CBA wśród klientów Hacking Team

W skrócie

Z doniesień medialnych wynika, że jednym z klientów Hacking Team – włoskiej firmy produkującej oprogramowanie szpiegujące – jest Centralne Biuro Antykorupcyjne. Ujawnione dokumenty zawierają informację o tym, że CBA kupiło Remote Control System (RCS) za 178 tys. euro, a w 2014 r. zapłaciło ponad 35 tys. euro za roczne wsparcie oprogramowania. RCS to koń trojański, który pozwala na zdalne inwigilowanie komputerów i smartfonów. Po przejęciu kontroli nad urządzeniem podmiot, który korzysta z RCS, może np. podsłuchiwać rozmowy prowadzone przez zainfekowane urządzenie czy śledzić aktywność jego właściciela w sieci.

Kilka tygodni temu zwróciliśmy się do Centralnego Biura Antykorupcyjnego z wnioskiem o udostępnienie informacji publicznej dotyczącej wykorzystywanych narzędzi nadzoru – urządzeń i programów, które pozwalają na systematyczne zbierania informacji o ludziach i ich zachowaniach. CBA wydało decyzję odmowną, powołując się na konieczność zachowania tajemnicy w zakresie wykorzystywanych metod i środków pracy. O wykorzystywanie już konkretnie RCS pytała swego czasu również Helsińska Fundacja Praw Człowieka. Niestety, HFPC nie udało się uzyskać wnioskowanych informacji – CBA uznało, że jest to informacja niejawna, a sąd administracyjny oddalił skargę organizacji w tej sprawie. Dzięki atakowi hakerskiemu na Hacking Team poznaliśmy jedno z narzędzi, którymi prawdopodobnie dysponuje Biuro. Ta informacja rodzi jednak kolejne pytania: wobec kogo CBA wykorzystuje tak inwazyjne narzędzie i czy w ogóle ma prawo z niego korzystać?

Komentarze

No właśnie ja bym chętnie poznał jakąś analizę, czy jest jakaś podstawa prawna do korzystania przez CBA z takich narzędzi.

CBA w przypadku określonej grupy przestępstw może prowadzić kontrolę operacyjną, która polega na stosowaniu środków technicznych umożliwiających uzyskiwanie w sposób niejawny informacji i dowodów oraz ich utrwalanie, a w szczególności treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych. Przepis regulujący to zagadnienie - art. 17 ustawy o CBA - jest jednak dość nieprecyzyjny. Można mieć bardzo wiele wątpliwości, czy wszystkie funkcjonalności RCS mieszczą się w zakresie "kontroli operacyjnej". Do tego nie wiemy, w jaki sposób ten program jest faktycznie wykorzystywany.

 

Samo przełamywanie zabezpieczeń jest przestępstwem. Widać jak działają organy państwa, które teoretycznie mają działać zgodnie z prawem.

Czy instalacja RCS wymaga zezwolenia sadu? Jakie są warunki konieczne pozwalalajace na hakowanie telefonu?

Dodaj komentarz