Легітимізація зламу - чи можуть правоохоронці “законно” зламати ваш смартфон?
Другий рік війни в Україні. Це все й досі здається безумством, але ж відчайдушні часи вимагають відчайдушних заходів.
Ось тільки чи це стосується оперативно-розшукової діяльності правоохоронців? Чи мають вони керуватись законом збираючи докази правопорушення, чи війна зняла всі обмеження?
Вторгнення Росії в Україну поставило під сумнів необхідність дотримання законності при зборі данних, якщо справа йде про посібників окупантів, злочинців і навіть корупціонерів. Гостро постало питання: наскільки взагалі необхідно обмежувати спецслужби в розшуковій діяльності, якщо справа стосується державної безпеки і від швидкості вирішення питання може залежати життя людей?
Позиція загалом, напевно, вірна. Кризові ситуації вимагають нетривіальних, жорстких та радикальних рішень. Але!
Чи є взагалі межі, і хто визначає ліміти можливого для спецслужб?
Тим більше, що війну ми сьогодні ведемо з державою, в якій перемогла диктатура спецслужб, і повне ігнорування прав та свобод людини там вважається нормою.
Чи є сенс взагалі вести з Росією війну, якщо ми, як і вони, цілком ігноруватимемо права людини на приватне життя або право приватної власності, якщо вони заважають спецслужбам добувати докази можливого правопорушення?
Нещодавнє гучне розслідування НАБУ “Справи Сенниченко” показує, що жодного певного розуміння щодо законності зламу індивідуальних засобів зв'язку фігурантів розслідування у правоохоронців та наших спецслужб немає.
Так, згідно з публікаціями НАБУ доказом протиправної діяльності групи “певних осіб” виступає листування, яке було скопійоване зі смартфону одного з фігурантів.
Після цього в ЗМІ з'явилося дуже багато інформації, що заявником виступив колишній менеджер Дмитра Фірташа - Сергій Байрак, який і передав архів листування НАБУ.
При цьому в кримінальному провадженні НАБУ відкрито заявляється, що докази здобуто за допомогою програмно-апаратного комплексу UFED Cellebrite.
Що таке UFED Cellebrite?
Програмно-апаратний комплекс (ПАК) UFED Cellebrite продається по всьому світу.
ПАК дозволяє власнику отримати доступ до накопичувача смартфона, що дозволяє розпізнати, скопіювати або "відновити" з носія дані.
Через те, що дані з твердих накопичувачів практично до кінця не видаляються, потенційно відновити можна їх всі за весь період експлуатації пристрою. Щоправда, не завжди в повному обсязі і не завжди коректно.
ПАК Cellebrite “відновлює” все: ваші паролі, ваші контакти, ваше листування. Всю інформацію, яку можна інтерпретувати в дані.
В Україні офіційним представником компанії Cellebrite є компанія ЕПОС.
Вона ж займається його підтримкою, і судячи з усього навчання персоналу.
ПАК Cellebrite не є конкурентом відомому ПО для злому Pegasus, тому що у них різні принципи дії.
Що таке ПЗ Pegasus від NSO Group?
Якщо ПАК Cellebrite це програма "відновлення" даних, то ПЗ Pegasus це саме програма шпигун.
Компанія стверджує, що свою продукцію постачає лише правоохоронним органам. Офіційно в Україні її нема.
Ось офіційний список функцій Pegasus, після отримання доступу до вашого iPhone:
Відстежує голосові та VoIP-дзвінки в реальному часі
Може завантажити контакти, паролі, файли та зашифрований вміст зі смартфона
Може віддалено увімкнути мікрофон і прослуховувати що відбувається поруч
Відстежує спілкування через такі месенджери, як WhatsApp, Facebook, Skype, Blackberry Messenger та Viber
Відстежує розташування смартфона за допомогою GPS
ПЗ Pegasus не використовується правоохоронцями в кримінальних провадженнях, і навряд чи це можливо в майбутньому, оскільки дані здобуті шляхом злому ПЗ, дозвіл на що Apple не дасть ніколи.
Якщо ПЗ Pegasus і буде продано Україні навряд чи ми взагалі колись про це дізнаємося.
Що ж не так із “Справою Сенниченка”?
Наскільки НАБУ легітимно чи нелегітимно отримали дані на які спирається справа?
Нам вдалося з'ясувати, що найімовірніше UFED Cellebrite, яким користується НАБУ, а подарунок уряду США. ПАК Cellebrite передано для використання правоохоронним органам та органами СБУ.
Це певним чином легітимізує використання ПАК і знімає питання про причину, з якої не проводилося тендеру на закупівлю.
Але. Залишаються актуальні питання, на які відповіді ми поки не знайшли.
Як і чим регламентується робота цього ПАК? Чи є службова інструкція?
ПАК насправді робить не дозволену власником копію його приватних даних зі смартфона. І потім просто знімає обмеження, що накладається паролями.
Чи є такі дії викликом проти чинного законодавства?
При цьому з огляду на презумпцію невинності наскільки законно робити “копію” диска смартфона, якщо вина власника ще не доведена?
У гучній справі Сенниченка все звинувачення тримається на даних "відновлених" із невстановленого смартфона. При цьому йдеться не про оригінальні дані, а про їх копії. Плюс, той же Сенниченко – держслужбовець, хай навіть колишній, але державний чиновник, який очолював фонд Державного майна.
При цьому, начебто, Cellebrite забороняє переслідувати посадових осіб, політиків та представників національних меншин. І однозначно точно відомо, що Cellebrite заборонила продаж ПАК у Білорусі та Росії саме через те, що правоохоронці перейшли цю межу.
Звідси питання до Cellebrite:
- Як ви ставитеся до того, що за допомогою вашого ПАК розкриваються смартфони і стає публічним листування держслужбовців?
Окремо є питання щодо коректності “відновлених” даних:
- Чи сертифіковано ПАК Cellebrite в Україні?
- Якщо ні, то чи можна несертифікований в Україні продукт використовувати правоохоронними органами?
- Якщо програма сертифікована, як охороняються отримані за її допомогою дані?
- Як захищені дані отримані в результаті “відновлення” чи точніше зламу дані?
- Чи може хтось гарантувати, що в дані, які були “відновлені”, ніхто не втрутиться згодом, під час їхнього “зберігання”?
- Як ми можемо підтвердити, що "відновлені" "скопійовані" зі смартфона дані абсолютно ідентичні тим, що знаходяться на смартфоні?
- Хто може підписатися під тим, що ці дані не були скомпрометовані чи змінені?
- Хто може підписатися, що ніхто не втрутився у цілісність даних?
- Хто визначає, що дані ідентичні та які певні ознаки такої ідентичності, чи відповідності оригіналу він може назвати?
- Хто визначає, що дані “відновлені” коректно?
- Як перевірити чи ідентичне “відновлене” листування реальному, чи не є воно компіляцією різних листувань?
- Хто може підтвердити, що отримані після зламування дані зберігаються в Україні?
Також залишається питання:
- Чи пройшли співробітники навчання для використання цієї програми?
- Чи достатньо у них кваліфікація, щоб документувати результати та інтерпретувати їх як результати оперативно-розшукових дій?
- Чи захищені дані від можливості отримання несанкціонованого доступу до них з боку інших спецслужб?
Загалом як би питань багато й зрозуміло, що вони мають виникнути у суспільстві, де права людини захищені. Як і зрозуміло, що буквально всі з нас готові пожертвувати приватністю задля запобігання загибелі людей, терактів тощо.
Але все ж таки, хто і як визначає, коли злом життєва необхідність, а коли протиправна протизаконна дія?