint az ügyészség végeznek, kétféle biztonsági, ill. engedélyezési szinten.
- Bírói engedélyhez nem kötött eszközök alkalmazásával [Rtv. 63.§ (2) a)], [Ütv. 25A§ (2) a)], [NAVtv. 51§ (2) b)]. Ilyen például egy autó megfigyelése [Rtv. 66.§ (1) c)], elektronikus hírközlési eszköz vagy információs rendszer hollétének megállapítása [Rtv. 66.§ (1) e)].
- Bírói engedélyhez kötött eszközök alkalmazásával [Rtv. 63.§ (2) b)], [293/2010. (XII. 22.) Korm. rendelet6/A§], [Ütv. 25A§ (2) b)], [NAVtv. 51§ (2) b)]. Ilyen többek között információs rendszer titkos megfigyelése, pontosan az, hogy a rendőrség/ügyészség/NAV „információs rendszer titkos megfigyelése során információs rendszerben kezelt adatokat titokban megismerhet, az észlelteket technikai eszközzel rögzítheti” [Rtv. 71.§ e)], [Ütv. 25/H.§ e), [NAVtv. 60.§ e)].
- Titkos információgyűjtés, amelyet jogosult a Terrorelhárítási Központ végezni, illetve az Nbtv. 38-52.§ alapján adatot igényelni és kezelni [Rtv. 63.§. (7)].
- Titkos információgyűjtés, amelyet a titkosszolgálatok végeznek kétféle biztonsági, ill. engedélyezési szinten.
- Külső engedélyhez nem kötött titkos információgyűjtés [Nbtv. 54.§]. Ilyen például nyilvános helyen történő beszélgetés rögzítése [Nbtv. 54.§. (i)], elektronikus hírközlési eszköz vagy információs rendszer hollétének megállapítása [Nbt. 54.§ (j)].
- Külső engedélyhez kötött információgyűjtés [Nbtv. 56.§]. Ilyen például magánlakásban lehallgató eszköz elhelyezése és a történtek rögzítése [Nbtv. 56.§ (b)] vagy „elektronikus hírközlési szolgáltatás keretében elektronikus hírközlő hálózat vagy eszköz útján, illetve információs rendszeren folytatott kommunikáció tartalmát titokban megismerhetik és rögzíthetik” [Nbtv. 56.§ (d)] és „információs rendszerben kezelt adatokat titokban megismerhetnek, az észlelteket technikai eszközzel rögzíthetik, illetve az ehhez szükséges elektronikus adatot az információs rendszerben, illetve a szükséges technikai eszközt…elhelyezhetik, valamint a kibertérből érkező fenyegetés elhárítása céljából az információs rendszerbe beavatkozhatnak” [Nbtv. 56.§ e)].
A fenti titkos információgyűjtés engedélyezésére előterjesztést három titkosszolgálat főigazgatója nyújthat be [Nbtv. 57.§ (1)]:
- az Információs Hivatal;
- az Alkotmányvédelmi Hivatal;
- a Katonai Nemzetbiztonsági Szolgálat.
A bírói engedélyhez kötött eszközök alkalmazására iránti kérelmet a rendőrség, a NAV. illetve az ügyészség titkos információgyűjtés folytatására feljogosított szervének vezetője terjeszti elő [Rtv. 74.§ (1)], [NAVtv. 63§ (1)], [Ütv. 25/J § (1)].
Az előterjesztésnek többek között tartalmaznia kell a titkos információgyűjtés megnevezését és szükségességének indoklását [Nbtv. 57.§ (2) b)], [Rtv. 74.§ (1) d)], [NAVtv. 63.§ (2) d)], [Ütv. 25/J§ (2) d)].
A titkosszolgálati előterjesztéseket bizonyos esetekben (az Alkotmányvédelmi Hivatal és a Katonai Nemzetbiztonsági Szolgálat bizonyos információgyűjtései esetén) [Nbtv. 5.§ b), d), l) -n)] a Fővárosi Törvényszék elnöke által e feladatra kijelölt bíró, a többi esetben (a többi szolgálat és a fenti esetben a TEK, és a fentebb nem megjelölt információszerzések, így a lehallgatások esetén) az igazságügyminiszter engedélyezi [Nbtv. 58.§ (1), (2)], [Rtv. 63.§. (7)].
A titkos információgyűjtés végrehajtásáért a Nemzetbiztosági Szakszolgálat felel [Nbtv. 61.§ (1)] és [Rtv. 75/F.§ (1)], [Rtv. 63.§. (7)]. A keletkezett adatállományt az NBSZ kizárólag a megrendelő szerv számára továbbítja, majd azt a nyilvántartásból törli. Az NBSZ a feladataival kapcsolatosan nyilvántartást vezet [61.§ (3)].
Megjegyzendő, hogy 2017 óta nem szükséges konkrét bűnügy a titkos információgyűjtés elrendeléséhez, mert ehhez elég a gyanú megléte is [Rtv.65§ (1)]. „Bűncselekmény elkövetésének megelőzése céljából akkor folytatható titkos információgyűjtés, ha megalapozottan feltehető, hogy attól a bűnözésre vonatkozó olyan információk megszerzése várható, amelyek elemzése és értékelése révén feltárhatók a bűncselekmények elkövetésére irányuló törekvések és lehetővé válik a bűncselekmények megelőzése, illetve megakadályozása.”
Mit jelent mindez az olvasó és gondolkodó állampolgár számára?
Feltételezve, hogy valóban történt titkos információgyűjtés a Pegazus alkalmazásával, a következőket állapíthatjuk meg.
Amiről eddig a narratívában nem esett szó, a titkos információgyűjtést a fenti szervek valamelyikének kérnie kellett. Itt megjegyzendő, hogy az IH külföldi, a KNBSZ pedig katonai irányban dolgozik.
Az NBSZ irattárában ott kell lennie az engedélyezett előterjesztésnek, ha van ilyen. Ezt a minősített adatokba való betekintési engedéllyel rendelkező ügyész megnézheti, és megismerheti, hogy ki kérte és ki engedélyezte a műveletet.
A fentiek alapján feltételezhető, hogy ha a fenti műveletek valóban megtörténtek, akkor azok a jelenleg érvényes törvényes keretek között zajlottak.