Έδιναν άδειες σε… καλόβουλα λογισμικά – Αποκαλύψεις «Φ»

Στοιχεία, τα οποία έχει στη διάθεσή του ο «Φ», καταρρίπτουν τις θέσεις που εκφράστηκαν χθες από το υπουργείο Ενέργειας, Εμπορίου και Βιομηχανίας για την εξαγωγή λογισμικών παρακολούθησης.

Ο αναπληρωτής διευθυντής του εν λόγω Υπουργείου, Λουκής Συμεωνίδης, μιλώντας χθες για το θέμα στην κοινοβουλευτική επιτροπή Νομικών και τοποθετούμενος ειδικότερα για τα λογισμικά υποκλοπών, είπε πως «οι άδειες δίδονται βάσει συγκεκριμένων κριτηρίων». Και πρόσθεσε ότι «εξ όσων γνωρίζουμε δεν έχουν εκδοθεί άδειες για κατασκοπευτικούς μηχανισμούς».

Λειτουργός της υπηρεσίας Εμπορίου του Υπουργείου που ήταν παρούσα και συμμετείχε στη συζήτηση, σε τοποθέτησή της, ανέφερε ότι «μπορούμε να πούμε με σιγουριά ότι από τη στιγμή που έχει ξεκινήσει η διερεύνηση της PEGA (σ.σ. από Μάρτιο του 2022) αλλά και πριν, όταν βγήκαν τα πορίσματα για το μαύρο βαν (σ.σ. η υπόθεση άρχισε να διερευνάται τον Νοέμβριο του 2019), δεν είχαν εκδοθεί από το Υπουργείο μας οποιεσδήποτε άδειες εξαγωγής για κακόβουλο λογισμικό».

Έγγραφο που αποκαλύπτει σήμερα ο «Φ», ωστόσο, δείχνει ότι οι πιο πάνω τοποθετήσεις μάλλον απέχουν από την πραγματικότητα. Τον Δεκέμβριο του 2021 εταιρεία που λειτουργεί νόμιμα στο κέντρο της Λευκωσίας, έλαβε άδεια από την υπηρεσία Εμπορίου για εξαγωγή λογισμικού παρακολούθησης στο Ισραήλ .

Το εν λόγω ντοκουμέντο περιγράφει το είδος διπλής χρήσεως. Συγκεκριμένα, γίνεται αναφορά σε «εξοπλισμό υποκλοπής, σχεδιασμένου για την εξαγωγή δεδομένων συσκευής» που μεταδίδονται μέσω συχνοτήτων (Interception equipment designed for the extraction of client device or subscriber identifiers (e.g. IMSI, TIMSI of IMEI) signaling or other metadata transmitted over the air interface»).

Η ξένων συμφερόντων εταιρεία στη Λευκωσία, σύμφωνα με την άδεια εξαγωγής που εκδόθηκε, επρόκειτο να αποστείλει το εν λόγω προϊόν διπλής χρήσης σε επιχειρηματική οντότητα που εδρεύει στο Ισραήλ. Το είδος διπλής χρήσεως, σύμφωνα με τα όσα αναγράφονται στο έντυπο της υπηρεσίας Εμπορίου, επρόκειτο να επανεξαχθεί από το Ισραήλ σε τρίτη χώρα, με βάση τους σχετικούς κανόνες της γειτονικής χώρας και υπό την επίβλεψη αρμόδιας υπηρεσίας (DECA). Η δε αξία του εξοπλισμού ξεπερνούσε τις 200.000 ευρώ.

Σε δυο κατηγορίες…

Είναι ενδεικτικό ότι μόλις ο κ. Συμεωνίδης ανέφερε πως δεν έχει δοθεί άδεια από την υπηρεσία Εμπορίου για εξαγωγή «κατασκοπευτικών μηχανισμών» επενέβη ο βουλευτής Άριστος Δαμιανού. Ο τελευταίος, στην έναρξη της συνεδρίασης, είχε αναγνώσει ευρήματα της εξεταστικής επιτροπής της Ευρωβουλής (PEGA) για τη χρήση λογισμικών παρακολούθησης στην Ευρωπαϊκή Ένωση. Τα εν λόγω ευρήματα που καταγράφονται σε επίσημα κείμενα, χαρακτηρίζουν την Κύπρο ως κόμβο εξαγωγής λογισμικών. Ο κ. Δαμιανού, λοιπόν, υπέδειξε στον κ. Συμεωνίδη πως τα όσα είπε δεν ανταποκρίνονται στην πραγματικότητα. Ο τελευταίος επαναδιατύπωσε τη θέση του, λέγοντας ότι δόθηκαν άδειες εξαγωγής για «λογισμικά διπλής χρήσης, αλλά όχι κακόβουλα». Εξήγησε ότι αυτά «χωρίζονται σε δυο κατηγορίες».

Στη συνέχεια, λειτουργός που εργάζεται στον αρμόδιο κλάδο του Υπουργείου για έκδοση αδειών εξαγωγής είπε πως «τα είδη που έχουμε χωρίζονται σε δυο μορφές». Συμπλήρωσε ότι «μπορούν να χρησιμοποιηθούν για νόμιμους σκοπούς», αλλά και «να χρησιμοποιηθούν και κακόβουλα». Σε άλλο σημείο αναφέρθηκε στα αιτήματα που κάνουν εταιρείες παραγωγής λογισμικών, προς την υπηρεσία της με στόχο να εκδοθεί άδεια εξαγωγής: «Υπάρχει περιγραφή του υπό εξαγωγή είδους και η κατηγορία στην οποία κατατάσσεται. Με την κατηγορία αυτή μπορούμε να καταλάβουμε αν κατατάσσεται σε κακόβουλο λογισμικό, δηλαδή spyware, ή αν κατατάσσεται σε καλόβουλο λογισμικό». Αυτή η εξήγηση, πάντως, δεν ξεκαθάρισε το τοπίο. Το ερώτημα παραμένει: Γιατί ένα λογισμικό με το οποίο επιτυγχάνεται η «υποκλοπή», θεωρείται νόμιμο;

Να σημειωθεί, βέβαια, ότι το θέμα εξαγωγών παραμένει σπαζοκεφαλιά για την Ευρωπαϊκή Ένωση. Άδειες εξαγωγής εκδίδονται μόνο όταν τα εν λόγω λογισμικά πρόκειται να μεταφερθούν σε τρίτη χώρα. Εντός της ΕΕ, δεν χρειάζεται η έκδοση άδειας εξαγωγής. Μάλιστα, η εισηγήτρια των επίσημων κειμένων της PEGA, ευρωβουλευτής, Σόφι ιντ Βελντ, χαρακτήρισε ως «ανέκδοτο» το πλαίσιο της ΕΕ που διέπει τη διακίνηση τέτοιων λογισμικών.

Δυο μητρώα για έλεγχο

Πολύ διαφορετική ήταν η προσέγγιση του γενικού διευθυντή του υφυπουργείου Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής, Στέλιου Χειμώνα, στο όλο θέμα. Ο τελευταίος ανέφερε πως το Υφυπουργείο επεξεργάζεται προσχέδιο Νόμου για να ενισχυθεί το υφιστάμενο πλαίσιο. Μίλησε για τις πρόνοιες της υπό προώθηση νομοθεσίας και είπε πως βάσει αυτής θα γίνουν δυο μητρώα, ένα για τις εταιρείες που ασχολούνται με τα λογισμικά κι ένα δεύτερο μητρώο με τα λογισμικά. Επιβεβαίωσε, ταυτόχρονα, τις αδυναμίες που υφίστανται σε ό,τι αφορά τον έλεγχο του κλάδου γενικότερα.

«Έχει συσταθεί επιτροπή και συντονίζουμε εμείς με σκοπό την αυστηροποίηση του πλαισίου», είπε ο κ. Χειμώνας. Και πρόσθεσε: «Υπάρχει ενιαίο πλαίσιο για όλα τα προϊόντα διπλής χρήσης. Εκείνο που προσπαθούσαμε να κάνουμε είναι να ξεχωρίσουμε τον εξοπλισμό κυβερνοεπιτήρησης. Εκείνο που έχουμε κατά νου –και έχουμε κάνει– είναι το πρώτο προσχέδιο νομοθεσίας». Στη συνέχεια αναφέρθηκε στις πρόνοιες του Νόμου: «Πρώτον θα υπάρχει ένα μητρώο κατασκευαστών (…) Θα κάνουμε το μητρώο κατασκευαστών, στο οποίο για να εγγραφεί κάποιος κατασκευαστής θα περνά από συγκεκριμένη διαδικασία. Θα γίνεται due diligence (έλεγχος δέουσας επιμέλειας). Θα δημιουργηθεί δεύτερο μητρώο, εξοπλισμού. Ο κάθε κατασκευαστής θα έρχεται και θα δηλώνει ότι “εγώ κύριοι κατασκευάζω τον τάδε εξοπλισμό” (…) Και θα δικαιούται να προβεί σε πράξεις, δηλαδή να υποβάλει αίτηση για κάποια πράξη, ένας κατασκευαστής που είναι εγγεγραμμένος σ’ αυτό το μητρώο, για ένα εξοπλισμό τον οποίο έχει ήδη δηλώσει». Ο κ. Χειμώνας πρόσθεσε ότι στη νομοθεσία θα υπάρχουν και ρυθμίσεις ώστε να γίνεται επιτήρηση και έλεγχος αυτών των εταιρειών. Πρόσθεσε ότι αυτό θα επιτευχθεί με αγορά υπηρεσιών.

Οι εξαγωγές, η συνεργασία Αστυνομίας – NCIS και οι απουσίες

Ο γενικός διευθυντής του υφυπουργείου Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής, Στέλιος Χειμώνας, μίλησε και για το καθεστώς εξαγωγών και την αδυναμία που υπάρχει για έλεγχο της κατάστασης. «Οι πράξεις εντός της Ευρωπαϊκής Ένωσης δεν είναι εξαγωγές», είπε και πρόσθεσε ότι η Ευρωπαϊκή Επιτροπή, παρά τα αιτήματα από την Κύπρο για να ξεκαθαριστεί πώς ελέγχεται η διακίνηση ενός προϊόντος από μια χώρα της Ευρωπαϊκής Ένωσης σε άλλη, δεν έχει δώσει διευκρινίσεις. Έκανε λόγο για έναν «κανονισμό με χιλιάδες παραρτήματα».

Ο Αρχηγός Αστυνομίας, Στέλιος Παπαθεοδώρου, αναφέρθηκε, χθες, λεπτομερώς στον τρόπο με τον οποίο εμφανίστηκε η Αστυνομία Κύπρου στο πελατολόγιο της εταιρείας του Αβραάμ Σαχάκ Άβνι, NCIS. Ως γνωστόν, ο κ. Άβνι ελέγχθηκε για την υπόθεση του μαύρου βαν, ωστόσο, δεν διώχθηκε ποινικά. Ο κ. Παπαθεοδώρου είπε πως η Αστυνομία το 2010 αποφάσισε να αγοράσει συσκευή εξαγωγής δεδομένων από ηλεκτρονικές συσκευές (UFED). Μετά τη συνομολόγηση συμφωνίας με εταιρεία από το εξωτερικό καταβλήθηκε ποσό για την αγορά της συσκευής και την άδεια χρήσης μέχρι το 2013 (9.500 ευρώ). Πρόσθεσε ότι «το 2014 αποφασίστηκε η αγορά ακόμη μιας άδειας χρήσης και η εκπαίδευση ακόμη ενός μέλους της Αστυνομίας. Τα διαδικαστικά με την εν λόγω εταιρεία. Στη συνέχεια, η εταιρεία παρέπεμψε την Αστυνομία να πληρώσει την NCIS ως τον αντιπρόσωπο της, προς ως όφελος της και αυτό γινόταν μέχρι το 2016». Ανέφερε πως υπήρξε συνεργασία και σε μια περίπτωση το 2015, όταν η Αστυνομία προκήρυξε προσφορές για να μπορεί να λαμβάνει δεδομένα από κάμερες, στο πλαίσιο σοβαρών υποθέσεων. Ο κ. Άριστος Δαμιανού που είχε θέσει το ερώτημα από τον περασμένο χειμώνα (2022) εξέφρασε ευαρέσκεια για την λεπτομερή ενημέρωση από πλευράς του Αρχηγού Αστυνομίας.

Αρνητικά σχολιάστηκε η απουσία από τη συνεδρίαση αξιωματούχων της εκτελεστικής εξουσίας. Είχαν κληθεί να συμμετάσχουν, μεταξύ άλλων, ο Γενικός Εισαγγελέας, ο υπουργός Ενέργειας, Εμπορίου και Βιομηχανίας, η υπουργός Δικαιοσύνης και Δημοσίας Τάξεως, καθώς και ο υφυπουργός Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής.

ΑΥΤΟΠΤΗΣ ΜΑΡΤΥΡΑΣ

Να λέμε και τα καλά

Πειστική ήταν η χθεσινή παρουσία του γενικού διευθυντή του υπουργείου Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής, Στέλιου Χειμώνα. Κατ’ αρχάς, με βάση τα όσα είπε, δόθηκε η εντύπωση ότι έγινε επαρκής διερεύνηση του θέματος από το Υφυπουργείο. Από εκεί και πέρα, οι πρόνοιες του υπό ετοιμασία νομοσχεδίου για αυστηροποίηση του πλαισίου ελέγχου εταιρειών που παράγουν λογισμικά παρακολούθησης, φαίνονται ως οι καταλληλότερες υπό τις περιστάσεις.