Witamy w świecie Inwigilacji

Witamy w świecie Inwigilacji

Izabela Kacprzak WITAMY W ŚWIECIE INWIGILACJI

 

Bezpieczeństwo w biznesie to dziś jedna z najbardziej dochodowych branż na rynku. Firmy wydają setki tysięcy, by zabezpieczyć się przed cyberatakami, podsłuchami, a przede wszystkim przed wyciekiem poufnych danych i informacji.

 

“Raj na ziemi” - tak o rynku świadczącym usługi szeroko pojętego bezpieczeństwa biznesu mówi emerytowany generał, którego przedsiębiorcy często proszą o “rekomendację” kogoś zaufanego. Jego znajomy, prezes potężnej, prywatnej spółki, pochwalił się niedawno, że na bezpieczeństwo w firmie wydał 500 tys. zł. To cena za zaprojektowanie i budowę tzw. pokoju ciszy, naszpikowanego sprzętem antypodsłuchowym najwyższej klasy plus audyt bezpieczeństwa.

 

Sprzęt, jaki tam zainstalowano, daję mu 100-proc.  pewności, że nic poza to miejsce się nie przedostanie -  podkreśla nasz rozmówca. “Pokoje ciszy”,  zwane też “safe roomami”, przypominają kancelarię dla materiałów niejawnych, jakie mają sądy, prokuratury czy służby. Nie posiadają okiem, maksymalnie może przebywać w nich do sześciu osób. Takie specjalne, w pełni bezpieczne gabinety są od lat standardem w MON czy MSZ. Od kilku lat buduje coraz więcej firm.

 

Pół żartem, pół serio można powiedzieć, że “afera podsłuchowa” z 2014 r. była matką dzisiejszego sukcesu tej branży. Dzięki dwóm przekupiony kelnerem, Markowi Falencie, biznesmenowi handlującego węglan z Rosjanami udało się podsłuchać, o czym rozmawiało ponad 100 osób na 66 spotkaniach – polityków, biznesmenów, szefów najważniejszych instytucji w państwie. Skandal spowodował kryzys rządu Platformy, ale przede wszystkim unaocznił niefrasobliwe podejście do procedur bezpieczeństwa najważniejszych osób w państwie: ważne, czasem strategiczne rozmowy prowadzono przy stoliku, Falenta ośmieszył także procedury bezpieczeństwa.

 

Biuro Ochrony Rządu przed przyjściem VIP-ów sprawdzało sale pod kątem podsłuchów, ale kelnerzy swobodnie wnosili do sal włączone dyktafony. Po kilku latach afery Pegasusa i maili Dworczyka uświadomiły, jak iluzorycznym okazała się poufność rozmów przez szyfrowane komunikatory czy zabezpieczenia poczty i kont społecznościowych. – Poczucie bezpieczeństwa tego, co mówimy lub piszemy, zostało bezpowrotnie zabrane.

 

Jeśli ujawnianie rozmowy z polityki to strata wizerunkowa, często nieodwracalna, to przeciek poufnych informacji ze spółki, zwłaszcza notowanej na wjeździe, może oznaczać w straty idące nawet w miliardy. Idzie za tym ogromna odpowiedzialność nie tylko karna, ale także finansowa zarządu spółki – tłumaczy były funkcjonariusz ABW, dziś w prywatnym koncernie, w którym odpowiada za bezpieczeństwo. Dlatego tzw. bezpieczeństwo w biznesie to dziś jedna z najbardziej dochodowych branży na rynku.

 

Supermarket z podsłuchami

 

Równie istotna, jak sam zainstalowany sprzęt, jest firma, która za niego odpowiada. Poważne spółki nie szukają ich w internecie. Wszystko odbywa się z polecenia zaufanych ludzi, często byłych pracowników służb, którzy ręczą swoją głową, że firma “od podsłuchów” nie działa na dwa fronty i jest nie do przekupienia.  To efekt nieufności do samych służb, które – legalnie lub mniej legalnie – inwigilują, bo mają do tego uprawnienia.

 

Nic dziwnego, że rynek – zarówno usług, jak i sprzętu – tworzą głównie byli policjanci i agenci służb specjalnych o ogromnej wiedzy operacyjno–technicznej i znajomości prewencji bezpieczeństwa. Tacy jak gen. Adam Maruszczak, były szef CBŚ, który specjalizował się od lat 90. w zwalczaniu zorganizowanej przestępczości. Dziś prowadzi firmę doradczą  AMC Consulting  i jest prezesem Cyber Security Agencji UNIT2020 – dba o bezpieczeństwo, tyle że biznesu. Maruszczak zatrudnia najlepszych i najbardziej doświadczonych fachowców na rynku polskim, wyszkolonych między innymi w USA czy w Izraelu. Podobnie jak Tomasz Broniś, były oficer wywiadu, od kilku lat ekspert w dziedzinie szeroko rozumianego bezpieczeństwa biznesu, dziś licencjonowany detektyw.

 

Broniś po odejściu ze służby pracuje dla podmiotów będących w krajowej czołówce branży energetycznej, spożywczej, zbrojeniowej, farmaceutycznej. O szczegółach nie może mówić. – Biznes przykłada ogromną wagę do szeroko pojętego bezpieczeństwa, bo niekontrolowany "przeciek"albo niesprawdzony kontrahent mogą doprowadzić nawet do upadłości dużej firmy. Dlatego za to bezpieczeństwo jest w stanie dużo zapłacić, tym bardziej że technika bardzo poszła do przodu.

 

 Na rynku można już za kilkaset złotych kupić subskrypcję oprogramowania szpiegującego telefon, którego możliwości są zbliżone do Pegasusa – podkreśla Broniś. Mowa tu chociażby o aplikacji SpyOne (działa tylko na Androida), która w pełni kontroluje telefon i jego użytkownika, łącznie z możliwością włączenia funkcji nagrywania otoczenia i odczytywania szyfrowanych komunikatorów, jak np.  Signal. Sprzedaje ją Lider w branży detektywistycznej - podsłuchy24.pl.

 

Firma zastrzega, że "oprogramowanie przeznaczone jest wyłącznie do użytku legalnego", np. monitorowania własnych dzieci na smartfonie lub małżonka, a także pracowników w firmie. Rynek oferuje praktycznie wszystko, co wiąże się ze szpiegowaniem – od dyktafonów ukrytych w długopisach, okularach czy w zegarkach, przez mikrofony sejsmiczne, po zagłuszacze podsłuchów, zarówno dla profesjonalistów, jak i zwykłych zjadaczy chleba.

 

Zaopatruje się w nie nawet administracja rządowa. Np. w ub.r. Ministerstwo Aktywów Państwowych za ponad 38 tys. zł kupił w Spy Shop bramki do wykrywania telefonów komórkowych, podsłuchów miniaturowych, a nawet ostrych elementów i niewielkich kawałków metalu. Za wykorzystywanie urządzeń do podsłuchów w sposób nielegalny grozi do dwóch lat więzienia. Sprzedawcy przestrzegają klientów przed takimi działaniami, zabezpieczają się w ten sposób przed ewentualnymi kłopotami, nie tylko ze strony służb, które kontrolują rynek podsłuchów, ale także samych podsłuchiwany, którzy mogliby ich pozwać.

 

Sklepy detektywistyczne informują klientów, że dopuszczalny jest monitoring dziecka, nagrywanie pracownika lub sytuacji prowadzącej do popełnienia przestępstwa. Tyle teoria. A praktyka? – Ludzie wpadli w manię podsłuchiwania i nagrywania, nawet dla własnego użytku. To efekt powszechności, spadku cen sprzętu i "promocji" tego typu zachowań poprzez głośne afery. W przypadku firm jest to o tyle uzasadnione, że chodzi o przyszłość spółki, jej wizerunek, renomę, no i pieniądze – opowiada nam emerytowany funkcjonariusz ABW. Największe grono klientów firmy Mediarecovery, która jako jedna z pierwszych w Polsce zajmowała się zajmuje do dziś informatyka śledczą, to klienci biznesowi.

 

Spółka rocznie wykonuje od 30 do 50 analiz bezpieczeństwa w firmach. – w 90% przypadków to efekt mocno uzasadnionych podejrzeń, że coś w firmie nie gra. Że ktoś np. wyprowadza wrażliwe informacje biznesowe do konkurencji. My mamy to zweryfikować i znaleźć na po dowody, które posłużą jako materiał przed sądem – mówi Przemysław Krejza, dyrektor ds. badań i rozwoju Mediarecovery. Tylko w wyjątkowych przypadkach, po analizie prawników, firma, która podejrzewa działanie na jej niekorzyść, może wykorzystać systemy szpiegujące wewnątrz organizacji. 

 

Koszty analizy zebranego materiału sięgają od kilku do nawet kilkudziesięciu tysięcy złotych. Są bowiem sprawy, które wymagają wykorzystania specjalistycznego sprzętu lub technologii. Do mediarecovery zgłaszają się klienci przekonani o tym, że są podsłuchiwani. – ale rzadko to potwierdzamy – dodaje Krejza.

 

Bezpieczeństwo ponad wszystko

 

W państwowych spółkach strategicznych - paliwowych, energetycznych czy zbrojeniowych – cyberbezpieczeństwo ma najwyższy priorytet. – Pracowałem w kilku państwowych spółkach różnych branż, ale dopiero w energetyce zobaczyłem naprawdę, jak wyśrubowane zasady się stosuje – mówi nam członek zarządu w spółce energetycznej. Top management musi korzystać ze specjalnych telefonów do rozmów szyfrowanych.

 

Nie możemy ich używać prywatnie, nie możemy wgrać żadnej aplikacji, np. lojalnościowej z ulubionego sklepu czy gry, bez zgody departamentu bezpieczeństwa. Mamy oczywiście tzw. studnię, czyli bezpieczny pokój do spotkań zarządu czy przesłuchań pracowników, kiedy prowadzimy na przykład wewnętrzne postępowanie, chociażby w sprawie przecieku czy mobbingu – wyjaśnia nam rozmówca. Szczegóły zastosowanych urządzeń i procedur w państwowych spółkach są niejawne – nie wie o nich większość pracowników, co ma zapobiec w wydostaniu się informacje na zewnątrz.

 

Standardem, który ma utrudnić podsłuchiwanie, jest wykorzystywanie specjalnych, wzmocnionych szyb w kluczowych gabinetach, które odbijają fale, telefony satelitarne lub do niedawna uznawane za najbardziej bezpieczne BlackBerry, po specjalne blokady w gniazdkach, dzięki którym nie można podłączyć "pluskwy". Często stosowaną procedurą jest także wyłączenie usług lokalizujących trasę przejazdu samochodu członków zarządu. I oczywisty  standard: na ważne spotkania nigdy nie wchodzi się w telefonem.

 

Nawet wyłączonym. Najważniejsze państwowe instytucje – jak KNF czy NBP – wprowadzają zabezpieczenia we własnym zakresie, ale zgodnie z zaleceniami ABW, dotyczącymi ochrony najważniejszych instytucji RP, osób lub obiektów. Chodzi o bezpieczeństwo pomieszczeń przed podsłuchami (nieuprawnionego pozyskiwania informacji), które są kontrolowane przez techników Agencji przed ukrytym wewnątrz urządzeniem podsłuchowym (radiowym) lub rejestratorem dźwięku. Robi się to standardowo przy zmianie władz, lub na ich wniosek.

 

Zalecenia służb dotyczą uniemożliwienia posłuchu z zewnątrz. Tak jest np. w Urzędzie Komisji Nadzoru Finansowego, która posiada zabezpieczenia wykorzystujące technikę wibroakustyczna. W ten sposób są zabezpieczone okna pomieszczeń przewodniczącego KNF, jego zastępców oraz niektóre sale posiedzeń. Zabezpieczenie to nie chroni przed rejestracją dźwięku wewnątrz pomieszczenia,a  jedynie uniemożliwia posłuchanie przy użyciu mikrofonu laserowego z zewnątrz, np. parkingu lub okna z sąsiedniego budynku.

 

Głośna sprawa z marca 2018 r., w której miliarder Leszek Czarnecki nagrał na zwykły sprzęt analogowy ówczesnego szefa KNF w Marka Ch., pokazała jednak, że dbanie jedynie o "wroga z zewnątrz" jest patrzeniem krótkowzroczny. Afera podsłuchowa w PZPN  (urządzenie nagrywające umieszczono w kaloryferze w gabinecie nowego prezesa Cezarego Kuleszy) ujawniła brak procedury bezpieczeństwa w Związku – wdrożono je dopiero teraz.

 

Strategiczne spółki Skarbu Państwa mają własne, niezwykle rozbudowane wydziały dotyczące bezpieczeństwa, którymi kierują najczęściej byli wysoko postawieni funkcjonariusze służby. Np. od stycznia tego roku w PKO BP bezpieczeństwem zarządza były szef śląskiej policji gen. Krzysztof Justyński, a w Orlenie - Zbigniew Lasek, były naczelnik CBA. Bo przecież kto lepiej zna się na podsłuchach i ich uniknięciu, jak nie ci, którzy się tym zajmowali – m.in. w ramach działań kontrwywiadowczych.

 

Przekonał się o tym były wiceminister MON w rządach PO-PSL, pracujący w strategicznej spółce surowcowej, kiedy przez nieudolnie zamontowany lokalizator GPS nie mógł zamknąć bagażnika w służbowym aucie. A podsłuch w gabinecie spowodował, że radio zaczęło trzeszczeć. Zanim upowszechniły się szyfrowane komunikatory w formie aplikacji na smartfony (WhatsApp czy Signal), kilkanaście lat temu polska firma TechLab2000 opracowała własny system bezpiecznej łączności. Ich telefon Xaos Gamma szyfrował głos przez kryptografia eliptyczna. W 2009 r. telekom Orange pochwalił się, że wprowadzi go do sprzedaży. Miał je kupić także rząd i najważniejsze instytucje państwa. Ale nic z tego nie wyszło, bo do akcji wkroczyła Agencja Bezpieczeństwa Wewnętrznego. – Mam kilka sztuk tych telefonów, ale cóż, to dziś jedynie gadżety, nie mogę ich używać.

 

Z tego co słyszałem, ABW zakazała sprzedawania tej technologii, bo uznała, że nie będzie mogła podsłuchiwać rozmów. I tu dochodzimy do sedna problemu: Jak znaleźć balans między bezpieczeństwem biznesu, wolności i prawa człowieka a bezpieczeństwem państwa? Czasem się to zazębia, a czasem – jak widać – wyklucza – opowiada nam pracownik jednej z korporacji, były polityk. Ta nierówna walka Dawida z Goliatem toczy się nie tylko w Polsce. Chiny i Australia wprowadziły regulację zakazujące producentom sprzedawania telefonów z oprogramowaniem antyszpiegującym

 

Rząd Wielkiej Brytanii pod presją służb walczących z terroryzmem chciał w 2016 r. wprowadzić przepis zmuszający firmy do "osłabienia bezpieczeństwa" swoich produktów – co mogło wprost doprowadzić do zakazu używania popularnych komunikatorów (wtedy WhatsApp). W Arabii Saudyjskiej na czarną listę trafił z kolei BlackBerry Messenger, bo tamtejsze służby nie mogły złamać jego szyfrowania, a firma nie chciała udostępniać danych.

 

Zagrożenie czyha co krok

 

Na rynku istnieją setki podobnych do Pegasusa rozwiązań. Niektóre oprogramowania, np. wykorzystywane przez FBI i CIA, są nie do kupienia. Ale służby nie muszą mieć tego typu oprogramowania (zresztą to ogromny koszt, w przypadku inwigilacji tylko jednego numeru sięgający 50-100 tys. dolarów.), by przejmować Nasze telefony. Robią to przy użyciu tzw. fałszywych BTS (tzw. IMSI Catchery potocznie zwane "jaskółkami"). Imitują one silniejszy sygnał niż ten od operatora i "wyłapują" konkretne telefony. Fałszywy BTS omija szyfrowanie-  stąd już prosta droga do nieograniczonego podsłuchiwania rozmów i przechwytywania SMS-ów. – Fałszywe BTS działają wokół Sejmu, bo dzięki temu nie można złapać i przechwycić rozmów ważnych osób poprzez BTS operatorów - mówi nasz informator.

 

Jak więc nie dać się podsłuchać? Na użycie systemów szpiegujących wskazują min. problemy z wykonywaniem połączeń czy działania iCloud, nagrzewanie się telefonu, skoki naładowania baterii. – By skutecznie zabezpieczyć się przed podsłuchem urządzeń mobilnych należy stosować aktualne wersję dobrze zabezpieczonych, płatnych komunikatorów z szyfrowaniem typu Threema czy UseCrypt Messenger – twierdzi specjalista od techniki, pracujący dla firm Adam Adama Matuszczaka.

 

Warto zapłacić, bo dziś nic nie jest za darmo, a korzystanie z popularnych darmowych komunikatorów kosztuje nas przynajmniej automatyczną analizę profilu użytkowników -  podkreśla Maruszczak, dodając, że warto dość często wykonywać "reset" urządzenia oraz poddawać go stosownym audytom w profesjonalnych firmach. – Koszty takich audytów są niewspółmiernie niskie do szkód, jakie mogą powstać po "wycieku" danych – uważa były szef CBŚ. Za badanie jednego pomieszczenia pod kątem antypodsłuchowym trzeba zapłacić średnio około 20 tys. zł.

 

Cena wyliczana jest na podstawie powierzchni. Rośnie, gdy w lokalu jest dużo sprzętu komputerowego. – Najprościej można powiedzieć, że najbezpieczniejsze są gołe, surowe pomieszczenia, w których nie ma dużo elektroniki, np. łącz do telekonferencji. Bo każde urządzenie to dodatkowa możliwość do inwigilacji – tłumaczy nam były wysoko postawiony oficer ABW. Maruszczak jednak zastrzega, że nie wystarczy stworzyć "pokoju ciszy", aby zyskać pewność, że firma i jej newralgiczne informacje są w pełni bezpieczne. – Ważne jest okresowe wykonywanie audytów "antyinwigilacji” newralgicznych pomieszczeń, ścisłe stosowanie zaprojektowanych dla danego obszaru zaleceń bezpieczeństwa oraz regularne stosowanie różnych form zagłuszania lub nadzoru ekspertów podczas ważnych spotkań – wylicza gen. Maruszczak. Dlaczego? Bo chodź na rynku jest sporo różnych zabezpieczeń technicznych pomieszczeń, to jednak najczęściej to człowiek jest tym "najsłabszym ogniwem". Firmy coraz częściej decydują się na budowanie specjalnie zaprojektowanych i wykonanych pomieszczeń.

 

Nie jest to dziś tanie rozwiązanie, ale na bezpieczeństwie nie można oszczędzać, bo wyciek informacji kosztuje dużo więcej – podkreśla Maruszczak. Tym bardziej że zmorą firm stały się coraz powszechniejsze cyberataki. Jak wynika z raportu KPMG, przyczyniła się do tego także pandemia i przejście na tryb pracy zdalnej. Pomimo kryzysu w co czwartej firmie działającej  w Polsce zwiększona budżet na cyberbezpieczeństwo. Największym ryzykiem pozostaje wyciek danych spowodowany przez złośliwe oprogramowanie.

 

Z roku na rok jest ich coraz więcej – utyskuje członek zarządu państwowej spółki energetycznej. Ostatnio min. KGHM i Orlen padły ofiarami ataków phishingowych wykorzystujących reklamy w serwisie YouTube. Cyberprzestępcy podszyli się pod KGHM, który rzekomo szukał inwestorów prywatnych – wykorzystano  do tego wizerunek prezydenta i premiera, którzy mieli rzekomo reklamować nowy produkt. Niewiele osób jest świadomych, że to, jak korzysta z telefonu i co w nim przechowuje, ma wpływ na bezpieczeństwo firmy.

 

Dane, które w nich się znajdują, np. hasła do sieci Wi-Fi firmy czy służbowe e-maile, mogą pomóc przestępcy w zbudowaniu fałszywych adresów internetowych, ułatwić przełamanie jej zabezpieczeń teleinformatycznych, ustalić panującą  w firmie hierarchię oraz rozkład dnia pracowników.

 

Wszystkie te informacje mogą przyczynić się bezpośrednio do ataku na firmę, ułatwić pozyskanie dostępu do jej poufnych informacji biznesowych, a także dać możliwość wyrządzenia szkód na tle finansowym, wizerunkowym lub ekonomicznym – tłumaczy Maruszczak. W latach 90. najbogatsi polscy biznesmeni, jak Ryszard Krauze czy Aleksander Gudzowaty, nie ruszali się bez swojej kilkuosobowej ochrony. Wygląda na to, że czasy, w których bezpieczeństwo oznaczało jedynie obecność tzw. goryli, przeminęły, a wraz z rewolucją technologiczną pojęcie wroga znacząco się poszerzyło.