Veliki brat v Sloveniji

Omar Bargawi je svetovalec, zaposlen v predstavništvu Evropske unije pri Organizaciji združenih narodov (OZN) v New Yorku. 13. avgusta lani je slovenskemu veleposlaništvu v New Yorku poslal elektronsko sporočilo. V njem se je lepo zahvalil za sodelovanje pri projektu iz prejšnjega meseca, za naslednji mesec pa je v prilogi poslal še prečiščen seznam amandmajev, ki so jih države EU napisale glede osnutka odločitve »17/1«. Elektronsko sporočilo s čisto navadno priponko, ki je bilo opremljeno z vsemi relevantnimi osebnimi podatki, vključno s številko mobilnega telefona, ni vzbujal nobenega suma. A priponka vendarle ni vsebovala le navadnega teksta. V njem je bil še izredno majhen program znotraj teksta, ki se je po kliku namestil na računalnik. Program je nato zrasel, »poklical« je »domov« in naložil še dodatne komponente. Resnični avtor elektronske pošte je po tem dobil napadeni računalnik popolnoma pod svoj nadzor. Lahko je bral klike po tipkovnici in pridobil gesla, lahko je kopiral interne dokumente in podobno.

Na ministrstvu za notranje zadeve (MNZ) so nam pojasnili, da podrobnosti glede takšnih napadov na zaposlene v slovenskih državnih ustanovah zaradi »varnostnih razlogov« ne želijo še dodatno izpostavljati, »pretežno gre za primere, ko ciljna oseba prejme elektronsko pošto, ki je povezana z njegovim delom. Kot pošiljatelj je navadno naveden ravno tisti, s katerim običajno komunicira«. Napadalec mora torej že pred tem zbrati precej podatkov o žrtvi. Z njo se mora ukvarjati kar nekaj časa, vedeti mora za časovnico internih sestankov, pridobiti mora prave osebne podatke. Kdo ima zmožnosti in interes za kaj takšnega? V vseh ugotovljenih primerih »ugrabitve« slovenskih uradnih računalnikov je analizo opravil odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT. Samo lani so si napadalci na podoben način za tarčo zbrali »nekaj deset« zaposlenih v slovenskih državnih ustanovah, med drugim na zunanjem ministrstvu in ministrstvu za finance. In kaj so v SI-CERT-u ugotovili?

Kibernetska vojna: samo lani so napadalci iz Kitajske poskušali ciljano ugrabiti nekaj deset slovenskih, »uradnih« računalnikov, večinoma tistih na misijah OZN in EU.

Vodja centra Gorazd Božič odgovarja, da doslej obravnavani primeri takih napadov na zaposlene v slovenskih državnih ustanovah sledijo podobnemu vzorcu. Gre večinoma za zaposlene, ki sodelujejo v delovnih skupinah EU ali drugih mednarodnih ustanovah, kot so OZN. Ciljana oseba prejme elektronsko pošto, ki je povezana z njegovim delom, pri čemer je kot pošiljatelj pogosto naveden ravno tisti, s katerim običajno komunicira. Vsebina elektronske pošte se recimo nanaša na sestanek ali zadnje poročilo o neki zadevi, sporočilu pa je priložena priponka. »Običajno se uporabljajo PDF ali Microsoft Office dokumenti, ki so posebej skonstruirani tako, da bodisi izkoriščajo neko varnostno ranljivost programa ...« dodaja Božič. Avtorja zgoraj omenjenega primera v SI-CERTU-u sicer niso odkrili, so pa odkrili, s kom programčki komunicirajo: »V vseh primerih do sedaj smo lahko sklepali, da gre pri podtaknjeni kodi za lokacijo, ki je blizu računalniškim omrežjem na Kitajskem,« pravi Božič. Včasih je to Hongkong, drugič pa vir leži kar v omrežju kitajskega nacionalnega telekomunikacijskega operaterja.

Bivši analitik ameriške vohunske agencije NSA Edward Snowden je pred dvema mesecema razkril, da so na podoben način ZDA vdrle v informacijski sistem Evropske unije. V sistem so vdrle prek predstavništva unije v Washingtonu in tako dobile dostop do internih dokumentov, elektronske pošte in celo razprav v konferenčnih sobah. Poleg tega so posamezne države EU »napadli« tudi v Bruslju. Prisluškovali so Svetu EU, oziroma stavbi Justus-Lipsus, v kateri imajo predsedniki vlad in ministri vsake države svoje prostore, telefone in internetne priključke. Tudi zaradi teh razkritij bomo v Sloveniji kmalu dobili posebni nacionalni organ za kibernetsko varnost. Na ministrstvu za izobraževanje, znanost in šport, kjer nastaja strateški dokument na to temo, pravijo, da bo »glede na veliko povečanje števila varnostnih incidentov v preteklosti in na njihovo pričakovano rast tudi v prihodnje potrebna znatna krepitev operativnih zmogljivosti«. Začela se je torej kibernetska vojna med ZDA, Evropo in Kitajsko. A vsi ti primeri nazorno kažejo še nekaj drugega. In sicer kako nemočni in nadzorovani postajajo na drugi strani navadni državljani.

Kaj je še ostalo od naše zasebnosti v informacijski družbi? Prva večja afera tipa »Snowden« je izbruhnila pred sedmimi leti. Imenovala se je afera Swift. Swift je mednarodna institucija s sedežem v Bruslju, s pomočjo katere praktično vse banke sveta izvajajo medbančna denarna nakazila. Evropska javnost je tedaj izvedela, da so ZDA od leta 2001 od omenjene družbe, ki je informacijska hrbtenica svetovnih financ, dobivale podatke o vseh transakcijah. Ker bi naj takšna izmenjava podatkov kršila v Evropi uveljavljene pravice do zasebnosti, je EU leta 2010 z ZDA sklenila sporazum o dostopu do teh podatkov. Sporazum Swift od tedaj ZDA dovoljuje dostop do podatkov ob predhodni utemeljitvi zahteve, nad spoštovanjem sporazuma pa bdi evropski policijski urad Europol. Predsednica nadzornega odbora v Europolu je slovenska informacijska pooblaščenka Nataša Pirc Musar, ki je o spoštovanju sporazuma Evropskemu parlamentu poročala pred tremi meseci. Kaj pravi? Dejanska praksa je veliko razočaranje, trdi. Izmenjava podatkov gre »popolnoma mimo načela sorazmernosti«, saj bi Europol moral vsakič preveriti, zakaj ZDA potrebujejo podatke, »v resnici pa vsak mesec ZDA pošljejo novo prošnjo za pridobitev podatkov za prejšnji mesec, Swift pa nato na podlagi odobritve Europola že tri leta v Ameriko pošilja prav vse. Kljub sporazumu se torej ni spremenilo prav nič,« pravi.

Vsaka država ima svojo ustavo in vsaka ustava državljanom zagotavlja pravico do zasebnosti. Zagotavlja jo slovenska ustava v 37. členu, ki govori o pisemski tajnosti, in zagotavlja jo tudi ameriška ustava v svojih desetih amandmajih (Bill of Rights). Obveščevalnih služb ti členi ne zavezujejo, češ da te službe vdirajo v zasebnost tujih državljanov, četudi ti komunicirajo z domačini. Primer Snowden je razkril celoten obseg takšnega vohljanja danes. Ameriška NSA, kjer je zaposlenih okrog 40 tisoč uslužbencev, »snema« približno 75 odstotkov internetnega prometa, od poslanih e-sporočil do objavljenih komentarjev na Facebooku. Te podatke hranijo od treh dni (celotna vsebina) do pet let (povzetke). Res je, da lahko NSA to počne le v mednarodnem prometu. A strežniki Googla, Facebooka, Appla, Skypa, Yahooja, Microsofta in drugih internetnih gigantov so danes razporejeni po vsem svetu, zaradi česar tradicionalna delitev na notranjo in mednarodno komunikacijo ni več mogoča. To so konec koncev priznali v sami NSA. A nekaj podobnega velja tudi za obe slovenski obveščevalni službi, za Sovo in vojaško obveščevalno službo (OVS).

Pred afero Snowden smo imeli afero Swift. Kljub viharju se ni zgodilo nič. Že tri leta EU v Ameriko pošilja podatke o vseh bančnih transakcijah, ne da bi ZDA to utemeljile.

Sova in OVS imata v Sloveniji na vseh mednarodnih optičnih vodih priklopljene majhne sive škatle, t. i. optične delilnike, visoke okrog štiri centimetre in dolge približno 30 centimetrov, s pomočjo katerih se slovenski telekomunikacijski promet enosmerno »prekopira« na njihove računalnike. Po naših informacijah je vsaj eden izmed teh optičnih delilnikov nameščen tudi v t. i. vozlišču SIX (Slovenia Internet Exchange) v središču Ljubljane, ki je namenjen izključno izmenjavi internetnih podatkov med slovenskimi ponudniki internetnih storitev in ne mednarodnim zvezam. V skladu z zakonom lahko sicer direktor Sove z odredbo dovoli posebne oblike pridobivanja podatkov zgolj »o spremljanju mednarodnih sistemov«, za vse ostalo pa mora Sova zaprositi za dovoljenje predsednika vrhovnega sodišča. Načeloma bi torej Sova takšno napravo v centru Ljubljane za spremljanje notranjega prometa potrebovala le redko. Leta 2004 je sodišče Sovi dovolilo notranji nadzor 20-krat, leta 2005 pa 10-krat.

Kako pa je s Sovinim spremljanjem mednarodnih zvez? Na naše vprašanje, koliko odredb o spremljanju mednarodnih zvez direktor Sove podpiše na leto, nam je novi direktor Sove Stane Štemberger odgovoril, da so »podatki o številu izdanih odredb direktorja Sove o uporabi posebnih oblik pridobivanja podatkov za leta 2008, 2009, 2010, 2011 in 2012 tajni v skladu s predpisi, ki urejajo ravnanje s tajnimi podatki«. Njegov odgovor je sicer zavajajoč. Evropsko sodišče za človekove pravice je namreč junija letos v podobnem primeru, v katerem je neka srbska nevladna organizacija (YIHR) takšne podatke zahtevala od srbske obveščevalne službe (BIA), razsodilo, da prikrivanje teh podatkov pomeni kršitev 10. člena konvencije o človekovih pravicah, ki govori o pravici do informiranosti. In drugič, Sova je te iste podatke objavila na svoji spletni strani, kjer so še vedno, in sicer zadnjič leta 2009 za leta od 2003 do 2007. Na Sovi pravijo, da se lahko direktor sam odloča, kdaj bo objavil katere statistike, na podlagi ocene možnih škodljivih posledic ...

Spremljajo vse: Sova lahko mimo sodišč spremlja le mednarodni promet. Toda danes je vsa notranja slovenska komunikacija večinoma povezana s strežniki v tujini.

Ti podatki in podatki, ki sta jih pred leti od Sove pridobila sedanji vodja protikorupcijske komisije (KPK) Goran Klemenčič in Matej Kovačič, ki je danes na KPK kot analitik pristojen za informacijsko varnost, razkrivajo, da na leto direktorji Sove izdajo okoli 300 takšnih odredb. Vendar pa danes komunikacij ni mogoče več tako enostavno ločiti na notranje in mednarodne. Kot poudarja Kovačič, del notranjega prometa poteka prek mednarodnih povezav. Značilen primer je bil, se spominja Kovačič, ko je pred leti izmenjava internetnega prometa enega večjih slovenskih operaterjev z ostalimi slovenskimi operaterji potekala prek Avstrije. Poleg tega danes ogromni del notranje komunikacije – npr. elektronska pošta med slovenskimi uporabniki gmaila – poteka prek strežnikov v tujini in je zaradi tega ta promet formalno spet »mednarodni«. A tukaj je še druga zanka. »Če varnostno-obveščevalne službe ne morejo pridobiti podatkov o lastnih državljanih zaradi domače zakonodaje, gredo lahko ven, do partnerskih agencij, kjer je zakonodaja, tako kot naša, do podatkov, pridobljenih na mednarodnih zvezah, ’izven’ ozemlja države, bolj ohlapna. Tako si med seboj pomagajo. Mi na primer pomagamo Nemcem, Nemci nam in tako naprej,« pravi Nataša Pirc Musar, ki pravkar izvaja inšpekcijski nadzor nad delovanjem Sove, prvi takšne vrste. In znotraj EU je seveda sodelovanje med obveščevalnimi službami in s tem izigravanje zakonodaje še posebej intenzivno.

Tako kot ameriška NSA tudi slovenska Sova »snema« večji del slovenskega informacijskega prometa. Že leta 2009 je zaradi afere Janša-Sanader na pravosodnem ministrstvu nastal osnutek novega zakona o Sovi, s katerim bi ta kaos uredili. Tisti zakon je predvideval, da bi lahko direktor agencije odredil »strateški nadzor mednarodnih elektronskih komunikacijskih omrežij«, s katerim bi lahko Sova za največ šest mesecev v informacijskem toku sledila določeni zadevi, medtem ko bi prestrezanje informacij med določljivimi posamezniki oziroma »priključki« lahko Sova spremljala le na podlagi pisne odredbe sodnika vrhovnega sodišča. Iz pravosodnega ministrstva so nam odgovorili, da sprememba zakona o Sovi ni vključena v program dela vlade Alenke Bratušek in da je ustavno sodišče leta 2007 in 2009 v dveh sklepih odločilo, da aktualni zakon ni neustaven. A v resnici je ustavno sodišče v obeh primerih zadevo zavrglo iz proceduralnih razlogov. Saj da oba pritožnika, predsednik vrhovnega sodišča Franc Testen in informacijska pooblaščenka Nataša Pirc Musar, naj ne bi imela »aktivne legitimacije«.

Kako skokovito in nenadzorovano se tudi v Sloveniji širi nadzor nad zasebnostjo državljanov, kaže že uradna policijska statistika. Leta 2003 je policija v letnem poročilu zabeležila 168 primerov nadzora telekomunikacij s prisluškovanjem in snemanjem in skupaj 801 primer uporabe prikritih preiskovalnih ukrepov. Lani je policija pridobila sodne odredbe za izvedbo že skupaj 1909 prikritih preiskovalnih ukrepov, od tega 953 odredb za pridobitev podatkov o prometu v elektronskem komunikacijskem omrežju, piše v poročilu. A to so zgolj »formalne« odredbe. Letos so v policiji končno priznali, da so leta 2004 in potem leta 2009 kupili dva IMSI-catcherja. To sta napravi, s katerima je v neposredni okolici mogoče identificirati mobilne telefonske številke, ugotoviti lokacijo teh naprav, s kom se uporabniki naprave sestajajo in podobno. Uporaba teh naprav ni zgolj sporna in v slovenskem pravnem redu nedorečena. Še več, policija sama uporabo teh naprav ne razume kot izvedbe »prikritih preiskovalnih ukrepov«, za katere je treba pridobiti odredbo sodišča, temveč menijo, da je dovolj, če jim uporabo naprave odobri že tožilec. Statistike o pogostosti njihove uporabe seveda ni.

Kljub odločbi Strasbourga novi direktor Sove Stane Štemberger ne želi razkriti števila odredb, s katerimi so v zadnjih letih v Sovi prisluškovali znotraj in zunaj Slovenije.

Slovenska policija si je v zadnjih desetih letih postopno priborila vse več pooblastil. Z letošnjim letom je denimo začel veljati nov zakon o elektronskih komunikacijah, ki določa, da morajo mobilni operaterji po novem 14 mesecev hraniti tudi podatke o lokaciji opravljenih telefonskih klicev, do katerih je seveda upravičena tudi policija. Ob poplavah v Železnikih leta 2007 je policija prišla do nove zamisli, ki so jo medtem ravno tako že uzakonili. Danes lahko policija locira pogrešane osebe brez odredbe sodišča, če domneva, da sta ogroženi njihovo življenje in telo. V novem zakonu o pooblastilih policije, ki je začel veljati januarja letos, je policija dobila celo pravico, da sama izbira in uporablja »tehnična« sredstva za na primer identifikacijo oseb. V uradu informacijske pooblaščenke menijo, da je člen napisan tako široko, da bi si policija lahko omislila prosto uporabo stalnega avdio- in videonadzora, avtomatskega prepoznavanja obrazov in vozil, podtikanja GPS-naprav in tudi t. i. RFID-bralnikov, s katerimi je mogoče brez dotika, na daljavo, prebrati npr. biometrične podatke v potnih listih. In končno, v sklopu sprememb zakona o kazenskem postopku, ki je še v vladni proceduri, želi policija razširiti uporabo t. i. prikritih preiskovalnih ukrepov na tretje osebe. Želijo na primer prisluškovati tako rekoč kateremukoli nedolžnemu človeku, ob domnevi, da bi jih metoda lahko vodila do osumljenca.

O tem, kaj se dogaja z našo informacijsko zasebnostjo, sicer največ vedo skrbniki slovenskih širokopasovnih optičnih povezav, po katerih danes teče celoten internetni in telefonski promet. In sicer s hitrostjo tudi do 40 gigabajtov na sekundo. Na enem od vozlišč, kjer ima tudi Slovenska obveščevalna služba priklopljen svoj anonimni optični razdelilnik, so zaradi vzdrževanja optični kabli označeni z majhnimi, belimi nalepkami. Na tistih optičnih vlaknih, ki tečejo naprej, k Sovi, piše »kmetija«. Zakaj?« vprašamo. Ker so »na kmetiji snemali resničnostni šov po vzoru Velikega brata«, izvemo. Res je, slovenski člen ustave, ki državljanom zagotavlja »pisemsko« tajnost, je lahko danes le še tarča posmeha. Marsikdo se je v zadnjih mesecih morda lahko zgražal nad obsežnostjo ameriškega nadzora nad komunikacijsko zasebnostjo, kot ga je razkril bivši agent NSA Edward Snowden. A niti v Sloveniji ni mogoče najti posebnega indica, da je tukaj kakorkoli drugače. Ni ovir, ne tehnoloških ne formalnih, da uradni organi ne bi snemali in analizirali naših elektronskih življenj.