U dokumentima Wikileaks-a, Srbija se našla među zemljama u kojima su locirani predstavnici kompanija koje prodaju opremu za nadzor, pa postoji sumnja da je neko u Srbiji kupio FinFisher/FinSpy softver, pomoću koga je moguće pratiti elektronske komunikacije korisnika. Share Defense je u prethodnom tekstu ukazao na zakonsku regulativu kod nas, kao i na mogućnosti zloupotrebe ovakvih alata.

Dokument koji je WikiLeaks objavio pokazuje da su u poslednjih godinu dana Srbiju često posećivali predstavnici kompanija koje se bave prodajom opreme za elektronski nadzor. Među njima posebno treba obratiti pažnju na ime Tomas Miskovsky iz kompanije Trovicor, koje se ponavlja više puta. S obzirom na objavljene podatke, pretpostavljamo da je neko u Srbiji od kompanije “Trovicor GmbH” kupio alate za nadzor.

Trovicor je jedan od vodećih dobavljača opreme za presretanje i nadzor podataka u celom svetu. Ova kompanija tvrdi da snabdeva više od 100 zemalja širom sveta svojom opremom za zakonito prestretanje preko specijalizovanih monitoring centara. Ovi centri mogu da presreću telefonske pozive, SMS poruke, VoiP pozive (nalik Skype pozivima) i celokupan Internet saobraćaj. Špijuniranje sadržaja hard diskova, sa druge strane, još uvek nije moguće. Trovicor nudi i rešenja za efikasnu obradu i analizu ogromnih količina podataka (inteligentne platforme). Ono što predstavlja problem jeste to što se oprema koju Trovicor prodaje koristi na načine koji mogu da ugroze ljudska prava u obimu koji prekoračuje dozvoljene granice, posebno pravo na privatnost i slobodu izražavanja. Ovim kompanije poput Trovicora jasno krše međunarodno ustanovljene principe u ovoj oblasti (OECD Guidelines), zbog čega je Privacy International u februaru podneo žalbuOrganizaciji za ekonomsku saradnju i razvoj (OECD), zajedno sa još nekoliko organizacija koje se bave zaštitom ljudskih prava. Žalba je poslata OECD-ovom nacionalnom centru za kontakt u Nemačkoj, koji se nalazi u Ministarstvu ekonomije i tehnologije.

Postoje slučajevi u kojima su kompanije, uključujući i Trovicor, prodavale opremu za nadzor komunikacija autoritarnim režimima, poput Bahreina, Egipta, Vijetnama, Sirije i Jemena, koji su je koristili za špijuniranje novinara, blogera i disidenata. Uvoz ovakve opreme se pravda očuvanjem nacionalne bezbednosti i u svrhu borbe protiv terorizma. Pre dve godine, dvojica zaposlenih u ovoj kompaniji su priznala da su u Bahreinu instralirali spornu opremu, a prodaju je potvrdio i portparol Nokia Simensa, koji poseduje Trovicor. Nakon objave WikiLeaks-a, pretpostavke su da se upravo ovaj vid usluge realizovao i u našoj zemlji.

Kompanije ne zanima previše na koji se način može zloupotrebiti njihov proizvod, kao ni potencijalno ugrožavanje osnovnih ljudskih prava. Takođe, “Reporteri bez granica” su Trovicor označili kao kompaniju koja je “neprijatelj Interneta”.

Uvoz opreme za nadzor

Jasno je da je kontrola uvoza/izvoza/tranzita ovakve opreme pitanje koje je od velikog intreresa za pojedinačne zemlje i na međunarodnom nivou. Nedavno je na nivou EU pokrenuta inicijativa za donošenje striktne regulative o kontroli izvoza opreme za nadzor komunikacija. S obzirom na to da je u EU regulisano pitanje uvoza, ali ne i izvoza, postoji potreba da se zaštite i zemlje van EU. Zato je pitanje kontrole prometa ovom opremom pitanje od nacionalnog interesa koje treba jasno urediti.

Regulativa u oblasti uvoza i izvoza opreme koja služi za presretanje komunikacije, tj. elektronski nadzor bi u Srbiji trebalo da bude regulisana zakonima koji se bave uvozom/izvozom robe dvostruke namene i robe koja služi u vojne svrhe, jer se smatra opremom koja je od naročitog interesa za bezbednost države. Do sada je ova oblast bila uređena Zakonom o spoljnoj trgovini naoružanjem, vojnom opremom i robom dvostruke namene, a nedavno je usvojen nov Zakon o uvozu i izvozu robe dvostruke namene koji je stupio na snagu 8. novembra 2013. godine. U skladu sa ovim zakonom, kontrolisanom robom se smatraju i softver i tehnologija, koji se mogu koristiti kako u civilne, tako i u vojne svrhe.

Takođe, zakon pod ovaj režim podvodi i tehničku pomoć koju definiše kao “uslugu koja se odnosi na razvoj, proizvodnju, modifikaciju, rukovanje, sklapanje, testiranje, popravku, održavanje, skladištenje ili detekciju robe dvostruke namene, kao i druge tehničke usluge koje mogu biti instrukcija, obuka, prenos poslovnog znanja i veština ili stručne i savetodavne usluge, uključujući i pomoć koja se pruža usmeno” (član 3).”

U odnosu na verziju starog Zakona, može se primetiti da ova verzija mnogo manje pažnje posvećuje uvozu softvera i tehnologije i pitanjima u vezi za njihovim prenosom. Ono što je takođe bitno je i da novi Zakon više pažnje posvećuje izvozu ove robe. Klauzula iz člana 6. koja se primenjuje samo na izvoz uvodi obavezu da se zbog naročitog značaja ove opreme, u situacijama kada je razumno posumnjati da bi određena oprema trebalo da bude na ovoj listi iako se na njoj ne nalazi od Ministarstva se mora tražiti mišljenje da li je potrebna dozvola za izvoz. Imajući u vidu da su Nacionalne liste u kojima se određuje koja oprema je podložna ovom režimu komplikovane i predugačke i često zahtevaju mišljenje eksperta kako bi se procenilo da li određena roba spada u njih, potreba za ovakvom klauzulom je više nego evidentna, ali ne vidimo zašto ovu klauzulu ne bismo primenili i na uvoz. S obzirom da je cilj ovog Zakona kontrola uvoza/izvoza/tranzita opreme koja je od interesa za bezbednost Republike Srbije, ne vidi se legitimo opravdanje da ono što najviše pogađa interese Republike Srbije, a to je, po logici stvari uvoz, bude pod liberalnijim režimom.

Organizacija EFF je predložila uvođenje standarda “upoznavanja mušterije” (“know your customer”). Okvir treba da se zasniva na dve tačke: kompanije koje prodaju opremu za nadgledanje elektronskih komunikacija pre i tokom prodaje treba da istraže i dobro upoznaju potencijalne kupce i odustanu od transakcija ukoliko se otkriju objektivni dokazi ili sumnja da će tehnologija tih kompanija biti korišćena za kršenje ljudskih prava.

Novi Zakon izostavlja obavezu prethodne registracije za delatnost kod nadležnog Ministarstva i sada samo potrebno imati dozvolu za uvoz/izvoz od nadležnog Ministarstva. Uz zahtev za izdavanje pojedinačne dozvole, između ostalog, mora se osim dokumenata navedenih u Zakonu, priložiti i naročito značajna originalna potvrda o krajnjem korisniku (end user certificate) što svedoči o značaju kontrole i praćenju do krajnjeg odredišta ove opreme (član 12). Ono što je potrebno istaći je da kada nadležna Ministarstva odlučuju o davanju svoje saglasnosti i na kraju o izdavanju dozvole, veoma je bitno da uzmu u obzir da li predmetna oprema: “…ugrožava bezbednosne ili odbrambene interese Republike Srbije, javnu bezbednost i ustavni poredak; ugrožava poštovanje ljudskih prava u zemlji krajnjeg korisnika; omogućava izbijanje ili nastavak oružanih i drugih sukoba u državi krajnje upotrebe robe; omogućava upotrebu robe za podsticanje nemira u državi krajnje upotrebe robe” (član 15). Proširena je lista razloga koje treba uzeti u razmatanje prilikom izdavanja dozvole kako bi se unapredila zaštita i poštovanje ljudskih prava, mira i mogućnosti njene zloupotrebe. Na kraju, treba spomenuti da nadležno Ministarstvo vodi i bazu podataka o izdatim, odbijenim i oduzetim dozvolama i vrši nadzor u saradnji sa nadležnim organima (čl. 26. i 28).

Sve veći akcenat se u regulativi za opremu za nadzor stavlja na to da se bira oprema koja omogućava maksimum poštovanja ljudskih prava i da je što manje podložna zloupotrebama. Stoga je jako bitno prilikom uvoza opreme koja se koristi za elektronski nadzor i presretanje komunikacije, voditi računa o tome koliko bi ovakva oprema omogućavala zadiranje u osnovna ljudska prava (na privatnost, slobodu izražavanja, slobodu okupljanja, itd) i da se vodi računa da li postoji neka manje intruzivna oprema koja omogućava podjednako dobre rezultate.

Pitanja na koja treba odgovoriti

Share Defense postavlja pitanje da li je oprema koju koriste naše službe bezbednosti uvezena po proceduri koju propisuje zakon? Na Listi roba i tehnologija EU, između ostalog se nalaze i „bezbednost telekomunikacija i sredstava informacija“, kao i softver i tehnologija. S obzirom da su liste opreme za koju je potrebno pribaviti dozvolu, a koje donosi Vlada, s jedne strane rađene po uzoru na EU liste, ali takođe dosta kompleksne i preširoke, postavlja se pitanje da li je pomenuta oprema koja bi po svim karakteristikama trebalo da se nalazi na njima prolazila ovu proceduru prilikom uvoza/izvoza? Imajući u vidu značaj ove opreme i posebno mogućnost da se koristi u nelegitimne svrhe, i da se njome na najgori mogući način ugroze osnovna ljudska prava, smatramo da je od izuzetne važnosti da ova oprema bude pod strogim režimom kontrole koji propisuje ovaj zakon. Takođe, drugo pitanje koje se postavlja, a koje se može utvrditi iz baze dozvola koje vodi nadležno Ministarstvo, jeste da li je Trovicor uvozio ovu opremu na teritoriju Republike Srbije? Imajući u vidu prethodno rečeno i činjenicu da je kompanija Trovicor je bila optužena za saradnju sa autoritarnim režimima u Bahreinu, Iranu i Siriji, veoma je diskutabilno korišćenje ovakve opreme. Iako su softver i hardver ove kompanije navodno korišćeni za targetiranje, pronalaženje i špijuniranje političkih aktivista, boraca za ljudska prava i novinara, ipak, iz Trovicor-a tvrde da su u pitanju ilegalne verzije njihovog softvera i da oni svoju opremu prodaju samo državama. Svakako, imajući u vidu mogućnosti koje njihov softver nudi i nivo intruzivnosti u ljudska prava koji omogućuje, postavlja se pitanje da li bi ovakav softver bilo moguće uklopiti u naš zakonodavni okvir.