برنامه بحثانگیز پریسم از آنجا آغاز شد که در سال 1978 در آمریکا قانونی موسوم به «قانون اطلاعات و نظارت خارجی» وضع شد. طبق مفاد این قانون، در صورتی که فردی مظنون به برنامهریزی برای حمله به آمریکا از جانب یک قدرت خارجی بود، دادگاهی ویژه متشکل از سه قاضی مجوز داشت از افراد شنود الکترونیکی به عمل آورد.
بعد از حملات یازده سپتامبر، دولت جورج بوش مخفیانه به آژانس امنیت ملی آمریکا اجازه داد دادگاهها را دور بزند و بدون داشتن حکم قضایی لازم، به شنود مظنونان همکاری با القاعده و دیگران بپردازد. در سال 2005 بود که روزنامه آمریکایی نیویورکتایمز این موضوع را فاش کرد. کنگره آمریکا هم تصمیم گرفت هم به شرکتهایی که با این سازمان همکاری کرده بودند، مصونیت قضایی اعطا کند و هم در قانون اطلاعات و نظارت خارجی، تغییرات ایجاد کند.
این تغییرات در سال 2008 در قانون اعمال شد و بهموجب آن، مقامات امنیتی میتوانستند بدون نیاز به شناسایی هر یک از افراد هدفگیری شده، یا ذکر جزئیات نوع ارتباطات مورد نظر مجوز لازم را از دادگاه بگیرند. برای اخذ مجوز تنها کافی بود که مقامات امنیتی دادگاه را متقاعد کنند که هدفشان جمعآوری «اطلاعات امنیتی خارجی» است. علاوه بر این، مقامات امنیتی دیگر مجبور نبودند نشان دهند که فرستنده و گیرنده پیامها هر دو در خارج از آمریکا هستند. کافی بود که نشان دهند باور به اینکه یکی از طرفین خارج از آمریکاست، «معقول و منطقی» بنظر میرسد.
از زمانی که برنامه فوقسری پریسم برای اولین بار برملا شد، در رسانههای مختلف بینالمللی گمانهزنیهای مختلفی درباره اینکه چیست، چگونه کار میکند و چه موضوعاتی را تحت پوشش قرار میدهد مطرح شده است.
با آنکه این گزارشها اطلاعات زیادی درباره جزئیات این برنامه فراهم میآورند برخی از آنها با آنچه «ادوارد اسنودن» از این برنامه افشا کرده تطابق نداشته و بیشتر جنبه گمانهزنی دارند.
1ـ هدف قرار دادن یک «سلکتور» (گزینشگر)
در این مرحله یک تحلیلگر آژانس امنیت ملّی یک یا دو واژه جستجو یا به اصطلاح «سلکتور» را تایپ میکند. سلکتورهایی که تحلیلگر تایپ میکند میتوانند افراد (اعم از نام او، آدرس ایمیل، شماره تلفن یا امضای دیجیتال وی)، سازمانها یا موضوعات (مثلا فروش قطعات یدکی تخصصی برای غنیسازی اورانیوم) باشند.
تحلیلگر آژانس امنیت ملی همراه با این کار باید یک فرم الکترونیکی پر کند که مشخص میکند این جستجو در راستای کسب اطلاعات امنیتی خارجی است؛ ضمن اینکه این فرم باید نشان دهد که «باور معقول و منطقی» تحلیلگر این است که نتایج این جستجو شهروندان آمریکا، ساکنان دائمی این کشور یا افراد دیگری که در خاک این کشور هستند را هدف قرار نمیدهد.
2ـ دسترسی به اطلاعات خصوصی شرکتها
این درخواست جستجو که به آن «تسکینگ» گفته میشود میتواند به چندین منبع فرستاده شود ـ به عنوان مثال، به یک شرکت خصوصی یا به «اکسسپوینت» آژانس امنیّت ملّی که به دروازههای اصلی اینترنت نفوذ میکند.
هر عمل تسکینگ (جستجو) برای شرکتهای گوگل، یاهو، مایکروسافت، اپل و سایر ارائه دهندگان خدمات رایانهای، سپس به سمت تجهیزاتی که در هر شرکت نصب شدهاند مسیریابی میشوند. این تجهیزات که متعلق به افبیآی است، درخواست آژانس امنیت ملّی را به سیستم یک شرکت خصوصی میفرستد.
بسته به شرکتی که این درخواست به آنها ارسال میشود، شرکت دریافتکننده ایمیل، فایلهای ضمیمهشده، فهرست مرجع آدرسها، تقویمها، فایلهای ذخیره شده در «ابرها» (clouds؛ یا همان مراکز عظیم ذخیره دادهها در آمریکا)، چتهای متنی، صوتی یا ویدئویی و «فرادادههای» شناساییکننده مکانها، دستگاههای مورد استفاده و سایر اطلاعات مربوط به یک هدف را به مرجع درخواستکننده میفرستد.
3ـ پردازش دادهها توسط رایانههای آژانس امنیت ملّی آمریکا
تجهیزات متعلق به افبیآی نتایج جستجو را به آژانس امنیت ملی میفرستند. نتایج ابتدا برای پردازش توسط سامانه اتوماسیون آژانس امنیت ملی که کد رمز آن PRINTAURA است، فرستاده میشوند. این سامانه هم نقش بایگانیکننده و هم نقش پلیس ترافیک را دارد.
PRINTAURA سیر دادهها را از طریق توالی پیچیدهای از سامانهها که وظیفه آنها استخراج فرادادههای صوتی، متنی و ویدئویی است دستهبندی و مخابره میکند.
4ـ بازگشت به تحلیلگر
یک جستجوی کامل «پریسم» ممکن است ایمیلها، اطلاعات ورود به سایتهای اینترنتی فرادادهها، فایلهای دخیره شده و ویدئوها را مشخص کند. این اطلاعات، پس از پردازش به طور خودکار به تحلیلگری که «تسکینگ» اولیه را انجام داده است، فرستاده میشوند. زمان تسکینگ تا ارسال پاسخ ممکن است از چند دقیقه تا چند ساعت متفاوت باشد.
5ـ تأیید درونی
این برنامه بر اساس فرمان محرمانهای که از دادگاه اطلاعات و نظارت خارجی صادر میشود، انجام میگردد. ادعای مقامات امنیتی آمریکا این است که برای هیچ کس حکم قضایی جداگانهای برای دسترسی به کل محتوای ارتباطاتش صادر نمی گردد.
قبل از اینکه یک تحلیلگر اقدام به انجام تجسس با استفاده از پریسم بکند، تحلیلگر دومی در حیطه فعالیتش باید با وی موافقت کند. مطابق ادعاهای مقامات آمریکایی، در این فرایند «مجوزدهی»، تحلیلگر دوم باید تأیید بکند که تجسسی که انجام میشود با هدف کسب اطلاعات امنیتی خارجی انجام شده است و «باور منطقی و معقول» این است که مورد استعلامی نه آمریکایی است و نه در خاک آمریکا است؛ علاوه بر این، تجسس مذکور باید طبق قواعد و مقررات آژانس امنیت ملی انجام شده باشد.
در گزارشی از روزنامه انگلیسی گاردین در روز 20 ژوئن تصریح شده است آژانس امنیت ملی موظف به انجام یک سری اقدامات احتیاطی است تا خطرات ناشی از سرکشی ناخواسته به حریم اطلاعات خصوصی شهروندان و ساکنان آمریکا به حداقل برسد.
طبق این مقاله روزنامه گاردین، اگر مقامات امنیتی جزئیاتی درباره افراد تبعه یا ساکن آمریکا پیدا کنند، باید آنها را در اختیار مراجع قانونی داخلی قرار بدهند تا در «اسرع وقت» این دادهها را از بین ببرند.
با این حال، بسیاری از کارشناسان امور امنیت رایانه و فعالان حقوق شهروندی درباره کارآیی این اقدامات احتیاطی تردید دارند.
چنانکه در گزارش رسانه دولتی بیبیسی آمده است «راس آندرسون» استاد مهندسی امنیتی در لابراتوار کامپیوتر دانشگاه کمبریج میگوید: «تنها راه اینکه از روی ایمیل یک نفر بتوانید تا حد معقولی مطمئن شوید که او ساکن یک کشور خاص است این است که همه مکاتباتش را بخوانید. آژانس امنیت ملی آمریکا ظاهرا مدعی است قدرتی جادویی دارد و میتواند بطور خودکار میان تعداد بسیار زیادی ایمیل جستجو کرده، و اطلاعات مناسب را پیدا کند. حتی شرکتهای ارائه کننده خدمات ایمیل هم گفته اند که در اکثر موارد نمیتوانند بدون خواندن مکاتبات کاربران، ملیت، محل اقامت و نشانی آنها را پیدا کنند.»
در این شکل مراحل گفته شده در بالا، در قالب نمودار ترسیم شدهاند.