Напоследък темата с незаконните подслушвания пак става актуална. Затова ще обобщя информация за методите за подслушване, които са на разположение на държавните органи, а част от тях – и на частни субекти.
Започвам с уточнението, че подслушването може да бъде законно, за целите на наказателното преследване при тежки престъпления и на защитата на националната сигурност, а Конституцията го разрешава в определени от закона случаи. Частните субекти, обаче, не трябва да могат да използват нито един от долните механизми, поради липсата на какъвто и да било контрол. Ето възможните начини:
1. Подслушване чрез технически устройства, напр. чрез поставяне на подслушвателно устройство в кабинет/жилище; насочени микрофони към прозорец; записващи устройства, носени от лица (напр. свидетели) (чл. 6 от Закона за специалните разузнавателни средства)
2. Прихващане на телефонни разговори и съобщения чрез фалшива мобилна клетка в близост до мобилното устройство (отново приложим е чл. 6 от ЗСРС)
3. Подслушване на смартфон чрез шпионски софтуер като Pegasus или Predator (също предполагам приложим е чл. 6 от ЗСРС)
4. Подслушване на телефонни разговори и съобщения чрез прихващащи интерфейси в ДАТО и ДАНС, които се „закачат“ директно към телекомите (чл. 304-310 от Закона за електронните съобщения)
Подслушвателните устройства са дълга тема, която не засяга мобилните устройства, за разлика от останалите три, затова ще я оставия настрана.
Прихващане на мобилна комуникация чрез фалшива клетка (т.нар. cell-site simulator / IMSI-catcher / Stingray) е нещо, от което не можем да се предпазим, но можем да засичаме по косвени белези (поради което наскоро споделих едно приложение, което с екип доброволци разработваме). Ако си изключим 2G поддръжката от телефона, тези атаки стават по-трудни и започват да разчитат на изтичане на криптографски ключове от телекоми. Дали това се случва в България – не знам.
Подслушването със шпионски софтуер е скъпо, поради което само цели с много висок интерес биха попаднали в обхвата му. Там има два вида атаки: 0-click (когато просто ти „превземат“ телефона без да разбереш, но които не винаги работят, защото 0-click уязвимостите са рядкост) и 1-click (които разчитат на това жертвата да натисне линк). Не ми е известно българската държава да използва такъв софтуер, но има слухове за частни клиенти. Двата популярни (Pegasus и Predator) са в черните списъци на САЩ, а лица, свързани с тях влизат в санкционни списъци. Тук интересното е, че дъщерно дружество на NSO Group (производителят на Pegasus) функционира в България и изнася софтуер и хардуер за подслушване към трети страни, с разрешения от съответния държавен орган, а санкционирани лица покрай Predator имат/са имали фирми в България.
Последният начин е най-лесен за службите – т.нар. законно прихващане (legal interception) включва задължение на всеки оператор да предостави „прихващащ интерфейс“ към службите (ДАТО и ДАНС), които, образно казано, могат да започнат да слушат разговорите и sms-ите на всеки, чийто телефонен номер бъде въведен „в системата“, като телекомите не получават информация за това. Това е уредено в чл. 304 до 310 от Закона за електронните съобщения в далечната 2007 г. Този подход не може да бъде засечен и по косвени белези, както фалшивата клетка. Това засяга единствено гласовата комуникация и не може да се използва за криптирани приложения като Signal.
Законът приравнява това прихващане на специално разузнавателно средство, т.е. за да се извърши, трябва или предварително разрешение от съд, или в случаи на неотложност – одобрение в рамките на 24 часа след започване. Т.е. на теория, имаме защита срещу неправомерно подслушване по този начин. Това, обаче, има две слабости.
Първата е, че разрешенията за СРС се дават от дежурен административен ръководител или негов заместник, т.е. доста е ограничен кръга на лицата, които разрешават, а те пък се избират от Висшия съдебен съвет. Т.е. ако имаш влияние върху административните ръководители, имаш и бланкетни, понякога незаконосъобразни разрешения за подслушване.
Втората е, че в живия живот правилата и реалностите се разминават. Ако има техническа възможност да подслушаш нечии разговори, е необходим значителен контрол, за да го правиш винаги само със съдебно решение, особено ако това след това няма да се ползва за целите на наказателното преследване, а за компромати и изнудване.
Това означава, че трябва да има пълна проследимост, с невъзможност за изтриване на следи, на всяко „включване“ на прихващащите интерфейси, където номера на разрешението на съда да е задължителен параметър. Освен това трябва да има външен контрол, който по принцип се осъществява от Националното бюро за контрол на СРС. То контролира прилагането на всички СРС-та, но пък няма правомощия по Закона за електронните съобщения, поради което съм изпратил запитване дали и как осъществяват външния контрол върху тази процедура. Припомням, че освен Пеевски, санкции по Магнитски получи и Илко Желязков, известен като един от „лейтенантите на Пеевски“ – до освобождаването му след попадането му под санкциите, той е бил заместник-председател на бюрото за контрол (или вероятно, в неговия случай, за „замитане“).
Отделно от това зададох писмен въпрос на премиера Главчев (който отговаря и за двете агенции – ДАТО и ДАНС), какви вътрешни механизми за предотвратяване на злоупотреби се прилагат. Защото ако тези механизми не работят, или могат да се заобикалят по някакъв начин, и някой (напр. Пеевски), има влияние върху ключови служители в някоя от двете агенции, то това би значело, че има устойчив източник на компромати, с които да увеличава влиянието си в законодателната, изпълнителната и съдебната власт.
Отговорите от Главчев и от бюрото за контрол на СРС ще пристигнат вероятно следващата седмица, като ще ви информирам за това дали има адекватен вътрешен и външен контрол върху прихващането по Закона за електронните съобщения. С цялата получена информация – както сега, така и покрай убийството на „Нотариуса“, ще поправим дупките в законите, които позволяват злоупотреби с подслушване.
Материалът Законно и незаконно подслушване и мерки за контрол е публикуван за пръв път на БЛОГодаря.