Þrír íslenskir embættismenn í kynningarmyndbandi umdeilds „símahakkara“ – tæknin notuð gegn blaðamönnum

Ólafur Þór Hauksson héraðssaksóknari, lögreglumaðurinn Hulda Sigríður Guðmundsdóttir og Heiðar Þór Guðnason, sérfræðingur í rannsóknum á tölvum og símum, koma fram í nýju kynningarmyndbandi ísraelska fyrirtækisins Cellebrite. Fyrirtækið selur lögreglu tæki og forrit sem geta opnað læsta síma og sótt úr þeim mikið magn persónulegra gagna. Sömu tæki hafa verið notuð gegn blaðamönnum, aðgerðasinnum og stjórnarandstæðingum víða um heim.

Myndbandinu var hlaðið inn á YouTube-síðu Cellebrite 12. júní, fyrir um tíu dögum. Það ber heitið Following the Money: Digital Evidence Uncovers Criminal Network in Iceland, eða Peningaslóðinni fylgt: Stafræn gögn afhjúpa glæpanet á Íslandi.

Myndbandið er ekki sjálfstæð fréttaumfjöllun heldur kynning á vörum Cellebrite. Þar er embætti héraðssaksóknara á Íslandi notað sem dæmi um viðskiptavin sem hafi náð góðum árangri með tækjum og forritum fyrirtækisins.

Cellebrite birti einnig skriflega kynningu um íslenska embættið undir fyrirsögninni Iceland District Prosecutor’s Office: Using AI Tools to Investigate Financial Crime.

Þremenningarnir birtast í kynningunni

Í myndbandinu koma fram Ólafur Þór Hauksson héraðssaksóknari, Hulda Sigríður Guðmundsdóttir lögreglumaður og Heiðar Þór Guðnason, sérfræðingur í rannsóknum á tölvum og farsímum hjá embætti héraðssaksóknara.

Ólafur Þór er æðsti yfirmaður embættisins og fer með stjórn þeirra rannsókna og ákæra sem heyra undir héraðssaksóknara.

Heiðar Þór er aðalviðmælandi Cellebrite í skriflegu kynningunni. Þar segir hann frá því hvernig embættið notar gögn úr farsímum til að rannsaka fjármálaglæpi, fíkniefnamál og önnur alvarleg sakamál.

Hann segir að stafræn gögn geti hjálpað lögreglu að kanna hvort frásagnir fólks við yfirheyrslur séu réttar. Gögnin geti einnig sýnt fram á að grunur gegn einstaklingi eigi ekki við rök að styðjast og þannig leitt til þess að rannsókn sé hætt.

Byrjaði eftir bankahrunið

Í kynningunni er saga stafrænnar rannsóknardeildar embættisins rakin aftur til bankahrunsins árið 2008.

Þá var sérstakur saksóknari skipaður til að rannsaka fall íslensku bankanna. Rannsóknirnar kölluðu á vinnslu gríðarlegs magns tölvupósta, skjala og annarra tölvugagna.

Heiðar Þór segir að snjallsímar hafi ekki verið jafn mikilvægir í rannsóknum á þeim tíma. Flest gögn hafi verið í tölvupósti og venjulegum skjölum.

Síðan hafi þetta breyst hratt. Nú komi farsímar við sögu í flestum stærri rannsóknum og geti geymt skilaboð, myndir, staðsetningar, símtöl, greiðsluupplýsingar og önnur gögn sem lögregla telur mikilvæg.

Hvaða tæki og forrit notar embættið?

Í kynningarefni Cellebrite eru tvö kerfi sérstaklega nefnd: Inseyets og Pathfinder.

Cellebrite segir ekki nákvæmlega hvaða gerðir tækja, hvaða útgáfur forritanna eða hversu mörg leyfi íslensk yfirvöld hafa keypt. Ekki kemur heldur fram hvað íslenska ríkið hefur greitt fyrirtækinu.

Inseyets getur opnað síma

Inseyets er kerfi sem er notað til að komast inn í farsíma, afrita gögn úr þeim og gera gögnin læsileg fyrir rannsóknarmenn.

Kerfið getur í sumum tilfellum opnað læsta iPhone- og Android-síma án þess að lögregla hafi aðgangskóða eigandans.

Hvað hægt er að sækja fer eftir tegund símans, stýrikerfinu, öryggisstillingum og því hvaða aðgang lögregla hefur. Kerfið getur meðal annars náð í:

• smáskilaboð og spjall úr forritum,
• símtalaskrár og tengiliði,
• myndir og myndskeið,
• staðsetningarupplýsingar,
• vafraferil,
• tölvupósta og skjöl,
• upplýsingar um samfélagsmiðlareikninga,
• vistuð lykilorð,
• og í sumum tilfellum gögn sem notandinn hefur eytt.

Inseyets notar meðal annars verkfæri sem nefnast UFED og Physical Analyzer.

UFED er notað til að tengjast símanum, reyna að opna hann og afrita gögnin.

Physical Analyzer tekur síðan við gögnunum, les þau og flokkar. Með því geta rannsóknarmenn leitað í skilaboðum, myndum, staðsetningum og öðrum upplýsingum.

Íslenska kynningin staðfestir notkun Inseyets en segir ekki nákvæmlega hvaða hlutar kerfisins eða hvaða vélbúnaður eru í notkun hjá embættinu.

Pathfinder tengir saman gögn úr mörgum símum

Pathfinder er forrit sem safnar saman gögnum úr mörgum símum og hjálpar rannsóknarmönnum að finna tengsl sem annars gæti tekið langan tíma að sjá.

Forritið getur til dæmis sýnt:

• hver hringdi í hvern,
• hver sendi hverjum skilaboð,
• hvaða símanúmer og reikningar tengjast,
• hvort margir símar hafi verið á sama stað,
• hvort sömu myndir eða skjöl finnist í fleiri en einum síma,
• og hvernig peningar eða upplýsingar hafa farið á milli fólks.

Pathfinder notar gervigreind til að leita í miklu magni gagna og finna hluti sem líkjast hver öðrum.

Í kynningunni segir frá fíkniefnarannsókn þar sem grunur lék á að nokkrir einstaklingar hefðu safnað peningum til að fjármagna alþjóðlegan fíkniefnainnflutning.

Rannsóknarmenn leituðu að bankakvittunum sem sýndu að íslenskum krónum hefði verið skipt í evrur.

Í stað þess að skoða hverja einustu mynd úr mörgum símum var Pathfinder látið finna myndir sem líktust bankakvittunum. Rannsóknarmenn gátu síðan safnað kvittununum saman og reiknað út hversu háar fjárhæðir höfðu verið greiddar.

Embættið notar forritið einnig til að skoða staðsetningarupplýsingar úr myndum. Í kynningunni er tekið fram að starfsfólk yfirfari niðurstöður gervigreindarinnar sjálft.

Starfsfólk með próf frá Cellebrite

Í kynningunni kemur einnig fram að starfsfólk embættis héraðssaksóknara hafi lokið námskeiðum og prófum hjá Cellebrite.

Þar eru nefnd prófin CCO og CCPA.

CCO kennir meðal annars hvernig á að opna síma og sækja gögn úr þeim. CCPA er lengra nám sem kennir hvernig á að skoða, leita í og greina gögnin eftir að þau hafa verið afrituð.

Þetta eru því ekki sérstök tæki heldur viðurkenningar sem sýna að starfsfólk hafi fengið þjálfun hjá fyrirtækinu.

Umdeilt fyrirtæki

Cellebrite er eitt stærsta fyrirtæki heims á sviði rannsókna á farsímum. Lögregla, herir, leyniþjónustur og önnur stjórnvöld nota tæki fyrirtækisins.

Tæknin getur verið mikilvæg við rannsóknir á morðum, kynferðisbrotum, fíkniefnainnflutningi, hryðjuverkum og skipulagðri glæpastarfsemi.

Hún getur hins vegar einnig veitt stjórnvöldum aðgang að stórum hluta einkalífs einstaklings. Sími getur geymt upplýsingar um samskipti, heilsu, fjármál, stjórnmálaskoðanir, ferðalög, heimildarmenn blaðamanna og nánustu sambönd.

Cellebrite hefur þess vegna sætt harðri gagnrýni fyrir að selja tæknina til ríkja þar sem stjórnvöld eru sökuð um mannréttindabrot og ofsóknir gegn blaðamönnum og stjórnarandstæðingum.

Sími blaðamanns opnaður í Serbíu

Eitt alvarlegasta málið kom upp í Serbíu.

Amnesty International greindi frá því árið 2024 að serbnesk lögregla og leyniþjónusta hefðu notað Cellebrite til að opna síma blaðamanna og aðgerðasinna.

Meðal þeirra var rannsóknarblaðamaðurinn Slaviša Milanov. Hann var stöðvaður af lögreglu og færður á lögreglustöð undir því yfirskini að kanna ætti hvort hann hefði ekið undir áhrifum áfengis.

Sími hans var tekinn af honum. Hann gaf lögreglu ekki upp aðgangskóðann.

Rannsókn Amnesty benti til þess að Cellebrite hefði verið notað til að opna símann. Eftir það var serbnesku njósnaforriti sem nefnist NoviSpy komið fyrir í símanum.

NoviSpy gat sótt persónuleg gögn og veitt stjórnvöldum aðgang að hljóðnema og myndavél símans.

Mikilvægt er að taka fram að NoviSpy er ekki framleitt af Cellebrite. Tækni Cellebrite var hins vegar, samkvæmt Amnesty, notuð til að opna símana áður en njósnaforritinu var komið fyrir.

Amnesty fann einnig vísbendingar um að Cellebrite hefði nýtt áður óþekktan öryggisgalla í Android-símum til að komast inn í síma serbnesks aðgerðarsinna. Gallinn var í búnaði sem fannst í milljónum síma um allan heim.

Eftir birtingu skýrslunnar stöðvaði Cellebrite notkun ákveðinna viðskiptavina í Serbíu á vörum fyrirtækisins.

Aðgerðasinnar í Jórdaníu

Citizen Lab við Háskólann í Toronto greindi frá því í janúar 2026 að yfirvöld í Jórdaníu hefðu notað Cellebrite gegn aðgerðasinnum, mannréttindafólki og borgaralegum blaðamanni.

Rannsakendur skoðuðu síma sem yfirvöld höfðu lagt hald á og síðar skilað eigendunum.

Þeir töldu sig hafa sterkar sannanir fyrir því að Cellebrite hefði verið notað til að afrita gögn úr símunum án samþykkis eigendanna.

Í skýrslunni voru rakin sjö mál. Þau tengdust meðal annars mótmælum, gagnrýni á lögreglu og stuðningi við Palestínumenn á Gaza.

Í einu málanna var tæknin notuð til að afrita mikið magn gagna úr síma ungs aðgerðarsinna, þótt rannsóknin snerist aðeins um hvort ákveðinn Facebook-reikningur væri í símanum.

Meðal gagna sem forritið sýndi voru myndir, myndskeið, tölvupóstar, skjöl, samfélagsmiðlareikningar og lykilorð.

Sími stjórnarandstæðings opnaður í Kenía

Í febrúar 2026 greindi Citizen Lab einnig frá því að Cellebrite hefði verið notað á síma keníska aðgerðasinnans og stjórnmálamannsins Boniface Mwangi.

Mwangi hafði verið handtekinn eftir þátttöku sína í mótmælum gegn stjórnvöldum. Lögregla lagði hald á síma hans og annan tölvubúnað.

Þegar símanum var skilað hafði lykilorðsvörn hans verið fjarlægð og hægt var að opna hann án aðgangskóða. Mwangi sagðist aldrei hafa gefið lögreglu upp lykilorðið.

Rannsókn Citizen Lab fann merki um að Cellebrite hefði verið notað á símanum meðan hann var í vörslu kenísku lögreglunnar.

Reuters-blaðamenn í Mjanmar

Cellebrite hefur einnig verið tengt við mál Reuters-blaðamannanna Wa Lone og Kyaw Soe Oo í Mjanmar.

Þeir voru handteknir árið 2017 þegar þeir rannsökuðu fjöldamorð á Róhingjum og síðar dæmdir í fangelsi.

Samkvæmt gögnum sem mannréttindasamtök og rannsakendur hafa vísað til var tækni Cellebrite notuð til að ná gögnum úr símum þeirra.

Málið vakti mikla gagnrýni þar sem gögn úr símum blaðamanna geta afhjúpað heimildarmenn, samskipti og rannsóknaraðferðir þeirra.

Cellebrite segir tækin ekki vera njósnaforrit

Cellebrite hafnar því að vörur fyrirtækisins séu njósnaforrit.

Fyrirtækið segir tækin vera ætluð lögreglu og öðrum yfirvöldum sem rannsaka mál eftir að meint brot hefur átt sér stað. Notkunin eigi aðeins að fara fram á grundvelli laga, dómsúrskurðar eða samþykkis eiganda tækisins.

Cellebrite segist kanna ásakanir um misnotkun og geta lokað fyrir leyfi viðskiptavina sem brjóta reglur fyrirtækisins.

Fyrirtækið segist meðal annars hafa hætt viðskiptum í Bangladess, Hvíta-Rússlandi, Kína, Hong Kong, Rússlandi og Venesúela vegna áhyggna af mannréttindum og öryggi gagna.

Gagnrýnendur segja þó að málin í Serbíu, Jórdaníu, Kenía og fleiri ríkjum sýni að eftirlit fyrirtækisins hafi ekki komið í veg fyrir að tæknin væri notuð gegn fólki sem stundaði blaðamennsku, mótmæli eða lögmæta stjórnmálaþátttöku.

Óupplýst hvað íslenska ríkið greiðir

Kynningarmyndbandið sýnir að embætti héraðssaksóknara notar öflugustu rannsóknarkerfi Cellebrite og að starfsfólk þess hafi fengið sérstaka þjálfun hjá fyrirtækinu.

Það kemur hins vegar ekki fram hversu lengi íslensk yfirvöld hafa notað kerfin, hversu margir símar hafa verið opnaðir, hversu margir starfsmenn hafa aðgang að þeim eða hvað íslenska ríkið greiðir fyrir leyfi, tæki, viðhald og námskeið.

Ekki kemur heldur fram hvort sérstakar reglur gildi á Íslandi um hversu mikið af gögnum megi afrita úr síma þegar rannsókn beinist aðeins að afmörkuðu atriði.

Á sama tíma og Cellebrite notar íslenska embættismenn til að kynna tæknina sína á alþjóðlegum markaði standa því enn eftir spurningar um kostnað, eftirlit, persónuvernd og mörkin á notkun hennar hér á landi.