V červenci 2021 projekt Pegasus odhalil šokující zjištění. 50 tisíc lidí z 50 různých států se stalo oběťmi špehovacího softwaru Pegasus, nástroje, který prodávala izraelská společnost NSO Group. Mezi špehovanými byli mimo jiné i později zavraždění novináři, lidé z politické opozice či francouzský prezident. Mezi špehujícími pak vlády zemí z celého světa. Odhalení vyvolalo protesty i vyšetřování. Celosvětové pobouření nad využitím izraelského spywaru se ale patřičně neodrazilo v přístupu některých hlavních aktérů celé kauzy, hlavně samotného státu Izrael.
Projekt Pegasus je výsledkem práce více než 80 novinářů ze 17 různých mediálních organizací a odhaluje zneužívání špehovacího softwaru Pegasus ke sledování novinářů, aktivistů, disidentů i politických oponentů nebo členů královských rodin. Za špehováním často stojí vlády konkrétních zemí, jimž společnost NSO Group svůj sledovací software prodávala. Nejvíce obětí měl v Mexiku, kde byly pro potenciální špehování s posvěcením tamních politických elit vybrány telefony více než 15 tisíc lidí.
Mezi oběťmi najdeme například přátele a rodinu novináře Džamála Chášukdžího, který byl brutálně zavražděn v Istanbulu na saúdskoarabském konzulátu. Dále také saúdskoarabskou aktivistku za práva žen Ludžajn Hazlúl, francouzského prezidenta Emmanuela Macrona, pákistánského premiéra Imrana Khana či jihoafrického prezidenta Cyrila Ramaphosu. Mimo to byly Pegasem infikovány telefony celkem 189 novinářů, a to z televize Al Jazeera, The Associated Press, Reuters, CNN, Direkt36 nebo Le Monde, více než 600 politiků či vládních představitelů a 85 aktivistů bojujících za lidská práva. V průběhu posledního roku se objevily desítky nových obětí všude po světě.
Všichni byli sledováni zákazníky NSO Group, tedy vládami Saúdské Arábie, Ázerbajdžánu, Bahrajnu, Spojených arabských emirátů (SAE), Maďarska, Indie, Mexika, Polska nebo Maroka. Mezi země, které potvrdily, že si rovněž objednaly Pegasus, patří také Německo, Španělsko a samozřejmě Izrael, kde software využívala tamní policie, která měla odposlouchávat telefony 26 občanů, mimo jiné i hlavních postav protestů, jež se v Izraeli odehrávaly v roce 2019. Letos v únoru ale bylo vyšetřování tohoto případu uzavřeno s tím, že se neobjevily žádné důkazy o nelegálním využití.
Zájem o spyware Pegasus není náhodný, funguje totiž velmi efektivně, aniž by si uživatel telefonu všiml něčeho neobvyklého. Na displeji se neobjeví notifikace a k tomu, aby se software do mobilu dostal, není zapotřebí žádné aktivity jeho majitele. Ten, kdo software ovládá, takto získá přístup skoro ke všem funkcím telefonu. Může sledovat hovory, číst si zprávy a na dálku aktivovat kameru telefonu, může také využít osobní a lokalizační údaje a dostat se k heslům a sociálním sítím, ale i k historii internetového vyhledávání.
Na druhou stranu zákazníci NSO Group nevědí, zda k materiálům a informacím získaným pomocí tohoto spywaru mohou mít přístup izraelské tajné služby. Tuto možnost totiž naznačují prohlášení bývalých představitelů amerických tajných služeb pro deník Washington Post. NSO Group podobné využití popřela a stále tvrdí, že je soukromou společností, nikoliv „nástrojem izraelské diplomacie“. Realita přitom ukazuje něco jiného.
Špehování jako nástroj diplomacie
NSO Group existuje od roku 2010 a na jejím webu stojí, že jde o tvůrce technologie, která pomáhá vládním agenturám předcházet terorismu a zločinu, „aby zachránila tisíce životů po celém světě“.
Firma je navázaná na izraelskou vládu, armádu i zpravodajské služby. Samotný software je klasifikovaný jako zbraň, proto se NSO Group zabývá jen klienty, jež schválí izraelské ministerstvo obrany. Přesněji řečeno na vývoz spywaru od NSO musí ministerstvo udělit licenci. Od roku 2007 v Izraeli platí zákon regulující vývoz kybernetických technologií. Agentura pro kontrolu exportu obrany (DECA) v rámci izraelského ministerstva obrany údajně „přísně omezuje“ licencování některých sledovacích produktů. Rozhoduje se podle vlastní analýzy potenciálních zákazníků. Agentura prý v několika případech odmítla NSO tuto licenci udělit.
Společnost NSO Group tvrdí, že software prodává jen bezpečnostním složkám demokratických zemí, kde slouží k boji proti kriminalitě. Jenže v médiích se mluví i o tom, že stát Izrael se snaží využívat prodeje softwaru jako nástroje k upevňování a budování diplomatických vztahů s jinými státy. Licenci na software totiž firma prodávala i do nedemokratických zemí.
Například po vraždě novináře Chášukdžího v roce 2018 izraelské ministerstvo obrany odmítlo udělit vývozní licenci Saúdské Arábii. Tehdejší premiér Benjamin Netanjahu ale osobně zasáhl, aby k obnovení licence došlo. Stalo se tak v roce 2019, kdy země povolení znovu obdržela.
Netanjahu si prodejem produktů NSO Group chtěl zajistit dobrý vztah s arabskými spojenci nebo třeba s indickou vládou. V červenci 2021 napsal izraelský deník Haaretz, že se zdá, jako by Netanjahuovy diplomatické schůzky probíhaly paralelně s tím, kam se posléze prodávalo zboží od NSO Group.
V lednu 2022 se pak ukázalo, že NSO Group před lety prodala svůj spyware polskému protikorupčnímu orgánu a Maďarsku poté, co se lídři těchto zemí sešli v roce 2017 s Benjaminem Netanjahu.
Oproti tomu země považované za nepřátelské vůči Izraeli, jako je například Turecko, zboží od NSO Group nakupovat nesměly.
Posvátná kráva izraelské ekonomiky
Už v roce 2012 izraelský novinář Shay Aspril informoval o aktivitách NSO v souvislosti s prodejem jejich produktů Mexiku. Varoval, že software by mohl být použit proti novinářům. „Obranný a high-tech průmysl jsou dvě posvátné krávy izraelské ekonomiky. Izraelská veřejnost vnímá tato odvětví jako kreativní, odvážná, zisková,“ říká Aspril pro americkou neziskovou mediální organizaci NPR. Izraelské produkty také tvoří až 10 % celosvětového trhu s kybernetickou bezpečností.
Po odhalení projektu Pegasus má ale „posvátná kráva“ problémy. NSO Group sice odmítla veškerá obvinění a nadále tvrdí, že na základě licencí pouze poskytuje svůj software zahraničním vládám. Argumentovala i tím, že připouští nutnost globální regulace tohoto průmyslu a že v minulosti prokázala nulovou toleranci vůči zneužívání sledovacích softwarů, když několik smluv se svými klienty ukončila.
V současné době je ale tato izraelská společnost zadlužená a čelí finančním problémům. Podle informací z médií měl jeden z amerických dodavatelů v oblasti obrany zájem firmu koupit. Proti NSO Group bylo rovněž podáno několik stížností, společnost má v některých státech zakázáno působit a jinde ji žalují. Ve Spojených státech amerických je pak na černé listině a pro americké podniky je tedy nelegální, aby s ní uzavíraly obchody.
Izraelská vláda navíc kvůli následkům projektu Pegasus pozměnila seznam zemí, s nimiž může NSO Group obchodovat, a jejich počet snížila ze 102 na 37. Ze seznamu zmizelo Mexiko, Maroko, SAE či Saúdská Arábie.
Žaloba od Applu
V některých zemích pak odhalení projektu Pegasus vyvolalo protesty a další vyšetřování nebo i diplomatické napětí, jak tomu bylo například mezi Francií a Izraelem.
Mimo to některé společnosti se sídlem v USA, třeba Amazon Web Services, přistoupily k uzavření všech cloudových účtů spojených s NSO Group. Firmu dokonce žaluje i Facebook, a to u amerického federálního soudu za údajné cílené špehování asi 1400 uživatelů aplikace WhatsApp.
Obdobně reagovala i společnost Apple a na izraelskou firmu podala žalobu za to, že sledovali jejich klienty. Apple požaduje soudní příkaz zakazující NSO Group, aby používala své služby na jejich produktech. Americká společnost tento měsíc také oznámila, že spouští speciální režim, takzvaný lockdown mode, který pomůže chránit její zařízení před programy, jako je právě Pegasus. Apple rovněž označil NSO Group za „amorální žoldáky 21. století“.
Situaci řeší i Evropská unie. Devítičlenná delegace vyšetřovacího výboru Evropského parlamentu (PEGA) má používání Pegasu vyšetřit. „NSO Group není jediným dodavatelem, ale rozhodně je jedním z největších,“ informovala Sophie in ’t Veld, zpravodajka PEGA, s tím, že izraelská firma prodala svůj spyware čtrnácti vládám členských zemí EU, a to pomocí vývozních licencí vydaných izraelskou vládou. Výslednou zprávu o svém vyšetřování má PEGA zveřejnit v březnu 2023.
Chaim Gelfand, zástupce NSO Group, připustil, že firma prodala spyware nejméně do pěti členských států EU. Německý federální úřad kriminální policie potvrdil, že země vlastní a také použila upravenou verzi Pegasu. Ve Francii, Finsku a Belgii bylo použití Pegasu „forenzně potvrzeno“, v Nizozemsku je podle nedávné studie Evropského parlamentu využití označeno jako „možné“.
Opatření proti zneužívání špehovacího softwaru zatím nadále zůstává v kompetenci členských států EU. Odborníci současně navrhují moratorium na používání této technologie.
Špehování opozice
Přestože si několik evropských zemí spyware Pegasus koupilo a použilo ho, vyšetřování těchto případů často proběhlo bez větších výsledků.
Izraelský špehovací nástroj využívalo například maďarské ministerstvo vnitra ke sledování novinářů z jednoho z mála nezávislých médií v zemi. Maďarský úřad situaci prošetřoval, ale na začátku letošního roku úředníci rozhodli, že žádný nelegální případ špehování nenastal. V červnu 2022 pak maďarská ústřední prokuratura šetření uzavřela.
Polský politik Jarosław Kaczyński přiznal, že Pegasus používala také polská vláda, ale odmítl, že by jeho pomocí docházelo ke sledování opozičních politiků. V prosinci 2021 se přesto ukázalo, že software Pegasus byl zacílen nejen proti Nejvyššímu kontrolnímu úřadu, ale i vůči třem kritikům polské vlády a osobám blízkým jednomu členu parlamentní opozice.
Velké napětí projekt Pegasus způsobil i ve Francii, špehování se totiž dotklo Emmanuela Macrona, jeho tehdejšího premiéra Édouarda Philippa či 14 dalších ministrů. Za sledováním měly stát marocké tajné služby. Jde o první případ, kdy se odhalilo užití softwaru NSO Group proti úřadující hlavě státu. Macron následně požádal izraelskou vládu, aby zakázala aplikování softwaru od NSO Group na telefony s francouzskou telefonní předvolbou. Podobně byla zakázána také čísla s předvolbou anglickou.
Co média podceňují?
Odpovědnost za zneužití systému Pegasus je stále přisuzována pouze NSO Group, a nikoliv izraelské vládě, přestože mezi nimi existuje jasné spojení a software byl do zahraničí exportován jako součást oficiální politiky Izraele, upozorňuje izraelský právník Eitay Mack.
Podle něj se tamní vláda opakovaně snaží zbavit odpovědnosti stejně jako v případech z minulosti, kdy prokazatelně napomáhala autoritářským režimům či porušovala dohody. Jako příklady tohoto jednání uvádí izraelský export zbraní jihoafrickému režimu v 80. letech a podobné exporty do Guatemaly či Myanmaru.
Po odhalení projektu Pegasus se podle Eitaye Macka začal Izrael snažit, aby odvrátil mediální kritiku od samotného státu ke společnosti NSO Group. Na ministerstvu obrany funguje oddělení, hebrejsky označené jako Malmab, které odpovídá za udržení tajných informací. Generální ředitel NSO Group by tak teoreticky neměl do médií říct nic bez povolení od Malmabu. Po skandálu se softwarem Pegasus ale Malmab dal od NSO Group ruce pryč a do mediálních vyjádření této společnosti nezasahoval. Mezinárodní média nejspíš i proto přistupují k firmě, která stojí za Pegasem, jako by šlo o instituci nezávislou na státu. Přitom zaměstnanci NSO Group bývají velmi často někdejší experti z vojenské rozvědky. A samotná existence společnosti pak podle Macka stojí na tom, co izraelské úřady schválí.
Mack zároveň zdůrazňuje, že novináři selhávají v tom, že nedokážou toto napojení vysledovat a nějak ho při zpracovávání tématu zohlednit, nebo se jim nedaří vyvolat tlak na izraelskou vládu, aby na kauzu reagovala. Veřejnost má pak podle něj o celé aféře zkreslené představy. Proti NSO Group se sice vede vyšetřování, ale nikdo se nezaměřuje na stát Izrael nebo ministerstvo obrany a jejich podíl na činnosti této firmy, uzavírá Eitay Mack.
Profit z porušování lidských práv
I po roce od zveřejnění projektu Pegasus se stále objevují případy, kdy se spyware od NSO Group nadále používá. Špehovací software se našel v telefonech thajských aktivistů, kteří se účastnili masových protestů proti tamní monarchii v letech 2020 a 2021. „Stojí za to připomenout, že jde pouze o to, co bylo dosud nalezeno, a rozsah pokusů o sledování by mohl být větší a škodlivější,“ upozorňuje Etienne Maynier, technolog z Amnesty International.
Podle Amnesty International se na případu projektu Pegasus ukazuje, že svět selhává v regulaci sledovacího průmyslu. Nedostatek takové regulace dovoluje tomuto průmyslu, aby fungoval nepozorovaně a obdobné spywary dál prodával. „Je alarmující, že rok poté, co odhalení použití Pegasu šokovalo svět, tyto společnosti stále profitují z porušování lidských práv v globálním měřítku,“ říká zástupkyně ředitele Amnesty Tech Danna Ingleton.