Как выявить закупки государством технологий слежки за гражданами

В июне парижский суд предъявил обвинение четырем топ-менеджерам двух компаний, занимающихся технологиями наблюдения, вменив им соучастие в пытках в Ливии и Египте. Это произошло после выхода журналистских расследований о том, что компании якобы продавали свои технологии репрессивным режимам. После падения режима Муаммара Каддафи смелые зарубежные корреспонденты Wall Street Journal пробрались в покинутый центр службы наблюдения в Триполи и выяснили, что Ливия импортировала шпионские технологии. Еще один журналист, Оливье Теске из французской газеты Télérama, проанализировал экспортные лицензии и государственные контракты, и подготовил расследование о продаже шпионского ПО египетскому режиму Ас-Сиси.

Global Investigative Journalism Network рассказывает как выявить государственные закупки шпионских технологий.

Новая интерактивная платформа Digital Violence, созданная британской группой Forensic Architecture, рассказывает о правительственных атаках на диссидентов, журналистов и группы гражданского общества с использованием импортного коммерческого шпионского ПО. Иллюстрация предоставлена Forensic Architecture

Обе замешанные в этих делах компании — Amesys и Nexa Technologies — отрицают обвинения. Однако для «сторожевых псов» в области слежки эти случаи лишь подчеркивают опасность мирового ажиотажа в сфере приобретения технологий цифрового мониторинга и перехвата, а также необходимость общественного контроля и подотчетности в этой области. Во всем мире звучат тревожные сигналы о том, что авторитарные правительства приобретают самое современное шпионское ПО для осуществления репрессий, а демократические правительства развертывают инвазивные технологии слежения под предлогом борьбы с преступностью, заботы о национальной безопасности или отслеживания COVID-19.

В этой отрасли вращаются миллиарды долларов, работают десятки технологических компаний, замешаны государственные органы, совершаются тайные сделки — всё это с далеко идущими последствиями для прав человека, неприкосновенности личной информации и способности журналистов защищать свои конфиденциальные источники.

Как журналистам-расследователям узнать, какие именно средства их правительства покупают на теневом рынке технологий слежения, и не злоупотребляют ли они этими цифровыми инструментами для осуществления репрессий или дискриминации?

Правозащитные группы уже проделали значительную работу по оценке распространения этих технологий по всему миру. В июле британское исследовательское агентство Forensic Architecture в партнерстве с Amnesty International и Citizen Lab запустило мощный интерактивный инструмент — платформу Digital Violence, которая отображает продажи пресловутого шпионского ПО Pegasus органам разных государств. Платформа позволяет проследить связь между развертыванием этой системы, способной тайно извлекать данные о звонках, электронную почту и контакты из зараженного телефона, с цифровыми атаками на правозащитников и журналистов по всему миру и даже с некоторыми последующими случаями физического насилия.

В интервью GIJN репортеры-расследователи и исследователи технологий слежения говорят, что, несмотря на секретный характер этих сделок, их следы часто находятся у всех на виду. Отчасти это связано с хроническим отсутствием регулирования в области технологий наблюдения, поскольку частные поставщикам хочется открыто рекламировать свою продукцию. Есть и более тревожная причина: среди авторитарных лидеров бытует мнение, что сама осведомленность публики об этих технологиях может привести к самоцензуре — а именно к этому они и стремятся.

Некоторые государственные закупки технологий слежения вполне законны и предназначены для борьбы с преступностью; другие же являются незаконными и предназначены для преследования диссидентов и журналистов, или представляют собой комбинацию того и другого. В любом случае журналисты должны уметь оценить, кто и чем располагает.

Материал Теске был выполнен по классическому расследовательскому подходу. Просматривая сотни страниц материалов проведенного во Франции судебного расследования о продаже шпионского ПО в Ливию в 2013 году, он заметил, что один из сотрудников компании упомянул «Египет», и связал это упоминание с электронной перепиской руководства в приложении к другому отчету. Теске обнаружил, что компания без огласки сменила название системы шпионского ПО на «Cerebro» и, похоже, продолжала продавать ее репрессивным правительствам, несмотря на обвинения в злоупотреблениях в Ливии.

«Я понял, что это постоянный бизнес: через ту же самую материнскую компанию в Объединенных Арабских Эмиратах они продали режиму Ас-Сиси ту же систему, что и Каддафи», — утверждает Теске в интервью GIJN.

Затем опытный репортер-расследователь обнаружил, что некая французская компания подала заявку на получение экспортных лицензий на продажу технологий перехвата десяткам иностранных государств. Он также получил копии закупочных контрактов, которые — облегчая задачу поиска другим журналистам — показали, какими формулировками пользуются государства, заключающие контракты на технологии слежения. Пример такой формулировки: «Предоставление услуг по внедрению системы перехвата IP для борьбы с терроризмом и другой преступной деятельностью».

На сегодняшний день случаи корпоративной ответственности за злоупотребления, связанные с экспортом технологий слежения, чрезвычайно редки.

Комментируя обвинение руководителей Amesys и Nexa, Раша Абдул Рахим, директор Amnesty Tech в Amnesty International, заметил: «Эти обвинения беспрецедентны. Если компаниям, занимающимся технологиями слежения, предоставить полную свободу, они могут способствовать серьезным нарушениям прав человека и репрессиям».

«Этот судебный процесс — важный сигнал для компаний, ведущих бизнес с авторитарными режимами», — говорит Теске.

Где найти следы контрактов на технологии слежения

Элли Фанк, старший аналитик Freedom House, подготовила несколько масштабных отчетов о цифровых угрозах правам человека и подотчетности, включая исследования, показывающие, как государства воспользовались пандемией COVID-19 для слежки за своими гражданами.

Фанк предлагает журналистам искать технологии по четырем ключевым направлениям:

• Цифровое шпионское ПО и технологии мониторинга, позволяющие пользователю скрытно отслеживать сообщения объекта наблюдения или собирать личные данные, передаваемые с его устройств. По словам Фанк, среди таких средств — Pegasus, Hacking Team, Circles и симуляторы узлов мобильной связи — «перехватчики IMSI».
• Технологии, извлекающие данные путем физического соединения с изъятыми телефонами — «универсальные криминалистические устройства для извлечения данных» — например, устройства компании Cellebrite. Недавно правоохранители Ботсваны воспользовались этим цифровым инструментом чтобы поискать в телефонах журналистов сведения о конфиденциальных источниках.
• Слежение на основе искусственного интеллекта, создающее возможность массового мониторинга, например платформы «Безопасные города» Huawei и слежение в социальных сетях.
• Биометрические технологии и программное обеспечение для распознавания лиц, например то, которое используется полицией для идентификации людей в Нью-Йорке, в сочетании с огромным количеством камер наблюдения.

Как правило, компании занимающиеся технологиями слежения, утверждают, что реализуют свою продукцию на законных основаниях, чтобы помочь правительствам в борьбе с преступностью. По утверждению Cellebrite, системы этой компании помогают «защищать и спасать жизни, ускорять осуществление правосудия и обеспечивать конфиденциальность данных». NSO Group, которая продает систему Pegasus, и которая объединилась с болгарской компанией Circles, занимающейся технологиями перехвата, заявляет, что ее цель — «помочь уполномоченным государственным органам… законно решать самые опасные проблемы современного мира». Китайская компания Huawei считает, что ее технология слежения с использованием искусственного интеллекта снижает уровень преступности и повышает общественную безопасность.

Вот несколько советов Фанк по поиску следов новых средств слежения и связанных с ними злоупотреблений:

• «Прошерстите» протоколы судебных заседаний или обсудите с адвокатами те уголовные дела, в которых улики обвинения могли быть получены только с помощью цифрового шпионажа. «Обратите особое внимание на дела с явным указанием на то, что у обвиняемого изъяли телефон, и где есть основания полагать в злоупотреблении властей слежкой — и поговорите с адвокатами», — советует она.
• Обратите внимание на заграничные поездки представителей компаний, которые открыто заявляют, что продают свои технологии слежения только государственным органам. В частности, по материалам исследовательских правозащитных групп, к таким компаниям относятся израильская компания NSO Group и ее дочерняя компания Circles в Болгарии; кроме того, есть компании вроде Cellebrite, утверждающие, что некоторые их продукты предназначены только для государственных органов и исследователей безопасности. «Задайте вопрос: «Зачем они в эту страну приехали?» — говорит она.
• Обратите внимание на курсы по цифровым технологиям, которые проводятся для правоохранительных органов. По словам Фанк, прежде чем во Freedom House обнаружили, что правительство Бангладеш, вероятно, использовало агрессивную технологию мониторинга социальных сетей, стало известно, что пресловутый бангладешский батальон быстрого реагирования прошел обучение в США. В отчете отмечается, что батальон «печально известен нарушениями прав человека, в том числе внесудебными казнями, насильственными исчезновениями и пытками», и что он был оснащен технологиями на сумму 14 миллионов долларов для «оперативного отслеживания того, что они считают слухами или пропагандой».
• Посетите выставки цифровых технологий и поговорите с представителями частных компаний, занимающихся технологиями слежения; также обратите внимание на государственных чиновников, которых вы там встретите. «Поставщики бывают, на удивление, откровенны», — отмечает она.
• В странах, где законом закреплена прозрачность, проверяйте расходы государственного бюджета и информацию о закупках, или делайте запросы публичной информации, и внимательно изучайте формулировки в контрактах на предоставление цифровых услуг. «Обратите внимание на расплывчатые формулировки, такие как «пакет услуг по работе с социальными сетями»», — добавляет она.
• Укрепляйте свои связи с гражданским обществом и организациями активистов, спрашивайте их о возможных попытках целевого мониторинга сообществ. «Есть много организаций и исследователей, которые профессионально отслеживают, как и кем используются эти инструменты», — отмечает она.

Фанк говорит, что ей пока не известны всеобъемлющие интерактивные карты инструментов слежения, которые используются в каждой стране. «Я бы хотела, чтобы такая карта была», — говорит она. Тем не менее, Фанк советует журналистам начать свое исследование со страницы «Страны» ежегодного отчета Freedom House «Свобода в сети», в котором оценивается цифровая свобода в 65 странах. Кликните по названию интересующей вас страны и ищите краткую сводку в категориях C4, C5 и C6.

Краудсорсинговые данные о развертывании шпионских технологий

В рамках США карта технологий слежения, используемых правоохранительными органами, все-таки существует — благодаря проекту Electronic Frontier Foundation (EFF) под названием Atlas of Surveillance (Атлас слежки). В этом интерактивном инструменте около 8000 единиц данных о таких технологиях, как беспилотники, системы автоматического распознавания номерных знаков (ALPR), симуляторы сотовых узлов, и программное обеспечение для распознавания лиц, которые используются в около 3500 правоохранительных учреждениях.

Берил Липтон — в прошлом репортер-расследователь некоммерческого новостного сайта MuckRock, а теперь расследователь EFF — говорит, что редакции СМИ в других демократических странах или отдельных городах могут создавать свои собственные версии Атласа.

База данных Атласа построена на открытых данных, собранных путем краудсорсинга — сетью студентов факультета журналистики и исследователей-волонтеров. Собранные данные затем проверяются на достоверность. Онлайн-инструмент Report Back, разработанный EFF, автоматически отправляет волонтерам небольшие задачи: поиск по отчетности о государственных закупках, о федеральных грантах, в новостных статьях о конкретных технологиях в определенной юрисдикции.

«Большая часть этой информации уже доступна в тех или иных местах, но сбор ее может оказаться слишком утомительным и неподъемным для одной редакции, поэтому целенаправленный краудсорсинг данных весьма полезен», — рассказывает она. «Можно просто искать на правительственных веб-ресурсах по названиям больших поставщиков, например, Cellebrite, или по ключевым словам, к примеру «вышка сотовой связи», и благодаря найденным зацепкам выходить на более подробную информацию. Или, скажем, в презентации компании может обнаружиться текст: «Принимая решение о работе с нами, вы можете пообщаться с нашими клиентами-госучреждениями X и Y».

Вот несколько советов Липтон по выявлению используемого властями шпионского оборудования:

• Если в вашей стране нет законодательства о доступе к публичной информации, направляйте запросы в страны, где такие законы есть. Учитывая многонациональный характер крупных компаний, занимающихся технологиями слежения, и распространенные примеры межправительственного сотрудничества в сфере безопасности, Липтон утверждает, что журналисты из любой точки мира потенциально могут узнать об используемых в их стране технологиях слежения путем поиска по публичным документам в тех странах, где действует законодательство о доступе к публичной информации. Ознакомьтесь с руководством GIJN по использованию законодательства о свободе информации (FOI) или праве на информацию (RTI) по всему миру, а также с руководством IRE по запросам FOI за границей. «Мне хотелось бы, чтобы заграничные журналисты чаще пользовались публичной информацией США — например, чтобы выяснить, чем занимаются компании, работающие в обеих странах», — говорит она. В США запросы FOI доступны не только гражданам этой страны; такая же возможность существует и во многих других странах. В частности, по словам Липтон, воспользовавшись информацией о зарубежных курсах для сотрудников правоохранительных органов по вопросам технологий слежения, можно сделать выводы о том, какие технологии слежения используются в данной стране.
• Отслеживайте политику компаний-поставщиков в отношении продуктов для интегрированного наблюдения, и ищите источники в их внутренних комитетах по этике. В качестве примера Липтон наводит важное заявление компании Axon (ранее — Taser). Эта компания, выполняющая заказы правоохранительных органов, в 2019 году заявила, что «не будет коммерциализировать продукты для сопоставления лиц на нагрудных видеокамерах». Липтон позитивно оценивает этот шаг, и в то же время указывает, что им можно воспользоваться как подсказкой для дальнейшего расследования. «Это заявление подчеркивает, что компании из этой отрасли при желании способны интегрировать распознавание лиц в нагрудные камеры. Если одна компания решила этого не делать, то другие, возможно, это уже делают, или могут внести изменения в политику своей работы», — добавляет она.
• Обращаясь с запросами о госзакупках, запрашивайте также данные проигравших заявок. «Мне нравится запрашивать все заявки на тендерные госзакупки в сфере слежения, в том числе заявки проигравших участников», — говорит она. «Вам может повезти, так как такие компании не имеют в отношении госучреждения практически никаких обязательств. Таким образом, вы можете узнать многое — например, кому еще была продана эта технология».

Контроль за слежкой со стороны правоохранителей

Но как эти технологии используются в реальном мире?

Джон Фасман, цифровой редактор журнала The Economist, недавно работал с полицейскими США и Эквадора в рамках исследования для книги «Мы видим все: свобода и правосудие в эпоху постоянной слежки». Он подчеркивает, что эта книга направлена не против технологий, а скорее в поддержку демократии и регулирования.

Фасман говорит, что технологии слежения часто приобретаются в демократических странах по благородным причинам, но вот их использование — как и последующее использование полученных с их помощью данных — может нести угрозы для гражданских свобод, причем о некоторых из этих угроз могут даже не догадываться в государственных учреждениях, которые пользуются этими технологиями.

«Скажем, автоматическое распознавание номерных знаков или общественный виртуальный патруль [стриминг видео с улиц города, доступный на обычных компьютерах], не делают чего-то такого, что не смог бы сделать в общественном месте обычный полицейский. Однако их вездесущность, легкость и незаметность — вот что представляет опасность», — говорит Фасман. «Я не видел, как используется распознавание лиц, но знаю компании, которые его использовали, в частности в Израиле. «Распознавание лиц беспокоит меня больше, чем, скажем, перехват сигнала мобильной связи, ведь телефон можно оставить дома, а лицо — нет».

Фасман наблюдал за работой полицейских участков Ньюарка, штат Нью-Джерси, и Лос-Анджелеса, штат Калифорния; он также сопровождал полицейских в патрульных поездках.

«На телефонах полицейских установлено приложение ShotSpotter — оно отправляет оповещения, когда на улице слышатся громкие хлопки; в Лос-Анджелесе один из высокопоставленных полицейских был хорошо знаком с этим приложением для выявления потенциальной преступной деятельности», — объясняет он. «Распространенный стереотип выглядит так: полицейский-«ботаник» осваивает новую технологию и объясняет коллегам, как ей пользоваться. Но все было по-другому: я увидел, как обычные полицейские внедряют технологии в свою повседневную работу».

Фасман также наблюдал за работой полицейского управления в Эквадоре — изучал, как полицейские используют китайскую систему ECU-911, которая включает в себя обширную сеть интеллектуальных камер и может отслеживать телефоны граждан. «Поразительный факт: система, без сомнения, использовалась с двойным назначением. С одной стороны, она приносит пользу, так как связывает воедино полицию, скорую помощь и пожарную охрану. С другой стороны, очевидно, что власти могут использовать систему и нежелательным образом — для отслеживания политического инакомыслия», — говорит он.

Фасман советует, как получить доступ для изучения применения технологий слежения:

Если это безопасно, не стесняйтесь обратиться в полицию — скорее всего, в отдел связей с общественностью — с просьбой допустить вас на несколько дней для наблюдения за работой одного из отделений полиции. Во многих странах и городах на такую просьбу ответят отказом, однако Фасман утверждает, что в некоторых случаях можно получить и согласие: «в некоторых отделениях есть желание выглядеть технически подкованными», или же руководство понимает, что это делается для блага общества.

• Войдите в любую общедоступную систему уличного наблюдения вашего региона — в Ньюарке, например, например это Citizen Virtual Patrol (общественный виртуальный патруль) и посмотрите видео с камер, которые доступны и полиции. Так вы получите представление том, какие проблемы с конфиденциальностью при этом возникают.
• Обращаясь с просьбой предоставить вам доступ для сопровождения полицейских на работе, будьте честны, но не слишком откровенны. «Очевидно, ни в коем случае нельзя лгать о том, над чем вы работаете, поскольку в этом случае вы потеряете доверие как журналист», — отмечает Фасман, но при этом предлагает использовать в запросе как можно более расплывчатые формулировки. «Скажите: «Я пишу статью о вашем мнении на эту сложную тему», а не «Я пишу статью о том, какую опасность эти технологии представляют для гражданских свобод». Оба эти утверждения правдивы, но одно из них поможет вам получить положительный ответ, а другое — нет».
• Ищите данные о перехватчиках мобильной связи у внутренних источников или бывших сотрудников. Сопровождая полицейских во время работы, вы, скорее всего, не сможете узнать подробности использования перехватчиков мобильной связи — имитаторов мобильных узлов, перехватывающих международные идентификаторы мобильных абонентов (IMSI), поскольку, как утверждает Фасман, «в полиции придерживаются строгого кодекса молчания» насчет этих систем. Поэтому лучше искать по общедоступным документам, пользуясь подсказками и базами данных групп по защите гражданских свобод — к примеру, картой использования мобильных перехватчиков в США, составленной ACLU, на которой указаны 75 учреждений, у которых есть такие устройства.

Как и когда искать шпионское ПО

Журналисты могут предвидеть закупки технологий слежения на основании отмеченных в прошлом тенденций — например, больших правительственных закупок шпионского оборудования сразу после ослабления санкций. В расследовании The Wall Street Journal о закупках шпионских технологий Ливией было отмечено, что «После того, как международное сообщество сняло торговые санкции, Ливия начала активную закупку технологий слежения».

Эксперты говорят, что одна из самых сложных для обнаружения технологий — это технология, взламывающая телефонную связь, не взламывая сам телефон, особенно система Circles, потому что она не оставляет на телефоне следов вторжения. Этот инструмент использует слабые места в протоколе связи, который используется для маршрутизации вызовов между различными телекоммуникационными сетями. Программное обеспечение способно за считанные секунды определять примерное местоположение телефона, убедив домашнюю беспроводную сеть, что телефон находится в роуминге, и, как сообщается, также может перехватывать звонки и текстовые сообщения.

Как правило, исследователи и журналисты обнаруживали использование продуктов Circles правительствами благодаря открытым инструментам и инсайдерским наводкам.

Однако в прошлом году исследователи из Citizen Lab Университета Торонто обнаружили новый метод: сканирование поисковых систем Интернета вещей (IoT), таких как Shodan и Censys, на предмет цифровых брандмауэров, имена хостов которых содержат доменное имя, указывающее на использование Circles. Путем поиска по доменному имени «trackystem.info» Citizen Lab выявила 25 правительств, которые приобрели системы Circles, и даже конкретные учреждения, которые ими пользуются — причем известно, что многие из этих учреждений нарушают права человека.

Цифровой подход этой группы весьма сложен, но он подробно объясняется в разделе «Выявление следов и сканирование на предмет системы Circles» отчета «Running in Circles».

Правозащитная группа Access Now в настоящее время завершает серьезное расследование приобретения технологий слежения правительствами стран Латинской Америки и Карибского бассейна. Журналисты из этих стран могут ожидать выхода базы данных на сайте Access Now в июле, или напрямую связаться с расследователями.

На недавнем саммите RightsCon, который называют «ведущей конференцией по правам человека в цифровую эпоху», Гаспар Пизану, менеджер по политике Access Now в Латинской Америке, заявил, что отчет был составлен на основании запросов FOI, интервью и корпоративных пресс-релизов.

Пизану рассказал GIJN, что еще одним эффективным инструментом является LinkedIn: на этой платформе журналисты могут находить нынешних руководителей компаний-поставщиков систем слежения для правительств, и что еще важнее — людей, работавших в этих компаниях в недавнем прошлом — и брать у них интервью.

Выступая в одной дискуссионной панели с Пизану, Тьяго Мораес, главный советник Laboratório de Políticas Públicas e Internet (Лаборатория государственной политики и Интернета, или LAPIN), рассказал, что к большому удивлению исследователей, многие дорогостоящие «решения для наблюдения», используемые властями Бразилии, не были приобретены путем традиционных закупок. Иностранные компании передали их безвозмездно, «в рамках пилотных испытаний».

Булелани Джили, исследователь из отделения африканских и афро-американских исследований Гарвардского университета, заметил, что расследование Wall Street Journal 2019 года стало ключевым моментом, когда многим африканским организациям гражданского общества пришлось пересмотреть свое представление о том, что якобы «технологии слежения — это проблема Запада». В этом материале журналисты обнаружили, что полиция привлекала китайских технических специалистов для взлома зашифрованных сообщений лидера угандийской оппозиции Боби Вайна.

В расследовании утверждалось, что после неудачных попыток полиции взломать учетную запись Вайна в WhatsApp, инженеры программного обеспечения Huawei, одной из крупных поставщиков цифровых технологий на рынке Уганды, помогли им проникнуть в чат-группу Вайна, «Firebase Crew». Тогда полиция не дала состояться запланированным митингам оппозиции, а Вайн и несколько его сторонников были арестованы. В материале Wall Street Journal было отмечено, что журналисты «[не] обнаружили доказательств того, что руководство Huawei в Китае знало, одобряло, или давало указания осуществлять» хакерские атаки в Уганде, и приводилась цитата представителя компании, по словам которого Huawei «никогда не занималась хакерской деятельностью».

Джили говорит, что журналистам стоит изучить растущее число льготных кредитов — «чаще всего китайских», предоставляемых правительствам нескольких африканских стран для приобретения технологий слежения.

«Зачем такой небогатой стране, как Уганда, брать у Китая кредит в размере 126 миллионов долларов на покупку системы видеонаблюдения, особенно с учетом того, что наборы данных не показывают прямой корреляции ее использования со снижением преступности?» — спрашивает он.

Масштабы влияния Китая были изложены в прошлом году в свидетельских показаниях Фонда Карнеги за международный мир для правительственной комиссии США. Аналитический центр обнаружил, что правительства 13 африканских стран приобрели передовые китайские технологии слежения — к примеру, систему распознавания лиц Cloudwall в Зимбабве и систему мониторинга граждан «Безопасные города» Huawei в Кении и Уганде.

Французский журналист Теске предупреждает о бурном росте отрасли. «Это, — утверждает он, — только верхушка айсберга».

Автор: Рован Филп (Rowan Philp) – лауреат многих журналистских наград, работавший более чем в двух десятках стран. В течение 15 лет Филп был главным репортером и главой лондонского бюро Sunday Times в Южной Африке. Сейчас он живет и работает в Бостоне; GIJN