Niniejszy dokument analizuje raport „CatalanGate: rozległa operacja szpiegowska najemników przeciwko Katalończykom przy użyciu Pegasusa i Candiru”, opublikowany 18 kwietnia 2022 r. przez Citizen Lab w Munk School of Global Affairs and Public Policy, University of Toronto, i ujawnia szereg poważnych problemów metodologicznychi etycznych, które poważnie podważają jego wartość jako podstawy dowodowej dla komisji parlamentarnych i procesów sądowych. Ta krytyczna recenzja pokazuje, że projekt badawczy Citizen Lab, badania i raportowanie ustaleń w raporcie „CatalanGate” są sprzeczne z powszechnie akceptowanymi normami prowadzenia i uczciwości badań naukowych. Różnorodność i powaga odkrytych pułapek sugerują, że Citizen Lab i organizacje polityczne, które współpracowały z nimi przy opracowywaniu raportu, mogły próbować celowo wywołać silne uprzedzenia polityczne, aby kształtować opinię publiczną i osiągnąć silny wpływ medialny. Niniejsza krytyczna recenzja zaleca Uniwersytetowi w Toronto wszczęcie niezależnego dochodzenia w sprawie tego raportu i wycofanie jego publikacji. Podsumowanie niektórych głównych zidentyfikowanych problemów:

1) Dochodzenie w sprawie CatalanGate narusza podstawowe wytyczne i zasady cyfrowej analizy kryminalistycznej określone między innymi przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), a także Protokół z Berkeley wydany przez Biuro Wysokiego Komisarza Narodów Zjednoczonych ds. Praw Człowieka (OHCHR).

2) Wyniki przedstawione w tym badaniu nie są powtarzalne i nie zostały niezależnie zrecenzowane ani zweryfikowane.

3) Występuje bardzo nietypowy brak przejrzystości w zakresie metodologii i wyborów projektu badawczego. Autorzy odmawiają podania liczby badanych urządzeń lub współczynnika wyników pozytywnych w analizie. Nie podano żadnych grup kontrolnych ani przedziałów ufności analiz.

4) Autorzy odmawiają podania, kiedy, gdzie i przez kogo przeprowadzono analizy kryminalistyczne. Nie ma dowodów na to, że Citizen Lab przeprowadziło jakąkolwiek potwierdzającą analizę niezdalną w celu weryfikacji infekcji. Nie ma odniesienia do żadnej procedury gwarantującej łańcuch dowodowy, czego można oczekiwać w przypadku jakiejkolwiek poważnej analizy kryminalistycznej.

5) Dane dotyczące infekcji urządzeń i prób infekcji są prezentowane razem, co może wprowadzić czytelnika w błąd, że wszystkie ofiary w raporcie były szpiegowane.

6) Pan Ronald Deibert, dyrektor Citizen Lab, twierdzi, że ich procesy analityczne są w 100% niezawodne i odmawia rozważenia możliwości wystąpienia fałszywie pozytywnych wyników lub innych błędów; jest to w kontraście z większością głównego nurtu literatury na temat analizy kryminalistycznej i nauk społecznych.

7) Uczestnicy i niektórzy autorzy najwyraźniej starali się zmaksymalizować liczbę wyników pozytywnych. Niechęć do przesyłania próbek do zewnętrznej walidacji i zgłaszanie prób zakażenia wraz z udanymi zakażeniami wydają się to potwierdzać.

8) Różne pozorne konflikty interesów (polityczne i ekonomiczne), w które uwikłani byli autorzy raportu i osoby współpracujące przy jego badaniach, pozostają nieujawnione.

9) Badania koordynował pan Elies Campo, działacz niepodległościowy, i domniemana ofiara szpiegostwa, bez wcześniejszego doświadczenia badawczego ani ukończonego wyższego wykształcenia jakiegokolwiek rodzaju. Autor ten złożył również fałszywe oświadczenia dotyczące swojego statusu zatrudnienia i nie był związany z Citizen Lab przez większość okresu trwania śledztwa.

10) Najwyraźniej analizowano tylko urządzenia polityków i działaczy niepodległościowych. Autorzy nie wyjaśniają kryteriów zastosowanych w próbkowaniu metodą kuli śnieżnej. Istnieją bardzo silne dowody sugerujące, że przypadki przesłane do analizy zostały przefiltrowane przez partie polityczne.

11) Sprawozdanie z ustaleń dochodzenia CatalanGate odzwierciedla silną stronniczość polityczną, stronniczość selekcji i brak rygoru. Informacje są często grupowane w problematyczny sposób lub pomijane, aby wywołać pewne (nieneutralne) poglądy.

12) Według kluczowych uczestników badania, dochodzenie Citizen Lab w Hiszpanii miało na celu zebranie dowodów, aby wesprzeć sprawy sądowe przeciwko NSO przez WhatsApp, Apple i katalońskich polityków secesjonistycznych. Ogłoszenie przez Apple 10 milionów dolarów wkładu dla badaczy za ich wsparcie w gromadzeniu dowodów przeciwko NSO i mianowanie dyrektora Citizen Lab do komisji, która decyduje o przyznaniu nagrody, wydaje się sugerować nieujawnione interesy ekonomiczne.

13) Autorzy Citizen Lab wyrażają bardzo poważne oskarżenia przeciwko hiszpańskiemu rządowi o „nielegalne szpiegostwo” w oparciu o to, co raport twierdzi, że jest „dowodem poszlakowym”. Raport nie dostarcza wystarczających dowodów, aby podtrzymać te oskarżenia.

14) Tymczasem raport nie bierze pod uwagę żadnej z innych prawdopodobnych hipotez alternatywnych. Zaskakujące jest, że nie wspomniano nawet o możliwości prawnie sankcjonowanego nadzoru, fałszywych alarmów lub szpiegostwa przez tajne służby Rosji lub innych krajów.

15) Istnieje wiele sprzeczności i obaw etycznych dotyczących tego, jak rozpoczęły się badania śledczych w Hiszpanii w lipcu 2020 r. W tym czasie niezwykle silna kampania komunikacyjna koordynowana przez katalońskie partie polityczne secesjonistyczne oraz pozew zostały rozpoczęte w ciągu tygodnia od pierwszej analizy i przed potwierdzeniem jakiegokolwiek zakażenia.

16) Podczas dochodzenia uczestnicy zostali ostrzeżeni, że prawdopodobnie są szpiegowani, bez uwzględnienia, że ​​to ostrzeżenie może kolidować z dochodzeniami sankcjonowanymi przez sąd. Wielu uczestników było zgodnie z prawem monitorowanych przez hiszpańskie służby bezpieczeństwa, gdy się z nimi skontaktowano i wyjaśniono, jak uniknąć nadzoru. Inni czekali na proces, a niektórzy nawet odsiadywali karę więzienia.

17) Nazwa CatalanGate dla raportu (opublikowanego 18 kwietnia 2022 r.) została wybrana tak, aby pasowała do hasła kampanii propagandowej, którą katalońskie partie i organizacje secesjonistyczne przygotowywały na kilka miesięcy przed publikacją raportu. Największa organizacja secesjonistyczna zarejestrowała domenę „CatalanGate.cat” w styczniu 2022 r. Ponadto konto na Twitterze (182,6 tys. obserwujących) obecnie nazywane „@catalangate” jest używane od 2012 r. do promowania różnych kampanii komunikacyjnych o charakterze secesjonistycznym.

18) Kilku uczestników badania było wówczas i nadal jest pod obserwacją z powodu znanych powiązań z rosyjskimi służbami wywiadowczymi, korupcji i/lub stworzenia nielegalnej platformy opartej na blockchainie Tsunami Democràtic, która miała na celu unikanie hiszpańskich sił bezpieczeństwa i była używana do koordynowania gwałtownych zamieszek i blokad dróg, stacji kolejowych i lotnisk. Rozważanie jako „ofiary” kilku przywódców politycznych i aktywistów, którzy byli badani z upoważnienia sądowego za poważne przestępstwa (niektórzy z nich zostali skazani) wydaje się ryzykowne w raporcie naukowym.

19) Co zaskakujące, dobrze udokumentowane powiązania z Rosją i rosyjskie próby destabilizacji Hiszpanii i UE poprzez wspieranie katalońskich secesjonistów są całkowicie pominięte w raporcie. Śledztwo w sprawie CatalanGate zostało wznowione dokładnie w czasie, gdy poparcie dla katalońskiej secesji spadło do najniższego poziomu od 2014 r., a powiązania z Rosją stały się bardzo problematyczne w stosunku do opinii publicznej w sprawie inwazji na Ukrainę.

20) Komunikaty prasowe, media społecznościowe i oficjalne oświadczenia Citizen Lab dotyczące raportu CatalanGate zawierają wiele sprzeczności i nieprawdziwych stwierdzeń. Zeznania kilku uczestników śledztwa przeczą relacjom Citizen Lab.

21) Biorąc pod uwagę mnogość wykrytych problematycznych kwestii, ponad stu badaczy z różnych uniwersytetów i dyscyplin zwróciło się do Uniwersytetu w Toronto o wszczęcie niezależnego śledztwa w sprawie prowadzenia badań przez Citizen Lab podczas pracy nad CatalanGate (w dwóch różnych listach). Jak dotąd Uniwersytet w Toronto odmówił rozpatrzenia sprawy i zignorował wiele pytań i próśb kilku naukowców i dziennikarzy. Odmówił również podania nazw organizacji i osób finansujących Citizen Lab.

22) Zamiast poprawić lub wycofać swój raport, członkowie Citizen Lab, wspierani przez niektórych zewnętrznych współpracowników, przeprowadzili kampanię oszczerstw przeciwko autorowi tego raportu i innym badaczom, którzy wyrazili publiczną krytykę w związku z ich raportem CatalanGate. Ta kampania mająca na celu uciszenie oskarżeń o niewłaściwe postępowanie badawcze była początkowo prowadzona w mediach społecznościowych, ale dotarła do prasy międzynarodowej, a nawet do Parlamentu Europejskiego.

Podsumowując, raportu CatalanGate nie można uznać za rygorystyczną pracę naukową. Narusza on większość konwencji badań naukowych i nie przestrzega protokołów i zasad dochodzeń kryminalistycznych w zakresie cyfryzacji. Wydaje się, że został on zaprojektowany i przeprowadzony w celu stania się instrumentem politycznym dla katalońskich nacjonalistów, dostarczając dowodów na potrzeby pozwów, które planowały zarówno Apple, jak i partie secesjonistyczne, oraz próbując uzasadnić ex post nieważność kilku procesów, które odbyły się po jednostronnej próbie secesji w październiku 2017 r. — na podstawie rzekomego nielegalnego monitorowania prawników przez władze hiszpańskie w czasie, gdy odbywały się te procesy. Jako taki można go uznać za kluczowy element kampanii dezinformacyjnej.

Ocena, czy Hiszpania szpiegowała —legalnie lub nielegalnie — niektórych uczestników dochodzenia, czy też Pegasus był preferowanym oprogramowaniem szpiegującym, wykracza poza zakres niniejszego przeglądu. Niniejsza recenzja pokazuje jednak, że raport CatalanGate nie spełnia minimalnych wymogów, aby można go było wykorzystać jako podstawę dowodową w procedurach prawnych lub parlamentarnych komisjach śledczych. Oczekuje się niezależnego dochodzenia w sprawie nierzetelności naukowej w tak poważnych przypadkach jak ten. Każda komisja parlamentarna lub sąd sprawiedliwości badający CatalanGate powinien zwrócić się do niezależnych ekspertów medycyny sądowej —bez powiązań z Citizen Lab lub Amnesty Tech— o odtworzenie analiz i ocenę ich ważności i wiarygodności. Ważne jest, aby wykluczyć fałszywe wyniki pozytywne, a także zidentyfikować wszelkie potencjalne zmiany lub sfabrykowanie dowodów, takie jak sfabrykowane wyniki pozytywne, wykorzystujące brak łańcucha dowodowego w tym dochodzeniu.

Brak kontroli działań organów nadzorujących bezpieczeństwo i prywatność w Internecie, takich jak Citizen Lab, oraz ich potencjalne „przejęcie” przez korporacje Big Tech i partyjne grupy polityczne powinno być powodem do niepokoju dla Unii Europejskiej. Citizen Lab słusznie domaga się publicznej odpowiedzialności i przejrzystości od państw członkowskich UE, ale ważne jest również, aby one również przestrzegały tych samych zasad i aby oskarżenia wobec rządów nie odwracały uwagi od odpowiedzialności i wyzwań, które stoją przed korporacjami Big Tech w zakresie bezpieczeństwa Internetu.

Jose Javier Olivas Osuna