Heinäkuussa 2021 kreikkalainen tutkiva journalisti Thanasis Koukakis sai tekstiviestin tuntemattomasta numerosta. Viesti sisälsi linkin uutisblogiin ja kysymyksen: ”Thanasis, tiesitkö tästä?”
”Klikkasin linkkiä, luin blogin ja unohdin asian pian”, Koukakis kertoo ateenalaisen kahvilan terassilla.
Klikkaus ilmeisesti tartutti tutkivan toimittajan puhelimeen vakoiluohjelman.
Koukakis oli joutunut Kreikan tiedustelupalvelu EYP:n valvonnan kohteeksi ensimmäisen kerran jo vuonna 2020. Tuolloin hänen puhelintaan kuunneltiin yli kahden kuukauden ajan oikeuden luvalla.
”Kännykkäni käyttäytyi oudosti ja kysyin eräältä lähteeltäni, valvotaanko minua. Uskoin asian vasta, kun näin litteroinnit kahdesta puhelinkeskustelustani.”
Koukakis oli aiemmin tutkinut muun muassa Kreikan liike-elämän ja pääministeri Kyriakos Mitsotakisin hallituksen korruptiota. Artikkelit julkaisi Financial Times.
Koukakis teki valvonnasta valituksen elokuussa 2020. EYP lopetti puhelinkuuntelun samana päivänä. Vuotta myöhemmin puhelimeen oli jälleen tartutettu korkeatasoinen vakoiluohjelma.
Kännykkäni käyttäytyi oudosti ja kysyin eräältä lähteeltäni, valvotaanko minua. Uskoin asian vasta, kun näin litteroinnit kahdesta puhelinkeskustelustani.
Thanasis Koukakis, tutkiva journalisti
Vakoiluhaittaohjelmien käyttö on koko Euroopan ongelma. Ihmisoikeusjärjestö Amnesty Internationalin teknologiatiimissä työskentelevän Rebecca Whiten mukaan Euroopassa käytettävillä vakoiluohjelmilla urkitaan muun muassa toimittajia, poliitikkoja ja ihmisoikeusaktivisteja.
Pahamaineisimmat ohjelmat ovat nimeltään Pegasus ja Predator, mutta ohjelmien tarkkaa määrää ei tiedä kukaan.
”Amnesty tietää 30 – 40 ohjelmia valmistavaa yritystä, mutta niitä on todennäköisesti enemmän. Uusia tietoja tulee julkisuuteen jatkuvasti”, White sanoo.
Toimittajia on urkittu haittaohjelmilla ympäri maailmaa. Syyskuussa uutisoitiin, että riippumattoman, maanpaossa toimivan venäläismedia Meduzan toimittajan puhelimesta löydettiin Pegasus-ohjelma.
Marokko on vakoillut Ranskassa asuvia, maata kritisoineita toimittajia. Meksikossa on vakoiltu korruptiota ja kartellia tutkivia toimittajia. Sikhivähemmistöön kuuluvaa toimittajaa Jaspal Herania vakoiltiin Intiassa.
Kun urkinnan kohde on toimittaja, vaakalaudalla on sekä oma että lähteiden turvallisuus. Kehittyneimmät ohjelmat asennetaan laitteeseen etänä, ja niillä voidaan kerätä tietoja käytännössä kaikesta, mitä laitteella tehdään. Koska ohjelmat ovat hyvin kalliita ja vaikeita valmistaa, niitä pystyvät käyttämään pääasiassa valtiot.
Esimerkiksi israelilaisen teknologiayrityksen valmistama Pegasus mahdollistaa pääsyn puhelimen näytölle, ja sen avulla voi ladata esimerkiksi puhelimen viestejä ja kuvia. Yritys myy ohjelmaa valtioiden käyttöön. Sillä on vakoiltu muun muassa toimittajia, aktivisteja ja opposition edustajia. Pegasuksen kaltaiset ohjelmat voivat tallentaa ja lähettää eteenpäin näytön sisällön, näppäinpainallukset ja puhelujen sisällön sekä tallentaa laitteen mikrofonilla ja kameralla sen, mitä ympärillä tapahtuu.
Toisen kuuluisan vakoiluohjelman, Predatorin, kehittänyt yritys Intellexa on niin ikään israelilaisten perustama. Nykyään yrityksellä on toimintaa ja rekisteröityjä osoitteita ympäri maailmaa.
Haittaohjelmia tutkiva EU:n PEGA-komitea on arvioinut, että kaikissa unionin jäsenmaissa käytetään haittaohjelmia jollain tavalla. Tämä voi tarkoittaa myös viranomaisten suorittamaa rajattua, laillista ja oikeuden päätöksellä tehtävää valvontaa.
Kyseessä voi olla myös salamyhkäinen, vaikeasti valvottava ja rajaamaton käyttö, jonka Pegasuksen ja Predatorin kaltaiset tehokkaimmat ohjelmat mahdollistavat.
PEGA:n arvion mukaan ainakin 14:n EU-maan viranomaiset ovat ostaneet Pegasuksen. Vahvistetusti sitä on käytetty ainakin kymmenessä jäsenmaassa, mukaan lukien Saksa, Puola, Unkari, Espanja, Alankomaat ja Kreikka.
Toimittajiin kohdistunutta urkintaa on dokumentoitu esimerkiksi Pegasus project -nimisessä hankkeessa. Kyseessä oli kansainvälinen 17 mediatalon hanke, jossa yli 80 toimittajaa analysoi kansalaisjärjestö Forbidden Storiesilta ja Amnestylta saatuja tietoja Pegasuksen käytöstä ja uhreista.
Vaikka toimittaja olisi maassa, jossa kunnioitetaan ihmisoikeuksia, hän ei ole turvassa. Tämä voi vaikuttaa siihen, haluavatko ihmiset käsitellä tiettyjä aiheita tai edes työskennellä journalismin parissa.
Rebecca White, Amnesty Internationalin asiantuntija
Amnestyn Rebecca Whiten mukaan Pegasuksen kaltaisten hyvin tehokkaiden vakoiluohjelmien käyttö on aina ongelmallista niiden mahdollistaman valvonnan laajuuden takia.
”Tämän tason ohjelmia ei voi käyttää ihmisoikeuksia kunnioittavasti missään tapauksessa tai tilanteessa.”
Laitteen omistaja ei voi suojautua Pegasus-tason ohjelmilta juuri mitenkään. Ei riitä, että jättää klikkaamatta epäilyttäviä linkkejä tai välttää vaarallisia sivustoja.
Ohjelmat ovat niin sanottuja zero-click eli nollaklikkausohjelmia. Niissä hyödynnetään usein käyttöjärjestelmän tai sovelluksien koodissa olevia virheitä, joita kukaan muu ei ole vielä löytänyt. Tällaiset virheet ovat äärimmäisen kalliita ja työläitä löytää. Hakkerit kauppaavat yrityksille tietoa niistä jopa miljoonilla dollareilla.
Nollaklikkausohjelmia on levitetty esimerkiksi kalenterikutsuilla ja Whatsapp-puheluiden kautta. Laitteen saastumiseen on riittänyt, että se on vastaanottanut kutsun tai puhelun.
Toisin kuin nollaklikkausohjelmat, monet muut haittaohjelmat vaativat käyttäjältä toimia saastuttaakseen laitteen. Niitä vastaan on helpompi varautua.
Esimerkiksi Predator vaatii yhden klikkauksen aloittaakseen urkinnan. Naamioituja ohjelmiston asennuslinkkejä on lähetetty tekstiviesteillä, sähköpostilla ja viestisovelluksilla.
Jotkin ohjelmat taas vaativat, että kohdelaite on fyysisesti kytketty kiinni valvontalaitteeseen. Tämän lisäksi ohjelmia voidaan myös levittää langattomissa verkoissa, esimerkiksi autossa tai repussa olevan lähettimen avulla.
Suomessa poliisi voi oikeuden päätöksellä valvoa rikoksesta epäillyn laitteita. Poliisi on vaitonainen menetelmistä, joilla valvontaa tehdään.
”Salassa pidettäviin taktisiin ja teknisiin menetelmiin ei oteta julkisuudessa kantaa. Poliisi voi tuomioistuimen luvalla tutustua ihmisiin ja seurata heidän viestintäänsä ja sitä myös tehdään”, sanoo poliisitarkastaja Pertti Sovelius.
Lainsäädännössä on tehty ero viestinnän sisällön ja laitteen muun käytön valvonnan välille.
Poliisi saa esimerkiksi valvoa rikoksesta epäillyn laitteiden viestien sisältöä. Tuomioistuin myöntää sitä varten jokaiseen laitteeseen erillisen luvan, ja se on mahdollista vain tiettyjen rikosepäilyiden kohdalla. Niihin kuuluu esimerkiksi törkeitä väkivalta- ja seksuaalirikoksia, mutta myös turvallisuussalaisuuden paljastaminen, josta Helsingin käräjäoikeus tuomitsi kaksi Helsingin Sanomien toimittajaa tammikuun lopulla.
Toimittajat ilman rajoja -järjestö on ottanut kantaa toimittajien vakoilutapauksiin.
Suomen Toimittajat ilman rajoja ry:n puheenjohtaja Yrsa Grüne-Luoma suosittelee olemaan varuillaan älylaitteiden kanssa.
”Puhelin kannattaa jättää kotiin, jos on mitään tärkeää. Ei kannata luottaa mihinkään laitteeseen.”
Grüne-Luoman mukaan toimittajan riski joutua urkinnan kohteeksi voi olla korkeampi, jos kirjoittaa arkaluontoisista aiheista kuten ulko- ja turvallisuuspolitiikasta. Hän muistuttaa, että valtiolla on intressi tietää, mitä aiheesta kirjoitetaan ja millainen kuva siitä syntyy ulospäin.
”Mutta rajaa on vaikea vetää. Kuka sitä tietää millaisia intressejä eri toimijoilla on.”
Yhteistä toimittajien vakoilutapauksille on usein ollut valtaapitävien ärsyttäminen, mutta aiheet ovat voineet liittyä ulko- ja turvallisuuspolitiikan lisäksi esimerkiksi korruptioon, talouspolitiikkaan, ympäristöasioihin tai rikoksiin.
Urkinta voi Grüne-Luoman mukaan kohdistua myös toimittajan lähipiiriin. Koska Pegasus-tason ohjelmat keräävät tietoja laajasti, sivullisia uhreja tulee paljon joka tapauksessa.
Amnestyn White nostaa esimerkiksi läheisiin kohdistuvasta vakoilusta saudiarabialaisen toimittajan Jamal Khashoggin murhan.
Saudi-Arabian hallintoa kritisoinut Khashoggi murhattiin vuonna 2018 Turkissa Saudi-Arabian suurlähetystössä. Whiten mukaan Khashoggin perheenjäseniin ja muuhun lähipiiriin oli kohdistettu Pegasus-hyökkäys ennen murhaa ja sen jälkeen. Ohjelmalla on mahdollisesti saatu tietoa hänen liikkeistään.
Tehokkaat vakoiluohjelmat ovat tiedonhankintakeinon lisäksi sorron väline. Jo pelkkä ohjelmien olemassaolo vaikeuttaa toimittajien, aktivistien ja muiden valtaa vahtivien työtä.
Ongelmana on, että ohjelmat eivät kunnioita valtioiden rajoja, ja se lisää uhkaa maailmanlaajuisesti.
”Vaikka toimittaja olisi maassa, jossa kunnioitetaan ihmisoikeuksia, hän ei ole turvassa. Tämä voi vaikuttaa siihen, haluavatko ihmiset käsitellä tiettyjä aiheita tai edes työskennellä journalismin parissa”, White sanoo.
”Vastuun ei pitäisi olla toimittajilla tai aktivisteilla, vaan valtioilla ja yrityksillä. Tarvitaan sääntelyä ja toimia.”
Muun muassa Amnesty ja Euroopan parlamentti ovat vaatineet kieltoa Pegasus-tason ohjelmien valmistamiseen, myyntiin ja käyttöön. Whiten mukaan tämä on vielä kaukainen haave.
Kreikkalaisen tutkivan toimittajan Thanasis Koukakisin toinen valvontatapaus paljastui tuurilla. Sosiaalisen median yhtiö Meta ja Toronton yliopiston tutkimuskeskus Citizen Lab julkaisivat lokakuussa 2021 raportit Predator-haittaohjelmasta. Metan raportti sisälsi listan linkeistä, joita oli käytetty ohjelman levittämiseen. Linkkien joukossa oli sivustoja, joille Koukakis oli kirjoittanut juttuja. Hän otti yhteyttä Metaan, jonka avulla hänen puhelimensa lopulta tutkittiin.
Selvisi, että Predator oli asennettuna Koukakisin puhelimeen yli kahden kuukauden ajan heinä – syyskuussa 2021.
Koukakis kertoo, että hän ja monet muut valvonnan kohteet ovat haastaneet oikeuteen hallituksen ja tiedustelupalvelu EYP:n edustajia sekä Predatorin valmistaneen Intellexan.
”Kun parlamentin perustama selvityskomitea yritti saada tietoja EYP:ltä, heille kerrottiin tiedostojen hävinneen järjestelmäpäivityksessä. En tiedä, tulemmeko koskaan saamaan selville, mitä tietoja kerättiin ja miten niitä käytettiin, mutta jatkamme yrittämistä.”
Jotain kerätyistä tiedoista kertoo se, mitä Koukakisin lähteille on tapahtunut. Hän kertoo tietävänsä useamman tapauksen, joissa hänen lähteensä valtionhallinnossa on siirretty toisiin tehtäviin tai saanut potkut.
Kaikesta huolimatta Koukakis on optimistinen.
”Lähestyn tätä tilannetta uutena juttuna. Jatkamme asian tutkimista ja tietoisuuden levittämistä, kunnes syyttäjä tekee tehtävänsä. Meidän tulee estää autoritäärinen vallankäyttö.”
Uusimmassa lehdessä
- Paikallismedia kytkee ihmiset yhteisöönsä. Alajärvelle muuttanut Jukka Vuorio huomasi tarttuvansa pikkukunnan uutisiin sitä painokkaammin, mitä synkemmältä maailma muussa mediassa näyttää.
- Yleisön luottamus täytyy ansaita yhä uudelleen
- Journalistin ohjeiden uudistusehdotukseen paljon kommentteja – ”On jätettävä tilaa myös journalismin houkuttelevuudelle”
- Palkaton sairauspäivä huolettaa – liitto ei hyväksy ehdotusta, jos sitä esitetään neuvotteluissa
