«Защиты не предусмотрено» и «мордой в пол». Белорусский юрист и иностранные журналисты обсудили, как за ними следят

Pri­va­cy Day — это международная конференция о защите персональных данных и приватности. Она прошла 29 января. Темой шестой конференции стали AI и новые вызовы в приватности. В рамках конференции говорили о бизнесе, обществе, технологиях и журналистике. 

Основной правовой акт, регулирующий в Беларуси слежку за журналистами и не только, — это принятый в 2015 году закон «Об оперативно-розыскной деятельности». В нем перечислены все спецслужбы, являющиеся по закону субъектами оперативно-розыскной деятельности, рассказал заместитель председателя БАЖ Олег Агеев. Слежку и контроль осуществляют восемь структур, из которых две напрямую подчиняются президенту страны. Остальные шесть он контролирует через назначение руководства. 

В законе перечислено 14 оперативно-розыскных мероприятий (ОРМ). Из них девять, по сути, представляют из себя слежку или контроль, которые ведут негласно.  

— Нужно сразу отметить, что в Беларуси в принципе отсутствует как правовое явление такая функция, как судебное разрешение или судебный контроль за оперативно-розыскными мероприятиями. Его просто не существует, — рассказал Олег.  

Виды ОРМ, которые применительны к журналисту:

• оперативный опрос: вызов на беседу и оформление ее в виде протоколов; 

• наведение справок: направление письменных запросов куда-либо;

• исследование предметов и документов; 

• оперативное отождествление. Санкции прокурора на него не требуются, оно проводятся сотрудниками оперативно-розыскных структур самостоятельно;  

• оперативный осмотр жилища. Санкция прокурора не требуется, кроме случае отсутствия собственника;

— То есть, когда в наше отсутствие они вламываются в наши дома, в наши офисы, устанавливают жучки — вот только в этом случае они обращаются за санкцией прокурора. И то — по белорусскому законодательству — это не обязательная форма. Если обосновать срочность проведенного мероприятия угрозой национальной безопасности, можно без санкции проводить с последующим уведомлением прокурора, — уточняет Олег.

• наблюдение или «наружка». Санкция прокурора нужна только при использовании технических средств; 

• проверочная закупка и контролируемая поставка — таким образом «провоцируют» противоправные действия; 

• слуховой контроль, который предусматривает установку технических средств. Санкция нужна, кроме случаев «угрозы национальной безопасности»;

• контроль в сетях электросвязи: преобразование и фиксация сведений с помощью средств негласного получения информации. Санкция прокурора нужна. Можно даже разрывать соединения между абонентами, если это влечет угрозу национальной безопасности; 

• контроль почтовых отправлений. По закону с санкции прокурора силовикам предоставлено право копировать, изымать предметы, документы, компьютерную информацию; 

• оперативное внедрение: проникновение должностного лица или «добровольца» в сообщество с целью получения сведений; 

• оперативный эксперимент: вовлечение лица в созданную обстановку, максимально приближенную к предполагаемой преступной деятельности под контролем сотрудника спецслужб. 

— Проблема заключается в том, что по белорусскому процессуальному законодательству материалы оперативно-розыскных мероприятий могут являться источниками доказательств. Они, как правило, проводятся негласно и каких-то эффективных средств правовой защиты от таких действий спецслужб Беларуси в принципе не предусмотрено. Есть скромная фраза в законе «может быть обжаловано в судебном порядке в соответствии с законодательством», — акцентирует внимание Олег. 

Мой опыт работы адвокатом показывает, что сама структура уголовного преследования такова, что это абсолютно бесперспективно. Человек узнаёт, что он был субъектом ОРМ либо после своего задержания, либо на стадии окончания предварительного расследования перед отправкой дела в суд. Процедуры обжаловать ОРМ в этом случае  просто не существует. 

Из 14-ти  оперативно-розыскных мероприятий шесть не контролируются сверху. Постановления выносят сами сотрудники, а их руководители утверждают. Пять нужно иногда «носить к прокурору», три — надо обязательно, но иногда можно уведомить позже. 

Процедура ОРМ  как минимум является вмешательством в право на приватность, как максимум — нарушает пакет базовых гражданских прав, считает Олег:

— Как в Беларуси осуществляется слежка?  Каких-то ограничений не существует совсем. Такое всевластие спецслужб привело к тотальному контролю. Даже функция прокурорского контроля за деятельностью спецслужб абсолютно неэффективна.

Следят не только за белорусскими журналистами 

В 2023 году тема слежения за журналистами стала еще более актуальной после сообщения о серии атак на российских независимых журналистов с использованием программы шпиона Pega­sus.

В июне 2023 года издатель Meduza.io Галина Тимченко получила уведомление от Apple о том, что на ее IPhone совершена атака, спонсированная государством. Это произошло спустя две недели после признания Meduza.io нежелательной организацией в России.

В сентябре 2023 года случай заражения шпионской программой Pega­sus израильской фирмы NSO Group (NSO Group Tech­nolo­gies, IT-компания, наиболее известная тем, что изобрела шпионское ПО Pega­sus. Против нее подавали в суд What­sApp и Face­book. Десятки правозащитников призывают ввести против нее санкции — БАЖ) подтвердили расследованием Access Now и Cit­i­zen Lab. Это стало первым задокументированным случаем использования Pega­sus против российских журналистов.

— В то же время многие европейские лидеры публично призывали к усилению режима слежки за россиянами, которые находятся в изгнании, — рассказала Анастасия Жирмонт, региональной менеджер по Восточной Европе и Центральной Азии в Access Now. 

Как утверждает Анастасия, Pega­sus спроектирован таким образом, чтобы было практически невозможно установить, какое правительство причастно к слежке. Галина живет в Латвии, а в момент заражения она находилась в Германии на непубличном мероприятии. Access Now подозревает Латвию, но нет признаков того, что Латвия могла бы осуществлять слежку за пределами своей страны. Второй «подозреваемый» — Германия. Также Нидерланды и Эстония могут применять Pega­sus в других странах. По мнению спикера, к слежке могли быть причастны страны Центральной Азии. Что касается России, то нет прямых доказательств того, что эта страна является оператором и клиентом Pega­sus.

— Слежка за журналистами и независимыми СМИ с помощью таких программ, как Pega­sus, нарушает международное право в области прав человека, международное гуманитарное право, европейское законодательство.

Использование сложных инструментов, которые обходят шифрование и получают полный контроль над телефоном жертвы, включая доступ к фотографиям, контактам, к сообщениям, камере и микрофону телефона, предоставляет реальную угрозу для свободы СМИ и для журналистов.

Подобные программы ставят под угрозу возможность осуществлять журналистскую работу и защищать конфиденциальность источников, и ведут к внутренним и транснациональным репрессиям и многочисленным нарушениям прав человека, включая пытки, насильственные исчезновения, даже убийства, — прогнозирует экспертка. 

Представители ООН, Европарламента, европейского инспектора по защите данных осудили использование шпионского ПО против журналистов и правозащитников. Американское правительство включило NSO group и ряд других компаний, которые разрабатывают шпионское ПО, в списки запрещенных организаций. Правозащитники призывают ввести полный мораторий на экспорт, продажу, передачу и обслуживание инклюзивного шпионского ПО установления надлежащих гарантий. Также компании хотят привлечь к ответственности и принудить к прозрачности, и призывают ввести против них санкции.  

Что делать, если все-таки программа была установлена на ваше оборудование? Анастасия Жирмонт считает, если вам пришло сообщение об атаке, обратитесь к экспертам для проверки шпионского ПО.

Сброс до заводских настроек поможет прервать текущую атаку, но не защитит от новых — закупается не количество атак, а количество устройств, на которые их проведут.

Нужно обновлять гаджеты и сократить количество информации на них. Но помните, что чаще всего самостоятельно «заподозрить» атаку невозможно. 

«Поздравляем, у тебя был Pegasus»

Самвел Мартиросян, сооснователь Cyber­HUB из Армении, рассказал об исследовании применения Pega­sus в его стране. Третий год он следит за использованием программы, которая, по его мнению, используется азербайджанскими спецслужбами.

В одном и том же СМИ могут массово заразить руководителя и владельца, редактора и рандомного журналиста. В организациях могут заражать технику не только сотрудников, но и их жен и детей. Известно о сотнях заражений. 

— Всё это страшно, потому что фактически ты даже не можешь контролировать то, что у тебя дома происходит. У твоего девятилетнего ребёнка может быть тоже заражен IPhone, и они слушают то, что говорится вечером дома, — считает Самвел.

Эксперт рассказывает: часто случаются истории, когда сканирование телефона показывает, что заражение техники произошло года полтора как.

— То есть, поезд ушёл: у человека всё выкачали, узнали о нём то, что заказчику надо было. Apple хотя бы присылает письма об атаке. Владельцу такой техники мы после проверки говорим: «Поздравляем, у тебя был Pega­sus. Гаджет заражали три раза вот в этот день, в этот, в этот». А если у человека Android, то шансов узнать, установлена на нем шпионская программа или нет, нету. Она там просто не оставляет следов, — пояснил Самвел.

Сооснователь Cyber­HUB сетует на то, что рынок инструментов для слежения очень большой: есть десятки компаний, распространяющих шпионское ПО. Он уверен, что даже тем заказчикам, у которых нет серьезных денег, доступны подобные программы. Это будут более дешевые варианты, требующие больше усилий по заражению, но всё равно довольно эффективные. Некоторые из них не убиваются перезагрузкой устройства.

— Стоят подобные программы по нашим оценкам $2–3 млн. Этот рынок растет и будет расти, несмотря на санкции. Государства будут ими пользоваться — даже европейские, — считает Самвел. — Мы представления не имеем, насколько серьезные угрозы ждут медийщиков. Даже те, кто исследует эти шпионские ПО, не знают досконально о функционале и не владеют информацией о самых свежих модификациях этих вирусов. Защита журналистов очень серьёзно отстает от технических возможностей тех, кто нападает.

  Как защититься? Советы от Самвела Мартиросяна:

• иметь IPhone либо Android от Google Pix­el — они более защищены; 

• среди ноутбуков лучше всего защещены, по мнению армянского эксперта, Linex;

• постоянно обновлять устройство; 

• включать режим Lock­down на телефоне — но он будет тормозить устройство,

• в случае с Pega­sus нужно перезагружать технику несколько раз в день,

• в случае с другими ПО — периодически сбрасывать телефон к заводским настройкам. 

• пользоваться телефоном с VPN,

• не кликайте на подозрительные ссылки — так убережетесь от более дешевого ПО.

• выполняйте цифровую гигиену: не храните важные файлы в телефоне, установите исчезающие сообщения. 

Следить можно и по закону: как это происходит в России 

Россия осуществляет финансовую слежку за гражданами, используя инструменты Росфинмониторинга. Это ведомство, которое якобы призвано контролировать частоту финансовых операций с целью борьбы с незаконным отмыванием полученных доходов и финансированием терроризма. На практике он видит все операции, которые проходят через российские банки. Также государства могут обмениваться информацией в рамках Берлинской конвенции об автоматическом обмене налоговой информацией. Некоторые из стран с 2022 года отказались обмениваться информацией с Россией. 

— О слежке стало известно, например, из документов из судебных дел о защите иностранных агентов. Организации обращались в суд с оспариванием статуса иностранного агента. Минюст предоставил ссылку на то, что человек получал какое-то иностранное финансирование, рассказала Галина Арапова, основательница Центра защиты прав СМИ, член экспертных групп ОБСЕ Совета Европы по свободе слова. — При соблюдении банковской тайны такие данные не должны были бы быть известны гражданскому ведомству Минюсту. Вероятно, их передал Росфинмониторинг. 

Также большой блок контроля идет через сотовых операторов. С принятием так называемого «пакета Яровой» (два законопроекта, названные по имени одного из авторов, российской юристки Ирины Яровой. Докупенты якобы призваны бороться с терроризмом в стране, но на практике они расширили возможности правоохранителей — БАЖ) мобильные операторы обязаны осуществлять полный контроль за коммуникацией своих абонентов. Они должны записывать, хранить и передавать спецслужбам всю коммуникацию. Контент хранится шесть месяцев, а метаданные — три года. 

Такой подход, по мнению Галины, нарушает право на неприкосновенность частной жизни и ставит под угрозу конфиденциальность коммуникации журналистов.

Некоторые страны используют похожие способы следить за гражданами. 

Как привлечь к ответственности за заражение?

Андрей Захаров, российский журналист-расследователь, рассказал о самых распространённых методах:

• Взломы с перехватом СМС. Ее может перехватить как государство, так и «частник». Чтобы избежать этого, нужно включать двухфакторную аутентификацию.  

• Взлом, чтобы получить биллинги телефона, с помощью дубликата сим-карты.  

• Спам-атаки с перехватом СМС.

• Спам из фишинговых писем.  

— Правда, все советы по цифровой безопасности никак не помогут в ситуации, когда журналисты лежат «мордой в пол», и им в ухо орёт полиция: «Скажи код от IPhone», — считает Захаров.

— В Беларуси подобное — просто массовое явление. Не только при столкновениями с представителями государства (при пересечении государственной границы, в структурах, которые требуют дополнительного контроля на входе): это уже происходит даже на улицах. Часто бывает и дома, с выламыванием дверей, с применением насилия, с угрозой его применения, — подтвердил Олег Агеев. 

Есть ли возможность кого-то привлечь к ответственности за заражение шпионской программой? Эксперты напоминают, что на всех находящихся на территории ЕС распространяется защита по конвенции о правах человека. Исчерпав судебные механизмы защиты внутри страны, можно обратиться в ЕСПЧ или Комитет ООН по правам человека. 

— Всё, что касается Pega­sus, находится на самой ранней стадии правовой работы по кейсу, в том числе Галины Тимченко. Есть несколько дел, которые инициировали в европейском суде наши коллеги по делам, связанным со слежкой за журналистами из Армении. Я думаю, что мы станем свидетелями выработки позицим международных судебных органов в ближайшие несколько лет, — считает Галина Арапова.

А вот Самвел Мартиросян не так оптимистичен. По его мнению, проблема в том, что нарушение прав в данном контексте сложно атрибутировать:

— В киберпространстве очень часто действуют под чужим флагом. Я даже не представляю, как это всё будет решаться. Мы просто вышли на новый технологический уровень. И юриспруденция тут немножко отстаёт.

Читайте ещё:

«Я сумую па сваёй маці…» Больш за паўсотні журналістаў па ўсім свеце знаходзяцца ў закладніках

Запрет иностранных медиа, пропаганда терроризма и дискредитация — что случилось в 2023 году в правовом поле?

СМІ ў Беларусі ў 2023 годзе. Электронны бюлетэнь БАЖ