SlideShare a Scribd company logo

ki_orzi_az_orzoket_rovdebb.ppt

Download as PPT, PDF
0
064ChetanWani

Pegus spyware

Education
1 of 33
Dr. Péterfalvi Attila NAIH elnök, c. egyetemi tanár Ki őrzi az őrzőket? A titkos információgyűjtés adatvédelmi megközelítése a "Pegasus-ügy" tanulságai alapján Budapest, 2022.05.23.
1. • a Direkt36 hírportál: „Lelepleződött egy durva izraeli kémfegyver, az Orbán- kormány kritikusait és magyar újságírókat is célba vettek vele” • „Évekkel ezelőtt elkezdték használni magyar célszemélyek ellen is az NSO nevű izraeli kibercég okostelefonok feltörésére alkalmas kémprogramját, a Pegasust, és a célpontként kiválasztott emberek között voltak tényfeltáró újságírók, valamint médiacégeket is tulajdonló vagyonos üzletemberek, illetve az ő szűkebb környezetük is – derítette ki a Direkt36 egy nemzetközi tényfeltáró projekt részeként. A kutatás során számos olyan közvetett bizonyítékot is találtunk, amelyek arra utalnak, hogy a titkos megfigyelések mögött magyar állami szervek állnak. • Július elején a tényfeltáró projektben részt vevő francia Le Monde újságírója egy interjúban megkérdezte Varga Judit igazságügyi minisztertől, hogy megadná-e a felhatalmazást egy újságíró vagy ellenzéki személy megfigyelésére, mire Varga felháborodottan azt válaszolta: „Micsoda kérdés! Ez önmagában provokáció!” Varga azt állította, hogy csak a jogszabályoknak megfelelő megfigyelési kérelmek kaphatnak engedélyt, és azt is hozzátette, hogy „annyi sok veszély leselkedik az államra mindenhonnan”. Bevezetés Médiában megjelent hírek
I. A Pegasus szoftver bemutatása 2.
A Pegasus kémprogramot az Izraelben működő NSO Group alkotta meg. Az NSO Group: • a kiberhírszerzés területén működő, általában „Surveillance-For-Hire” vállalatnak tekintett szervezet, • amely megfigyelési technológiákat fejleszt, illetve • megfigyelési infrastruktúrát épít fel és ad bérbe ügyfelei, jellemzően nemzetállamok és kormányok részére 3.
A Pegasus és az NSO által épített infrastruktúra működése evolúción ment keresztül a korábbi időszakokban. Alapvetően öt olyan információhalmaz létezik, amelyekből együttesen körvonalazódhat a rendszer működése, és az esetleges, verziók közötti eltérés: • A megfertőzött mobileszközökön futó „spyware” alkalmazás, amelyet több szakértő cég is elemzett már, • Az NSO-tól korábban kiszivárgott, feltehetőleg 2013 környékére datálható termékbemutató dokumentum („Product Description”), amely az akkori Pegasus infrastruktúra működését mutatja be49 • A Pegasus Project vonatkozó anyagai, • A Citizen Lab 2018-as felderítési riportja50 • A WhatsApp perbeadványa, amely tartalmaz egy kiszivárgott, 2015-ben aláírt szerződést az NSO és a ghánai ügyfél között A Pegasus és az infrastruktúra működése, észlelése 4.
1. Sikeres fertőzés - kémprogram alkalmazás települ a készülékre (eszközön futó alkalmazások sérülékenységeit használja ki) • telepítéshez nincs szükség a felhasználói engedélyére = a felhasználó számára észlelhetetlenül történik • alkalmazás teljes jogosultságot biztosít a támadónak az eszköz és az eszközön tárolt adatok felett - minden fontosabb tárolt adat kiolvasásra kerül és a Pegasus agent elküldi az adatokat a vezérlő szerver felé • iOS és az Android operációs rendszeren is képes teljes jogosultságot szerezni (azaz minden adat és folyamat bizalmassága és sértetlensége nullára degradálódik) 2. A Pegasus agent beépül az eszköz operációs rendszerének magja (kernel) és az eszközön futó, legitim alkalmazások közé – hozzáférés a rendszerfunkciókhoz és a legitim alkalmazásokhoz, illetve a bennük tárolt adatokhoz. • Az agent az alkalmazások (például telefonhívás, SMS, chat, stb.) működésébe „belelát”, azaz hiába használ egy chat alkalmazás végponttól végpontig terjedő titkosítást, a támadó képes hozzáférni a még titkosítatlan adatokhoz.” • Az agent passzív monitorozó funkciója biztosítja, hogy a kezdeti adatkiolvasás után minden új adatrekord elküldésre kerüljön a vezérlőszerver felé – valós idejű módban is lehet használni, például eszköz lokációjának cellainformáció-alapú követésére. • Aktív adatgyűjtésen keresztül az operátor fényképet készít az eszköz elő- vagy hátlapi kamerájával, a kamera nem használja a vakut, így a felhasználó egyáltalán nem észleli, hogy a készüléke fényképezett. Pegasus Agent (a „spyware” alkalmazás) 5.
• A Pegasus korábbi verziói (2019. előtt): felhasználónak kattintania kellett a támadó által küldött linkre ahhoz, hogy letöltődjön és települjön a kártékony alkalmazás (például e-mailben vagy SMS-en vagy egyéb chat-jellegű alkalmazáson (például WhatsApp) keresztül) • 2019-től „zeroday – zeroclick”: a felhasználónak kattintania sem kellett ahhoz, hogy a Pegasus agent települjön az eszközére. • A Pegasus agent az iPhone iOS operációs rendszer esetében iOS 14.8-ig bezárólag képes (jelenlegi ismeretek szerint) kompromittálni az operációs rendszert és eszközt, az adott rendszer, vagy a futtatott alkalmazások sérülékenységein keresztül. Evolúció 6.
Távoli behatolási lehetőségek: • WAP/Push üzeneten keresztül, a tartalmazott linket a telefon automatikusan, felhasználói interakció nélkül betölti (a WAP megszűnésével ez a támadási forma is kiment a divatból) • SMS, email vagy egyéb üzenet megtévesztő tartalommal és a kártékony oldalra vezető linkkel, ahol megtörténik az eszközbe való behatolás és a Pegasus agent telepítése. • Alkalmazás és szolgáltatás sérülékenységen keresztül, például a WhatsApp, iMessage, Apple Music, stb. „zeroday-zeroclick” módszerekkel. 2019-től egyértelműen ez a támadási forma a legjellemzőbb. • „Tactical Network Element” módszer: NSO által fejlesztett hordozható bázisállomás segítségével megszerezhető a célpont telefonszáma és távolról bejuttatható rá a Pegasus agent • Manuális eljárással: 5 perc alatt telepíthető egy készülékre a Pegasus agent. Telepítés, terjesztés 7.
• A Pegasus agent elrejti a működését - megnövekedett adatforgalom árulkodhat arról, hogy a háttérben jelentősebb exfiltráció történik. • A Pegasus agent önmegsemmisítő mechanizmusokat tartalmaz arra az esetre, ha az agent nem tud kommunikálni a vezérlőszerverével - alapértelmezetten 60 nap után • automatikusan eltávolítja magát. Rejtőzés, túlélőképesség és önmegsemmisítés 8.
• Az ügyféloldalon üzemelnek azok a szerverek, amelyek az agentek telepítéséért felelnek (az agentek irányítása, konfigurálása és frissítése is ezekről a szerverekről valósul meg) – 2013-as NSO dokumentum, valamint a 2015-ben aláírt ghánai szerződés alapján • Szintén az ügyféloldalon működnek azok a szerverek, amelyek:  a megfertőzött eszközökről fogadják a kinyert adatokat,  a begyűjtött adatokat tárolják  itt üzemelnek a rendszer működtetését lehetővé tévő operátori munkaállomások. Mögöttes infrastruktúra 9.
Digitális nyomelemzés: egy összetett, dokumentált és hiteles vizsgálati módszertanon alapuló műszaki és adminisztratív folyamat, amely a digitális nyomrögzítésből, a digitális nyomok feltárásából (tevékenység, eseményadatok, naplóadatok, folyamatinformációk, fájljellemzők, adattartalmak, tranzakciós adatok, forgalmi adatok, időpontok, stb.), a gyűjtött információk közötti kapcsolatok kereséséből, elemzésből és kiértékelésből, illetve a digitális nyomelemzési riport elkészítéséből áll. Fontos kritérium, hogy a vizsgálat reprodukálható, így hiteles bizonyítékokat szolgáltat a vizsgált tevékenységgel vagy egy esemény bekövetkezésével kapcsolatban. A Citizen Lab megerősítette az Amnesty International kutatásának eredményeit, a kiadott dokumentum alapján az Amnesty International módszertanát megalapozottnak, a vizsgálati eredményeket helyesnek találta, illetve a két szervezet egymástól függetlenül ugyanazon eredményekre jutott a vizsgálataik során. Bár a Pegasus Project, illetve az Amnesty International nem fedte fel a forrást, amelyen keresztül hozzájutott az 50 000 telefonszámot tartalmazó listához, illetve magát a listát, a francia és a belga kormány független vizsgálatai megerősítik az Amnesty International vizsgálati eredményét a belga és francia érintettekkel kapcsolatban. A Pegasus felderítési és észlelési lehetősége 10.
11. II. Szabályozási környezet
Uniós szabályozás 12. AZ EURÓPAI UNIÓ ALAPJOGI CHARTÁJA 51. cikk (1) E Charta rendelkezéseinek címzettjei – a szubszidiaritás elvének megfelelő figyelembevétele mellett – az Unió intézményei, szervei és hivatalai, valamint a tagállamok annyiban, amennyiben az Unió jogát hajtják végre. (2) Ez a Charta az uniós jog alkalmazási körét nem terjeszti ki az Unió hatáskörein túl, továbbá nem hoz létre új hatásköröket vagy feladatokat az Unió számára, és nem módosítja a Szerződésekben meghatározott hatásköröket és feladatokat. GDPR A GDPR 2. cikk (2) bekezdés a) pontja (tárgyi hatály): „E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt: a)az uniós jog hatályán kívül eső tevékenységek során végzik;” valamint a GDPR 16. preambulumbekezdése alapján: „E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek.” a nemzetbiztonságot érintő tevékenységek nem tartoznak az uniós jog hatálya alá.
Uniós szabályozás Bűnügyi Irányelv Ezt megerősíti továbbá a Bűnyügyi Irányelv 2. cikkének (3) bekezdése: „(3) Ezen irányelv nem alkalmazandó: a) a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére” valamint az Irányelv (14) preambulumbekezdése is: „Mivel ez az irányelv nem alkalmazandó a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek keretében végzett kezelésére, a nemzetbiztonsággal kapcsolatos tevékenységek, a nemzetbiztonsági ügyekkel foglalkozó ügynökségek vagy egységek tevékenységei, valamint a tagállamok által az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett személyesadat-kezelés nem tekinthető az ezen irányelv hatálya alá tartozó tevékenységnek.” 13.
Európai Unió Bíróságának ítélete: Privacy International ügy (C-623/17.)  A Bíróság szerint az uniós joggal ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatókat általánosságban a bűncselekmények elleni küzdelem vagy a nemzetbiztonság védelme céljából a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli továbbítására vagy megőrzésére kötelezi.  Ha egy tagállamnak valós és közvetlen, illetve előre nem látható, súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie jogalkotási intézkedések útján, a feltétlenül szükséges mértékre korlátozott, de a fenyegetettség tartós fennállása esetén meghosszabbítható időtartamra az ilyen adatok általános és különbségtétel nélküli megőrzését írja elő.  A súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a tagállam rendelkezhet az említett adatok célzott, valamint rendkívüli megőrzéséről is. Az alapvető jogokba való ilyen beavatkozást tényleges biztosítékokkal kell ellátni, amelyeket független bíróságnak vagy hatósági szervnek kell ellenőriznie. Uniós szabályozás 14.
Az Európa Tanácsnak a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezményét (108. sz. egyezmény) módosító jegyzőkönyv szerint: A korszerűsített (azaz a módosító jegyzőkönyvvel módosított 108. sz.) egyezmény egységes alkalmazási kört vezet be az egyezmény valamennyi részes fele számára annak lehetősége nélkül, hogy alkalmazási köréből teljes mértékben kizárjanak ágazatokat vagy tevékenységeket (például a nemzetbiztonság területén), ellentétben a 108. sz. egyezmény eredeti szövegével. A korszerűsített egyezmény tehát a felek joghatósága alá tartozó valamennyi adatkezelési típusra kiterjed mind a köz-, mind a magánszektorban. (Magyarország még nem ratifikálta.)  Szabó és Vissy kontra Magyarország ügy Európa Tanács 15.
Tagállami szabályozás A nemzetbiztonsági (és honvédelmi) célú adatkezelés kizárólag tagállami szabályozási és jogalkalmazási kompetencia Nemzetbiztonsági célú adatkezelés: a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelése, valamint a rendőrség terrorizmust elhárító szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelése [Intotv. 3§ 10b. ] A nem bűnüldözési célból – azaz nemzetbiztonsági célból – folytatott titkos információgyűjtés lehet, jellegét tekintve, külső engedélyhez nem kötött [Nbtv. 54. §, 55. §] és külső engedélyhez kötött [Nbtv. 56-60. §]. A 16.
III. Titkos információgyűjtés garanciái 17.
A titkos információgyűjtés engedélyezése • bíró általi engedélyezés (bűnüldözési, nemzetbiztonsági célú) – elkülönülten a végrehajtó hatalomtól • az igazságügyi miniszter által engedélyezett (nemzetbiztonsági és katonai célú) – kérdés: megfelelő-e a magánszféra védelme szempontjából? 18
A nemzetbiztonsági célú titkos információgyűjtés engedélyezésére irányuló eljárás folyamata • Külső engedélyhez kötött titkos információgyűjtés engedélyezésére előterjesztést kell benyújtani – tartalmaznia kell: a titkos információgyűjtés helyét, módját és szükségességének indokolását, ill. a tevékenység kezdetét és végét, érintett vagy érintettek nevét vagy körét – benyújtásra jogosult: Információs Hivatal, Alkotmányvédelmi Hivatal, Katonai Nemzetbiztonsági Szolgálat, (meghatározott feladat tekintetében) Nemzetbiztonsági Szakszolgálat • Az Nbt. 56. §-ában meghatározott tevékenységet az igazságügyért felelős miniszter engedélyezi. 72 órán belül határozatot hoz: – előterjesztésnek helyt ad, – megalapozatlanság esetén elutasítja. • Az igazságügyért felelős miniszter engedélyezési eljárása fölött az Nbtv. 14. §-a alapján az Országgyűlés, a Nemzetbiztonsági Bizottság közreműködésével jogosult ellenőrzést gyakorolni. 19.
A 32/2013. (XI.22.) Alkotmánybírósági határozat - figyelembe véve az Emberi Jogok Európai Bírósága ítélkezési gyakorlatát – kimondja: „minthogy a titkos információgyűjtés szükségképpen kizárja a hatékony jogorvoslat lehetőségét, elengedhetetlenül fontos, hogy az alkalmazást lehetővé tévő eljárási rend kellő garanciát nyújtson az egyén jogainak védelmére. Minderre tekintettel az alkalmazást három szakaszból álló ellenőrzésnek kell alávetni: amikor a beavatkozást elrendelik, mialatt a beavatkozást végrehajtják, miután a beavatkozást befejezték. Az ellenőrzést a végrehajtó hatalomtól független testületeknek kell végezni. Elsősorban az állandó, folyamatos és kötelező ellenőrzés a garancia arra, hogy a konkrét ügyekben nem sértik meg az arányosság követelményét”. 20.
NAIH feladat- és hatásköre a titkos információgyűjtések tekintetében • NAIH - végrehajtó hatalomtól független ellenőrző testület • Az Infotv. 51/A. § (1) bekezdése szerint a NAIH hivatalból vizsgálatot, a 60. § (1) bekezdése alapján hatósági eljárást indíthat • Hatásköre :  kiterjed a beavatkozás végrehajtása és a beavatkozás befejezése utáni szakaszban történő ellenőrzésre  nemzetközi viszonylatban is széleskörű (a nemzetbiztonsági szolgálatok adatkezelése, azon belül a titkos információgyűjtés törvényességi ellenőrzése szempontjából)  a Hatóság hatásköre csak az igazságügyért felelős miniszter általi külső engedélyezés jogszerűségének ellenőrzésére terjed ki, (a bírósági adatkezelési műveletekkel kapcsolatban a személyes adatok védelméhez való jog érvényesülésének ellenőrzésére – a bírósági szervezetrendszeren belül – adatvédelmi kifogás útján kerül sor) 21.
IV. Érintetti jogok Infotv. vs GDPR 22.
Infotv - 14.§ • Előzetes tájékozódáshoz való jog • Hozzáféréshez való jog • Helyesbítéshez való jog • Adatkezelés korlátozásához való jog • Törléshez való jog Az érintett jogai GDPR • Tájékoztatáshoz való jog (13-14. cikk) • Hozzáféréshez való jog (15. cikk) • Helyesbítéshez való jog (16. cikk) • Adatkezelés korlátozásához való jog (18. cikk) • Törléshez (elfeledtetéshez) való jog (17. cikk) • Adathordozhatósághoz való jog (20. cikk) • Tiltakozáshoz való jog (21. cikk) • Automatizált döntéshozatal egyedi ügyekben, profilalkotás (22. cikk) 23.
Fő szabályként az Infotv-ben a Bűnügyi Irányelv átültetett rendelkezéseit kell alkalmazni a nemzetbiztonsági célú adatkezelések során. A Bűnügyi Irányelv (39) preambulumbekezdése szerint: „Annak érdekében, hogy az érintett gyakorolhassa jogait, az érintettnek nyújtott tájékoztatásnak – az adatkezelő honlapján is – könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt is, hogy azt világos és közérthető nyelven fogalmazzák meg. Az ilyen tájékoztatást hozzá kell igazítani a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek szükségleteihez.” Előzetes tájékozódáshoz való jog az Infotv. (Bűnügyi Irányelv) 24.
3) „…a tájékoztatás teljesítését az elérni kívánt céllal arányosan az adatkezelő késleltetheti, a tájékoztatás tartalmát korlátozhatja vagy a tájékoztatást mellőzheti, ha ezen intézkedés elengedhetetlenül szükséges” a) az általa vagy részvételével végzett vizsgálatok vagy eljárások - így különösen a büntetőeljárás - hatékony és eredményes lefolytatásának, b) a bűncselekmények hatékony és eredményes megelőzésének és felderítésének, c) a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának, d) a közbiztonság hatékony és eredményes védelmének, e) az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen a honvédelem és a nemzetbiztonság vagy f) harmadik személyek alapvető jogai védelmének biztosításához. Előzetes tájékozódáshoz való jog Infotv. 16. § 25.
Az érintett jogosult arra, hogy az alábbi információkhoz hozzáférést kapjon: Hozzáféréshez való jog Infotv – 17.§ (2) • kezelt személyes adatok forrása • az adatkezelés célja és jogalapja • a kezelt személyes adatok köre 26.
(3) Az érintett hozzáféréshez való jogának érvényesítését az adatkezelő az elérni kívánt céllal arányosan korlátozhatja vagy megtagadhatja, ha ezen intézkedés elengedhetetlenül szükséges a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek biztosításához. (4) A (3) bekezdésben foglaltak szerinti intézkedés alkalmazása esetén az adatkezelő írásban, haladéktalanul tájékoztatja az érintettet a) a hozzáférés korlátozásának vagy megtagadásának tényéről, továbbá jogi és ténybeli indokairól, ha ezeknek az érintett rendelkezésére bocsátása a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek érvényesülését nem veszélyezteti, valamint b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az érintett a hozzáféréshez való jogát a Hatóság közreműködésével is gyakorolhatja. Hozzáféréshez való jog 17.§ (3) – (4) bekezdés 27.
A tagállamok olyan rendelkezéseket fogadnak el, amelyek értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet (a 13. cikk (3) bekezdése, a 15. cikk (3) bekezdése és a 16. cikk (4) bekezdése szerinti esetekben). Az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy jogait a felügyeleti hatóság közreműködésével is gyakorolhatja. A felügyeleti hatóság az érintettet tájékoztatja arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. A felügyeleti hatóság az érintetett a bírósági jogorvoslathoz való jogáról is tájékoztatja. Fentiek szerint a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény (Nbtv.) módosítható lenne! Bűnügyi Irányelv – 17. cikk Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés 28.
A Hatóság az adatkezelőknél (megrendelő szervek) a vizsgált esetekben történt adatkezelések tekintetétben nem tárt fel jogellenességet. • A külső engedélyhez kötött titkos információgyűjtésre jogszabály alapján felhatalmazott szervek az Nbtv. által meghatározott feladataik ellátása érdekében használhatják a titkos információgyűjtés speciális eszközeit és módszereit. • A hatályos magyar jog a külső engedélyhez kötött titkos információgyűjtés alkalmazásának feltételei tekintetében nem differenciál a hivatások, szakmai tevékenységek szerint, vagyis egyetlen hivatás (pl. „újságíró, jogvédő, ellenzéki politikus, ügyvéd és üzletember”) vonatkozásában sem korlátozza a nemzetbiztonsági szolgálatoknak az Nbtv. 56. §-a keretében végzett tevékenysége végzésére való jogosultságát. • A Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy az Nbtv. 56. §-a szerinti külső engedélyhez kötött titkos információgyűjtésre felhatalmazott szervek, a gyártó által meghatározott célokon (bűncselekmények és terrorcselekmények megelőzése és felderítése), valamint törvényben meghatározott feladataik ellátásán túl, egyéb célra használtak volna kémszoftvert. Konklúzió 29.
• A Hatóság vizsgálata során tudomására jutott és rendelkezésére álló információk alapján a Nemzetbiztonsági Szakszolgálat a Hatóság vizsgálatának tárgyát képező technikai eszközt az információs rendszer titkos megfigyelése, illetve a hely titkos megfigyelése terén nyújtott szolgáltatásai teljesítése során alkalmazta. • A Hatóság megállapította, hogy a technikai eszköz alkalmazásáról szóló szerződéses feltételek rögzítik, hogy a szerződő fél az alkalmazás során megteszi mindazokat az intézkedéseket, amelyek az eszköz alkalmazásával érintett személyes adatok illetéktelen külső fél általi megismerését megakadályozzák. A Hatóság álláspontja szerint a szerződés adatvédelemre vonatkozó rendelkezései ehhez az elvárható mértékű garanciákat biztosítják. • A Hatóság vizsgálata során nem merült fel arra vonatkozó adat, amely kétségessé tenné azt, hogy a technikai eszköz alkalmazása során a Nemzetbiztonsági Szakszolgálat a vonatkozó jogszabályok, közigazgatási szervezetszabályozó eszközök előírásainak, valamint szerződéses jogviszony esetén a szerződésben vállalt kötelezettségeknek a teljesítésével járt és jár el. 30.
• A Hatóság vizsgálata során feltárt körülmények és rendelkezésére álló információk szerint a technikai eszközt a Nemzetbiztonsági Szakszolgálat kizárólag a bűncselekmények és terrorcselekmények megelőzése és felderítése céljára, illetve a vonatkozó magyar jogszabályok által meghatározott feladatai ellátása érdekében használja és biztosítja, hogy azt nem használják alapvető jogok jogellenes korlátozására. A sajtóban megjelent hírekkel ellentétben, a Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy a technikai eszköz használatát az izraeli védelmi minisztérium megtiltotta volna Magyarországnak. • A Hatóság vizsgálata során nem sikerült tisztázni azt a kérdést, hogy a magyar személyekhez köthető telefonszámok miként kerülhettek nyilvánosságra az ún. Pegasus Project nevű tényfeltáró vizsgálat során. • Kérdés: jogellenes adatkezelés vagy adatvédelmi incidens? • Mivel nem zárható ki, hogy bűncselekmény történt, ezért a Hatóság az Infotv. 70. § (1) bekezdése alapján büntetőeljárás megindítását kezdeményezte a nyomozó hatóságnál 31.
Köszönöm a figyelmet! Dr. Péterfalvi Attila, elnök c. egyetemi tanár H-1055 Budapest, Falk Miksa u. 9-11. H-1363 Budapest, Pf.: 9. Tel.: +36 391-1400 Fax: +36 391-1410 elnok@naih.hu ugyfelszolgalat@naih.hu www.naih.hu

Recommended

Botnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBotnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBederna Zsolt
 
Zwizzer hu v2
Zwizzer hu v2Zwizzer hu v2
Zwizzer hu v2Zoltán Kisgyörgy
 
Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Csaba Krasznay
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
AJP Microproject.docx
AJP Microproject.docxAJP Microproject.docx
AJP Microproject.docx064ChetanWani
 
AJP Typing Master.docx
AJP Typing Master.docxAJP Typing Master.docx
AJP Typing Master.docx064ChetanWani
 

Recommended

Botnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBotnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBederna Zsolt
 
Zwizzer hu v2
Zwizzer hu v2Zwizzer hu v2
Zwizzer hu v2Zoltán Kisgyörgy
 
Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Csaba Krasznay
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
AJP Microproject.docx
AJP Microproject.docxAJP Microproject.docx
AJP Microproject.docx064ChetanWani
 
AJP Typing Master.docx
AJP Typing Master.docxAJP Typing Master.docx
AJP Typing Master.docx064ChetanWani
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

ki_orzi_az_orzoket_rovdebb.ppt

  • 1. Dr. Péterfalvi Attila NAIH elnök, c. egyetemi tanár Ki őrzi az őrzőket? A titkos információgyűjtés adatvédelmi megközelítése a "Pegasus-ügy" tanulságai alapján Budapest, 2022.05.23.
  • 2. 1. • a Direkt36 hírportál: „Lelepleződött egy durva izraeli kémfegyver, az Orbán- kormány kritikusait és magyar újságírókat is célba vettek vele” • „Évekkel ezelőtt elkezdték használni magyar célszemélyek ellen is az NSO nevű izraeli kibercég okostelefonok feltörésére alkalmas kémprogramját, a Pegasust, és a célpontként kiválasztott emberek között voltak tényfeltáró újságírók, valamint médiacégeket is tulajdonló vagyonos üzletemberek, illetve az ő szűkebb környezetük is – derítette ki a Direkt36 egy nemzetközi tényfeltáró projekt részeként. A kutatás során számos olyan közvetett bizonyítékot is találtunk, amelyek arra utalnak, hogy a titkos megfigyelések mögött magyar állami szervek állnak. • Július elején a tényfeltáró projektben részt vevő francia Le Monde újságírója egy interjúban megkérdezte Varga Judit igazságügyi minisztertől, hogy megadná-e a felhatalmazást egy újságíró vagy ellenzéki személy megfigyelésére, mire Varga felháborodottan azt válaszolta: „Micsoda kérdés! Ez önmagában provokáció!” Varga azt állította, hogy csak a jogszabályoknak megfelelő megfigyelési kérelmek kaphatnak engedélyt, és azt is hozzátette, hogy „annyi sok veszély leselkedik az államra mindenhonnan”. Bevezetés Médiában megjelent hírek
  • 3. I. A Pegasus szoftver bemutatása 2.
  • 4. A Pegasus kémprogramot az Izraelben működő NSO Group alkotta meg. Az NSO Group: • a kiberhírszerzés területén működő, általában „Surveillance-For-Hire” vállalatnak tekintett szervezet, • amely megfigyelési technológiákat fejleszt, illetve • megfigyelési infrastruktúrát épít fel és ad bérbe ügyfelei, jellemzően nemzetállamok és kormányok részére 3.
  • 5. A Pegasus és az NSO által épített infrastruktúra működése evolúción ment keresztül a korábbi időszakokban. Alapvetően öt olyan információhalmaz létezik, amelyekből együttesen körvonalazódhat a rendszer működése, és az esetleges, verziók közötti eltérés: • A megfertőzött mobileszközökön futó „spyware” alkalmazás, amelyet több szakértő cég is elemzett már, • Az NSO-tól korábban kiszivárgott, feltehetőleg 2013 környékére datálható termékbemutató dokumentum („Product Description”), amely az akkori Pegasus infrastruktúra működését mutatja be49 • A Pegasus Project vonatkozó anyagai, • A Citizen Lab 2018-as felderítési riportja50 • A WhatsApp perbeadványa, amely tartalmaz egy kiszivárgott, 2015-ben aláírt szerződést az NSO és a ghánai ügyfél között A Pegasus és az infrastruktúra működése, észlelése 4.
  • 6. 1. Sikeres fertőzés - kémprogram alkalmazás települ a készülékre (eszközön futó alkalmazások sérülékenységeit használja ki) • telepítéshez nincs szükség a felhasználói engedélyére = a felhasználó számára észlelhetetlenül történik • alkalmazás teljes jogosultságot biztosít a támadónak az eszköz és az eszközön tárolt adatok felett - minden fontosabb tárolt adat kiolvasásra kerül és a Pegasus agent elküldi az adatokat a vezérlő szerver felé • iOS és az Android operációs rendszeren is képes teljes jogosultságot szerezni (azaz minden adat és folyamat bizalmassága és sértetlensége nullára degradálódik) 2. A Pegasus agent beépül az eszköz operációs rendszerének magja (kernel) és az eszközön futó, legitim alkalmazások közé – hozzáférés a rendszerfunkciókhoz és a legitim alkalmazásokhoz, illetve a bennük tárolt adatokhoz. • Az agent az alkalmazások (például telefonhívás, SMS, chat, stb.) működésébe „belelát”, azaz hiába használ egy chat alkalmazás végponttól végpontig terjedő titkosítást, a támadó képes hozzáférni a még titkosítatlan adatokhoz.” • Az agent passzív monitorozó funkciója biztosítja, hogy a kezdeti adatkiolvasás után minden új adatrekord elküldésre kerüljön a vezérlőszerver felé – valós idejű módban is lehet használni, például eszköz lokációjának cellainformáció-alapú követésére. • Aktív adatgyűjtésen keresztül az operátor fényképet készít az eszköz elő- vagy hátlapi kamerájával, a kamera nem használja a vakut, így a felhasználó egyáltalán nem észleli, hogy a készüléke fényképezett. Pegasus Agent (a „spyware” alkalmazás) 5.
  • 7. • A Pegasus korábbi verziói (2019. előtt): felhasználónak kattintania kellett a támadó által küldött linkre ahhoz, hogy letöltődjön és települjön a kártékony alkalmazás (például e-mailben vagy SMS-en vagy egyéb chat-jellegű alkalmazáson (például WhatsApp) keresztül) • 2019-től „zeroday – zeroclick”: a felhasználónak kattintania sem kellett ahhoz, hogy a Pegasus agent települjön az eszközére. • A Pegasus agent az iPhone iOS operációs rendszer esetében iOS 14.8-ig bezárólag képes (jelenlegi ismeretek szerint) kompromittálni az operációs rendszert és eszközt, az adott rendszer, vagy a futtatott alkalmazások sérülékenységein keresztül. Evolúció 6.
  • 8. Távoli behatolási lehetőségek: • WAP/Push üzeneten keresztül, a tartalmazott linket a telefon automatikusan, felhasználói interakció nélkül betölti (a WAP megszűnésével ez a támadási forma is kiment a divatból) • SMS, email vagy egyéb üzenet megtévesztő tartalommal és a kártékony oldalra vezető linkkel, ahol megtörténik az eszközbe való behatolás és a Pegasus agent telepítése. • Alkalmazás és szolgáltatás sérülékenységen keresztül, például a WhatsApp, iMessage, Apple Music, stb. „zeroday-zeroclick” módszerekkel. 2019-től egyértelműen ez a támadási forma a legjellemzőbb. • „Tactical Network Element” módszer: NSO által fejlesztett hordozható bázisállomás segítségével megszerezhető a célpont telefonszáma és távolról bejuttatható rá a Pegasus agent • Manuális eljárással: 5 perc alatt telepíthető egy készülékre a Pegasus agent. Telepítés, terjesztés 7.
  • 9. • A Pegasus agent elrejti a működését - megnövekedett adatforgalom árulkodhat arról, hogy a háttérben jelentősebb exfiltráció történik. • A Pegasus agent önmegsemmisítő mechanizmusokat tartalmaz arra az esetre, ha az agent nem tud kommunikálni a vezérlőszerverével - alapértelmezetten 60 nap után • automatikusan eltávolítja magát. Rejtőzés, túlélőképesség és önmegsemmisítés 8.
  • 10. • Az ügyféloldalon üzemelnek azok a szerverek, amelyek az agentek telepítéséért felelnek (az agentek irányítása, konfigurálása és frissítése is ezekről a szerverekről valósul meg) – 2013-as NSO dokumentum, valamint a 2015-ben aláírt ghánai szerződés alapján • Szintén az ügyféloldalon működnek azok a szerverek, amelyek:  a megfertőzött eszközökről fogadják a kinyert adatokat,  a begyűjtött adatokat tárolják  itt üzemelnek a rendszer működtetését lehetővé tévő operátori munkaállomások. Mögöttes infrastruktúra 9.
  • 11. Digitális nyomelemzés: egy összetett, dokumentált és hiteles vizsgálati módszertanon alapuló műszaki és adminisztratív folyamat, amely a digitális nyomrögzítésből, a digitális nyomok feltárásából (tevékenység, eseményadatok, naplóadatok, folyamatinformációk, fájljellemzők, adattartalmak, tranzakciós adatok, forgalmi adatok, időpontok, stb.), a gyűjtött információk közötti kapcsolatok kereséséből, elemzésből és kiértékelésből, illetve a digitális nyomelemzési riport elkészítéséből áll. Fontos kritérium, hogy a vizsgálat reprodukálható, így hiteles bizonyítékokat szolgáltat a vizsgált tevékenységgel vagy egy esemény bekövetkezésével kapcsolatban. A Citizen Lab megerősítette az Amnesty International kutatásának eredményeit, a kiadott dokumentum alapján az Amnesty International módszertanát megalapozottnak, a vizsgálati eredményeket helyesnek találta, illetve a két szervezet egymástól függetlenül ugyanazon eredményekre jutott a vizsgálataik során. Bár a Pegasus Project, illetve az Amnesty International nem fedte fel a forrást, amelyen keresztül hozzájutott az 50 000 telefonszámot tartalmazó listához, illetve magát a listát, a francia és a belga kormány független vizsgálatai megerősítik az Amnesty International vizsgálati eredményét a belga és francia érintettekkel kapcsolatban. A Pegasus felderítési és észlelési lehetősége 10.
  • 13. Uniós szabályozás 12. AZ EURÓPAI UNIÓ ALAPJOGI CHARTÁJA 51. cikk (1) E Charta rendelkezéseinek címzettjei – a szubszidiaritás elvének megfelelő figyelembevétele mellett – az Unió intézményei, szervei és hivatalai, valamint a tagállamok annyiban, amennyiben az Unió jogát hajtják végre. (2) Ez a Charta az uniós jog alkalmazási körét nem terjeszti ki az Unió hatáskörein túl, továbbá nem hoz létre új hatásköröket vagy feladatokat az Unió számára, és nem módosítja a Szerződésekben meghatározott hatásköröket és feladatokat. GDPR A GDPR 2. cikk (2) bekezdés a) pontja (tárgyi hatály): „E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt: a)az uniós jog hatályán kívül eső tevékenységek során végzik;” valamint a GDPR 16. preambulumbekezdése alapján: „E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek.” a nemzetbiztonságot érintő tevékenységek nem tartoznak az uniós jog hatálya alá.
  • 14. Uniós szabályozás Bűnügyi Irányelv Ezt megerősíti továbbá a Bűnyügyi Irányelv 2. cikkének (3) bekezdése: „(3) Ezen irányelv nem alkalmazandó: a) a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére” valamint az Irányelv (14) preambulumbekezdése is: „Mivel ez az irányelv nem alkalmazandó a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek keretében végzett kezelésére, a nemzetbiztonsággal kapcsolatos tevékenységek, a nemzetbiztonsági ügyekkel foglalkozó ügynökségek vagy egységek tevékenységei, valamint a tagállamok által az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett személyesadat-kezelés nem tekinthető az ezen irányelv hatálya alá tartozó tevékenységnek.” 13.
  • 15. Európai Unió Bíróságának ítélete: Privacy International ügy (C-623/17.)  A Bíróság szerint az uniós joggal ellentétes az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatókat általánosságban a bűncselekmények elleni küzdelem vagy a nemzetbiztonság védelme céljából a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli továbbítására vagy megőrzésére kötelezi.  Ha egy tagállamnak valós és közvetlen, illetve előre nem látható, súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie jogalkotási intézkedések útján, a feltétlenül szükséges mértékre korlátozott, de a fenyegetettség tartós fennállása esetén meghosszabbítható időtartamra az ilyen adatok általános és különbségtétel nélküli megőrzését írja elő.  A súlyos bűncselekmények elleni küzdelem és a közbiztonságot érintő súlyos fenyegetettség megelőzése érdekében a tagállam rendelkezhet az említett adatok célzott, valamint rendkívüli megőrzéséről is. Az alapvető jogokba való ilyen beavatkozást tényleges biztosítékokkal kell ellátni, amelyeket független bíróságnak vagy hatósági szervnek kell ellenőriznie. Uniós szabályozás 14.
  • 16. Az Európa Tanácsnak a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezményét (108. sz. egyezmény) módosító jegyzőkönyv szerint: A korszerűsített (azaz a módosító jegyzőkönyvvel módosított 108. sz.) egyezmény egységes alkalmazási kört vezet be az egyezmény valamennyi részes fele számára annak lehetősége nélkül, hogy alkalmazási köréből teljes mértékben kizárjanak ágazatokat vagy tevékenységeket (például a nemzetbiztonság területén), ellentétben a 108. sz. egyezmény eredeti szövegével. A korszerűsített egyezmény tehát a felek joghatósága alá tartozó valamennyi adatkezelési típusra kiterjed mind a köz-, mind a magánszektorban. (Magyarország még nem ratifikálta.)  Szabó és Vissy kontra Magyarország ügy Európa Tanács 15.
  • 17. Tagállami szabályozás A nemzetbiztonsági (és honvédelmi) célú adatkezelés kizárólag tagállami szabályozási és jogalkalmazási kompetencia Nemzetbiztonsági célú adatkezelés: a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelése, valamint a rendőrség terrorizmust elhárító szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelése [Intotv. 3§ 10b. ] A nem bűnüldözési célból – azaz nemzetbiztonsági célból – folytatott titkos információgyűjtés lehet, jellegét tekintve, külső engedélyhez nem kötött [Nbtv. 54. §, 55. §] és külső engedélyhez kötött [Nbtv. 56-60. §]. A 16.
  • 19. A titkos információgyűjtés engedélyezése • bíró általi engedélyezés (bűnüldözési, nemzetbiztonsági célú) – elkülönülten a végrehajtó hatalomtól • az igazságügyi miniszter által engedélyezett (nemzetbiztonsági és katonai célú) – kérdés: megfelelő-e a magánszféra védelme szempontjából? 18
  • 20. A nemzetbiztonsági célú titkos információgyűjtés engedélyezésére irányuló eljárás folyamata • Külső engedélyhez kötött titkos információgyűjtés engedélyezésére előterjesztést kell benyújtani – tartalmaznia kell: a titkos információgyűjtés helyét, módját és szükségességének indokolását, ill. a tevékenység kezdetét és végét, érintett vagy érintettek nevét vagy körét – benyújtásra jogosult: Információs Hivatal, Alkotmányvédelmi Hivatal, Katonai Nemzetbiztonsági Szolgálat, (meghatározott feladat tekintetében) Nemzetbiztonsági Szakszolgálat • Az Nbt. 56. §-ában meghatározott tevékenységet az igazságügyért felelős miniszter engedélyezi. 72 órán belül határozatot hoz: – előterjesztésnek helyt ad, – megalapozatlanság esetén elutasítja. • Az igazságügyért felelős miniszter engedélyezési eljárása fölött az Nbtv. 14. §-a alapján az Országgyűlés, a Nemzetbiztonsági Bizottság közreműködésével jogosult ellenőrzést gyakorolni. 19.
  • 21. A 32/2013. (XI.22.) Alkotmánybírósági határozat - figyelembe véve az Emberi Jogok Európai Bírósága ítélkezési gyakorlatát – kimondja: „minthogy a titkos információgyűjtés szükségképpen kizárja a hatékony jogorvoslat lehetőségét, elengedhetetlenül fontos, hogy az alkalmazást lehetővé tévő eljárási rend kellő garanciát nyújtson az egyén jogainak védelmére. Minderre tekintettel az alkalmazást három szakaszból álló ellenőrzésnek kell alávetni: amikor a beavatkozást elrendelik, mialatt a beavatkozást végrehajtják, miután a beavatkozást befejezték. Az ellenőrzést a végrehajtó hatalomtól független testületeknek kell végezni. Elsősorban az állandó, folyamatos és kötelező ellenőrzés a garancia arra, hogy a konkrét ügyekben nem sértik meg az arányosság követelményét”. 20.
  • 22. NAIH feladat- és hatásköre a titkos információgyűjtések tekintetében • NAIH - végrehajtó hatalomtól független ellenőrző testület • Az Infotv. 51/A. § (1) bekezdése szerint a NAIH hivatalból vizsgálatot, a 60. § (1) bekezdése alapján hatósági eljárást indíthat • Hatásköre :  kiterjed a beavatkozás végrehajtása és a beavatkozás befejezése utáni szakaszban történő ellenőrzésre  nemzetközi viszonylatban is széleskörű (a nemzetbiztonsági szolgálatok adatkezelése, azon belül a titkos információgyűjtés törvényességi ellenőrzése szempontjából)  a Hatóság hatásköre csak az igazságügyért felelős miniszter általi külső engedélyezés jogszerűségének ellenőrzésére terjed ki, (a bírósági adatkezelési műveletekkel kapcsolatban a személyes adatok védelméhez való jog érvényesülésének ellenőrzésére – a bírósági szervezetrendszeren belül – adatvédelmi kifogás útján kerül sor) 21.
  • 24. Infotv - 14.§ • Előzetes tájékozódáshoz való jog • Hozzáféréshez való jog • Helyesbítéshez való jog • Adatkezelés korlátozásához való jog • Törléshez való jog Az érintett jogai GDPR • Tájékoztatáshoz való jog (13-14. cikk) • Hozzáféréshez való jog (15. cikk) • Helyesbítéshez való jog (16. cikk) • Adatkezelés korlátozásához való jog (18. cikk) • Törléshez (elfeledtetéshez) való jog (17. cikk) • Adathordozhatósághoz való jog (20. cikk) • Tiltakozáshoz való jog (21. cikk) • Automatizált döntéshozatal egyedi ügyekben, profilalkotás (22. cikk) 23.
  • 25. Fő szabályként az Infotv-ben a Bűnügyi Irányelv átültetett rendelkezéseit kell alkalmazni a nemzetbiztonsági célú adatkezelések során. A Bűnügyi Irányelv (39) preambulumbekezdése szerint: „Annak érdekében, hogy az érintett gyakorolhassa jogait, az érintettnek nyújtott tájékoztatásnak – az adatkezelő honlapján is – könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt is, hogy azt világos és közérthető nyelven fogalmazzák meg. Az ilyen tájékoztatást hozzá kell igazítani a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek szükségleteihez.” Előzetes tájékozódáshoz való jog az Infotv. (Bűnügyi Irányelv) 24.
  • 26. 3) „…a tájékoztatás teljesítését az elérni kívánt céllal arányosan az adatkezelő késleltetheti, a tájékoztatás tartalmát korlátozhatja vagy a tájékoztatást mellőzheti, ha ezen intézkedés elengedhetetlenül szükséges” a) az általa vagy részvételével végzett vizsgálatok vagy eljárások - így különösen a büntetőeljárás - hatékony és eredményes lefolytatásának, b) a bűncselekmények hatékony és eredményes megelőzésének és felderítésének, c) a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának, d) a közbiztonság hatékony és eredményes védelmének, e) az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen a honvédelem és a nemzetbiztonság vagy f) harmadik személyek alapvető jogai védelmének biztosításához. Előzetes tájékozódáshoz való jog Infotv. 16. § 25.
  • 27. Az érintett jogosult arra, hogy az alábbi információkhoz hozzáférést kapjon: Hozzáféréshez való jog Infotv – 17.§ (2) • kezelt személyes adatok forrása • az adatkezelés célja és jogalapja • a kezelt személyes adatok köre 26.
  • 28. (3) Az érintett hozzáféréshez való jogának érvényesítését az adatkezelő az elérni kívánt céllal arányosan korlátozhatja vagy megtagadhatja, ha ezen intézkedés elengedhetetlenül szükséges a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek biztosításához. (4) A (3) bekezdésben foglaltak szerinti intézkedés alkalmazása esetén az adatkezelő írásban, haladéktalanul tájékoztatja az érintettet a) a hozzáférés korlátozásának vagy megtagadásának tényéről, továbbá jogi és ténybeli indokairól, ha ezeknek az érintett rendelkezésére bocsátása a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek érvényesülését nem veszélyezteti, valamint b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az érintett a hozzáféréshez való jogát a Hatóság közreműködésével is gyakorolhatja. Hozzáféréshez való jog 17.§ (3) – (4) bekezdés 27.
  • 29. A tagállamok olyan rendelkezéseket fogadnak el, amelyek értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet (a 13. cikk (3) bekezdése, a 15. cikk (3) bekezdése és a 16. cikk (4) bekezdése szerinti esetekben). Az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy jogait a felügyeleti hatóság közreműködésével is gyakorolhatja. A felügyeleti hatóság az érintettet tájékoztatja arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. A felügyeleti hatóság az érintetett a bírósági jogorvoslathoz való jogáról is tájékoztatja. Fentiek szerint a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény (Nbtv.) módosítható lenne! Bűnügyi Irányelv – 17. cikk Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés 28.
  • 30. A Hatóság az adatkezelőknél (megrendelő szervek) a vizsgált esetekben történt adatkezelések tekintetétben nem tárt fel jogellenességet. • A külső engedélyhez kötött titkos információgyűjtésre jogszabály alapján felhatalmazott szervek az Nbtv. által meghatározott feladataik ellátása érdekében használhatják a titkos információgyűjtés speciális eszközeit és módszereit. • A hatályos magyar jog a külső engedélyhez kötött titkos információgyűjtés alkalmazásának feltételei tekintetében nem differenciál a hivatások, szakmai tevékenységek szerint, vagyis egyetlen hivatás (pl. „újságíró, jogvédő, ellenzéki politikus, ügyvéd és üzletember”) vonatkozásában sem korlátozza a nemzetbiztonsági szolgálatoknak az Nbtv. 56. §-a keretében végzett tevékenysége végzésére való jogosultságát. • A Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy az Nbtv. 56. §-a szerinti külső engedélyhez kötött titkos információgyűjtésre felhatalmazott szervek, a gyártó által meghatározott célokon (bűncselekmények és terrorcselekmények megelőzése és felderítése), valamint törvényben meghatározott feladataik ellátásán túl, egyéb célra használtak volna kémszoftvert. Konklúzió 29.
  • 31. • A Hatóság vizsgálata során tudomására jutott és rendelkezésére álló információk alapján a Nemzetbiztonsági Szakszolgálat a Hatóság vizsgálatának tárgyát képező technikai eszközt az információs rendszer titkos megfigyelése, illetve a hely titkos megfigyelése terén nyújtott szolgáltatásai teljesítése során alkalmazta. • A Hatóság megállapította, hogy a technikai eszköz alkalmazásáról szóló szerződéses feltételek rögzítik, hogy a szerződő fél az alkalmazás során megteszi mindazokat az intézkedéseket, amelyek az eszköz alkalmazásával érintett személyes adatok illetéktelen külső fél általi megismerését megakadályozzák. A Hatóság álláspontja szerint a szerződés adatvédelemre vonatkozó rendelkezései ehhez az elvárható mértékű garanciákat biztosítják. • A Hatóság vizsgálata során nem merült fel arra vonatkozó adat, amely kétségessé tenné azt, hogy a technikai eszköz alkalmazása során a Nemzetbiztonsági Szakszolgálat a vonatkozó jogszabályok, közigazgatási szervezetszabályozó eszközök előírásainak, valamint szerződéses jogviszony esetén a szerződésben vállalt kötelezettségeknek a teljesítésével járt és jár el. 30.
  • 32. • A Hatóság vizsgálata során feltárt körülmények és rendelkezésére álló információk szerint a technikai eszközt a Nemzetbiztonsági Szakszolgálat kizárólag a bűncselekmények és terrorcselekmények megelőzése és felderítése céljára, illetve a vonatkozó magyar jogszabályok által meghatározott feladatai ellátása érdekében használja és biztosítja, hogy azt nem használják alapvető jogok jogellenes korlátozására. A sajtóban megjelent hírekkel ellentétben, a Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy a technikai eszköz használatát az izraeli védelmi minisztérium megtiltotta volna Magyarországnak. • A Hatóság vizsgálata során nem sikerült tisztázni azt a kérdést, hogy a magyar személyekhez köthető telefonszámok miként kerülhettek nyilvánosságra az ún. Pegasus Project nevű tényfeltáró vizsgálat során. • Kérdés: jogellenes adatkezelés vagy adatvédelmi incidens? • Mivel nem zárható ki, hogy bűncselekmény történt, ezért a Hatóság az Infotv. 70. § (1) bekezdése alapján büntetőeljárás megindítását kezdeményezte a nyomozó hatóságnál 31.
  • 33. Köszönöm a figyelmet! Dr. Péterfalvi Attila, elnök c. egyetemi tanár H-1055 Budapest, Falk Miksa u. 9-11. H-1363 Budapest, Pf.: 9. Tel.: +36 391-1400 Fax: +36 391-1410 elnok@naih.hu ugyfelszolgalat@naih.hu www.naih.hu