Ποιοι θέλουν η χρήση spyware να παραμείνει κρυφή στην Ελλάδα;

Τον Δεκέμβριο του 2022, στον απόηχο των δημοσιογραφικών αποκαλύψεων του inside story και άλλων μέσων για το σκάνδαλο των υποκλοπών, η κυβέρνηση του Κυριάκου Μητσοτάκη ψήφισε έναν νόμο με σκοπό μεταξύ άλλων να φέρει διαφάνεια στην προμήθεια κατασκοπευτικών λογισμικών από το κράτος.

Ο νόμος προέβλεπε την έκδοση, μέχρι τον Μάρτιο του 2023, προεδρικού διατάγματος με τις προϋποθέσεις για την κρατική προμήθεια spyware, τους όρους χρήσης, λίστα με συγκεκριμένα λογισμικά και συσκευές παρακολούθησης που μπορεί να προμηθευτεί το κράτος και δημοσιοποίηση ενημερωτικού υλικού στην ιστοσελίδα της Εθνικής Υπηρεσίας Πληροφοριών για το πώς λειτουργούν τα spyware και τα μέτρα προστασίας έναντι αυτών.

Μέχρι σήμερα, δηλαδή 31 μήνες μετά, όπως προκύπτει από έγγραφα που έχει δει το inside story, απολύτως τίποτα ουσιαστικό δεν έχει γίνει προς αυτήν την κατεύθυνση. Αυτό μπορεί να σημαίνει μόνο δύο πράγματα: είτε ότι η Εθνική Υπηρεσία Πληροφοριών, η Αντιτρομοκρατική και η Αστυνομία τόσο καιρό στερούνται λόγω ολιγωρίας ένα απαραίτητο εργαλείο για την αντιμετώπιση πλήθους σοβαρών εγκλημάτων και κινδύνων για την εθνική ασφάλεια, είτε ότι η χρήση spyware συνεχίζει να γίνεται όπως και πριν: Σε μια παράνομη και ανεξέλεγκτη ζώνη, που βολικά περνά κάτω από το ραντάρ της αρμόδιας εποπτικής ανεξάρτητης Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), που είναι η αρμόδια να ελέγχει αν γίνεται κατάχρηση του μέτρου της άρσης του απορρήτου και αν παραβιάζεται το απόρρητο των επικοινωνιών (και) με spyware.

Σε αυτό έρχεται να προστεθεί και το γεγονός ότι η ΑΔΑΕ πρόσφατα έμεινε ακέφαλη. Ο «ενοχλητικός» για την κυβέρνηση πρόεδρός της, Χρήστος Ράμμος, ο οποίος παρά τα κυβερνητικά προσκόμματα και πιέσεις υπερασπίστηκε σθεναρά τον θεσμικό ρόλο της Αρχής στην υπόθεση των υποκλοπών, υπέβαλε την παραίτησή του από τη θέση στις αρχές Ιουνίου, με τη συμπλήρωση της πενταετούς θητείας του. O υπουργός Δικαιοσύνης Γιώργος Φλωρίδης έσπευσε να κάνει δεκτή την παραίτηση, χωρίς όμως πρώτα να έχει βρεθεί αντικαταστάτης.

Image

Υπενθυμίζεται ότι τα μέλη των συνταγματικά κατοχυρωμένων Ανεξάρτητων Αρχών της χώρας, όπως είναι η ΑΔΑΕ, επιλέγονται από την Διάσκεψη των Προέδρων της Βουλής με αυξημένη πλειοψηφία τριών πέμπτων. Πρόκειται για μια απαραίτητη προϋπόθεση –βάσει Συντάγματος– η οποία καταστρατηγήθηκε την τελευταία φορά, όταν η κυβέρνηση επιστρατεύοντας διάφορα τεχνάσματα, κατάφερε (με τη βοήθεια της Ελληνικής Λύσης του Κυριάκου Βελόπουλου) να αντικαταστήσει κάποια άλλα «ενοχλητικά» μέλη της ΑΔΑΕ, των οποίων η θητεία είχε λήξει, με άτομα τις επιλογής της και να προαγάγει στη θέση του αντιπροέδρου της ΑΔΑΕ τον Γιώργο Μπακάλη, ο οποίος φέρεται να ευθυγραμμίζεται με την κυβέρνηση και επίσης η θητεία του ως μέλος είχε ολοκληρωθεί (η αναβάθμιση είναι ο μόνος τρόπος να παραμείνει σε μια ανεξάρτητη αρχή ένα μέλος του οποίου η θητεία έχει λήξει). 

Στην πράξη λοιπόν, η παραίτηση Ράμμου χωρίς να έχει επιλεχθεί νέος πρόεδρος από το αρμόδιο κοινοβουλευτικό όργανο, θέτει την ΑΔΑΕ υπό τον αντιπρόεδρό της και εκλεκτό της κυβέρνησης.

Ο νόμος του 2022

Ας δούμε αναλυτικά τι προβλέπει συγκεκριμένα για τα spyware ο νόμος 5002 του 2022 με τίτλο «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών»: Για πρώτη φορά με νόμο (άρθρο 13), επιτρέπεται η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια λογισμικών παρακολούθησης. Για να είναι σύννομη και συνταγματική η χρήση των spyware από το κράτος πρέπει η ΑΔΑΕ να μπορεί να ελέγχει τη χρήση τους, όπως κάνει εδώ και χρόνια δηλαδή και με τα συστήματα νόμιμης επισύνδεσης.

Στην περίπτωση των spyware βέβαια η δυνατότητα της ΑΔΑΕ περιορίζεται τεχνικά, αφού τα κατασκοπευτικά λογισμικά μπορούν να μολύνουν συσκευές χωρίς να αφήνουν ίχνη ή σβήνοντας το αποτύπωμά τους. Αυτό δεν συμβαίνει με τα λογισμικά νόμιμης επισύνδεσης, όπου για να το θέσουμε απλά «ό,τι γράφει, δεν ξεγράφει». Έτσι η ΑΔΑΕ μπορεί ανά πάσα στιγμή να ελέγξει αν για κάθε άρση απορρήτου που βλέπει ότι έχει γίνει μέσω του συστήματος που είναι εγκατεστημένο στους παρόχους τηλεπικοινωνιών –και άρα για κάθε συνακόλουθη παρακολούθηση των συμβατικών επικοινωνιών ενός στόχου (μέσω απλής κλήσης από κινητό ή σταθερό, γραπτών μηνυμάτων κ.λπ.)– υπάρχει και τηρείται κατά γράμμα η αντίστοιχη εισαγγελική ή δικαστική απόφαση. Αν ένα σύστημα –όπως το spyware– σβήνει τα ίχνη του, τότε είναι πιθανό να γίνει κατάχρηση π.χ. ανεξέλεγκτες παρακολουθήσεις χωρίς εισαγγελική διάταξη/δικαστικό βούλευμα και χωρίς η ΑΔΑΕ να μπορεί καν να το διαπιστώσει.

Image

Προκειμένου λοιπόν να υπάρχουν δικλείδες ασφαλείας και προστασίας της ιδιωτικότητας αλλά και του συνταγματικά κατοχυρωμένου δικαιώματος του απορρήτου των επικοινωνιών, ο νόμος του 2022 έγραφε πως είναι αρμοδιότητα της (νεοσύστατης) Επιτροπής Συντονισμού για θέματα Κυβερνοασφάλειας να εισηγείται προς την Ολομέλεια της ΑΔΑΕ τον κατάλογο λογισμικών παρακολούθησης. Η ΑΔΑΕ ακολούθως –σύμφωνα με τον ίδιο νόμο– εκδίδει ενδεικτικό κατάλογο με τα λογισμικά παρακολούθησης που μπορεί να προμηθευτεί το κράτος και επικαιροποιεί αυτόν τον κατάλογο κάθε εξάμηνο. Για να το θέσουμε ακόμη πιο απλά, πριν καν προμηθευτεί η Αντιτρομοκρατική, η ΕΛΑΣ και η ΕΥΠ λογισμικά spyware για νόμιμη χρήση, θα πρέπει να έχει διασφαλιστεί ήδη από τις προδιαγραφές τους ότι η ΑΔΑΕ θα δύναται να κάνει ελέγχους σε αρχεία καταγραφής που θα είναι αναλλοίωτα, όπως κάνει τώρα σε παρόχους κινητής και σταθερής, άλλως παραβιάζεται το άρθρο 19 του Συντάγματος.

Στη συνέχεια –γράφει ο νόμος του 2022– εκδίδεται προεδρικό διάταγμα με το οποίο καθορίζονται οι προϋποθέσεις υπό τις οποίες είναι επιτρεπτή η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια spyware για την εκπλήρωση των σκοπών τους, καθώς και επιπρόσθετοι όροι της χρήσης τους. Η ΕΥΠ από την πλευρά της, αναρτά στην ιστοσελίδα της ενημερωτικό υλικό για αυτά τα λογισμικά παρακολούθησης, τον τρόπο δράσης τους και τα μέτρα προστασίας που μπορούν να ληφθούν έναντι αυτών.

Οι αλλεπάλληλες και πολύμηνες καθυστερήσεις

Όπως είδαμε λοιπόν, το πρώτο βήμα πριν φτάσουμε στην κρατική προμήθεια είναι η κατάρτιση μιας λίστας με spyware. Ποιος όμως να φτιάξει τον κατάλογο των λογισμικών παρακολούθησης, όταν η ίδια η επιτροπή που αναφέρεται στον νόμο, δεν είχε καν συσταθεί δύο χρόνια μετά την ψήφισή του;

Η Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας, με αποστολή μεταξύ άλλων τον συντονισμό για την πρόληψη και την αντιμετώπιση κυβερνοεπιθέσεων, στα χαρτιά συστάθηκε με τον νόμο του Δεκεμβρίου 2022.

Στην πράξη όμως έπρεπε να περιμένουμε δεκαπέντε μήνες, μέχρι τον Φεβρουάριο του 2024, ώστε να καθοριστεί με νέο νόμο (5160/2024) η συγκρότηση και η λειτουργία της Επιτροπής. Όπως διαβάζουμε στο άρθρο 19, η Επιτροπή είναι εξαμελής, πρόεδρός της ορίζεται ο προϊστάμενος του Γραφείου Συμβούλου Εθνικής Ασφάλειας της Γενικής Γραμματείας του Πρωθυπουργού και τα μέλη της διορίζονται με απόφαση του αρμόδιου για την εποπτεία της ΕΥΠ μέλους της κυβέρνησης. (Η δε συγκρότησή της έγινε επτά μήνες μετά από αυτόν τον νόμο, στις 10 Σεπτεμβρίου 2024, με απόφαση του υπουργού Επικρατείας Άκη Σκέρτσου).

Στα μέσα Ιουλίου του 2024, ο πρόεδρος της ΑΔΑΕ Χρήστος Ράμμος στέλνει επιστολή εν είδει υπενθύμισης προς τον γενικό γραμματέα Εθνικής Ασφάλειας του πρωθυπουργικού γραφείου, Θάνο Ντόκο (δηλαδή τον επικεφαλής βάσει νόμου της Επιτροπής Συντονισμού για θέματα Κυβερνοασφάλειας). Ο Ράμμος καλεί τον Ντόκο επί της ουσίας να εφαρμόσει όσα προβλέπει ο νόμος του 2022 και επί 19 μήνες δεν είχαν γίνει: Να εισηγηθεί επιτέλους η αρμόδια Επιτροπή στην ΑΔΑΕ τη λίστα με τα κατάλληλα λογισμικά παρακολούθησης ώστε να εκδώσει και η ΑΔΑΕ με τη σειρά της τον δικό της ενδεικτικό κατάλογο.

Image

Άλλοι έντεκα μήνες απραξίας περνάνε για να φτάσουμε στο τώρα και πιο συγκεκριμένα στις 17 Ιουνίου 2025, με τον γ.γ. Εθνικής Ασφάλειας Θάνο Ντόκο να απαντά ότι επί της ουσίας ότι η Επιτροπή Συντονισμού για Θέματα Κυβερνοασφάλειας της οποίας προΐσταται δεν προτίθεται να εφαρμόσει όσα της υπαγορεύει ο νόμος του 2022, που η κυβέρνηση ψήφισε. Συμπτωματικά, την ίδια ημέρα ο υπουργός Δικαιοσύνης Γιώργος Φλωρίδης έκανε δεκτή και την παραίτηση Ράμμου.

Η επιστολή Ντόκου

Στη σύντομη απαντητική επιστολή του –την οποία έχει δει το inside story– ο Γενικός Γραμματέας Εθνικής Ασφάλειας του πρωθυπουργού και πρόεδρος της Επιτροπής Συντονισμού για Θέματα Κυβερνοασφάλειας, απαντώντας εκ μέρους της Επιτροπής, αφού πρώτα κάνει μια τεχνική περιγραφή των χαρακτηριστικών ενός spyware (π.χ. παρέχει στον χρήστη τη δυνατότητα εισβολής σε συσκευή, παρέχει τη δυνατότητα μεταφοράς των δεδομένων υποκλοπής κ.ά) και αντί εισήγησης επί συγκεκριμένων εμπορικών επωνυμιών λογισμικών και συσκευών παρακολούθησης, καταλήγει γράφοντας το εξής:

«Είδη κυβερνο-παρακολούθησης που ακολουθούν τον παραπάνω ορισμό έχουν αναγνωριστεί στην αγορά από διάφορους δημιουργούς και με διαφορετικά ονόματα. Επίσης, η πρόσφατη ιστορία έχει δείξει ότι, όταν στοχοποιούνται/διερευνώνται νομικά τέτοια είδη, μεταφέρονται σε άλλους οργανισμούς ή/και τροποποιούνται ή επανακαθορίζουν την εμπορική τους ονομασία. Συνεπώς η Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας δεν μπορεί να έχει σε πραγματικό χρόνο πλήρη γνώση των σχετικών ειδών και κρίνει ότι δεν έχει πρακτική αξία να γίνει προσπάθεια για απαρίθμηση συγκεκριμένων ονομάτων ειδών».

Αυτό που μόλις διαβάσατε, σε ελεύθερη μετάφραση σημαίνει ότι η Επιτροπή, δια του προέδρου της και στενού συνεργάτη του πρωθυπουργού Κυριάκου Μητσοτάκη, με πρόφαση ότι τα λογισμικά και οι εταιρείες πίσω από αυτά αλλάζουν ονόματα, αρνείται επί της ουσίας να εφαρμόσει όσα ορίζει ο νόμος και με αυτόν τον τρόπο μπλοκάρει τα απαραίτητα βήματα που προβλέπει και ο νόμος, ώστε να υπάρξει επιτέλους διαφάνεια στην προμήθεια spyware όπως το Predator της Intellexa – το οποίο όπως πλέον γνωρίζουμε ήδη στην Ελλάδα χρησιμοποιήθηκε παράνομα κατά δικαστικών και εισαγγελικών λειτουργών, δημοσιογράφων, πολιτικών αντιπάλων της κυβέρνησης όπως και εν ενεργεία υπουργών της, ενός πρώην πρωθυπουργού της ΝΔ, επιχειρηματιών και στελεχών επιχειρήσεων.

Να σημειωθεί επίσης ότι αυτό που περιγράφει ο Θάνος Ντόκος στην επιστολή του, ότι δηλαδή πολλές εταιρείες στον χώρο των spyware αλλάζουν επωνυμίες στα προϊόντα τους ή/και μεταφέρουν τη δραστηριότητά τους σε άλλα νομικά πρόσωπα, παρατηρείται κατά κύριο λόγο σε περιπτώσεις εταιρειών όπως η Intellexa και η NSO που έχουν μπει στο στόχαστρο αμερικανικών κυρώσεων ή έχει διαπιστωθεί ότι έχει γίνει κατάχρηση των spyware που εμπορεύονται από κυβερνήσεις-πελάτες και αναγκάζονται να κάνουν rebranding.

Οι απαντήσεις της κυβέρνησης

Στο πλαίσιο του ρεπορτάζ απευθύναμε ερωτήματα στο γραφείο του Πρωθυπουργoύ Κυριάκου Μητσοτάκη και στον κυβερνητικό εκπρόσωπο Παύλο Μαρινάκη, όπως και στη Γενική Γραμματεία Εθνικής Ασφάλειας.  

Αυτό που θέλαμε να μάθουμε είναι οι αιτίες της μεγάλης καθυστέρησης μέχρι να συγκροτηθεί σε σώμα η Επιτροπή Συντονισμού για θέματα κυβερνοασφάλειας, τους λόγους για τους οποίους δεν έχει εκδοθεί ακόμη το σχετικό Προεδρικό Διάταγμα για την προμήθεια και τη χρήση spyware από το κράτος, γιατί δεν έχει συνταχθεί ακόμη λίστα με συγκεκριμένα λογισμικά παρακολούθησης και τι προτίθεται να κάνει η κυβέρνηση ώστε να ξεπεραστεί η άρνηση επί της ουσίας της Επιτροπής Συντονισμού για θέματα Κυβερνοασφάλειας να εφαρμόσει τον νόμο. Ρωτήσαμε επίσης για ποιον λόγο δεν περίμενε η κυβέρνηση τον ορισμό νέου προέδρου στην ΑΔΑΕ από την Διάσκεψη των Προέδρων πριν τεθεί εκτός Αρχής ο μέχρι πρότινος πρόεδρός της και πότε θα συγκληθεί η Διάσκεψη των Προέδρων με θέμα την επιλογή νέου προέδρου της ΑΔΑΕ.

Οι απαντήσεις που λάβαμε από το Μαξίμου συνοψίζονται στα εξής: 

Ο λόγος που υπήρξε η καθυστέρηση από τον Δεκέμβριο του 2022 που συστάθηκε η Επιτροπή Συντονισμού για θέματα κυβερνοασφάλειας έως τον Φεβρουάριο του 2024 είναι εξαιτίας των «ραγδαία εξελισσόμενων προκλήσεων και απειλών σε ζητήματα κυβερνοασφάλειας διεθνώς». Μας κατέστησαν σαφές «ότι απαιτείται ένα ολοκληρωμένο πλαίσιο» γι' αυτά τα ζητήματα κι ότι αυτό το πλαίσιο διαμορφώθηκε με τον νόμο 5086/2024. Με τον ίδιο νόμο συστάθηκε και η Εθνική Αρχή Κυβερνοασφάλειας. Οι επτά επιπλέον μήνες που πέρασαν μέχρι τον Σεπτέμβριο του 2024 ώστε να αρχίσει να λειτουργεί η Επιτροπή Συντονισμού για θέματα κυβερνοασφάλειας οφείλονται στο γεγονός ότι μέλος της είναι και ο διοικητής της νεοσύστατης Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ) και επομένως «απαιτήθηκε ένας εύλογος χρόνος για να είναι αρκούντως λειτουργική η Ε.Α.Κ.». 

Ως προς την άρνηση της Επιτροπής Συντονισμού για θέματα κυβερνοασφάλειας να εισηγηθεί κατάλογο με συγκεκριμένα spyware, το Μαξίμου ουσιαστικά υιοθετεί το σχετικό σκεπτικό που αναφέραμε και πιο πάνω από την επιστολή Ντόκου προς ΑΔΑΕ και στηρίζει επί της ουσίας την ομόφωνη απόφαση της Επιτροπής Συντονισμού για θέματα κυβερνοασφάλειας να μην πράξει όσα ρητά προβλέπει ο νόμος 5002/2022. Η κυβέρνηση δεν φαίνεται να βλέπει κάποιο πρόσκομμα στην όλη διαδικασία από αυτήν την απόφαση, αφού στις απαντήσεις της προς το inside story αναφέρει πως «[...] κρίθηκε ότι ο προσδιορισμός των χαρακτηριστικών τέτοιων ειδών, μπορεί να αποτελέσει πραγματικό εργαλείο για τις προβλεπόμενες βάσει νόμου μετέπειτα ενέργειες».

Ως προς το προεδρικό διάταγμα που ακόμη δεν έχει εκδοθεί και θα περιλαμβάνει τις προϋποθέσεις υπό τις οποίες θα είναι επιτρεπτή η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια λογισμικών ή συσκευών παρακολούθησης, καθώς και επιπρόσθετοι όροι της χρήσης τους, το Μαξίμου απλώς αναφέρει ότι «έχει διαμορφωθεί σχετικό σχέδιο, το οποίο έχει ήδη τεθεί υπόψη τόσο της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών όσο και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα». Στο γιατί ακόμη δεν έχει εκδοθεί δεν λάβαμε απάντηση. 

Σε άλλο σημείο των απαντήσεων σημειώνεται πως «η ΕΥΠ και η Αντιτρομοκρατική Υπηρεσία της ΕΛΑΣ εκπληρώνουν την υψηλή αποστολή τους με τα υπάρχοντα τεχνικά μέσα που διαθέτουν σύμφωνα με το ισχύον νομοθετικό πλαίσιο».

Τέλος, ως προς την αποδοχή της παραίτησης Ράμμου χωρίς πρώτα να έχει τοποθετηθεί αντικαταστάτης στη θέση του προέδρου της ΑΔΑΕ, το Μαξίμου απαντά ότι «η θητεία των μελών των (συνταγματικά κατοχυρωμένων) ανεξαρτήτων αρχών παρατείνεται, κατά το Σύνταγμα, έως τον διορισμό νέων μελών. Τούτο όμως δεν μπορεί να αποκλείσει την παραίτηση των μελών τους. Στην περίπτωση της Α.Δ.Α.Ε. δεν είχαμε απλά τη λήξη της θητείας του Προέδρου της για να παραταθεί αυτή αυτοδίκαια μέχρι τον διορισμό νέου, αλλά ο ίδιος ο Πρόεδρος υπέβαλε την παραίτησή του». Στο ερώτημά μας πότε θα συνεδριάσει η Διάσκεψη των Προέδρων της Βουλής με θέμα την επιλογή νέου προέδρου δεν πήραμε συγκεκριμένη απάντηση. 

Δείτε εδώ αναλυτικά τις απαντήσεις του Μαξίμου.