Po raz pierwszy świat usłyszał o państwach hakujących „cywilne” cele w 2010 roku, kiedy Google wykrył i ujawnił ingerencję rządu Chin. Adobe Systems i Juniper Networks potwierdziły wówczas, że również zostały zaatakowane, a dalsze śledztwo wskazało, że celami były także Yahoo i Symantec. W tym samym czasie Chiny stosowały podobną taktykę przeciwko tybetańskim organizacjom pozarządowym, a szpiegowanie tybetańskiego społeczeństwa trwa do dnia dzisiejszego.
Od tamtego czasu hakowanie aktywistów w celu dotarcia do ich korespondencji, sieci i życia online stało się powszechną praktyką wśród rządów w różnych częściach świata. Wraz z falą rewolucji w świecie arabskim w 2011 roku, pojawiła się kampania inwigilowania grup aktywistów.
Dziennikarze, aktywiści i prawnicy
Mamfakinch, marokańska organizacja dziennikarzy obywatelskich, została zhakowana przez swój rząd za pomocą komercyjnego programu szpiegującego sprzedawanego przez włoskiego dostawcę Hacking Team. Bahrain Watch, organizacja pozarządowa śledząca transfery broni do rządu Bahrajnu, stała się celem ataku (razem z innymi znanymi bahrańskimi aktywistami i prawnikami) z użyciem komercyjnego oprogramowania szpiegującego FinFisher (wyprodukowanego w Niemczech, ale dystrybuowanego wówczas przez brytyjską firmę Gamma Group).
W Zjednoczonych Emiratach Arabskich Ahmed Mansoor, członek komitetu doradczego Human Rights Watch ds. Bliskiego Wschodu, otworzył zawirusowany dokument, który zainstalował program szpiegujący na jego komputerze, umożliwiający lokalnym władzom śledzenie jego ruchów i czytanie emaili. Grupa hakerów wspierających syryjski rząd i nazywających siebie Syryjską Armią Elektroniczną również prowadziła inwigilacje, obierając za cel Human Rights Watch i organizacje publikujące informacje o sytuacji w kraju.
Wielowarstwowe hakowanie
Powyższe działania mają miejsce nie tylko w świecie arabskim. Brytyjskie agencje wywiadowcze przechwyciły prywatną komunikację Amnesty International. W 2012 roku Centrum dla Demokracji i Technologii w USA stało się celem ataku grup sponsorowanych przez Chiny. W grudniu 2013 roku pracownicy Fundacji Elektronicznej Granicy (EFF) w USA, którzy pracowali z wietnamskimi aktywistami, byli inwigilowani przez grupy powiązane z rządem Wietnamu.
Atak na EFF był elementem wieloletniej strategii hakowania różnych celów, w tym dziennikarza Associated Press, wietnamskiego naukowca z Francji, założyciela „Ba Sam”, jednego z najpopularniejszych blogów wietnamskich dysydentów. W sierpniu 2015 roku inny pracownik EFF był szpiegowany przez ludzi powiązanych z rządem Iranu.
Wierzchołek góry lodowej
Udokumentowane ataki są z pewnością jedynie wierzchołkiem góry lodowej. Analiza incydentów w celu uzyskania solidnych informacji o sprawcach wymaga czasu i ekspertyzy, a nawet wtedy może nie przynieść rozstrzygających rezultatów. Na przykład atak na Komitet dla Ochrony Dziennikarzy w 2012 roku został zidentyfikowany jako motywowany politycznie, ale nigdy nie przypisano go konkretnemu rządowi.
Są także inne powody, dla których ataki na organizacje pozarządowe pozostają nieudokumentowane. Wiele organizacji po prostu nie posiada infrastruktury niezbędnej do rozpoznania ataku. Nawet jeśli zauważą podejrzanego emaila, nie mają ekspertyzy, nie wiedzą, gdzie szukać pomocy lub niechętnie się o nią zwracają, ponieważ oznacza to konieczność przyznania się do bycia zagrożonym. Wiele organizacji nie ujawnia swoich problemów z bezpieczeństwem w obawie przed utratą zaufania aktywistów.
Milczenie pomaga sprawcom
Co zatem mogą zrobić organizacje praw człowieka? Po pierwsze, muszą zrozumieć, że nie mogą polegać wyłącznie na zaszyfrowanej komunikacji. Muszą przygotować plan reagowania na ataki, w tym stworzyć sieć ekspertów, do których mogą zwrócić się w razie ataku, a także zainwestować w odpowiednią infrastrukturę.
Ponadto, organizacje powinny rozważyć poinformowanie społeczeństwa byciu celem hakerów finansowanych przez rząd. Milczenie jedynie pomaga sprawcom. Publiczne informacje o rządowych atakach są użyteczne dla innych organizacji pozarządowych, pozwalają potencjalnym kolejnym celom lepiej się zabezpieczyć, a także dają szansę na realną debatę o zagrożeniach, z którymi mierzą się aktywiści na całym świecie i możliwych metodach ich ochrony.
Morgan Marquis-Boire jest ekspertem ds. bezpieczeństwa i doradcą Amnesty International ds. technologii. Eva Galperin jest analityczką Fundacji Elektronicznej Granicy w San Francisco.